编者按:欧盟在数据保护方面一直走在世界前列,开创性地以数据治理法治化的方式促进数据合规和数字经济的健康发展。以GDPR为核心,欧盟委员会、欧洲议会和理事会相继出台数据保护细则和指南来建构欧洲数据保护法律框架。欧盟委员会于7月24日发布了《作为欧盟内外信任推动者的数据保护规则——对GDPR评估的通讯》,该通讯是欧盟委员会“2016-2020”路线图中的一环,主要评估了GDPR实施以来所带来的影响。预计在2020年,欧盟委员会将发布GDPR的实施情况报告。京东数科研究院对该通讯进行了编译分析。

一、介绍

《通用数据保护条例》(以下简称“条例”)已在欧盟实施了一年多。它是一系列连贯和现代化的欧盟数据保护环境的核心,其中也包括《数据保护执法指令》和《欧盟机构和团体数据保护条例》。数据保护法律框架将由目前正在立法中的《电子隐私条例》来补齐。

强有力的数据保护规则对于个人数据保障的基本权利至关重要。它们是民主社会的核心,也是数据驱动型经济的重要组成部分。欧盟渴望抓住数字转型在服务、就业和创新方面产生的许多机遇,同时应对这些机遇带来的挑战。身份盗窃、敏感数据泄露、个人歧视、固有偏见、传播非法内容和开发侵入性监控工具只是受人们关注的几个例子,人们显然希望自己的数据受到保护。

随着世界各地的人们越来越珍惜和重视其数据的保护和安全,数据保护已成为一个真正的全球性现象。许多国家已经或正在制定类似于《条例》的全面数据保护规则,数据保护规则呈全球协同的趋势。一方面便利了商业运营商或公共机构之间的数据流动,另一方面也提高了欧盟乃至全球的个人数据保护水平。

欧盟数据保护立法框架是欧洲以人为中心创新的基石,将成为不断扩大的监管政策和监管底线的一部分。监管政策涉及健康研究、人工智能、交通、能源、竞争和法律执行。委员会一直强调需要适当地实施和执行数据保护规范,例如2018年1月发布的《关于实施条例的说明》和2018年9月发布的《关于在选举中使用个人数据的指南》就朝着这个方向看齐。

二、同一个大陆,同一个法律: 数据保护框架已在会员国范围内普遍建立 

(一)法律框架的协调

该条例直接适用于各成员国,它要求各国在国家一级采取措施,特别是建立国家数据保护局并授予其权力,调整或修改部门法律,就具体问题制定规则,例如促进个人数据保护与言论和信息自由法规的协调兼容性,以及修订或废除涉及数据保护方面的部门立法。目前为止,除三个会员国外,其他12个会员国都更新了其国家数据保护法。该条例纳入《欧洲经济区协定》后,适用范围扩大到挪威、冰岛和列支敦士登,这些国家也通过了国家数据保护法。

会员国的行动由两个要素构成:(一)任何国家规范法必须符合《欧盟基本权利宪章》的要求(并且不得超出建立在《宪章》基础上的《条例》的规定范围);(二)不得侵犯欧盟内部个人数据的自由流动。

成员国在该条例之外提出的附加要求的例子是,根据德国立法,数据保护机构有义务在拥有20名或更多雇员的公司中指定一名数据保护官员,长期参与个人数据的自动化处理。

欧盟委员会与各国当局进行双边对话,尤其关注以下方面的国家措施:

√数据保护当局的有效独立性,包括通过充足的财政、人力和技术资源;

√国家法律如何限制数据主体的权利;

√当没有规范时,国家立法不应引入超出法规范围的要求,例如数据处理的附加条件;

√履行将个人数据保护权与言论和信息自由协调一致的义务,同时考虑到这一义务不应被滥用而给新闻舆论造成负面影响。

三、建立规范的新型数据治理体系 

(一)数据保护当局的新权力

《条例》赋予数据保护当局更强的执法权力。国家数据保护当局对执法权力采取了平衡的办法,关注对话而不是制裁,特别是对于那些不以个人数据作为核心业务的小运营商。与此同时,只要有必要,当局都会积极使用新权力,包括在社交媒体领域开展调查,并根据违反数据保护规则的严重程度处以几千欧元至几百万欧元的行政罚款。

(二)数据保护当局的行政处罚案例

《条例》的成功不应以罚款额的多少来衡量,而应以所有参与者的意识和行为的变化来衡量。数据保护当局可以使用其他工具,例如对数据处理施加临时或限制,包括禁止或允许流向第三国接收方的数据流。

一些数据保护当局创设了新工具,如业务帮助热线和工具包,而另一些机构则开发了新的方法,如监管沙箱,以协助公司的合规工作。然而这还远远不够,许多利益相关人仍然认为他们没有得到足够的支持和信息,尤其是一些会员国的中小企业。

时间

国家

事由

处罚额(欧元)

2018-12-09

奥地利

非法视频监控

5000

2019-3-26

波兰

数据经纪公司因未能告知个人其数据正在处理中

220,000

2019-6-12

西班牙

智能手机App设计缺乏透明度

250,000

2019-1-21

法国

未获得用户同意

50,000,000

表1:GDPR处罚案例

(三)发挥欧洲数据保护委员会的作用

数据保护当局强化了在欧洲数据保护委员会(EDPB)的工作。在跨境案件中,每个数据保护机构不仅仅是一个国家机构,而是充分参与到从调查到决策的所有流程中,是真正涉及欧盟全范围的合作。这种密切合作已成为常规操作:截至2019年6月底,各国数据保护当局通过合作机制处理了516起跨境案件。

四、 促进个人的数据权利的行使 

(一)增强个人对数据保护权利的认识

欧盟的人们越来越意识到数据保护的规则及其权利的重要性:在2019年5月“欧洲晴雨表”的反馈中,67%的受访者知道该条例,57%知道国家数据保护机构的存在,他们可以向该机构寻求信息或提出投诉。73%的人知道该条例赋予的至少一项权利。然而,欧洲仍有相当多的个人在上网时没有采取积极措施来保护他们的个人数据。例如,44%的人没有改变他们在社交网络上的默认隐私设置。

(二)个人愈加频繁地行使数据权利

这种对权利认识的提高促进个人更频繁地使用客户查询和求助于数据保护机构来寻求信息或提出投诉。根据企业的报告,在银行和电信等多个行业,访问个人数据的请求有所增加。个人也更经常撤回其同意并行使其反对商业通信的权利。

(三)继续提高个人数据权利保护的意识

因此,必须在国家和欧盟一级继续以公众为重点增进数据保护的意识。为此,欧盟委员会于2019年7月发起了一项新的在线运动,鼓励客户阅读隐私声明并优化其隐私设置。

五、企业在数据保护方面的努力

《条例》旨在通过提供经得起未来考验的解决方案来支持数字经济中的业务。企业普遍欢迎《条例》的问责原则,该原则摆脱了以前繁琐的事前方法(取消通知要求、义务的可扩展性和数据保护的灵活性,以及默认基于隐私友好解决方案的原则竞争)。与此同时,一些人呼吁数据保护当局提供更多法规确定性和更多或更明确的指导方针。

(一)健全的数据管理

关于透明度,企业和民间社会组织提到,在向个人提供符合《条例》规定的被请求的信息和使用清晰明了的语言和个人能够理解的形式之间,需要达成微妙的平衡。运营商正朝着这个方向开发创新解决方案。

企业正在开发新的、更具隐私友好的产品和服务。越来越多的企业将尊重个人数据作为竞争优势和卖点。这些发展不仅仅限于欧盟,还涉及创新的外国经济体。

(二)利用《条例》规定的工具箱

该条例提供了促进合规的工具,如标准合同条款、行为守则和新引入的认证机制。标准合同条款是在自愿的基础上订立的合同中的规范条款,例如数据控制者和数据处理者之间的规范条款。行为守则是另一个实用工具,督促企业合法合理经营和处理数据,促进合规性的达成。认证机制也是证明符合法规具体要求的有效工具。

六、促进国际数据法规的协同 

(一)数据法规协同趋势愈加明显

越来越多的公司主动将该法规赋予的权利扩展到非欧盟客户,以解决实践中遇到的问题。此外,随着世界各国频繁地应对类似挑战,它们正在为自己配备新的数据保护规则或更新现有规则。这些法律规则通常具有欧盟数据保护制度共有的一些共同特征,例如统一立法而非部门立法、保障可强制执行的个人权利以及独立的监督机构。从韩国到巴西,从智利到泰国,从印度到印度尼西亚,全球性数据保护法规的协同趋势不断增强。

(二)促进信息交流,打击犯罪和恐怖主义

数据保护制度之间更大的兼容性也可以大大促进欧盟与外国监管、警察和司法当局之间的信息交流,从而有助于更有效和更迅速的执法合作。

(三)促进数据保护执法当局之间的合作

欧盟委员会还打算加强与东南亚国家联盟(东盟)、非洲联盟、亚太隐私机构论坛(APPA)或“伊比利亚-美洲数据保护网络”等区域组织和网络的对话,这些组织和网络在制定共同数据保护标准、交流最佳实践和促进执法人员之间的合作方面发挥着越来越重要的作用。它还将与经济合作与发展组织和亚太经济合作组织合作,建设高水平数据保护的合作与融合机制。

七、数据保护立法涵盖的领域

涉及领域

相关内容

电信和电子通信服务

通过扩大新规则的范围以涵盖顶级通信服务提供商来增强个人隐私保护,从而为电子通信服务业创造一个公平的竞争环境。

医疗健康

合法和可信地处理和交换医疗健康数据;监督第三方对患者医疗数据的合法访问

人工智能

“以人为本”为核心推动AI技术应用;保障人的基本权利;规定机器自动决策的透明度范围

运输

互联汽车和智能城市的发展越来越依赖于多方(包括汽车、汽车制造商、远程信息服务提供商和负责道路基础设施的公共机构)之间大量个人数据的处理和交换。规范各数据主体的角色、责任分配以及确保数据处理者行为的合法性。

能源

电力部门数字化,以及关于数据访问、数据管理和互操作性的规则

选举

规范参与选举的选民的规则,保护选民的隐私;呼吁每个会员国建立一个国家选举网络来监测和执行与选举有关的在线活动;对欧洲政党和基金会违反数据保护规则的行为实施制裁

执法

遵循欧盟基本法的基础上加强数据保护执法,对隐私权和数据保护基本权利的任何限制都要经过严格的必要性和适当性测试

表2:欧洲数据保护立法涉及的领域

八、结论

根据欧盟委员会的初步评估,《条例》实施的第一年总体上是积极的,未来在一些领域需要取得进一步进展。

(一)实施和补充法律框架

√尚未更新其国家数据保护法的三个成员国需将其作为重要紧急项目推进。所有成员国都应完成其部门立法与《条例》要求的一致协同。

√欧盟委员会将使用其掌握的工具,确保成员国遵守该《条例》并限制数据保护框架的碎片化。

(二)充分发挥新型治理体系的潜力

√成员国应向数据保护当局分配足够的人力、财力和技术资源。

√各国数据保护当局应加强合作,例如开展联合调查,各会员国应当提供便利。

√欧盟理事会应进一步发展欧洲数据保护文化,并充分利用法规中规定的工具确保规则的协调应用。继续推进针对中小型企业的数据保护工作。

√加强欧盟理事会秘书处的专业知识和能力,以更有效地支持和领导理事会的工作。

√欧盟委员会将继续支持各国数据保护机构和欧盟理事会,通过积极参与理事会的工作,在条例实施过程中提请其注意欧盟法律的要求。

√欧盟委员会将充分尊重数据保护当局和其他主管部门的权限,支持不同机构之间的互动,特别是在竞争领域的互动。

(三)支持并鼓励利益相关方的参与

√欧盟理事会应优化利益相关方参与其工作的方式。委员会将继续向数据保护当局提供财政支持,帮助他们对接利益相关方。

√欧盟委员会将继续开展促进数据保护意识提高的活动及合作。

(四)促进国际协同

√欧盟委员会将进一步加强与关键伙伴的适当性对话,包括在执法领域。例如,EDPB的近期目标是在未来几个月结束与韩国正在进行的谈判。它将在2020年报告根据数据保护指令通过的11项充分性决定的审查情况。

√委员会将继续开展工作,包括通过技术手段交流信息和最佳实践,与有兴趣制定电子隐私法的国家合作,并促进与第三国监管机构和区域组织的合作。

√委员会将与多边和区域组织合作,促进高质量数据保护标准(例如,与多方合作推动日本在20国集团背景下发起的“信任的数据自由流动”倡议的达成)。

来源:欧盟委员会(EU COMMISSION)

编译:张夏明 京东数字科技研究院研究员,本文仅代表作者个人观点

英文原文:https://ec.europa.eu/commission/sites/beta-political/files/communication_from_the_commission_to_the_european_parliament_and_the_council.pdf

声明:本文来自京东数字科技研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。