2019年7月24日,在《通用数据保护条例》GDPR实施一年多后,欧盟委员会发布了一份报告,对GDPR的实施影响和反应进行了相应的评估。
1、欧盟对GDPR给予了认可
GDPR是欧盟数据保护体系趋于统一和现代化的核心,除GDPR外,该体系还包括数据保护执法指南和针对欧盟各个领域和机构的数据保护法规,该框架将由目前正处于立法过程中的电子隐私条例完成统一。GDPR引领了全球的数据保护热潮,随着世界各地的人们越来越珍惜和重视数据的保护和安全,数据保护已经成为一个真正的全球性现象。许多国家已通过或正在根据GDPR原则通过全面的数据保护规则,这为促进企业或公共部门之间的数据流动提供了新的机会,同时提高了欧盟和全球范围内对个人数据的保护水平。
2、一洲一法:GDPR已在各成员国实施
GDPR的一个关键目标是废除之前在《95数据保护指令》下存在的28部不同国家立法的碎片化格局,为整个欧盟的个人和企业提高法律确定性,目前这一目标基本实现。GDPR直接适用于各个成员国,促使他们在国家层面上采取法律措施,尤其是建立国家数据保护体系,明确数据保护机构的权力,在言论自由与个人数据保护等特定问题上进行明确,修改或废除行业数据保护方面的立法等等。在该报告发布之时,欧盟成员国中除三个国家之外的其他国家均对各自的国家数据保护立法进行了更新,但调整部门数据保护立法的工作仍在由国家层面进行中。另外,GDPR在纳入《欧洲经济区协定》后,其适用范围扩大到挪威、冰岛和列支敦士登,这些国家也通过了本国的数据保护法。然而,利益相关者呼吁应该在更多领域实现更高程度的协调,而且GDPR本质上也允许成员国在一定范围内进一步明确在某些领域的适用范围,如儿童同意接受网上服务的年龄,或在医学和公共卫生等领域处理个人数据。在规定这些问题时,成员国的规定应当遵守两个原则:一是符合欧盟宪章中规定的基本权利;二是不能影响欧盟内部个人数据的自由流动。在某些情况下,成员国在GDPR的基础上提出了各国自身的要求,特别是通过许多部门立法的制定来实现,这种行为将导致法律适用的分裂,造成不必要的负担,如德国的立法规定,拥有20名或20名以上的公司有义务指定一名数据保护官员负责参与个人数据的自动处理。
欧盟将继续致力于促进立法的和谐统一。欧委会将继续与成员国政府机构进行双边对话,特别关注下列国家举措:通过充分的财政、人力和技术资源保持数据保护机构的独立性;是否有国家法律限制数据主体的权利;国家立法不应引入超出规则的要求,例如附加的处理条件;是否履行将个人数据保护权与言论信息自由相协调的义务,同时要考虑到不应滥用这一义务来对新闻工作产生寒蝉效应等等。各国法院和欧洲联盟法院的工作也有助于对数据保护规则作出一致的解释。成员国法院最近做出判决,宣布与GDPR不符的国家法律规定无效。
3、新的治理体系都已就位
GDPR创建了一个新的治理结构,将独立的国家数据保护机构作为GDPR的执行者和利益相关者的第一个联络点置于中心地位。虽然大多数数据保护机构在过去一年中均从统一的立法制度中获益,但成员国之间仍有很大的差异。
数据保护机构使用新的执法权。该条例赋予数据保护部门更强的执法权力。与2018年5月之前一些利益攸关方表达的担忧相反,国家数据保护部门对执行权采取了一种平衡的方式,其重点是对话,而不是制裁,尤其是对那些不把处理个人数据作为核心活动的中小企业。同时,他们认为有效地使用新的执法权是必要的,包括在社交媒体领域发起调查和根据侵权行为的严重性实施从几千到几百万欧元的行政罚款。数据保护机构在对相关案例进行调查时,必须收集有关证据,尊重国家立法规定的所有程序步骤。这需要大量的时间和工作,同时也解释了为什么大多数调查在进入执行程序后监管工作仍在继续。一些数据保护机构创建了新的工具来支撑监管工作,如帮助企业改进日常行为,而另一些部门则开发了新的方法,如监管沙箱,以帮助企业进行合规工作。然而,一些利益攸关方仍然认为他们没有得到足够的支持和信息,特别是一些成员国的中小型企业。为了纠正这一情况,欧委会向数据保护机构提供资金,使其能够与利益攸关方,特别是个人和中小型企业进行沟通和联系。
欧盟数据保护委员会EDPB开始运作。数据保护机构EDPB加强了在数据保护方面的工作,并就GDPR的关键方面通过了大约20项指南。在跨境案件中,每个数据保护机构不再仅仅是一个国家机构,而是整个从调查到裁决的欧盟工作进程的一部分,这种密切合作已成为常态,截至2019年6月底,已通过合作机制管理跨境案件516起。
建立欧盟数据保护文化。新的治理体系仍需充分发挥其潜力。欧委会将进一步精简决策程序,并在成员国之间建立共同的欧盟数据保护文化。数据保护机构在影响到一个以上成员国的问题上会尽可能集中一切力量进行解决,例如进行联合调查和采取执行措施,这些都有助于实现这一目标,同时减轻资源浪费。许多利益攸关方还提出更多的要求,如希望看到更多的合作;希望国家数据保护机构能够继续采取统一的做法;要求数据保护机构提供的咨询意见更加趋于一致,且国家准则与欧委会的准则应完全一致;希望进一步澄清监管的关键概念等。
4、个人对自身权利利用增多,但应继续提高认识
GDPR的另一个关键目标是加强数据主体的保护权利。民权协会和消费者组织广泛认为这项规定对建立在相互信任基础上的公平数字社会做出了重要贡献。
更强的数据保护权利。人们越来越意识到GDPR对其权利的保护:在2019年5月问卷调查中,67%的受访者意识到欧盟对数据保护的监管,57%的受访者知道有一个可以寻求帮助或进行投诉的国家数据保护机构,73%的人听说过GDPR授予的至少一项权利。然而,欧盟仍有相当一部分人在上网时没有采取积极措施保护自己的个人数据。例如,44%的人没有改变他们在社交网络上的默认隐私设置。
个人越来越多地行使其权利。意识的增强表现在个人更多地通过查询和求助于数据保护机构以要求提供资料或提出申诉的方式更加集中地行使其权利。银行和电信等多个行业要求获得个人数据的情况有所增加,但个人也更经常地撤回他们的同意,行使他们反对商业通信的权利。
需要继续提高认识。一些运营商被报道会出现误解个人数据保护规则,如认为个人应该同意所有处理,或删除权是绝对的权利(例如,删除个人数据有时必须是运营商出于法律义务)等情况。民间社会组织方面也经常抱怨一些商业和数据保护机构迟迟没有做出回应。因此必须在国家和欧盟一级继续进行以普通公众为重点的对话,继续提高公众的认知力。为此,欧盟委员会于2019年7月发起了一项新的在线活动,鼓励个人阅读隐私声明,并优化他们的隐私设置。
5、企业正在调整做法
良好的数据管理。企业为适应数据保护规则面临新的挑战,这也是提高企业数据保护水平和认识的一个机会。在透明度方面,企业和公民社会组织表示,在向个人提供GDPR规定的所有必要信息的同时,还应使用清晰明了的语言和个人能够理解的形式,两者之间应保持微妙的平衡。企业正在朝着这个方向开发具有创新性的解决方案。
对创新的影响。GDPR不但容许而且鼓励发展创新科技,同时尊重和保障个人数据的基本权利,在人工智能等领域更是如此。企业已经开始开发新的、更有利于保护隐私的服务。例如,不跟踪用户或不使用行为信息推送广告的搜索引擎在一些成员国的市场份额正在逐步增加。其他公司正在开发基于赋予个人新权利的服务,如个人数据的可携性。越来越多的企业提倡尊重和保护个人数据,并将其为竞争优势。
小微企业“低风险”的具体情况。虽然各成员国的情况各不相同,但不以处理个人数据为核心业务的小微企业,一直是对GDPR的适用具有最多问题的利益相关者之一。在这一背景下,小微企业呼吁针对其具体情况制定更加实用的指导方针。一些数据保护机构已经在国家级层面做到了这一点。为了补充国家的举措,欧委会发布了相关信息,通过一系列实际措施帮助小微企业遵守相关规定。
按照规定使用相关工具。GDPR规定了证明遵守情况的工具,例如标准合同条款、行为守则和新引进的核准机制。GDPR扩大了在国际数据转移和欧盟内部使用标准合同条款的可能性,实践表明,标准合同的广泛使用对企业的合规工作非常有利,尤其是对那些没有资源与数据处理承包商只就个别合同进行谈判的公司。遵守行为守则是业界另一项可操作及切实可行的工具,守则应由代表控制者和处理者行业协会或机构制定,并应说明如何在特定部门执行数据保护规则。通过将义务与风险进行校准,也是中小型企业履行其义务的一种非常有用和具有成本效益的方法。认证也是一个有用的工具,能够证明符合GDPR的具体要求,可以增加企业的法律确定性,并在全球范围内促进监管实施。欧洲数据保护委员会最近通过的《认证和认可指南》将使欧盟的认证计划得以发展,并将监测其发展情况。
综上,根据迄今获得的资料和与利益攸关方的对话,欧盟数据保护委员会的初步评估是,实施GDPR的第一年总体上是积极的。然而,在若干领域有必要取得进一步进展。
作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
