DigitalWatch 6月24日消息,欧盟委员会已向欧洲议会和欧盟理事会发布《数据保护是增强公民赋权和欧盟实现数字化转型的基础——GDPR实施两年》(Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation)。这是GDPR实施以来的首次评估和审核,欧盟强调了GDPR在数字经济监管中,作为标准制定者所发挥的作用。GDPR成功实现了加强个人对自身数据的保护权,并保证个人数据在欧盟范围内自由流通的目标。同时,GDPR为独立数据保护机构配备了更强大、更协调的执法权,并建立了新的治理体系。它还为所有在欧盟市场运营的公司创造了一个公平的竞争环境,并且确保了欧盟内部数据的自由流通,从而加强了内部市场。具体评内容估包括下述几个方面。

GDPR的执行以及合作和一致性机制的运作

在GDPR的执行方面,数据保护机构已综合使用了纠正措施,包括警告和谴责、罚款、临时或最终处理限制。对于合作和一致性机制,虽然全面评估其功能运作还为时过早,但数据保护机构已通过一站式机制和大量互助机制开展合作。

但是,在数据保护机构之间建立真正通用的欧洲数据保护文化仍然是一个持续的过程。数据保护机构尚未充分利用GDPR提供的工具,例如可能促成联合调查的联合行动。整个欧盟范围内的跨境案件处理(包括程序角度),需要在有效性和统一性方面进一步取得进展。

GDPR具备统一的规则,但实施中仍存在分歧和碎片化

GDPR为整个欧盟的数据保护规则提供了一致的方法。但同时,它需要成员国在某些领域进行具体立法,并为其提供了进一步阐释GDPR的可能性。这导致存在一定程度的碎片化——主要是由于授权规范条款的广泛使用。国家立法面临的具体挑战是调和保护个人数据的权利与表达自由的权利,欧盟委员会将继续评估成员国的立法。

个人能够掌控自己的数据

个体越来越多地使用个人数据访问、更正、删除和携带等权利,但有必要促进其行使和充分执行这些权利。数据可携性的潜力尚未得到充分利用,它可以使个人在不同的服务提供商之间切换,选择数据安全具有保障的服务。释放这种潜力是欧盟委员会的首要任务之一。在制定《数字服务法》一揽子计划中,欧盟委员会将更广泛地探讨数据和数据相关实践在平台生态系统中的作用。

中小企业面临机遇与挑战

部分利益相关者表示,GDPR的应用面临挑战,特别是对于中小企业而言。一些数据保护机构提供了实用工具,促进低风险的中小企业实施GDPR,例如,提供用于处理合同的模板、研讨会和咨询热线等。这些举措应该得到加强和广泛传播,并且最好形成欧盟共同做法,以免对单一市场造成障碍。GDPR为所有类型的公司和组织提供了一个工具箱,帮助其证明合规性,例如行为准则、认证机制和标准合同条款,该工具箱应得到充分使用。

GDPR在新技术中的应用

GDPR能够确保新技术的开发符合基本权利。数据保护和隐私立法框架证明了其在COVID-19危机期间的重要性和灵活性,特别是在跟踪应用程序的设计和疫情期间其他技术解决方案方面。未来的挑战在于阐明如何将行之有效的原则应用于需要持续监控的特定技术(例如人工智能、区块链、物联网或面部识别)。此外,相对于大型数字平台和综合性公司,在包括在线广告和精准推送等方面,GDPR的有效实施是保护个人的重要要素。

现代国际数据传输工具箱开发

GDPR提供了一个现代化的工具箱,促进个人数据从欧盟向第三方国家或国际组织转移,同时确保数据受到高水平的保护。在过去的两年中,欧盟委员会加大了工作力度,以充分利用GDPR可用工具的全部潜力,这包括积极与主要合作伙伴互动,以期达成“充分性认定”。除此之外,委员会还致力于标准合同条款的全面现代化,根据GDPR的新要求对其进行更新。欧洲数据保护委员会(EDPB)在发展GDPR的国际方面发挥了积极作用。为使利益相关者充分利用GDPR转移工具箱,EDPB应加强其在各种传输机制上的工作,包括进一步精简相关批准程序,确定行为守则和认证指南,阐明国际数据传输规则之间的相互作用等。

数据保护领域的融合和国际合作

欧盟委员会已在一些双边、多边、区域性论坛上加强了对话,树立尊重隐私的全球文化,并推动不同隐私体系之间进行融合。在促进国际层面数据保护标准融合的同时,作为一种促进数据流进而促进贸易的方式,欧盟委员会还决心应对数字保护主义。为此,欧盟委员在与澳大利亚、新西兰和英国的双边协议,以及和其他多边谈判(例如当前的WTO电子商务谈判)中系统地列出数据流和数据保护的具体规定。应进一步探索贸易和数据保护工具之间的协同作用,以确保自由和安全的国际数据流。此外,欧盟委员会致力于与国际伙伴建立适当的法律框架,以避免法律冲突并支持有效的合作形式,特别是通过提供必要的数据保护措施,从而更有效地打击犯罪。

最后,欧盟委员会根据自2018年5月以来对GDPR实施情况的评估,站在成员国、数据保护委员会、欧盟委员会、其他利益相关者角度,从实施和补充法律框架、发挥新的治理系统全部潜力、支持利益相关者、鼓励创新、进一步开发用于数据传输的工具包、促进融合和发展国际合作等方面确定了必要行动,并将在2024年发布的评估报告中披露实施情况。

编译 | 贺佳瀛/赛博研究院研究员

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。