非个人数据是 GDPR 下不属于“个人数据”的任何数据,GDPR 规范个人数据的国际传输,但近期欧盟公布的几项法律对非个人数据的国际传输做出了规定,这些新法律适用于与已识别或可识别自然人无关的数据,包括匿名数据和有关工业设备的数据,扩大了受国际传输限制的数据类型。其中一些已颁布,一些正在经过立法程序,但尚未获得通过。
一、数据本地化
Regulation 2018/1807 on the flow of non-personal data 禁止成员国采用数据本地化要求(例如,要求在特定成员国境内处理数据或阻止在另一个成员国处理数据),除非以“符合比例原则的公共安全”为理由,并向欧盟委员会(EU Commission)通报。该法规自 2019 年 5 月 28 日起直接适用于所有欧盟成员国。数据本地化禁令适用于以下机构处理的非个人数据:
在欧盟境内或境外设立的实体,向欧盟用户提供在欧盟境内(例如通过位于欧盟的服务器)进行的电子数据处理服务(例如云计算服务);
在欧盟设立的、出于自身需要在欧盟处理电子数据的实体。
该条例中的数据本地化禁令适用于各个欧盟成员国的法律。
二、欧盟境外非个人数据的传输
《数据治理法案》(Data Governance Act)(自2023年9月24日起适用)、《数据法案》(Data Act)(将于 2025年9月12日起适用)和即将出台的《欧洲健康数据空间》(European Health Data Space)包含对传输的限制欧盟以外的非个人数据。
对非个人数据传输的限制有两个主要目的:
首先,它们旨在保护欧盟知识产权、机密信息和商业秘密。例如,《数据治理法案》序言第20条。
其次,这些限制也是为了防止非个人数据通过重新识别而成为个人数据。《数据治理法案》序言第24条和拟议的EHDS中的条款都体现了这一点。
三、三法对比
参考资料:
European Data Governance Act:
https://digital-strategy.ec.europa.eu/en/policies/data-governance-act
European Data Act:
https://digital-strategy.ec.europa.eu/en/policies/data-act
European Health Data Space:
https://www.consilium.europa.eu/en/press/press-releases/2024/03/15/european-health-data-space-council-and-parliament-strike-provisional-deal/
声明:本文来自越洋网事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。