编译| 刘耀华 信通院互联网法律研究中心研究员

杨默涵 信通院互联网法律研究中心实习生

7月,未来隐私论坛FPF发布了一份名为《欧盟数据保护机构监管战略2021-2022》的报告,详细叙述了欧洲数据保护机构在2021-2022年的监管策略。

一、背景

欧洲数据保护机构(DPAs)可以说是世界上最强大的数据保护和隐私监管机构,除了具有独立性之外,还被欧盟《通用数据保护条例》GDPR授予了广泛的权力。随着GDPR执法力度在过去一年明显加大,深入了解监管机构针对的关键执法领域以及了解哪些是复杂或敏感的个人信息处理活动非常重要,在这些活动中,DPAs计划提供合规指南或制定公共政策。

有调查结果显示,在确定优先使用其(通常是有限的)资源时,DPAs更倾向于采用GDPR针对数据控制者和处理者合规性工作规定的基于风险的方法。虽然一些地方检察官(如拉脱维亚地方检察官)关注过去执法记录中暴露出来的风险领域,但还有一些地方检察官则致力于主动调查潜在后果最为严重的关键领域。在这方面,丹麦DPA计划根据其业务范围和行业监管报告的数据泄露等因素创建数据控制者“风险简介”。

调查还显示,DPAs似乎正在通过加大纠正行动来响应欧盟法院最近关于在线数据传输技术和国际数据传输的裁决。此外,由于关于数据泄露的媒体报道暴露了重要部门信息系统的脆弱性,以及组织内部各级负责人缺乏数据保护知识和技能,DPAs宣布计划发布关于各种隐私增强技术的新指南,并增加提高数据保护认识的活动。

新冠肺炎流行还暴露了某些群体的脆弱性,如雇员和病人,他们的个人数据可能会经常被非法处理。为了解决这些数据主体的担忧,公共部门计划更好地向个人解释他们的“数据主体权利”是应当如何行使的,并使数据控制者对被指控的错误行为负责。公共部门这种行为一方面是要回应收到的投诉,另一方面也是要遵循积极主动的审计和检查职责。

就监管工具箱而言,DPA越来越倾向于推广沙盒,尤其是在开发人工智能/机器学习应用程序和服务时,或者更广泛进行个人数据处理时。

与FPF的前一份报告一样,这份分析报告由调查结果摘要和附件组成。附件包括每个国家战略文件的翻译摘录,还包括一份涵盖2020-2024年期间EDPS的战略摘要,该战略有望提高整个欧洲的数据保护部门对如何理解和应用新兴技术带来的数据保护挑战的认识。

二、GDPR准则的一致适用

2020年末,EDPB公布了其2021-2023年战略,该战略建立在4个关键支柱之上:(一)推进协调执法和促进合规;(二)支持公共部门之间的有效执法和高效合作;(三)保护新技术可能涉及到的基本权利;(四)全球层面开展数据合作。该战略在2021年3月公布的《EDPB 2021-2022年工作方案》中得到进一步具体阐释,该方案规定了理事会将采取的具体行动,特别是即将出台的指南,以解决以下4个支柱问题:

(一)通过以下方式推进协调执法和促进合规:a.发布关于数据保护法中关键概念的指南,如数据控制者和处理者;对GDPR原则和权利的限制(GDPR第23条);数据主体的权利;合法利益;医学和科学研究;儿童数据;和个人数据的赔偿。b.就数据保护相关政策(如数据治理法案、电子隐私、人工智能监管提案等)向欧盟立法者提供建议,并加强与其他监管机构和政策制定者的接触与合作。

(二)通过以下方式支持指定公共部门之间的有效执法和高效合作:a.发布关于GDPR第七章合作工具的指导意见(例如一站式机制;互助;EDPB争端解决;行政罚款的计算);b.建立一个专家支持库(SPE),以对调查和执法活动有用的专业知识的形式向DPA提供多方支持。

(三)保护新技术可能涉及到的基本权利,发布关于此类技术的数据保护影响指南(例如,区块链、面部识别执法、匿名化和假名化、云计算、人工智能/机器学习、数字身份和身份联合会、数据经纪人、物联网和付费方式)。

(四)全球层面开展数据合作,特别是通过在欧洲经济区之外转移个人数据的工具的使用指南(例如,关于第01/2020号建议补充措施的最终版本,对充分性决定的意见和审查决定),国际数据转移的行为守则和认证,GDPR领土范围与此类工具之间的相互作用。

三、部门和执法优先事项

欧盟几个大的战略计划均将大型科技公司列为优先监管对象。由于以法国及其国家云战略为首的欧洲旨在建立其“数字主权”,减少欧洲企业和公共行政部门对美国在线服务提供商的依赖被视为优先事项。最近,欧盟委员会启动了两个新的工业联盟,一个是数据处理者和半导体技术联盟,另一个是欧洲工业数据、边缘和云联盟。

具体的优先事项包括:

隐私设计:这一原则被认为是DPAs监管沙箱的重点之一,旨在帮助初创企业确保创新产品和服务中嵌入隐私保护设计。

雇佣关系:就业背景下的个人数据处理也是DPAs的一个最高优先事项。

健康与研究:为了处理与健康相关的数据以防治新冠肺炎疫情,研究人员和医疗保健服务提供者可能会受到公共部门的审查。

中小企业:欧洲数据保护协议旨在通过培训和个性化咨询增加中小企业的数据保护知识。

数据泄露:整个欧洲的DPAs将对数据控制者或以其他方式了解到的数据泄露事件进行调查。

国际数据传输:2020年7月,在欧洲联盟法院做出Schrems II判决(该判决废除了欧盟委员会关于隐私保护框架的充分性决定)之后,关于从欧盟向美国传输个人数据的问题有望成为监管工作的重点。

人工智能/机器学习:DPAs致力于解决全社会采用人工智能和机器学习技术带来的隐私和数据保护风险。

未成年人隐私保护:考虑到此类受众的脆弱性和其使用的在线产品,一些DPAs将保护未成年人隐私确定为优先事项。这也是因为在涉及到未成年人数据问题时,特别是在涉及同意问题时,GDPR规定了具体条款。

Cookies和在线跟踪:几个成员国DPA的战略中都提到了对cookies和其他跟踪技术的关注。

自我调节:为了增加特定部门的数据控制者和处理者的法律确定性,一些机构正在考虑批准GDPR第40条下的《行为守则》和认证机构的认证标准。

四、结论

GDRP生效后三年,DPAs的监管活动变得越来越复杂和微妙。在深入了解各国近期的计划后,基本可以确定DPAs的未来战略可能主要涉及以下内容:

·提高保护与健康相关的数据和在新冠肺炎背景下处理的其他敏感个人数据方面的响应能力,因为一些DPAs宣布计划通过执法行动对去年发布的具体指南和意见采取后续行动。

·致力于保护儿童个人数据,大多数DPAs计划在这一领域发布指南或采取行动。

·作为Schrems II判决的后续行动,确定国际数据传输执法的优先次序, 15个成员国DPAs中有8个在其战略计划和相关文件中提到了这一点。

·关注新兴技术对社会和个人权利的影响,许多DPAs为人工智能/机器学习和面部识别提供了指南。

·提高公众对数据保护权利的认识,在15个DPA中,有12个表示,他们计划开展提高公众认识活动或其他相关活动。

·通过在监管活动中采用基于风险的方法,以及通过有针对性地增强DPAs的权力、为中小企业采用针对性指南等方式,努力使各种类型企业达成GDPR合规。

·通过监管沙箱和推动更多的自我监管,如采用行为准则,提高监管方法的现代化水平。

此外,在了解其战略时,需要关注的是,欧洲的争端解决机构拥有准规则制定权,能够就复杂的议题发布指导意见,并在实施制裁时确立解释和非正式执行先例。此外,他们的方法通常会影响欧洲以外的司法管辖区的数据保护监管机构,此前已经开展了针对世界各地新兴数据保护法的一些关键概念给予相关的执法指导的活动。EDPB将通过发布关于关键概念(如数据主体的权利、合法利益、科学研究、儿童数据)和新技术(如区块链、PETs、AI/ML、数字身份、物联网和支付方法)有关的数据保护合规方面的指南,继续努力在整个欧盟范围内达成GDPR等数据保护工具的一致性应用。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。