前两天认真学习了尚隐科技发表的一篇研究报告【RoPA在现代数据合规体系中的作用研究】,公号君学习到了很多。今天,恰逢欧洲数据保护委员会(EDPB)与欧洲数据保护监督员(EDPS)联合致函欧盟委员会民主、司法与消费者保护事务委员 Michael McGrath,就委员会拟在第四版“Omnibus”法规包中提出的《通用数据保护条例》(GDPR)第 30 条记录保存义务“简化”草案(下称“草案”)发表初步意见。所谓的记录保存义务恰好是RoPA。
总的来看,无论是欧盟委员会,还是EDPS/EDPB都坚持RoPA在个人信息保护工作中的核心地位,恰好是【RoPA在现代数据合规体系中的作用研究】掰开揉碎说清楚的地方。
欧洲数据保护委员会(EDPB)和欧洲数据保护监督员(EDPS)于 2025 年 5 月 8 日联名致信欧盟委员会,针对拟纳入第四版“Omnibus”法规包的《通用数据保护条例》(GDPR)第 30 条记录保存义务“简化”草案提出初步意见。信件首先回顾了草案的核心调整:欧委会计划把现行仅适用于雇员少于 250 人的豁免门槛上调至 500 人,将适用对象限定为“中小型成长企业”及相当规模的非营利组织;同时把否定豁免的触发条件从“可能导致风险”改为“可能导致高风险”,并删除“偶尔处理”这一限制,意味着只要处理活动不被认定为高风险,即便是持续性处理也可享受豁免。对于处理第 9 条规定的特殊类别数据,草案在序言中提出如为履行雇佣、社会保障或社会保护法定义务而进行处理,可不用再保存记录。
针对这些拟议变化,EDPB 与 EDPS 表示原则上支持在不削弱数据主体保护水平的前提下,通过立法为规模较小的组织减轻行政负担。两机构强调,风险导向是 GDPR 的基石,即使是微型或小型组织,也可能实施大规模监控、系统性画像等高风险活动,因此必须保留“高风险即应记录”的底线,并确保这一标准与既有的数据保护影响评估(DPIA)指引保持一致。
联合函件呼吁欧委会提供充分的定量分析,包括受益主体的数量、预计节省的行政成本以及对数据保护水平的具体影响,以验证草案是否真正符合比例性原则。两机构同时提醒,若草案通过,需同步更新执法与合规指南,以明确“高风险”判定边界,避免因标准不清而造成监管灰区。
在执行层面,EDPB 与 EDPS指出,一旦豁免门槛提高,监督机关可能需要加强对不再保存记录的组织进行抽检,以防豁免被滥用,导致监管信息链断裂。尤其对长期但可能被界定为低风险的处理活动,缺乏记录将削弱事后审计与问责的可追溯性。
信中还提到,本次简化若获通过,势必对 GDPR 第 40 条的行为守则和第 42 条的认证机制产生联动效应,监管机构和行业协会应提前评估是否需要同步修订相关指导文件,以保持体系完整性。EDPB 与 EDPS预告,在欧委会正式依据《(EU)2018/1725》第 42 条第 2 款启动后续咨询程序时,他们将就这些连锁问题提交更为详尽的意见。
综合来看,EDPB 与 EDPS对“500 人豁免”方案持谨慎支持态度,但设定了三项前提条件:必须保留清晰严格的高风险例外;必须提交充分的量化影响评估;并且必须在正式立法过程中对其他关联条款做系统性审查。两机构反复强调,任何行政负担减轻措施都不能突破“不得削弱数据主体保护水平”的红线,而要通过明晰的风险判定标准和后续监管手段来加以保障。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
