推荐 | 近五年欧盟EDPB指南全概览及2023-2024工作重心
标准合同项目落地咨询,微信:heguilvshi
文/李汶龙、刘烨锋
进入2023年,欧盟数据保护委员会EDPB进入新工作周期。2020年设定的工作战略2021-2023尚未终结,但工作计划两年一更新。2月22日,EDPB发布了未来两年的工作计划 (Work Programme 2023-2024),情人节当天正式采用。与2021-2022年度的工作计划相比 [1],新一年度的计划在内容和结构上变化不大,有些还是上一年度未完成的工作。考虑到EDPB工作的连续性,以及前期工作完成程度不一,我们对其近五年工作进行了横向对比,形成下图。本文不限于对EDPB工作成果和计划简单呈现,旨在通过纵贯式分析,更为立体地呈现GDPR的执法趋势和进展。
表1 EDPB近五年工作规划和成果横向对比图
2021-2023战略
在结构上,EDPB的工作计划严格参照2021-2023战略,内容和语义上却存在较大的差距,给理解带来了不小困难。考虑到这一点,我们对该计划进行解构,重新围绕GDPR的架构组织和呈现。在此之前,有必要先说说EDPB的四大战略支柱:
1. 推进立法和法律适用的统一 (harmonization)并促进合规
2. 支持有效执法和(监管机关)高效合作
3. 新科技的人权治理进路
4. 全球化合作
第一支柱:GDPR相较于前身1995年数据保护指令的整合程度更高,效力上也无需国内法转化。但是,在执法上却仍然坚持一种多中心结构,职权集中在各成员国层面,而EDPB的权力相对有限。因此,欧盟法学者Koenraad Lenaerts和Piet Van Nuffel将这样一种规则统一执法(相对)独立的复杂格局称之为“行政联邦主义” (Executive Federalism)。[2] 关于第一支柱有两点值得特殊留意:首先,欧盟在成立之初就极力避免行政权力集中,因此,EDPB的主要职责在于统筹和协同,仅在不同监管机关存在分歧或者冲突时才出现定纷止争。其次,欧盟的数据保护机关,无论是EDPB还是各成员国的监管机关(例如爱尔兰的DPC,法国的CNIL,意大利的Garante),都不是传统意义上的公权力机关,主要职责是监管和行权。Charles Raab等数据保护法学者总结梳理过监管机关的角色,实际上存在多种。[3][4] 因此,作为一种咨询机构促进合规是EDPB的重要角色。
第二支柱:GDPR受到的最大诟病是执法不力,此前WIRED专栏作者Matt Burgess写了一篇How GDPR Is Failing还在国内反对强监管的群体中引起了很大的反响。[5] 遗憾的是,国内的翻译失准(原本并不是has failed),带有些添油加醋的意思,导致这篇文章聚焦的法律问题没有讨论,倒是引发了一轮是否要进行数字立法的纷争。为此,EDPB在2022年启动了若干项计划,旨在有效执法和高效合作的问题上形成突破。(下文详述)欧盟委员会也在2023年启动了一项修订GDPR的计划,着重在执法效率和合作机制方面。[6]
第三支柱:近三年内,欧洲数字立法治理格局发生了剧变。此前只有GDPR一部数字立法,新格局下却有专门针对数据治理(GDPR、ePR)、专门治理算法(AIA)、专门促进数据流通(DA、DGA、ODD)、专门针对数字平台(DMA、DSA)的不同规范体系。新的立法(作为数字特殊法)一定程度上会让GDPR退居二线,但GDPR作为基础规范仍然适用。EDPB将新科技的治理作为主要的工作中心,强调基本权利框架的重要性。
第四支柱:最后是全球化合作。当下反全球化的格局下,国际合作愈发困难。数字科技带来的新难题却是一个全球问题,无法在一个人为划定的国界或者区域内有效解决。早在上世纪末就有美国学者(最著名的为疫情前期不幸去世的 Joel Reidenberg教授)希望在全球层面形成类似于GATTs的隐私贸易法。这一讨论并未因布鲁塞尔效应而中断,今年年初还形成了一小波争论。[7]
EDPB近五年指南汇总
截止文章写作之日,EDPB共发布或者承认(第29条工作组前期工作)指南共44个,建议9个。(见表2)[6] 此外,在EDPB第一次全体会议上直接认可了其前身(第29条工作组)第16个指南。[8]
2023-2024工作计划
前文述及,按照EDPB战略的结构呈现新一周期的工作计划会造成混淆。我们将新工作计划按照GDPR机制重组,分为数据保护和安全(合法性基础、敏感数据处理、数据权利、数据安全)、数据流动和跨境(匿名化、适用例外、数据跨境)、数字治理(新科技治理、毗邻法以及监管协同)三个部分(见上表)。
合法性基础可谓数据保护法的基石,但近五年EDPB着力非常有限。除知情同意问题自指令时期就存在诸多纷争,EDPB借助着Meta(原Facebook)案将合同作为合法性基础的问题也往前推进了一步。其背后有明确的科技政治驱动,追踪性广告的合法性基础问题。值得一提的是,Meta案在2023年也走到关键节点,大概率会重塑数字广告的合规格局。[9] 除同意和合同之外,GDPR第6条尚有若干个其他合法性基础。到目前为止,EDPB都未在任何场合表达过要提供指南进一步澄清的打算。因正当利益走向欧盟(最高)法院 [10],英国明确表示在数据保护法变革中进一步改进正当利益条款后 [11],EDPB才首次表达将对这一合法性基础发布指南的规划。
数据权利的问题上,EDPB近年作出的努力要更为明显,与欧洲学界的持续努力有很大联系。[12] 主要且常用的权利——包括“信息权”(第13-4条)、“访问权”(第15条)、删除权(第17条)、可携权(第20条)以及自动化决策权(第22条)——都已发布相关指南。可以看出在欧盟数据保护法中,权利行使的重要性举重若轻。目前尚且没有指南涵盖的权利包括修正权、限制处理权以及拒绝权。原因有二,其一是有些权利足够明确,没有太多模糊地带(譬如修正权)。其二是另有权利实际操作程度不高,而且权利的性质(条件设定)本身仍处在发展和演进阶段(譬如拒绝权)。数据权利尚未完全覆盖,EDPB的2023-2024工作计划已将注意力转向“横向规范”,针对所有权利形成模版,优化投诉流程,避免因程序瑕疵导致无法有效行使权利。此前Veale曾在权利的组合行使问题上作出过一些探索,EDPB的计划可视为是这项工作的延续。[13]
有意思的是,我国个保法中明确将儿童数据列为敏感数据。美国实践也优先保护儿童隐私。但在欧盟,儿童数据的定位和性质存在争议。近来欧盟开始重视儿童保护问题(多为诉讼倒逼),将在未来两年内出台儿童数据的指南。值得一提的是,即将生效的DSA也将禁止对儿童进行画像和追踪进行广告营销,是GDPR第8条强有力的补充。[14]
数据流通原本是数据保护法(主要是欧盟法层面)的主要目标之一。以里斯本条约为始,关于基本权利的承认、保障和执法被抬高到史无前例的高度,与数据的自由流动(在欧洲也被学术界描述为“第五大自由”)平起平坐,一改数据保护法由欧洲内部市场统一这一经济内核支撑的局面。
如果说GDPR变革(取代了1995年指令)代表了欧盟法律秩序的首次纠偏,将人权保障提升至与内部市场形成同等重要地位,那么GDPR生效之后如何调整和治理数据流通则是欧盟需要进行的第二次纠偏。GDPR之外,欧盟自2016年该法生效后作出了若干独立的立法进展,但并非本文关注的重点。这篇文章只关注EDPB如何调和GDPR内部的张力。
历史的重复非常有趣。2012年,ICO作为第一个欧洲数据保护监管机关出台了匿名化的指南。2年后,EDPB的前身第29条工作组通过指南确立了绝对标准成为影响全球的事实标准。据本人统计,目前全球明确出台匿名化标准的国家高达25个,其中大多数采纳了第29条工作组的推理逻辑。工作组的匿名化指南受到了非常激烈的批判;然而无论是工作组还是EDPB,此后都未作任何澄清和辩护,只是在非正式场合表示未来可能会采取更为平衡的策略。近年来包括英国、印度、新西兰、澳大利亚、新加坡等国都明确采纳了不同立场。2022年成为匿名化推进的大年,包括英国、新加坡在内的国家都推出或者更新了相关指南,ISO也在2022年底通过了去标识化国际标准(避免采用匿名化概念,但内容基本一致)。美国国家标准技术研究所NIST也在今年年初更新了政府数据集的去标识化。这样一个国际大背景下,第29条工作组匿名化指南推出10年之际,EDPB首次表示将更新匿名化指南,推出独立的假名化指南。除此之外,EDPB还将明确若干例外和克减条款的颗粒度。
无论是欧盟还是中国,数据跨境一直是近十年来的数字政策热点。目前EDPB发布的指南已经涵盖了“充分性认定”(工作组2017年的指南为EDPB承认)、认证(已经正式确认),以及标准合同“,虽然后者的草拟不属于EDPB的职责范畴,由欧盟委员会以及各成员国监管机关负责。此外,2021年还就数据跨境(第V章)与GDPR长臂管辖(第3条)之间的关系尝试厘清,最终版本画了若干张图呈现数据传输关系,也是下了功夫。接下来,EDPB还将进行“扫盲”工作,包括BCR、国际互助,以及执法机关数据跨境等此前并未触及的问题将成为后续工作重心。
关于充分性认定,摆在欧盟面前有两份充分性认定申请,分别来自美国和日本,EDPB都发表了意见。就在最近,爱尔兰数据保护委员会DPC对Meta的最高纪录处罚再次让欧美数据跨境走上风口浪尖。随着数据跨境传输的中止,通过环大西洋数据隐私框架似乎成为了唯一的希望。对此,EDPB的立场相对温和中立。另一方面,欧盟与日本在2022年10月24日启动了将数据跨境规则纳入到经济伙伴关系协定(EPA)的谈判。[15] 在欧日数据跨境问题上,EDPB除了很早之前的一份意见发布外并无后续进展。相较之下,EDPS却更为活跃,在2022年8月公布了一份报告强调日本在获得充分性认定情况下还需要再协商,因为贸易协定本身不能挑战欧盟数据保护水准。[16]
GDPR虽是跨部门、通用型的(omnibus) 法律机制,“新科技治理”却一直作为相关治理和执法的重点。如前所述,EDPB战略2021-2023将其作为关键支柱之一,但前几年不温不火,只在追踪科技(例如cookies)和生物识别(主要是执法场景中的人脸识别)上作出了零星努力。自2021年形成的cookie banner任务组在2023年发布了第一份报告,可视为是联合行动(第62条)以及追踪科技两大领域交集的突破。进入2023年,新科技治理议题陡然成为重点,年度计划中将区块链、遥测技术、医疗诊断,以及人工智能写入工作计划。
虽不是EDPB的工作重心 (pillar),GDPR与其他毗邻法之间的协同、重叠与分工是一个无法绕开的问题。2018年GDPR生效后,冯德莱恩治下的欧盟委员会以惊人效率推出了多个方向数字治理的法案,如何理解和厘清新法案与GDPR的关系变得非常重要。不过,这部分工作基本在2023年前已经基本完成,多是以联合意见的方式发布,涵盖了欧盟数据战略、《数据治理法》(DGA)、《人工智能法案》(AIA)、《数字法案》(DA)。吊诡的是,在《数字服务法》(DSA)和《数字市场法》(DMA)上,EDPB并未参与,而是由EDPS独家就两部法案发布了一份意见。EDPB在消费者保护和竞争法领域的关注着实不足,此前推动法域融合和协同的也是EDPS。在毗邻法问题上,EDPB只有两份指南,其一是社交媒体平台上的暗黑模式,另有一份关于数据保护对经济(资源)集中影响的声明。2023-2024工作计划中,EDPB着重强调了GDPR与AIA的关系,未来将作进一步澄清。此外,在金融和数据保护交叉领域,数字欧元也成为EDPB未来关注的要点之一。
如果说EDPB近五年来的执法有两大重点,其一是数据权利(比较好理解),其二便是执法协同。自2022年4月《维也纳宣言》前后,监管机构间的协同与合作被提上史无前例的高度。究其原因,与媒体将GDPR“已失败”原因(主要)归结为执法不力有较大关系。整个新工作计划中,监管协同也是最复杂的部分,横跨EDPB四大战略。此前EDPB已经发布过关于行政处罚(正在征求公众意见)、牵头监管机关LEA的指南。基于维也纳宣言达成的共识,EDPB进一步推出了专家支持池SPE、协调执法框架CEF(2022年为公共部门的云服务使用,2023年确定为DPO的任命和定位)、战略重要案件 (case of strategic importance)、批准流程(包括认证标准、事实合同、标准合同、具有法律约束力的公司规则等)行政执法程序改革等等若干机制和方法。进入2023年,EDPB还将就数据保护印章(包括认证程序和标准)、一致性机制、一站式机制、监管互助 (mutual assistance)(第61条)、紧急程序(第66条)、合作流程的公共参与与信息获取(第60条)等发布指南。此外,工作计划中还明确了人员借调和交流、外部利益相关方合作(包括案例合作)、国际社区等方面。此前提到的工作组和GDPR相关行政法改革也可算作监管协同的一部分。
回复“EDPB1”,获得横向对比图
回复“EDPB2”,获得EDPB已发布意见和建议清单(附指南链接🔗)
参考文献
[1] https://edpb.europa.eu/system/files/2021-03/edpb_workprogramme_2021-2022_en.pdf
[2] Koenraad Lenaerts & Piet Van Nuffel, European Union Law (3rd edn, Sweet & Maxwell 2011)
[3] https://mitpress.mit.edu/9780262524537/the-governance-of-privacy/
[4] https://www.sciencedirect.com/science/article/abs/pii/S0267364917301619
[5] https://www.wired.co.uk/article/gdpr-2022
[6]https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13745-Further-specifying-procedural-rules-relating-to-the-enforcement-of-the-General-Data-Protection-Regulation_en
[7] https://lawreviewblog.uchicago.edu/2023/03/27/irion-kaminski-yakovleva/
[8] https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_en
[9] https://edpb.europa.eu/news/news/2023/facebook-and-instagram-decisions-important-impact-use-personal-data-behavioural_en
[10] CJEU asked to define scope of GDPR ‘legitimate interests’ https://www.pinsentmasons.com/out-law/news/cjeu-define-scope-gdpr-legitimate-interests
[11] https://www.shlegal.com/insights/take-two-what's-new-in-the-latest-uk-data-protection-and-digital-information-bill
[12] https://www.jipitec.eu/issues/jipitec-10-3-2019/5031
[13] https://michae.lv/access-template/
[14] https://www.twobirds.com/en/insights/2023/global/dsa-publicite-ciblee-destinee-aux-mineurs-une-interdiction-a-venir
[15] https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en
[16] https://iapp.org/news/a/edps-seeks-explanation-for-further-eu-japan-cross-border-data-flow-negotiations/
申请条件:在数据隐私、数据安全及数据治理等方面具有丰富的理论积累或实践经验;并具有全英文写作的能力。 优先条件:发表过数据法或科技法相关论文的优先;有英文期刊发表经验的优先。 申请方式:请将您的简历和代表作发送到微信:heguilvshi 或邮箱:[email protected]
微信扫码关注该文公众号作者