Redian新闻
>
推荐 | 近五年欧盟EDPB指南全概览及2023-2024工作重心

推荐 | 近五年欧盟EDPB指南全概览及2023-2024工作重心

公众号新闻


标准合同项目落地咨询,微信:heguilvshi


文/李汶龙、刘烨锋

进入2023年,欧盟数据保护委员会EDPB进入新工作周期。2020年设定的工作战略2021-2023尚未终结,但工作计划两年一更新。2月22日,EDPB发布了未来两年的工作计划 (Work Programme 2023-2024),情人节当天正式采用。与2021-2022年度的工作计划相比 [1],新一年度的计划在内容和结构上变化不大,有些还是上一年度未完成的工作。考虑到EDPB工作的连续性,以及前期工作完成程度不一,我们对其近五年工作进行了横向对比,形成下图。本文不限于对EDPB工作成果和计划简单呈现,旨在通过纵贯式分析,更为立体地呈现GDPR的执法趋势和进展。

表1 EDPB近五年工作规划和成果横向对比图

2021-2023战略

在结构上,EDPB的工作计划严格参照2021-2023战略,内容和语义上却存在较大的差距,给理解带来了不小困难。考虑到这一点,我们对该计划进行解构,重新围绕GDPR的架构组织和呈现。在此之前,有必要先说说EDPB的四大战略支柱:

1. 推进立法和法律适用的统一 (harmonization)并促进合规
2. 支持有效执法和(监管机关)高效合作
3. 新科技的人权治理进路
4. 全球化合作

第一支柱:GDPR相较于前身1995年数据保护指令的整合程度更高,效力上也无需国内法转化。但是,在执法上却仍然坚持一种多中心结构,职权集中在各成员国层面,而EDPB的权力相对有限。因此,欧盟法学者Koenraad Lenaerts和Piet Van Nuffel将这样一种规则统一执法(相对)独立的复杂格局称之为“行政联邦主义” (Executive Federalism)。[2] 关于第一支柱有两点值得特殊留意:首先,欧盟在成立之初就极力避免行政权力集中,因此,EDPB的主要职责在于统筹和协同,仅在不同监管机关存在分歧或者冲突时才出现定纷止争。其次,欧盟的数据保护机关,无论是EDPB还是各成员国的监管机关(例如爱尔兰的DPC,法国的CNIL,意大利的Garante),都不是传统意义上的公权力机关,主要职责是监管和行权。Charles Raab等数据保护法学者总结梳理过监管机关的角色,实际上存在多种。[3][4] 因此,作为一种咨询机构促进合规是EDPB的重要角色。

第二支柱:GDPR受到的最大诟病是执法不力,此前WIRED专栏作者Matt Burgess写了一篇How GDPR Is Failing还在国内反对强监管的群体中引起了很大的反响。[5] 遗憾的是,国内的翻译失准(原本并不是has failed),带有些添油加醋的意思,导致这篇文章聚焦的法律问题没有讨论,倒是引发了一轮是否要进行数字立法的纷争。为此,EDPB在2022年启动了若干项计划,旨在有效执法和高效合作的问题上形成突破。(下文详述)欧盟委员会也在2023年启动了一项修订GDPR的计划,着重在执法效率和合作机制方面。[6]

第三支柱:近三年内,欧洲数字立法治理格局发生了剧变。此前只有GDPR一部数字立法,新格局下却有专门针对数据治理(GDPR、ePR)、专门治理算法(AIA)、专门促进数据流通(DA、DGA、ODD)、专门针对数字平台(DMA、DSA)的不同规范体系。新的立法(作为数字特殊法)一定程度上会让GDPR退居二线,但GDPR作为基础规范仍然适用。EDPB将新科技的治理作为主要的工作中心,强调基本权利框架的重要性。

第四支柱:最后是全球化合作。当下反全球化的格局下,国际合作愈发困难。数字科技带来的新难题却是一个全球问题,无法在一个人为划定的国界或者区域内有效解决。早在上世纪末就有美国学者(最著名的为疫情前期不幸去世的 Joel Reidenberg教授)希望在全球层面形成类似于GATTs的隐私贸易法。这一讨论并未因布鲁塞尔效应而中断,今年年初还形成了一小波争论。[7]

EDPB近五年指南汇总

截止文章写作之日,EDPB共发布或者承认(第29条工作组前期工作)指南共44个,建议9个。(见表2)[6] 此外,在EDPB第一次全体会议上直接认可了其前身(第29条工作组)第16个指南。[8]

表2  EDPB已承认或者发布的指南和意见汇总

2023-2024工作计划

前文述及,按照EDPB战略的结构呈现新一周期的工作计划会造成混淆。我们将新工作计划按照GDPR机制重组,分为数据保护和安全(合法性基础、敏感数据处理、数据权利、数据安全)、数据流动和跨境(匿名化、适用例外、数据跨境)、数字治理(新科技治理、毗邻法以及监管协同)三个部分(见上表)。

合法性基础可谓数据保护法的基石,但近五年EDPB着力非常有限。除知情同意问题自指令时期就存在诸多纷争,EDPB借助着Meta(原Facebook)案将合同作为合法性基础的问题也往前推进了一步。其背后有明确的科技政治驱动,追踪性广告的合法性基础问题。值得一提的是,Meta案在2023年也走到关键节点,大概率会重塑数字广告的合规格局。[9] 除同意和合同之外,GDPR第6条尚有若干个其他合法性基础。到目前为止,EDPB都未在任何场合表达过要提供指南进一步澄清的打算。因正当利益走向欧盟(最高)法院 [10],英国明确表示在数据保护法变革中进一步改进正当利益条款后 [11],EDPB才首次表达将对这一合法性基础发布指南的规划。

数据权利的问题上,EDPB近年作出的努力要更为明显,与欧洲学界的持续努力有很大联系。[12] 主要且常用的权利——包括“信息权”(第13-4条)、“访问权”(第15条)、删除权(第17条)、可携权(第20条)以及自动化决策权(第22条)——都已发布相关指南。可以看出在欧盟数据保护法中,权利行使的重要性举重若轻。目前尚且没有指南涵盖的权利包括修正权、限制处理权以及拒绝权。原因有二,其一是有些权利足够明确,没有太多模糊地带(譬如修正权)。其二是另有权利实际操作程度不高,而且权利的性质(条件设定)本身仍处在发展和演进阶段(譬如拒绝权)。数据权利尚未完全覆盖,EDPB的2023-2024工作计划已将注意力转向“横向规范”,针对所有权利形成模版,优化投诉流程,避免因程序瑕疵导致无法有效行使权利。此前Veale曾在权利的组合行使问题上作出过一些探索,EDPB的计划可视为是这项工作的延续。[13]

有意思的是,我国个保法中明确将儿童数据列为敏感数据。美国实践也优先保护儿童隐私。但在欧盟,儿童数据的定位和性质存在争议。近来欧盟开始重视儿童保护问题(多为诉讼倒逼),将在未来两年内出台儿童数据的指南。值得一提的是,即将生效的DSA也将禁止对儿童进行画像和追踪进行广告营销,是GDPR第8条强有力的补充。[14]

数据流通原本是数据保护法(主要是欧盟法层面)的主要目标之一。以里斯本条约为始,关于基本权利的承认、保障和执法被抬高到史无前例的高度,与数据的自由流动(在欧洲也被学术界描述为“第五大自由”)平起平坐,一改数据保护法由欧洲内部市场统一这一经济内核支撑的局面。

如果说GDPR变革(取代了1995年指令)代表了欧盟法律秩序的首次纠偏,将人权保障提升至与内部市场形成同等重要地位,那么GDPR生效之后如何调整和治理数据流通则是欧盟需要进行的第二次纠偏。GDPR之外,欧盟自2016年该法生效后作出了若干独立的立法进展,但并非本文关注的重点。这篇文章只关注EDPB如何调和GDPR内部的张力。

历史的重复非常有趣。2012年,ICO作为第一个欧洲数据保护监管机关出台了匿名化的指南。2年后,EDPB的前身第29条工作组通过指南确立了绝对标准成为影响全球的事实标准。据本人统计,目前全球明确出台匿名化标准的国家高达25个,其中大多数采纳了第29条工作组的推理逻辑。工作组的匿名化指南受到了非常激烈的批判;然而无论是工作组还是EDPB,此后都未作任何澄清和辩护,只是在非正式场合表示未来可能会采取更为平衡的策略。近年来包括英国、印度、新西兰、澳大利亚、新加坡等国都明确采纳了不同立场。2022年成为匿名化推进的大年,包括英国、新加坡在内的国家都推出或者更新了相关指南,ISO也在2022年底通过了去标识化国际标准(避免采用匿名化概念,但内容基本一致)。美国国家标准技术研究所NIST也在今年年初更新了政府数据集的去标识化。这样一个国际大背景下,第29条工作组匿名化指南推出10年之际,EDPB首次表示将更新匿名化指南,推出独立的假名化指南。除此之外,EDPB还将明确若干例外和克减条款的颗粒度。

无论是欧盟还是中国,数据跨境一直是近十年来的数字政策热点。目前EDPB发布的指南已经涵盖了“充分性认定”(工作组2017年的指南为EDPB承认)、认证(已经正式确认),以及标准合同“,虽然后者的草拟不属于EDPB的职责范畴,由欧盟委员会以及各成员国监管机关负责。此外,2021年还就数据跨境(第V章)与GDPR长臂管辖(第3条)之间的关系尝试厘清,最终版本画了若干张图呈现数据传输关系,也是下了功夫。接下来,EDPB还将进行“扫盲”工作,包括BCR、国际互助,以及执法机关数据跨境等此前并未触及的问题将成为后续工作重心。

关于充分性认定,摆在欧盟面前有两份充分性认定申请,分别来自美国和日本,EDPB都发表了意见。就在最近,爱尔兰数据保护委员会DPC对Meta的最高纪录处罚再次让欧美数据跨境走上风口浪尖。随着数据跨境传输的中止,通过环大西洋数据隐私框架似乎成为了唯一的希望。对此,EDPB的立场相对温和中立。另一方面,欧盟与日本在2022年10月24日启动了将数据跨境规则纳入到经济伙伴关系协定(EPA)的谈判。[15] 在欧日数据跨境问题上,EDPB除了很早之前的一份意见发布外并无后续进展。相较之下,EDPS却更为活跃,在2022年8月公布了一份报告强调日本在获得充分性认定情况下还需要再协商,因为贸易协定本身不能挑战欧盟数据保护水准。[16]

GDPR虽是跨部门、通用型的(omnibus) 法律机制,“新科技治理”却一直作为相关治理和执法的重点。如前所述,EDPB战略2021-2023将其作为关键支柱之一,但前几年不温不火,只在追踪科技(例如cookies)和生物识别(主要是执法场景中的人脸识别)上作出了零星努力。自2021年形成的cookie banner任务组在2023年发布了第一份报告,可视为是联合行动(第62条)以及追踪科技两大领域交集的突破。进入2023年,新科技治理议题陡然成为重点,年度计划中将区块链、遥测技术、医疗诊断,以及人工智能写入工作计划。

虽不是EDPB的工作重心 (pillar),GDPR与其他毗邻法之间的协同、重叠与分工是一个无法绕开的问题。2018年GDPR生效后,冯德莱恩治下的欧盟委员会以惊人效率推出了多个方向数字治理的法案,如何理解和厘清新法案与GDPR的关系变得非常重要。不过,这部分工作基本在2023年前已经基本完成,多是以联合意见的方式发布,涵盖了欧盟数据战略、《数据治理法》(DGA)、《人工智能法案》(AIA)、《数字法案》(DA)。吊诡的是,在《数字服务法》(DSA)和《数字市场法》(DMA)上,EDPB并未参与,而是由EDPS独家就两部法案发布了一份意见。EDPB在消费者保护和竞争法领域的关注着实不足,此前推动法域融合和协同的也是EDPS。在毗邻法问题上,EDPB只有两份指南,其一是社交媒体平台上的暗黑模式,另有一份关于数据保护对经济(资源)集中影响的声明。2023-2024工作计划中,EDPB着重强调了GDPR与AIA的关系,未来将作进一步澄清。此外,在金融和数据保护交叉领域,数字欧元也成为EDPB未来关注的要点之一。

如果说EDPB近五年来的执法有两大重点,其一是数据权利(比较好理解),其二便是执法协同。自2022年4月《维也纳宣言》前后,监管机构间的协同与合作被提上史无前例的高度。究其原因,与媒体将GDPR“已失败”原因(主要)归结为执法不力有较大关系。整个新工作计划中,监管协同也是最复杂的部分,横跨EDPB四大战略。此前EDPB已经发布过关于行政处罚(正在征求公众意见)、牵头监管机关LEA的指南。基于维也纳宣言达成的共识,EDPB进一步推出了专家支持池SPE、协调执法框架CEF(2022年为公共部门的云服务使用,2023年确定为DPO的任命和定位)、战略重要案件 (case of strategic importance)、批准流程(包括认证标准、事实合同、标准合同、具有法律约束力的公司规则等)行政执法程序改革等等若干机制和方法。进入2023年,EDPB还将就数据保护印章(包括认证程序和标准)、一致性机制、一站式机制、监管互助 (mutual assistance)(第61条)、紧急程序(第66条)、合作流程的公共参与与信息获取(第60条)等发布指南。此外,工作计划中还明确了人员借调和交流、外部利益相关方合作(包括案例合作)、国际社区等方面。此前提到的工作组和GDPR相关行政法改革也可算作监管协同的一部分。

回复“EDPB1”,获得横向对比图
回复“EDPB2”,获得EDPB已发布意见和建议清单(附指南链接🔗)

参考文献

[1] https://edpb.europa.eu/system/files/2021-03/edpb_workprogramme_2021-2022_en.pdf
[2] Koenraad Lenaerts & Piet Van Nuffel, European Union Law (3rd edn, Sweet & Maxwell 2011)
[3] https://mitpress.mit.edu/9780262524537/the-governance-of-privacy/
[4] https://www.sciencedirect.com/science/article/abs/pii/S0267364917301619
[5] https://www.wired.co.uk/article/gdpr-2022
[6]https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13745-Further-specifying-procedural-rules-relating-to-the-enforcement-of-the-General-Data-Protection-Regulation_en
[7] https://lawreviewblog.uchicago.edu/2023/03/27/irion-kaminski-yakovleva/
[8] https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_en
[9] https://edpb.europa.eu/news/news/2023/facebook-and-instagram-decisions-important-impact-use-personal-data-behavioural_en
[10] CJEU asked to define scope of GDPR ‘legitimate interests’ https://www.pinsentmasons.com/out-law/news/cjeu-define-scope-gdpr-legitimate-interests
[11] https://www.shlegal.com/insights/take-two-what's-new-in-the-latest-uk-data-protection-and-digital-information-bill
[12] https://www.jipitec.eu/issues/jipitec-10-3-2019/5031 
[13] https://michae.lv/access-template/
[14] https://www.twobirds.com/en/insights/2023/global/dsa-publicite-ciblee-destinee-aux-mineurs-une-interdiction-a-venir
[15] https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en
[16] https://iapp.org/news/a/edps-seeks-explanation-for-further-eu-japan-cross-border-data-flow-negotiations/ 






每天两块钱,实时获取全球数据合规风险预警
👇

DPOHUB招募兼职研究助理
  • 申请条件:在数据隐私、数据安全及数据治理等方面具有丰富的理论积累或实践经验;并具有全英文写作的能力。
  • 优先条件:发表过数据法或科技法相关论文的优先;有英文期刊发表经验的优先。
  • 申请方式:请将您的简历和代表作发送到微信:heguilvshi 或邮箱:[email protected]

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
法律翻译|欧盟数据保护委员会 (EDPB) 发布最终版《数据主体权利指南——访问权》奥巴马说过不让中国人过上美国人的好日子吗?UCL 23Fall热门专业申请人数“大跳水”?近五年UCL中国学生录取数据揭秘!麦收季遭遇“烂场雨”,河南全力抢收!哈佛访校记招聘 |《永劫无间》背后视觉宣传团队,24工作室招视频导演啦!市第十六届人大常委会第四次会议(扩大)今天举行,陈吉宁出席,龚正介绍上半年全市经济社会发展情况和下半年工作重点未央今日播报:央行明确下半年六大工作重点恭喜233914工程技师顺利通过!数字印刷如何移民澳洲?全国各省2023年一季度GDP,广东省各市一季度GDP我和大海有个约——清明祭父有感(2023)春雨潇潇冷门专业 数字印刷如何通过澳洲EA的职业评估,233914工程技师是个不错选择!一创业板IPO,保荐机构及2会计师被书面警示,发行人及2保代被通报批评最近五年,国产最佳!华硕被曝大规模裁员,最新回应;丰田内部文件曝光:手把手教经销商诋毁纯电;网易有道近五年亏损45亿|雷峰早报预计1亿人次出游,近五年“最火”端午来了↘近五年回报率2.6倍!这只公募基金四大打法曝光,基金经理竟是如此操盘…彭博另类投资简报 | 2023年4月私募、对冲基金市场回顾;业绩概览2023年能源工作重点来了!预计1亿人次出游,近五年“最火”端午来了【北京美国中心活动】EducationUSA讲座:美国的社区学院及2+2项目概览,4月18日星期二18:30-20:00详解上半年财政政策执行情况,下一步工作重点有哪些?金融圈装B指南祝贺!中国科学家获得2023年欧洲发明家奖→毕业近五年,工作怎么才两年半?海南全岛封关,果然【吐槽大会】《祈望》2023年A-Level大考数据出炉,近五年最高点!看完后不淡定了......DPU与智能网卡技术公开课上新!三位技术大牛主讲开源DPU、内生安全智能网卡与DPU云化裸金属康德莱 2022年年报及2023Q1业绩点评:业绩低于预期,看好医美类产品23年放量【东吴证券朱国广团队】五一预计240000000人次出游,英雄联盟人机将更新,华为一季度业绩公布,联发科重心转向汽车和AI,这就是今天的其他大新闻。近五年哪些美国大学录取率下降最严重?名校越来越卷了甲子光年:2023新能源电池材料发展概览报告头豹:2023年中国人工智能行业概览
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。