BSI 简要回顾了自 2018 年 5 月 25 日生效以来《通用数据保护条例》(General Data Protection Regulation, GDPR) 所产生的影响。
GDPR 的推出被广泛视作在新的数字化时代个人权利保护方面迈出的有积极意义的一大步。这项法规的问世让每个人可以重新控制其个人数据的使用,使公民能够更好地让那些处理其数据的企业或机构担负起应尽的责任。这部法规为公民和监管机构提供了更强大的工具,包括如果未认真对待个人权利所面临的行政处罚。各种适用于欧盟成员国、旨在实现其数据保护制度现代化的国家特定法规也对 GDPR 形成了补充,其中包括爱尔兰《2018 数据保护法案》和英国《2018 数据保护法案》。
自 GDPR 问世以来,两年时间里发生了许多事件,其中一些事件使“遵守”GDPR 的紧迫性被弱化。世界可能从未预见到一些事件的真正复杂性和深远影响,例如,英国脱欧或者前所未见的新型冠状病毒疫情(挑出两个成为全球关注焦点的事件)。
在 2018 年 5 月 25 日法案生效前的准备阶段,我们看到各类组织竞相完成实施计划并对其 IT 和数据管理流程进行改造。“GDPR 合规”成为一大目标。欧洲监管机构威胁将行使其显著增强的权力,谨慎但没有“宽限期”(信息专员办公室 [ICO],2017 年)。两年来,这项法规对数据主体的生活带来哪些实实在在的影响?
本博客并不旨在揭示过去两年发生的一切,而是要探讨一些精心选择的要点(正反两方面),并且展望在后GDPR 时代数据保护的未来。
GDPR 执行
依据 GDPR 开出的首张罚单金额达 400,000 欧元,是 2018 年10 月葡萄牙数据保护局 (Data Protection Authority) 对一家医院未遵守 GDPR 做出的处罚。法国的首张大罚单出现在 2019 年 1 月 —— 法国监管机构 —— 法国国家信息自由委员会 (CNIL) 对谷歌 (Google) 罚款 5000 万欧元。这是欧洲数据保护史上迄今为止最大的一笔罚款。尽管罚款数额巨大,但当时,让相关数据保护和隐私专家担心的是 CNIL 所发现的谷歌未遵守 GDPR 同意和透明度要求的问题。
英国信息专员办公室 (ICO) 很快跟进,表示其有意对英国航空公司 (British Airways) 和万豪酒店 (Marriot Hotels) 引起媒体广泛关注的违规行为进行处罚。该机构还下达了针对加拿大数据服务公司 AggregateIQ Data Services (AIQ) 的执行通知,该公司因其在剑桥分析 (Cambridge Analytica) 事件中所起的作用而尽人皆知,这是该机构根据 GDPR 发出的第一份执行通知。此通知要求 AIQ 停止处理属于英国和欧盟公民的个人数据。综上所述,ICO 的执法行动可以被认为是自 GDPR 生效以来最严厉的,尤其是在执行的规模和变化方面。不过,到目前为止,尚未罚款。类似地,英航和万豪案件本来要在 2020 年进行审查以全面确定制裁的程度。不过,英国监管机构已经暂缓对英航或万豪采取任何决定性行动,部分原因是受新型冠状病毒 (COVID-19) 疫情的影响。
总体而言,对 28 个欧盟成员国监管机构的分析表明,德国、捷克和匈牙利监管机构在过去两年实施的处罚最多,最近一次是瑞典监管机构针对谷歌侵犯数据主体权利开出的罚单。
未来前瞻
人们常常将数据称为新的石油,许多“数据丰富”的公司将其欧盟总部设在爱尔兰。事实证明,这对数据保护委员会 (DPC) 而言是一大挑战。不过,截止本周(2020 年 5 月 18 日开始的一周,也是 GDPR 问世两周年前夕),DPC 开出了其首份罚单 —— 爱尔兰政府的儿童和家庭机构 Tusla 因一系列的安全漏洞被罚 75,000 欧元。
都柏林已成为全球许多最大型数据重工业的中枢,DPC 承担着监督和管理这些公司以确保遵循 GDPR 的繁重任务。DPC 不断受到来自监管机构、隐私权倡导者、公民权利团体和个人的批评,认为 DPC 不作为。不过,这种“不作为”必须从不同的角度加以审视 —— 针对大型科技公司的二十多项公开法定调查以发现各种投诉驱动和“自愿”暴露的问题。
将私营和公共部门执法情况并列分析,DPC 到目前为止显然已经能够针对爱尔兰公共服务领域的控制者采取更加积极主动的措施。2019 年,DPC 对就业事务和社会保障部 (DEASP) 以及公共服务卡的推出进行了审查。根据审查结果,DPC 发现,要求使用这张卡来获取许多公共服务缺乏法律依据。这一决定受到了 DEASP 的强烈质疑,其目前正在向高等法院上诉。
其他备受关注的事件
欧盟法院 (CJEU) 做出的与 GDPR 相关的最受关注的判决是 Planet 49 案。在这一案件中,欧盟法院最终明确了与 GDPR 标准对应的《电子隐私指令》(E-Privacy Directive) 所规定的同意要求的概念。Cookie 通知需要数据主体“选择”是否允许在用户的计算机中放置 cookie。
《欧盟-美国隐私权护盾》(EU-US Privacy Shield) 协议受到欧盟议会和委员会越来越多的关注,不过,针对该框架的任何改变都有可能是因为 Schrems 案。这是 Max Schrems、脸书 (Facebook) 和数据保护专员 (DPC) 之间一个正在进行的案件。无法结束这场争端意味着许多人会继续质疑被许多组织用于将个人数据从欧盟传递至美国和其他欧盟以外的辖区的标准合同条款 (SCC) 的有效性。CJEU 将于 2020 年 7 月作出裁决:一个等待已久并且可能对那些向欧盟之外传递数据的公司产生巨大影响的决定。此外,作为GDPR 成果的一个积极发展是欧洲数据保护委员会 (EDPB) 不断加强协调与合作。由此带来的显著优势之一是丰富的公众可用知识库资源以及适用于专业人士和公民的有用工具。值得注意的是控制者和处理者之间的合同的第一个标准合同条款(GDPR 条款 28),该条款在丹麦监管机构的倡议下由 EDPB 批准。以往,SCC 必须由欧盟委员会起草和批准,相应地,任何修改均需要相同的冗长流程。
新型冠状病毒 (COVID-19) 疫情
尽管关注焦点放在响应式监管上,但新型冠状病毒疫情成为一个判断创新者、监管机构、政府和公民如何看待数据保护和隐私问题的完美例子。
GDPR 提供了明确的法律依据,使雇主和公共卫生机构能够在发生诸如COVID-19这样的流行病的背景下处理个人数据。说明条款叙第 46 条叙述性条款 (Recital 46) 指出了为重大或公共利益而进行的某些处理的合法性,“包括监控流行病及其传播”。第 6 条和第 9 条还规定了如何在发生紧急公共安全事件的情况下采集、使用和共享与健康相关的个人数据。
全球在加紧开发和推广“接触者追踪”应用程序,以及时提供信息,支持公共健康政策响应。不过,利用不断发展的现代化技术跟踪和分析敏感个人数据将考验隐私和社会利益之间的平衡。考虑隐私和数据保护义务对于确保将隐私影响降至最低起着至关重要的作用。
还建议数据控制者严格恪守数据保护法的基本原则,并保证受影响主体的个人数据得到充分保护。具体而言,数据控制者应当确保个人数据的处理:
- 有明确的合法依据
- 完全透明
- 出于明确的目的
- 仅限于必要程度
- 如不必要,则不再保存
- 以可确保数据安全的方式进行。
为了应对这场全球危机,缓解其带来的影响并且从危机中逐步恢复,需要非凡的力量、重要的资源、团结和共同努力,以证明我们作为一个全球社会和经济共同体所具有的韧性。鉴于全世界应对全球疫情的任务的艰巨程度,对数据保护权的保护似乎已成为次要甚至居第三位的目标。尽管如此,为了维护 GDPR 的承诺,所有参与应用程序开发的人员都应当确保从一开始便遵循“通过设计保护隐私”(Privacy by Design) 的理念。
由于对数据主体构成的风险的性质,对这一技术的数据保护影响评估 (DPIA) 需要向监管者咨询。例如,根据 GDPR 第 22 条款的规定,个人有权不受会产生影响个人的法律效力的自动决策的约束。因此,重要的是考虑从这些应用程序衍生的数据是否将被用于按照 1947 年《健康法案》(Health Act) 第 38A 节规定对人员进行扣留。
为了保持透明度,监管机构应当代表数据主体“发声”,确保根据 GDPR 第 36 条进行咨询,以期在必要时行使 GDPR 第 58 条规定的权利。关键是,为了使公众信任并接受用于接触者追踪、症状跟踪或者隔离管理的技术解决方案和应用程序,应当公开进行 DPIA 并且尽可能提供更多有关技术的信息。
可以明确的一点是,尽管 GDPR 对在疫情背景下进行个人数据处理做出了规定,但目前尚不清楚监管机构将如何根据需要采取执行措施。随着各国开始逐步“解封”,尤其要确保对隐私的长期影响不会正常化。
结论
GDPR 生效头两年的“表现”并不完全符合期望,并且没有实现许多人预期的执行力度。尽管如此,GDPR 问世两年来,我们已经看到监管行动逐渐增多,公众对隐私和数据保护的意识和期望日益增强。技术和创新的不断涌现使人类能够更好地服务自身、应对危机并促进我们作为一个社会和物种的发展。在这种大背景下,隐私和数据保护现在比以往愈发重要。
对 DPC 正在进行的法定调查的结果期待已久,调查结果将有助于揭示 GDPR 真正的影响范围。不过,DPC 进行资源复杂、具有法律挑战性并且技术错综复杂的调查的能力常常受制于资金和资源挑战。在调查得出结论之前,无法对 GDPR 的真正影响作出全面评估。
通过解决国家和私营部门行动者侵入我们个人事务的问题以维护我们的个人自由,GDPR 为欧盟数据保护机构提供了采取更加积极主动的措施的机会。COVID-19 已经催生了一股抗疫技术“解决方案”的热潮。许多政府将正式授权或认可的应用程序可能仍然会为数据保护权利带来挑战。应当基于必要性和恰当性对这些权利和公共利益进行认真平衡。
欧洲数据保护委员会 (EDPB) Andrea Jelinek 指出:“数据保护规则(例如,GDPR)并不妨碍为抗击新冠疫情而采取的措施。不过,我要强调的是,即使在这些非常时期,数据控制者仍然必须确保对数据主体的个人数据进行保护。”
监管机构继续承诺调查、执法行动和制裁将不断加快,但从根本上讲,GDPR 为世界提供了一个跳板,以继续小心实现数据保护和隐私权利与社会利益之间的平衡。将基于权利的方法更好地运用于创新将是 GDPR 成功的真正标志。随着 GDPR 的成熟以及类似法规在世界各地不断问世,考虑到世界面临的实际任务的艰巨程度,数据保护权可能仍然是次要甚至居第三位的目标。尽管如此,基本权利不应妨碍政府和公共机构的重要任务,也不能阻碍推动我们经济和技术进步的创新和创造力。到 2020 年 5 月 25 日 GDPR 已满“两岁”,这一法案的持续应用和执行将使我们的社会更具韧性、进一步强化基本权利并且为欧盟内外的公民赋予数据保护权利。