未来隐私论坛(Future of Privacy Forum)发布了一份题为《未来数据保护执法的洞察:欧洲数据保护机构2021-2022年的监管战略》的报告。FPF的欧盟政策研究员、全球隐私主管等表示,报告发现欧洲数据保护机构(DPAs)正在加强执法行动,响应欧盟法院关于数据传输的决定,使监管方法现代化,并将儿童个人数据保护列为优先事项。

一、简介

欧洲数据保护机构(DPAs)可以说是世界上最强大的数据保护和隐私监管机构,获得了欧盟通用数据保护条例(GDPR)的广泛权力和能力,以及独立性。GDPR在过去一年中得到了越来越广泛的实施,因此了解监管机构针对的关键执行领域,以及了解DPAs计划所提供的合规指导方针或塑造公共政策的那些复杂或敏感的个人处理活动至关重要。

根据2021年上半年公布的年度报告、战略文件和运营计划,DPAs的监管计划为监管机构应将把广泛的调查、咨询和纠正权力投入到何处做出了有用的预测。在我们于2020年5月对欧洲经济区DPAs在新十年的优先事项和重点领域进行了全面分析之后,未来隐私论坛(Future of Privacy Forum,FPF)进行了一项新的分析,从而产生了本报告,概述了2021-2022年DPAs的监管策略。

自第一份FPF报告以来,DPAs发布的战略文件和业务计划提供了独特的视角,以了解新冠疫情和数字工具传播将如何影响2021年和未来几年的监管行动。这就是为什么FPF对额外的十五个DPA策略、路线图和年度报告作了回顾和总结,即DPAs在法国、葡萄牙、比利时、挪威、瑞典、爱尔兰、保加利亚、丹麦、芬兰、拉脱维亚、立陶宛,卢森堡和德国等国家和地区所发布的版本。FPF的分析还包括欧洲数据保护委员会(EDPB)和欧洲数据保护监管机构(EDPS)发布的文件。

我们的研究结果显示,DPAs在确定其(通常有限的)资源使用的优先级时,更倾向于GDPR要求的基于风险的方法,该方法涉及许多控制者和处理者合规工作。一些DPA(如拉脱维亚DPA)似乎专注于其过去执法记录中浮现的风险领域,另一些则致力于在关键领域进行自主调查,这些领域对数据主体的潜在后果最为严重。在这方面,丹麦DPA计划根据其业务范围和其行业报告的数据泄露等因素,创建控制者“风险概况”。

我们的研究还显示,DPAs似乎是在回应欧盟法院最近对在线跟踪技术和国际数据传输的决定,因而加大他们的纠正行动。此外,由于媒体对数据泄露的报道暴露了关键部门信息系统的脆弱性,以及组织内部各级责任人员数据保护知识和技能的缺乏,DPAs还宣布计划发布关于各种隐私增强技术(PETs)的新指南,并增加提高隐私意识的活动。

新冠疫情还暴露了某些群体(如雇员和病人)的脆弱性,使其面临数据处理风险可能。为解决数据主体的担忧,并不再仅仅为组织发布指导,DPAs计划更好地向个人解释他们的“数据主体权利”是如何工作的,并让控制人员对所谓的错误行为负责。他们计划这样做是为了回应他们经积极的审计和检查后收到的投诉。就其监管工具箱而言,DPAs似乎越来越倾向于推广沙箱,特别是在人工智能/机器学习(AI/ML)应用和服务的开发,或更广泛地用于研究目的的个人数据处理。

与FPF之前的报告一样,这份分析包括调查结果摘要和附件。摘要的最初部分将涵盖EDPB和国家DPAs的预期指导方针和对GDPR一致应用的澄清。第二章概述了行动部根据技术进步和对个人,特别是儿童等弱势群体构成的新风险宣布的一些主题和部门执法优先事项。

附件部分包括各国DPA战略文件的翻译摘要,便于读者深入了解相关细节。它还包括对EDPS2020-2024年期间四年战略的总结,这将深刻影响整个欧洲的DPAs如何理解和处理新兴技术带来的数据保护挑战。

通过这份报告,FPF希望阐明未来一年整个欧洲DPAs的通用监管目标。该摘要强调了这些趋势,但也指出了一些值得注意的例外情况,即欧洲大陆计划实施的数据保护标准。

二、GDPR一致性应用指导

欧洲数据保护委员会

2020年底,欧洲数据保护委员会(EDPB)发布了其2021年至2023年的战略计划,该战略基于4个关键支柱:

(i)促进协调和促进合规;

(ii)支持DPAs之间的有效执法和有效合作;

(iii)对新技术采取基本权利方针;

(iiii)全球维度。

该战略在EDPB于2021年3月发布的2021-2022年工作计划中进一步具体化,该计划列出了董事会将采取的具体行动,特别是即将发布的指导意见,以解决所有四个方面的问题:

1.推进协调,促进合规

a.发布关于数据保护法关键概念的指导意见:控制者和处理者;GDPR原则和权利的限制(GDPR第23条);数据主体的权利;合法利益;医学和科学研究;儿童数据;个人数据对价。

b.就数据保护相关政策(如《数据治理法案》、隐私保护、人工智能法规提案等)向欧盟立法者提供建议,并加强与其他监管机构和政策制定者的参与和合作。

2.支持DPAs之间的有效执行和高效合作

a.发布针对第七章DPA合作工具的指导(如一站式机制;互惠互利;EDPB争端解决;计算行政罚款);b.实施专家支持库(SPE),利用对调查和执法活动有用的专业知识为DPAs提供实质性支持。

3.发布关于此类技术的数据保护含义的指导(如区块链、执法面部识别、匿名化和假名化、云计算、人工智能/机器学习、数字身份与身份联盟、数据经纪人、物联网和支付方式);

4.在全球层面,为转移欧洲经济区以外的个人数据的工具提供指导(例如最终版本的建议01/2020补充措施,意见和审查的充分性决策,国际转移的行为准则、认证GDPR的领域范围和这些工具之间的相互作用)。

国家DPAs和欧洲数据保护监管机构

数据保护监管机构面临着一项艰巨的任务,即确定他们的行动在哪些领域——无论是通过指导、调查还是制裁——将对提高欧洲的数据保护门槛产生最大影响。他们的战略文件概述了实现这一目标的一些计划。

关于在线数据收集的透明度。各种DPAs,如法国、西班牙和爱尔兰DPAs,最近批准了关于使用Cookie和其他跟踪技术的修订指导,特别关注通知和同意。葡萄牙DPA最近也宣布将发布自己的在线跟踪指南。虽然一些DPAs已经开始了在该领域的执法努力,但预计他们将在未来几个月和几年增加监督行动,其他DPAs也将效仿这些行为。在线用户体验(UX)和用户界面(UI)中的操纵性设计选择(或所谓的“暗模式”)也有望全面占据DPAs,从提供指导到执行法律。

数据保护专员(DPOs)。DPAs认为有必要检查是否所有组织都指定了法律强制的DPOs。此外,监管机构还担心一些代理DPOs没有获得足够的资源和独立性,无法有效履行职责。

监管机构应直接(单独或通过已建立的知识网络)与DPOs联系,并进行职权检查,以验证是否遵守与DPOs相关的GDPR义务。

数据完整性和机密性。一些DPAs致力于指导控制器提高其数据安全标准。ICO目前正在修订其匿名化指导方针,评估该领域的技术发展和隐私增强技术(如合成数据)的出现。比利时DPA还承诺协助EDPB从2014年起修订关于匿名化的第29条工作组指南。

三、部门性和专题性执法优先事项

数家DPAs的战略计划将科技列为监管的优先事项。在法国及其国家云战略的领导下,欧洲旨在建立“数字主权”,将减少欧洲企业和公共管理对美国大型在线提供商的依赖视为一项优先任务。最近,欧盟委员会启动了两个新的工业联盟,一个是处理器和半导体技术联盟,另一个是欧洲工业数据、网络边缘和云联盟,作为“为欧盟提供加强其关键数字基础设施、产品和服务所需能力”战略的关键组成部分。至于DPA在这方面的行动,挪威DPA的战略提到需要在大型外国科技公司和挪威行动者之间实现更公平的平衡,而其他DPA宣布可能针对美国大型科技公司采取大规模执法行动(如卢森堡的DPA和EDPS)。

隐私设计。这一原则被认为是DPAs监管沙盒的重点之一,旨在帮助初创企业确保隐私嵌入到创新产品和服务中。卢森堡DPA计划通过设计实践开展提高隐私意识的活动,而EDPS则打算分享新技术在这方面所带来的风险和机会。

雇佣关系。就业方面的数据处理也是DPAs的首要部门优先事项。这可能是由于在新冠疫情期间,欧洲远程工作人员的数量显著增加,导致雇主使用电子监控工具。虽然DPAs(如葡萄牙DPA)发布了关于这方面的数据保护规则以及温度筛查和员工健康数据收集的指导意见,但预计它们将进行审计和检查,以核实遵守情况。

健康与研究。研究人员和医疗保健提供者在处理与新冠疫情相关的健康数据方面可能受到DPAs(如法国和保加利亚DPAs)的审查。在卢森堡,DPA正计划发布关于数字健康和相关数据做法的具体指导意见。

中小企业。欧洲DPAs旨在通过培训和个性化咨询增加中小企业的数据保护知识。比利时DPA将出版一份小册子和具体工具,以促进其了解和遵守适用法律。来自德国巴伐利亚州(BayLDA)的DPA将通过宣传会议,寻求帮助中小企业遵守GDPR的国际数据传输规则和Schrems II的裁决。

数据泄露。欧洲大陆的DPAs将对数据控制者报告的数据泄露,或其他方式了解到的数据泄露(例如,通过媒体报道) 进行调查。如丹麦的DPA,在决定他们自己主动调查的优先事项时,也会考虑特定部门数据泄露的数量和具体特征。

国际数据传输。在欧盟法院(CJEU)于2020年7月作出Schrems II裁定后,欧盟委员会关于从欧盟向美国转移个人数据的隐私保护框架充分性决定无效,国际数据传输的主题有望成为DPA许多执行议程的重点。法国、德国和葡萄牙的DPAs似乎在这场竞争中处于领先地位。葡萄牙DPA禁止葡萄牙国家统计局停止向美国转让个人数据,这是通过使用Cloudflare的服务器托管在2021年普查期间收集的公民数据而实现的。BayLDA宣布,它还将在监督特定服务提供商的背景下,对国际数据传输采取行动,特别是在电子邮件、云计算和视频会议领域。

人工智能/机器学习。与2020年一样,DPAs似乎致力于解决人工智能和机器学习技术在整个社会的应用带来的隐私和数据保护风险。例如,保加利亚DPA宣布将致力于确保面部识别和分析技术符合法律标准。此外,EDPS计划开发此类技术的监督、审计和评估能力,而卢森堡监管机构仍在专注于为利益相关者发布相关指南。挪威DPA计划推出一个监管沙盒,为人工智能驱动的产品和服务开绿灯。

考虑到这类受众所使用的网络产品的特定漏洞,多个DPAs将保护未成年人隐私列为优先事项。这也是由于GDPR在涉及未成年数据主体,特别是在征得同意时,提供了具体的规定。例如,法国DPA (CNIL)在2020年公众咨询之后,预计将致力于指导监护人(如学校),并执行GDPR关于未成年人年龄验证和儿童数据保护权利行使的规则。瑞典政策研究局(IMY)正计划对研究环境中儿童数据的使用情况进行调查。

Cookie和在线跟踪。我们分析的几个DPAs的战略都提到了他们近期计划的重点是Cookie和其他跟踪技术。例如,由于遵守该指南的宽限期已于2021年3月结束,CNIL预计将对网站和应用程序进行几次审计和检查,以验证在线跟踪做法是否符合其指南。葡萄牙和比利时的DPAs也在其战略计划中提到了Cookie和跟踪技术,而巴伐利亚州DPA计划分析在欧盟委员会的Planet49裁决之后,德国电信数据保护法的变化如何最终影响到巴伐利亚州运营商对在线跟踪的同意收集倾向。

自我监管。为了提高特定行业的控制者和处理者的法律确定性,一些DPAs正在寻求根据GDPR第40条批准行为准则(CoC)和认证机构的认可标准。在EDPB对草案提出积极意见后,比利时和法国的DPAs于2021年批准了各自的云计算CoC。此外,一些监管机构,如挪威和法国的监管机构,也希望通过专门的监管沙盒,就项目设计阶段的数据保护要求向研究人员和初创企业提供建议。一些DPAs(如西班牙DPA)已经批准或正在批准新的行业起草的网络广告和营销行为准则,以确保此类行为的合法性、透明度和安全性。

表1 欧洲各国的战略和业务主题概述

四、结论

在GDPR赋予DPAs前所未有的执行权力和能力三年后,DPAs的监管活动正变得越来越复杂和微妙。在了解了他们近期的计划后,我们可以确定:

  • 由于在保护与新冠疫情背景下处理的与健康和其他敏感个人数据相关的数据方面考虑周全,一些DPAs宣布他们计划对去年发布的具体指导意见采取后续行动并采取执法行动;
  • 在处理儿童的个人数据时,优先考虑保护儿童——大多数行动计划在这方面发布指导或采取行动;
  • 优先执行国际数据传输。作为Schrems II判决的后续行动,15个DPAs中有8个在其战略计划和相关文件中提到了这一点(见上文表1);
  • 关注新兴技术对社会和个人权利的影响——通过许多举措提供AI/ML和面部识别方面的指导;
  • 关注并提高公众对数据保护权利的意识——我们对15个DPAs发布的战略进行了概述分析,其中令人震惊的12个DPAs表明,它们计划开展公众意识宣传活动或相关活动(见上文表1);
  • 通过在监管活动中应用基于风险的方法、有针对性地赋予DPOs权力和为中小企业制定有针对性的指导方针,在实践中大规模实施GDPR合规工作;
  • 这是一种通过提议沙盒和推动更多自我监管(如采用行为准则)来实现监管方法现代化的趋势。

此外,在考虑其战略时,重要的是要记住,欧洲的争端解决机构具有准规则制定权,它们能够就复杂问题提供指导,并在实施制裁时制定解释和非正式的执行先例。此外,他们的做法往往会影响欧洲以外司法管辖区的新数据保护监管机构,因为他们已经有了与世界各地新出现的数据保护法律的一些关键概念相关的指导和执法活动的历史。EDPB将继续致力于在欧盟范围内统一应用隐私和数据保护工具,发布关键概念(例如,数据主体的权利、合法权益、科学研究、儿童数据)和新技术(例如,区块链、PETs、AI/ML,数字身份、物联网和支付方式)。

*报告全文:https://fpf.org/wp-content/uploads/2021/07/FPF-Europe-report-DPA-Strategies_-from-2021-and-beyond-3-2-1.pdf