歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）監(jiān)管機(jī)構(gòu)一直處于忙碌中。在GDPR實(shí)施開始20個(gè)月里，監(jiān)管機(jī)構(gòu)向包括Google和Facebook在內(nèi)的公司開出了數(shù)百張罰單，金額超過1.14億歐元。今年晚些即2020年5月25日之時(shí)，歐盟委員會(huì)將按照GDPR第97條的規(guī)定提交一份報(bào)告。該報(bào)告將評(píng)估在GDPR實(shí)施下取得的進(jìn)展以及面臨的挑戰(zhàn)，很有可能為即將開展的任一重大改革奠定基礎(chǔ)。

然而，其他新進(jìn)展可能會(huì)對(duì)今年GDPR產(chǎn)生即時(shí)影響，例如英國脫歐，其他國家推出了本國的數(shù)據(jù)保護(hù)法律以及歐盟法院的裁決。本文將帶您先睹為快，了解GDPR下一年將如何變化，以及如何影響您的業(yè)務(wù)。

寄予厚望的一年

盡管Facebook、Google和WhatsApp確實(shí)收到了GDPR罰款，但其數(shù)量和規(guī)模令GDPR支持者感到失望。法國數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)谷歌處以5000萬歐元罰款，但與谷歌的總體預(yù)算相比只是九牛一毛。為了使這些巨頭科技公司真正重視數(shù)據(jù)保護(hù)，專家認(rèn)為罰款額度應(yīng)提到更高。歐盟委員會(huì)負(fù)責(zé)人Margarethe Vestager呼吁應(yīng)當(dāng)更加嚴(yán)格執(zhí)行GDPR和促進(jìn)科技行業(yè)競(jìng)爭(zhēng)的政策。

此外，截至2019年7月，個(gè)別國家，即希臘、葡萄牙和斯洛文尼亞仍未使其國內(nèi)法律與GDPR保持一致。其他國家仍在為這些新監(jiān)管機(jī)構(gòu)雇用和培訓(xùn)人員。這種滯后現(xiàn)象意味著GDPR尚未在整個(gè)歐盟范圍內(nèi)得到全面實(shí)施。因?yàn)橐粋€(gè)國家在建立數(shù)據(jù)保護(hù)機(jī)構(gòu)之前需要先配套相應(yīng)國家法律，法律滯后影響了歐盟內(nèi)可以提出申訴，甚至只是了解其權(quán)利的人數(shù)。伴隨著這些“拖后腿”國家實(shí)施國家立法，激勵(lì)希臘、葡萄牙和斯洛文尼亞的公司確保其完全合規(guī)，這情況應(yīng)該能在2020年結(jié)束。

對(duì)于試圖建立全面且強(qiáng)有力的數(shù)據(jù)保護(hù)體系的GDPR來說，今年可能是成敗攸關(guān)的一年。

GDPR不再是唯一需要關(guān)注的數(shù)據(jù)保護(hù)縮寫

從巴西的LGPD到美國加州的CCPA，GDPR帶來了許多模仿效應(yīng)。盡管其中許多法律在數(shù)據(jù)保護(hù)的廣泛條款上達(dá)成了一致，但各自都以自己的方式來實(shí)施數(shù)據(jù)保護(hù)。這兩個(gè)新法規(guī)僅僅是個(gè)開始：加拿大和澳大利亞都在考慮新的數(shù)據(jù)保護(hù)法規(guī)，印度立法機(jī)關(guān)將對(duì)其個(gè)人數(shù)據(jù)保護(hù)法案進(jìn)行投票。在美國，包括內(nèi)華達(dá)州、紐約州、得克薩斯州和華盛頓州在內(nèi)的幾個(gè)州正在考慮效仿加利福尼亞州，通過各州自己的數(shù)據(jù)保護(hù)法。

英國脫歐還不會(huì)帶來什么改變

過去幾年來，英國脫歐一直占據(jù)歐洲新聞的熱門，英國和歐盟的監(jiān)管機(jī)構(gòu)需要為將來建立替代的數(shù)據(jù)保護(hù)監(jiān)管框架。然而這對(duì)2020年的影響相對(duì)較小，至少在數(shù)據(jù)保護(hù)方面。盡管英國2020年1月31日正式退出歐盟，但在這一整年英國仍將遵守歐盟的所有標(biāo)準(zhǔn)和法規(guī)。這意味著GDPR仍然適用于英國。

歐盟新《電子隱私條例》似乎尚未就緒

與GDPR相對(duì)應(yīng)的《電子隱私條例》被一再推遲，似乎可能比原計(jì)劃更加滯后。這使得今年可能需要提出一項(xiàng)修訂提議案，這意味著真正實(shí)施可能還需要至少一年時(shí)間?！峨娮与[私條例》原定于2017年實(shí)施，以取代目前的《電子隱私指令》，該指令規(guī)定了整個(gè)歐盟境內(nèi)cookie的監(jiān)管方式。

數(shù)據(jù)傳輸將面臨另一場(chǎng)戰(zhàn)斗

2015年，奧地利隱私倡導(dǎo)者M(jìn)ax Schrems向愛爾蘭數(shù)據(jù)保護(hù)專員提出申訟，質(zhì)疑愛爾蘭Facebook向美國Facebook公司傳輸個(gè)人數(shù)據(jù)時(shí)，以標(biāo)準(zhǔn)合同條款作為法律依據(jù)的做法，Schrems認(rèn)為，上述標(biāo)準(zhǔn)合同條款并沒有為歐盟數(shù)據(jù)主體提供足夠程度的保護(hù)。這使得裁決頗有爭(zhēng)議，隨后該裁決經(jīng)辯論后從而引起Schrems II案，該案目前將近尾聲。

問題的核心在于GDPR第46條內(nèi)容，其中規(guī)定了數(shù)據(jù)控制者（即確定如何以及為何進(jìn)行數(shù)據(jù)處理的公司）可以在國際間進(jìn)行數(shù)據(jù)傳輸?shù)交騻鬏斨恋谌剑爸挥性跀?shù)據(jù)控制者或處理人已提供適當(dāng)安全保障，并且前提是數(shù)據(jù)主體能行使其數(shù)據(jù)主體權(quán)利并可獲得有效法律救濟(jì)時(shí)，才可進(jìn)行。（法規(guī)原文內(nèi)容）”

2019年12月19日，歐盟法院（CJEU）總法律顧問（AG）發(fā)表了一項(xiàng)意見，主張標(biāo)準(zhǔn)合同條款可用于國際間的數(shù)據(jù)傳輸。但是，AG在細(xì)則中還建議，應(yīng)根據(jù)具體情況審核此類條款的使用。還提出了關(guān)于美國數(shù)據(jù)保護(hù)的嚴(yán)重問題，使美國數(shù)據(jù)傳輸遭受質(zhì)疑。

盡管AG的意見不具有約束力，但往往是CJEU裁決的預(yù)覽。敬請(qǐng)期待今年晚些時(shí)候CJEU的最終決定——以及有關(guān)數(shù)據(jù)傳輸?shù)牧硪粓?chǎng)戰(zhàn)役。

本新聞?dòng)蓮V東省WTO/TBT通報(bào)咨詢研究中心摘錄/編輯/整理并翻譯，轉(zhuǎn)載請(qǐng)注明來源。

更多詳情請(qǐng)見：https://gdpr.eu/gdpr-in-2020/

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務(wù)