第03版:环球

欧盟发布GDPR评估报告

数据保护重在执行

作者:赵媛

出版时间:2020-06-30

A- A+




  欧盟《通用数据保护条例》(GDPR)正式出台两年。该条例是迄今为止全球覆盖范围最广、最严格的数据安全隐私保护法规,代表着全球对数据保护领域探索的前沿。但是,条例出台两年来,对与重大跨境投诉执法失败的批评也一直引发着人们对这一条例实际执行力的质疑。

  最近,在条例生效两年之际,欧盟委员会发布了有关通用数据保护条例(GDPR)的评估报告,对GDPR的成效进行了全面盘点。

GDPR生效两年取得哪些成就?

  公民拥有更大的权利并了解自己的权利:GDPR增强了透明度,并赋予了个人可执行的权利,例如访问权、纠正权、删除权、异议权和数据可移植权。根据欧盟基本人权机构(EU Fundamental Rights Agen-cy)近日发布的一项调查,如今,欧盟有69%的16岁以上人口听说过GDPR,71%的人听说过其国家数据保护机构。尽管如此,在帮助公民行使其权利,尤其是数据携带权方面还是有更多工作可做。

  数据保护规则适用于数字时代:GDPR赋予个人在数字化变革过程中,就其个人数据相关事宜发挥更为积极的作用。这一条例还通过基于风险的方法和原则(例如通过设计和默认方式保护数据)来促进可靠的创新。

  数据保护主管部门正在利用其更强的纠错能力:从警告和谴责到行政罚款,GDPR为国家数据保护主管部门提供了执行规则的正确工具。但是,他们有必要得到人力、技术和财政资源的充分支持。欧盟委员会认为,许多成员国正在这样做,预算和人员分配明显增加。总体而言,在2016年至2019年,欧盟所有国家数据保护机构的工作人员总数增加了42%,预算增加了49%。但是,成员国之间仍然存在明显的差异。

  数据保护机构正在与欧洲数据保护委员会(EDPB)开展合作,但仍有改进空间:GDPR建立了一个治理体系,旨在通过“一站式服务”来确保GDPR的一致性和有效应用,该体系规定处理跨国数据的公司只有一个数据保护机构作为对话者,即其主要机构所在的成员国的监管机构。2018年5月25日至2019年12月31日,141项决议草案通过“一站式服务”形式提交,其中79项形成了最终决议。但是,要发展真正的通用数据保护文化,还需要做更多的工作。特别是,跨境案件的处理需要一种更有效、更统一的方法,并有效使用GDPR中提供的所有工具,以便数据保护机构进行合作。

  利用国际数据传输的全部潜力:在过去的两年中,欧盟委员会在免费和安全数据传输方面的国际参与领域取得了重要成果。其中包括欧盟与日本达成数据共享协议。欧盟委员会表示将与世界各地的合作伙伴继续开展合作。此外,与欧洲数据保护委员会合作,欧盟委员会正在研究其他数据传输机制的现代化,包括使用最广泛的数据传输工具标准合同条款。欧洲数据保护委员会正在制定有关在欧盟以外地区传输数据的使用认证和行为准则的具体指南。

  促进国际合作:在过去的两年中,欧盟委员会加强了双边、区域和多边对话,建立了尊重隐私和不同隐私系统之间融合的全球文化,从而使公民和企业都受益。欧盟委员会致力于继续开展这项工作,作为其更广泛的外部行动的一部分。

数据保护重在执行

  尽管欧盟委员会对GDPR给予了较高的评价,GDPR被证明可以灵活地在不可预见的情况下(例如新冠肺炎疫情)支持数字解决方案。该报告得出结论,尽管存在一定程度的碎片化,但各成员国之间的协调性正在增加。报告还发现,企业正在发展合规文化,并越来越多地将强大的数据保护作为竞争优势。

  但欧盟委员会也不得不承认,GDPR还有改进的空间。特别是在执行层面。

  “例如,欧盟需要更统一的执行规则:这对公民和企业,尤其是中小型企业来说非常重要。我们还需要确保公民能够充分行使其权利。”司法专员Didier Reynders指出。

  欧盟委员会还指出,利益相关者还应密切监视GDPR在AI、物联网、区块链等新技术上的应用。

  在GDPR 开始实施之前,有78%的公司自信地认为他们已准备好满足数据保护要求,但实施后只有28%的公司遵守GDPR,可见遵守GDPR和类似GDPR的法律(如CCPA和PDPA)并不像最初想的那样容易,还有大量公司远远未达到GDPR合规要求,仍需要不断改进。

(010)64963755