歐盟通用數(shù)據(jù)保護條例（GDPR）監(jiān)管機構(gòu)一直處于忙碌中。在GDPR實施開始20個月里，監(jiān)管機構(gòu)向包括Google和Facebook在內(nèi)的公司開出了數(shù)百張罰單，金額超過1.14億歐元。今年晚些即2020年5月25日之時，歐盟委員會將按照GDPR第97條的規(guī)定提交一份報告。該報告將評估在GDPR實施下取得的進展以及面臨的挑戰(zhàn)，很有可能為即將開展的任一重大改革奠定基礎(chǔ)。

然而，其他新進展可能會對今年GDPR產(chǎn)生即時影響，例如英國脫歐，其他國家推出了本國的數(shù)據(jù)保護法律以及歐盟法院的裁決。本文將帶您先睹為快，了解GDPR下一年將如何變化，以及如何影響您的業(yè)務(wù)。

寄予厚望的一年

盡管Facebook、Google和WhatsApp確實收到了GDPR罰款，但其數(shù)量和規(guī)模令GDPR支持者感到失望。法國數(shù)據(jù)保護機構(gòu)對谷歌處以5000萬歐元罰款，但與谷歌的總體預(yù)算相比只是九牛一毛。為了使這些巨頭科技公司真正重視數(shù)據(jù)保護，專家認(rèn)為罰款額度應(yīng)提到更高。歐盟委員會負(fù)責(zé)人Margarethe Vestager呼吁應(yīng)當(dāng)更加嚴(yán)格執(zhí)行GDPR和促進科技行業(yè)競爭的政策。

此外，截至2019年7月，個別國家，即希臘、葡萄牙和斯洛文尼亞仍未使其國內(nèi)法律與GDPR保持一致。其他國家仍在為這些新監(jiān)管機構(gòu)雇用和培訓(xùn)人員。這種滯后現(xiàn)象意味著GDPR尚未在整個歐盟范圍內(nèi)得到全面實施。因為一個國家在建立數(shù)據(jù)保護機構(gòu)之前需要先配套相應(yīng)國家法律，法律滯后影響了歐盟內(nèi)可以提出申訴，甚至只是了解其權(quán)利的人數(shù)。伴隨著這些“拖后腿”國家實施國家立法，激勵希臘、葡萄牙和斯洛文尼亞的公司確保其完全合規(guī)，這情況應(yīng)該能在2020年結(jié)束。

對于試圖建立全面且強有力的數(shù)據(jù)保護體系的GDPR來說，今年可能是成敗攸關(guān)的一年。

GDPR不再是唯一需要關(guān)注的數(shù)據(jù)保護縮寫

從巴西的LGPD到美國加州的CCPA，GDPR帶來了許多模仿效應(yīng)。盡管其中許多法律在數(shù)據(jù)保護的廣泛條款上達成了一致，但各自都以自己的方式來實施數(shù)據(jù)保護。這兩個新法規(guī)僅僅是個開始：加拿大和澳大利亞都在考慮新的數(shù)據(jù)保護法規(guī)，印度立法機關(guān)將對其個人數(shù)據(jù)保護法案進行投票。在美國，包括內(nèi)華達州、紐約州、得克薩斯州和華盛頓州在內(nèi)的幾個州正在考慮效仿加利福尼亞州，通過各州自己的數(shù)據(jù)保護法。

英國脫歐還不會帶來什么改變

過去幾年來，英國脫歐一直占據(jù)歐洲新聞的熱門，英國和歐盟的監(jiān)管機構(gòu)需要為將來建立替代的數(shù)據(jù)保護監(jiān)管框架。然而這對2020年的影響相對較小，至少在數(shù)據(jù)保護方面。盡管英國2020年1月31日正式退出歐盟，但在這一整年英國仍將遵守歐盟的所有標(biāo)準(zhǔn)和法規(guī)。這意味著GDPR仍然適用于英國。

歐盟新《電子隱私條例》似乎尚未就緒

與GDPR相對應(yīng)的《電子隱私條例》被一再推遲，似乎可能比原計劃更加滯后。這使得今年可能需要提出一項修訂提議案，這意味著真正實施可能還需要至少一年時間。《電子隱私條例》原定于2017年實施，以取代目前的《電子隱私指令》，該指令規(guī)定了整個歐盟境內(nèi)cookie的監(jiān)管方式。

數(shù)據(jù)傳輸將面臨另一場戰(zhàn)斗

2015年，奧地利隱私倡導(dǎo)者Max Schrems向愛爾蘭數(shù)據(jù)保護專員提出申訟，質(zhì)疑愛爾蘭Facebook向美國Facebook公司傳輸個人數(shù)據(jù)時，以標(biāo)準(zhǔn)合同條款作為法律依據(jù)的做法，Schrems認(rèn)為，上述標(biāo)準(zhǔn)合同條款并沒有為歐盟數(shù)據(jù)主體提供足夠程度的保護。這使得裁決頗有爭議，隨后該裁決經(jīng)辯論后從而引起Schrems II案，該案目前將近尾聲。

問題的核心在于GDPR第46條內(nèi)容，其中規(guī)定了數(shù)據(jù)控制者（即確定如何以及為何進行數(shù)據(jù)處理的公司）可以在國際間進行數(shù)據(jù)傳輸?shù)交騻鬏斨恋谌?，“只有在?shù)據(jù)控制者或處理人已提供適當(dāng)安全保障，并且前提是數(shù)據(jù)主體能行使其數(shù)據(jù)主體權(quán)利并可獲得有效法律救濟時，才可進行。（法規(guī)原文內(nèi)容）”

2019年12月19日，歐盟法院（CJEU）總法律顧問（AG）發(fā)表了一項意見，主張標(biāo)準(zhǔn)合同條款可用于國際間的數(shù)據(jù)傳輸。但是，AG在細則中還建議，應(yīng)根據(jù)具體情況審核此類條款的使用。還提出了關(guān)于美國數(shù)據(jù)保護的嚴(yán)重問題，使美國數(shù)據(jù)傳輸遭受質(zhì)疑。

盡管AG的意見不具有約束力，但往往是CJEU裁決的預(yù)覽。敬請期待今年晚些時候CJEU的最終決定——以及有關(guān)數(shù)據(jù)傳輸?shù)牧硪粓鰬?zhàn)役。

本新聞由廣東省WTO/TBT通報咨詢研究中心摘錄/編輯/整理并翻譯，轉(zhuǎn)載請注明來源。

更多詳情請見：https://gdpr.eu/gdpr-in-2020/

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務(wù)