【按語】2022年4月7日,歐洲數據保護委員會(EDPB)通過了關于新的跨大西洋數據隱私框架的聲明,發布關于比利時數據保護機關的獨立地位的關切函件,并討論了春季會議成員資格,為包括非歐洲經濟區國家在內的全歐洲各數據保護機關間提供了對話平臺。特別是關于比利時數據保護機關的獨立性地位的關切,是近年有關歐盟GDPR施行態勢的嚴重事件之一,有助于公眾理解GDPR關于“獨立監管機關”的理念以及歐盟法與國家法的復雜、動態關系。——吳沈括,北京師范大學互聯網發展研究院院長助理、博導、中國互聯網協會研究中心副主任。
歐洲數據保護委員會通過關于新的跨大西洋數據隱私框架的聲明
以及關于比利時數據保護機關的獨立地位的關切函件
(2022年4月7日通過)
編譯| 北京師范大學 張伊璠
(2022年4月7日,布魯塞爾)
歐洲數據保護委員會(EDPB)通過了一份關于宣布新的跨大西洋數據隱私框架的聲明。委員會對美國做出的承諾表示肯定,其具體內容為在歐洲經濟區(EEA)的個人數據被轉移到美國時,采取“前所未有”的措施以保護個人隱私及數據安全,這是朝著正確方向積極主動邁出的第一步。
歐洲數據保護委員會指出,這一聲明并不提供歐洲經濟區數據傳輸者向美國轉移數據的法律框架。數據傳輸者必須繼續采取必要行動,遵守歐盟法院(CJEU)的判例法,特別是2020年7月16日的Schrems II決定。委員會將重點關注如何將這一政治協議轉化為具體的法律議案。
歐洲數據保護委員會期待在收到歐盟委員會的所有支持性文件后,根據歐盟法律、CJEU判例法和委員會之前的建議,仔細評估新框架可能帶來的改變。值得注意的是,委員會將分析基于國家安全目的收集個人數據是否需要被限定于必要且適當的范圍內。此外,委員會將審查已公布的獨立補救機制如何保障歐洲經濟區公民獲得有效補救和公平審判的權利。具體而言,歐洲數據保護委員會將調查該機制產生的所有新權力部門在執行任務時,是否有權限查閱有關資料,包括個人資料,以及是否能夠做出對情報機構有所約束的決定。歐洲數據保護委員會也將考慮是否需要提出新的司法補救措施以抗衡一些機構的錯誤決定或不作為。
委員會重申,它仍然致力于在歐洲經濟區內個人和組織的跨大西洋個人數據傳輸保護方面發揮建設性作用。
此外,歐洲數據保護委員會通過了對比利時近期立法發展表達關切的信件,這一系列的立法提案旨在改革建立比利時數據保護機關(BE SA)的法律,但可能會對該機構的穩定和獨立運作產生負面影響。
歐洲數據保護委員會強調,獨立監管對于數據保護的基本權利至關重要,但可能受到議案改革的影響,因此獨立監管受到《憲章》和《歐盟條約》的保護。它也是《通用數據保護條例》(GDPR)下有效執法和數據保護機關間有效合作的基石。此外,歐洲數據保護委員會還擔心這些提案是否符合《通用數據保護條例》標準以及嚴格的歐盟法院判例法。委員會特別指出,目前被中斷的比利時數據保護機關外部成員的授權和解散成員理由的增多仍是需要解決的問題。同時進一步提出質疑,促使議會加強監督的各種提案如何滿足《通用數據保護條例》第52(2)條要求各數據保護機關“不受外部影響”。此外,委員會還指出,設置共享服務中心的提案可能與各數據保護機關擁有獨立工作人員的自由選擇(見《通用數據保護條例》第52(5)條)相沖突, 這可能導致對比利時數據保護機關的穩定性及功能的間接外部影響。
最后,委員會同意在歐洲數據保護機關春季會議中設立觀察員身份。春季會議為包括非歐洲經濟區國家在內的全歐洲各數據保護機關間提供了對話平臺。這一要求是《歐洲數據保護委員會2021-2023戰略》的一部分,旨在加強與國際社會的交流溝通,促進歐洲數據保護委員會成員與第三國家數據保護機關之間的合作。
歐洲數據保護委員會副主席Aleid Wolfsen表示:“國際合作對于保障歐洲經濟區及其他地區的數據保護權利至關重要。這是我們與國際社會加強合作的重要一步,以完善歐盟數據保護標準,并確保在歐盟境外的個人數據得到有效保護。”
(部分內容來源網絡,如有侵權請聯系刪除)
