x

【欧盟数据保护】欧盟:DGA和《数据法》下的非个人数据传输

cioctocdo
27 August 2022
SEO Title
EU: Non-personal data transfers under the DGA and the Data Act

在过去的一年中,关于公平获取和使用数据的统一规则(“数据法草案”)的法规提案(由欧盟委员会(“委员会”)于2022年2月23日发布)和数据治理法(“DGA”)的提案(由欧洲理事会在2022年5月16日批准,其条款将在其生效15个月后适用)已成为两项重要且备受期待的提案欧盟立法。

在这篇深入的文章中,数据专家Gonzalo Muelas评估了两项立法提案的目标,特别侧重于对国际数据传输的潜在影响,并因此对数据处理活动的跨境贸易进行了评估。

“我喜欢它的流动方式

我喜欢它成长的方式

你不能把这个从我身上拿走”

尽管这些流行语摘自汤姆·米什(Tom Misch)的经典名著《It Runs Through Me》的开头,但它们也可以代表欧洲政客,同时提到个人和非个人数据的无形潜力。

出身背景

欧盟委员会在试图让欧盟为数字时代做好准备时采取的积极主动的方法,最近得到了欧洲议会通过的旨在实施其数据战略的立法举措的补充。

上述监管意愿源于“为公共利益制定企业对政府数据共享的欧洲战略:企业对政府信息共享高级别专家组编制的最终报告”(“最终报告”)1中提供的启示性结论和建议。最终报告包含了关于数据对欧洲经济增长、竞争力、就业创造和总体社会进步的相关性的有趣数字。例如,f2025,最终报告项目:

  • 全球数据量增长530%,从2018年的33 zettab字节增至175 zettab;
  • 到2025年,数据经济的价值增长超过8290亿欧元,占欧盟总GDP的5.8%,而2018年为3010亿欧元;和
  • 数据专业人员从2018年的570万增加到2025年的1300万。

这些估计突出表明,需要调整现行立法,以便能够适当利用所有这些信息。

两项立法举措,即《数据法草案》和《数据管理法》(“法案”)的制定,其基本目标是促进数据的可用性,创造一个可靠的环境,促进数据用于研究和创造新的创新服务和产品,它们是更大的立法计划,即欧洲数据战略2的相关组成部分,旨在加强数据经济。

尽管有上述规定,立法途径并不是欧盟委员会推动的唯一途径,因为他们最近批准了一个欧洲高影响力项目投资20亿欧元,以开发数据处理基础设施、数据交换工具、架构和治理机制,促进数据交换的蓬勃发展。

独立于共同目标

尽管这两项立法提案都是为了创建一个数据流动区域的共同目标而构思的,但正如欧洲理事会在其新闻稿3中所承认的那样,它们所采用的方法之间存在明显差异。特别是,用委员会自己的话来说,“虽然《数据治理条例》创建了促进数据的过程和结构,但《数据法》明确了谁可以从数据中创造价值,以及在什么条件下”。

一方面,《数据法》草案旨在通过确保更广泛的利益相关者获得对其数据的控制并确保更多数据可用于创新用途,从而最大限度地提高数据在经济中的价值,同时通过监管以下方面来保持投资于数据生成的激励:

  • 采取措施,提高生成数据的公司和消费者在哪些情况下可以使用哪些数据的法律确定性;
  • 鼓励制造商继续投资于高质量数据生成;
  • 确保个人和企业对通过使用智能对象、机器和设备生成的数据拥有更多控制权的机制,从而使他们能够享受产品数字化的好处;和
  • 确保用户能够在服务提供商之间传输数据的措施,鼓励更多参与者(无论其规模大小)参与数据经济4。

另一方面,DGA指的是一套以安全方式使用数据的规则和方法,包括通过受信任的第三方。DGA对2018年10月2日欧洲议会和理事会第(EU)2018/1724号条例(建立单一数字网关以提供信息访问)和第1024/20125号条例(旨在建立单一数字门户的首批监管提案之一)进行了修订,努力确保成员国在数据方面的行动协调一致,以创建一个单一的欧洲数据市场。

DGA的主要目标是使数据能够在内部市场内自由移动,并建立信任,以便于访问数据。为了实现这一艰巨的目标,已通过DGA规范了一系列措施,包括:

  • 重新使用受保护的公共部门数据;
  • 监测数据中介遵守情况的框架;
  • 促进数据利他主义的规定;和
  • 创建欧洲数据创新委员会。

总之,尽管在每项法律的范围内存在差异,并考虑到其性质、范围和内容,可以认为,《数据保护法》和《数据法草案》密切相关,完全互补。

这些立法举措如何符合GDPR

委员会认识到,公共部门以公共预算为代价收集大量数据,并应通过使其可重复使用来造福社会。然而,在这些数据集中,我们不仅可以找到非个人数据,还可以找到可以识别自然人或使其可识别的数据。这就引发了一场关于这些法案如何补充隐私立法的辩论。

可以认为,虽然这些限制不适用于个人数据(因为《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)已经包含了更广泛的限制),但在评估公共部门授权访问此类数据的再用户应如何使用数据时,这些限制可能仍然具有相关性。委员会的建议显然广泛借鉴了GDPR,尤其是法案的基本概念(如基于风险的方法、最小化原则和类似定义),这一点证明了这一点。

事实上,如果我们仔细研究DGA6中确立的数据定义,可以得出结论,GDPR和ACT同时适用。这一结论进一步得到了以下事实的证明:该法案的序言和条款多次表明,它们“不妨碍”GDPR的适用,以及其他适用立法。

尽管这些法案广泛地试图规范数据的访问和使用,但它们本身并不是隐私立法。因此,它们的规定保留了适用于个人数据的GDPR下的权利和义务,因此,它们应与隐私规范分开分析。

关于国际数据访问的五条戒律

特别是,在评估公司应如何与要求访问非个人数据的欧盟以外的第三方打交道时,某些规定产生了不确定性。为了简化对新监管范式的解释,我们总结了在进行国际数据传输时应考虑的五个方面。

(安全地)尊重信息

DGA第30(1)条规定,任何愿意重复使用数据的公司(公共或私人)(包括数据共享提供商或列入公认数据利他主义组织登记册的实体,视情况而定)都有义务采取一切合理的技术、法律、合理和/或措施,以及组织措施,以防止转移或访问欧盟持有的非个人数据(特别是在此类转移或访问会与适用的欧盟或当地法律产生冲突的情况下)。

你不应白白利用欧盟的数据

考虑到上述戒律,可以说非个人数据传输限制可能具有有限的相关性。尽管有上述规定,DGA第30(2)条通过引入相当于GDPR第48条的一般性禁令,扩展了这些限制,这意味着只有在基于国际条约的情况下,欧盟才承认要求获取数据的第三国判决或决定。

DGA为委员会提供了采用示范合同条款的可能性,并宣布某些国家通过作出适当决定为非个人数据提供适当保护。DGA的序言规定了委员会在评估所提供保护水平的充分性时必须考虑的因素类型(这可能还记得欧盟法院(“CJEU”)在数据保护专员诉Facebook爱尔兰有限公司(Maximillian Schrems)(C-311/18)(“Schrems II”)一案中的判决所要求的基于风险的方法)。

同样,数据法案草案提案包括对云服务范围内的国际数据共享的严格限制。特别是,云提供商必须采取一切必要措施,防止任何违反欧盟或成员国法律的国际访问或转移欧盟持有的非个人数据。只有在基于国际协议或第三国法律体系提供与《数据法》草案类似的保护的情况下,才允许第三国数据访问请求。

这些限制可能会影响欧盟和第三国之间现有的云数据流,以及欧盟为来自第三国的新的基于云的业务提供的机会。特别是,这些规则似乎比个人数据传输的要求更严格;虽然欧洲数据保护委员会(“EDPB”)已经发布了关于进行个人数据传输影响评估的指南,但《数据法》草案似乎没有为此类评估或数据导出者制定的保障数据安全的相应补充措施留出任何空间7。

除非有充分的理由,否则您不得提供对数据的访问

在没有国际协议的情况下,法院或法庭的任何判决和第三国行政当局的任何决定,要求在欧盟访问受DGA约束的非个人数据,只有在以下情况下,才能以任何方式得到承认或强制执行:

  • 请求第三国与欧盟之间生效的国际协议;或
  • 请求第三国与成员国之间的任何此类协议。

此外,DGA明确规定,如果欧盟公司是法院或第三国行政当局从欧盟转移或访问欧盟持有的非个人数据的决定的收件人,并且遵守该决定将使收件人与欧盟法律或相关成员国的法律相冲突,只有在下列情况下,该第三国主管机构才可转移或获取此类数据:

  • 第三国制度要求说明决定的理由和相称性,并且决定具有特定性质(例如,通过与某些涉嫌人或侵权行为建立充分联系);
  • 收件人的合理反对须经第三国主管法院审查;和
  • 在这种情况下,主管法院有权根据该国法律适当考虑受欧盟法律或适用成员国法律保护的数据提供者的相关法律利益。

此外,为了授权欧盟公司,DGA承认其有权征求相关主管机构或当局的意见,以确定是否满足这些条件。

您应提供必要的信息

DGA要求将第三国行政当局访问其数据的请求告知数据持有人,但以下情况除外:

  • 该请求用于执法目的;和
  • 只要这是保持执法活动有效性所必需的。

然而,这一义务实际上意味着什么?总之,可以说,如果愿意进行国际数据传输:

  • 再用户应在请求重新使用数据时通知公共部门机构其转移非个人数据的意图;
  • 反过来,公共部门机构必须通知可能受此影响的各方,并要求其明确同意;
  • 除非情况属于DGA明确承认的豁免之一,否则提供商还必须将请求通知数据持有人;和
  • 因此,与非个人数据相关的中介服务或数据利他主义服务提供商必须使用转移风险评估和流程来处理公共当局访问数据的请求。

尊重高度敏感的数据

此外,DGA还对某些类别的非个人数据引入了附加限制,这些数据构成高风险,被工会法或其他部门立法认定为“高度敏感”(DGA第11条和序言19)。

为了确保DGA的有效性,根据《欧洲联盟运作条约》(“TFEU”)第290条通过法案的权力应授予欧盟委员会,欧盟委员会将通过制定适用于向第三国传输特定立法法案中被视为高度敏感的某些非个人数据类别的特殊条件,并制定以下规则手册,对其进行补充:利他主义组织的公认数据。

此外,如果此类数据的国际传输被视为危及公共政策目标(如公共卫生、公共秩序、隐私和个人数据保护),则可能会受到更严格的限制。

与Schrems II相比,组织面临的潜在运营挑战

上述对非个人数据国际传输的限制显然是仿照在GDPR范围内进行个人数据数据传输时的适用制度制定的。值得怀疑的是,将当前适用的数据保护规范“转换”到非个人数据领域是否确实合理,特别是考虑到后一规范所遵循的限制性方法。

然而,有一个方面是毋庸置疑的:引入非个人数据传输保障措施将给组织带来有趣的挑战,其中许多组织仍在评估Schrems II决定的影响。

这一概念本身可能会引起争议,因为该行业仍然不知道这一新范式在哪些方面留下了变通办法,企业通常依赖这些变通办法来管理GDPR施加的限制(例如数据的匿名化)。组织可能会发现,应用匿名技术可以确保它们避免GDPR范围内要求的严格数据传输规则;尽管如此,同样的转移可能受《数据法》草案规则的约束(如前所述,在某些情况下,可能需要更严格的限制)。

在这一点上,很明显,通过增加一层受监管的数据,欧洲立法者正在敦促欧盟领土内的组织任命隐私专业人员并实施额外资源,以确保实施统一的隐私和数据治理计划。新方案要求建立强有力的数据发现和映射过程,以识别这些数据及其使用方式,这在实际中可能会使国际数据传输变得不切实际。

当前情况和下一步行动

欧洲人民党(European People’s Party)欧洲议会(EuropeanParliamant,简称MEP)的德国成员安吉丽卡·尼布勒(Angelika Niebler)最近承认,“一些公司甚至不知道如何处理来自例如工业机器的数据。通过增加数据交换,可以出现新的商业模式,实现更高的效率或改进产品。”。

这一声明为新的立法提案提供了依据。事实上,根据欧盟委员会自己的数据,新规则有望通过解决导致数据使用不足的法律、经济和技术问题,到2028年为欧盟成员国创造2700亿欧元的额外GDP。

尽管关于这些预测是否最终会发生的不确定性,消费者和用户将能够做出更好的决策(例如,装有数千个传感器的喷气发动机收集和传输数据以确保其高效运行,或者风电场使用工业数据以减少视觉影响并优化风力发电)或安全成本(例如,实时交通避免导航可节省高达7.3亿小时和200亿欧元的劳动力成本)。

正如欧盟委员会最近在审查GDPR时的一份信函中所强调的,其条款“有助于促进值得信任的创新,尤其是通过其基于风险的方法和原则,如设计和默认隐私”。这正是新提案所遵循的方法:在保护受影响的权利和利益的基础上建立监管模式的基础,从而促进最佳的法律条件,从而在适当的保障下促进公共部门信息的再利用。

既然了解了这些法案的潜在影响和基本原理,以下部分认为,这些法案在未来几年的成功将主要取决于三个主要方面:

管制当局的作用

尽管《数据保护法》的序言已使其适应,但仍不确定数据保护机构是否会在确保满足监管要求时发挥积极作用。除此之外,委员会应尽快面临的关键问题之一是建立欧洲数据创新委员会,因为该委员会将负责发布关于个人数据空间开发的指导方针,以及根据《欧盟过渡联邦法》第290条采取行动,确立适用于向第三国转移某些被认为高度敏感的非个人数据类别的特殊条件。

罚款的实施

与GDPR第83条类似,DGA第31条规定,罚款应由每个成员国设定和实施,以使其“有效、适度和具有劝阻性”,这就是地方“换位”在确保行为成功时具有相关性的原因。与GDPR不同,DGA没有规定适用于相应货币制裁的具体金额和加权系数。

补充管制行动

尽管该提案考虑了未来各部门之间的数据共享,但充分的补充立法行动是为改进产品和服务创造机会的关键因素。

结论

尽管这些义务对于数据所有者来说可能需要处理很多,但该方尚未结束,委员会正在规划进一步的监管举措,以补充法案部署的实际监管环境。特别是,在过去几周中,欧盟委员会发布了一项关于建立所谓高价值数据集列表的法规提案,该法规制定了关于开放数据和公共部门信息再利用的指令(EU)2019/1024的规定,其主要目标是建立这一高价值数据集列表,以确保通过应用程序编程接口(“API”)提供具有最高社会经济潜力的公共数据,以便在法律和技术限制最小的情况下免费重复使用。

本文:https://cioctocdo.com/eu-non-personal-data-transfers-under-dga-and-data…

标签