欧盟《通用数据保护条例》实施两年的经验与启

2021-02-04 14:45| 发布者: | 查看: |

平衡好个人数据保护中的各方利益

个人数据保护涉及个人、数据处理企业等各方利益者。为确保法律的有效实施,要平衡好各方利益者的关系,不能因为加强个人数据权利而给其他企业造成过重的负担,也不能因为偏重企业而降低个人数据保护水平。从数据处理企业看,要特别关注企业履行法律的成本问题,GDPR在实施过程中发现中小企业负担过重,下一步将通过简化履行程序、提供咨询指导、给予财政支持等方式,促进其更好地履行法定义务,我国也应借鉴该做法。从数据主体看,GDPR实施两周年来,由于缺乏统一的数据标准,数据可携权落地存在困难,我国在《个人信息保护法》制定过程中,一定要结合金融、银行等行业数据共享情况,就是否赋予数据可携权、在数据共享难以实现的情况下如何推动数据可携权落地等进行充分论证。

严格限制基于公共利益处理个人数据

在对个人数据进行保护的同时,应允许基于公共利益的需要处理个人数据。GDPR明确基于科学研究、公共健康等目的对个人数据进行处理,但实施两周年来,对于哪些属于科学研究等的具体情形,还缺乏明确的规则,尤其是新冠肺炎期间,各成员国基于不同规则处理个人数据,有些甚至暂时舍弃了GDPR相关原则的适用。基于公共利益需要处理个人数据,是个人数据的开放性要求,相关情形应进行严格限制。我国在制定相关法律时,应当严格限制基于公共利益处理个人数据的情形,对列入公共利益的情形,如科学研究、公共健康、打击犯罪等,应尽可能明确上述情形下个人数据开放和处理的规则,平衡好个人数据保护和公共利益之间的关系。

为创新和技术发展留有适当空间

当前人工智能、物联网、区块链等技术快速发展,数据的收集、传输、存储、处理等行为越来越频繁,引发了人们对个人数据被滥用、权利被侵犯等问题的担忧。以人脸识别技术为例,出于对该技术对隐私权的侵犯、因技术不成熟可能导致的其他问题的担忧,美国对人脸识别技术应用采取谨慎态度,在相关规则尚未出台前,限制政府部门对该技术的使用。个人数据保护与技术创新发展是伴生性问题,要以宽容、发展、长远的态度对待技术进步,对于技术发展的负面因素要加强管理。欧盟此次对GDPR实施两周年的评估,也提出基本原则可适用于人工智能等技术,但对于这些原则如何适用,还需要持续监测并在此基础上出台新技术适用的指南。我国在制定《个人信息保护法》时,要借鉴欧盟做法,监测人工智能等技术发展趋势,评估对个人信息保护的影响,在具体的数据保护规则上为其发展留有空间。

建立多元化的数据跨境转移机制

数据自由流动是数字经济发展的重要基础。GDPR在加强欧盟内部数据保护的同时,也构建了数据跨境转移机制,以回应数字经济下信息快速流动的需求。GDPR数据跨境转移机制是多样化的,包括充分性认定、适当保护措施、行为准则、认证制度等工具。我国《网络安全法》在数据跨境转移上仅规定了重要数据出境安全评估制度,这种制度针对具体的数据出境活动实行“一事一评”,与当前数据跨境流动需求是不相符合的。建议通过上海自贸区临港片区、海南自由贸易港试点基础上,在确保数据流动安全可控的前提下,探索建立能够充分发挥数据价值的数据跨境转移制度,可总结金融、电信等行业实践分行业建立重要数据跨境转移制度。同时,跟踪国际数据跨境转移规则的研讨、制定等情况,适当扩展数据跨境转移的工具,如对第三国进行充分性认定、对数据处理者进行认证等。

转自《BMKXJS》《GDPR实施两周年的经验与启示》

 
<
>
 
QQ在线咨询
售前咨询热线
85917613
售后服务热线
2537691
返回顶部