引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01、背景
2024年7月25日,欧盟委员会发布了《通用数据保护条例》(GDPR)实施情况第二份报告。

欧盟委员会致欧洲议会和理事会的函件:关于《通用数据保护条例》实施情况的第二次报告
02、主要内容
该报告特别指出,近年来数据保护机构的执法活动显著增加,包括对以下行为处以具有里程碑意义的罚款:
违反处理合法性和安全性的行为;
违反特殊类别个人数据处理规定;以及
未能遵守个人权利。
关于数据保护机构,报告指出,数据保护机构在预算和人员方面的资源所增加。然而,数据保护机构在处理大量消费者投诉方面面临困难,并对GDPR存在不同解读。报告详细介绍了GDPR在以下领域的应用不统一:儿童同意的最低年龄、处理遗传数据、生物识别数据和健康数据的附加条件以及处理与刑事定罪和犯罪有关的个人数据。
关于数据主体的权利,报告指出,数据主体最常行使的权利是访问权,但在解释访问请求是否毫无根据或过度时仍存在挑战。报告还指出,数据携带权的使用率有所提高,这得益于《数字市场法案》(DMA)要求“守门人”提供用户数据的有效可携带性。关于儿童行使数据主体权利的问题,报告认为儿童并不完全了解自己的权利。
报告还进一步探讨了中小企业(SME)面临的数据保护挑战。这包括数据保护官(DPO)的作用,中小企业面临的挑战包括:
任命具备必要经验的DPO;
缺乏欧盟范围内的教育和培训标准;
未能充分整合数据保护官;
资源匮乏;
数据保护以外的其他任务;以及
资历不足。
值得注意的是,该报告考虑了数据传输的情况,认为充分性决定促进了数据流动。该报告指出,欧盟委员会通过的充分性决定越来越重要,具有充分地位的司法管辖区被其他司法管辖区视为符合其数据保护规则的安全目的地。虽然该报告承认数据出口商正在努力应对数据传输影响评估,但欧盟标准合同条款(SCC)和具有约束力的公司规则(BCR)仍然被广泛使用。其他司法管辖区采用示范条款也扩大了跨境数据流动的规模。
03、结论性建议
报告认为,为了确保对个人提供强有力的保护,并确保个人数据在欧盟内外自由流动,有必要重点关注以下方面:
数据保护机构在合规方面提供的积极支持;
在整个欧盟范围内一致适用GDPR;
数据保护机构之间的有效合作;
与行业监管机构就影响数据保护的问题建立合作;以及
针对指导方针、意见和决定实施高效且有针对性的工作安排,并优先处理关键问题,以减轻数据保护机构的负担。
04、企业应该怎么做?
垦丁W&W国际法律团队对全球数据领域的一直保持着持续追踪和密切关注,观察到欧盟GDPR监管趋势为“强监管、高罚金”:
各国执法活动频繁且各国执法独立,即同个行为可在不同国家被多次处罚;
执法对象无论公司大小,甚至延伸至个人;
罚款金额攀升;
执法原因自形式合规层面纵深至实质合规,执法依据多元;
用户对于维护自身权利意识强。
截至2024年7月,已发生不少于119次罚款执法行动,GDPR的执法活动并未暂缓。
该报告是继2020年6月发布第一份报告后发布的,其中强调GDPR是欧盟数字化转型的核心。该报告指出,为了实现GDPR的两大目标——“在确保欧盟内部个人数据自由流动和欧盟以外数据安全流动的同时,为个人提供强有力的保护”,报告建议应更加重视GDPR的严格执行,特别是通过采用额外的程序规则确保GDPR的解释和应用更加一致。数据保护机构还应更加积极地支持利益相关者(尤其是中小企业)的合规工作,应更加一致地解释和适用GDPR。根据该报告,利益相关者希望看到更多关于匿名化、假名化、合法利益和科学研究方面的指导方针,同时还关注儿童对其数据保护权利的理解等问题。该报告的调查结果可能会对法规带来一些切实的变化,需要密切关注后续的发展。
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01、背景
2024年7月25日,欧盟委员会发布了《通用数据保护条例》(GDPR)实施情况第二份报告。

欧盟委员会致欧洲议会和理事会的函件:关于《通用数据保护条例》实施情况的第二次报告
02、主要内容
该报告特别指出,近年来数据保护机构的执法活动显著增加,包括对以下行为处以具有里程碑意义的罚款:
违反处理合法性和安全性的行为;
违反特殊类别个人数据处理规定;以及
未能遵守个人权利。
关于数据保护机构,报告指出,数据保护机构在预算和人员方面的资源所增加。然而,数据保护机构在处理大量消费者投诉方面面临困难,并对GDPR存在不同解读。报告详细介绍了GDPR在以下领域的应用不统一:儿童同意的最低年龄、处理遗传数据、生物识别数据和健康数据的附加条件以及处理与刑事定罪和犯罪有关的个人数据。
关于数据主体的权利,报告指出,数据主体最常行使的权利是访问权,但在解释访问请求是否毫无根据或过度时仍存在挑战。报告还指出,数据携带权的使用率有所提高,这得益于《数字市场法案》(DMA)要求“守门人”提供用户数据的有效可携带性。关于儿童行使数据主体权利的问题,报告认为儿童并不完全了解自己的权利。
报告还进一步探讨了中小企业(SME)面临的数据保护挑战。这包括数据保护官(DPO)的作用,中小企业面临的挑战包括:
任命具备必要经验的DPO;
缺乏欧盟范围内的教育和培训标准;
未能充分整合数据保护官;
资源匮乏;
数据保护以外的其他任务;以及
资历不足。
值得注意的是,该报告考虑了数据传输的情况,认为充分性决定促进了数据流动。该报告指出,欧盟委员会通过的充分性决定越来越重要,具有充分地位的司法管辖区被其他司法管辖区视为符合其数据保护规则的安全目的地。虽然该报告承认数据出口商正在努力应对数据传输影响评估,但欧盟标准合同条款(SCC)和具有约束力的公司规则(BCR)仍然被广泛使用。其他司法管辖区采用示范条款也扩大了跨境数据流动的规模。
03、结论性建议
报告认为,为了确保对个人提供强有力的保护,并确保个人数据在欧盟内外自由流动,有必要重点关注以下方面:
数据保护机构在合规方面提供的积极支持;
在整个欧盟范围内一致适用GDPR;
数据保护机构之间的有效合作;
与行业监管机构就影响数据保护的问题建立合作;以及
针对指导方针、意见和决定实施高效且有针对性的工作安排,并优先处理关键问题,以减轻数据保护机构的负担。
04、企业应该怎么做?
垦丁W&W国际法律团队对全球数据领域的一直保持着持续追踪和密切关注,观察到欧盟GDPR监管趋势为“强监管、高罚金”:
各国执法活动频繁且各国执法独立,即同个行为可在不同国家被多次处罚;
执法对象无论公司大小,甚至延伸至个人;
罚款金额攀升;
执法原因自形式合规层面纵深至实质合规,执法依据多元;
用户对于维护自身权利意识强。
截至2024年7月,已发生不少于119次罚款执法行动,GDPR的执法活动并未暂缓。
该报告是继2020年6月发布第一份报告后发布的,其中强调GDPR是欧盟数字化转型的核心。该报告指出,为了实现GDPR的两大目标——“在确保欧盟内部个人数据自由流动和欧盟以外数据安全流动的同时,为个人提供强有力的保护”,报告建议应更加重视GDPR的严格执行,特别是通过采用额外的程序规则确保GDPR的解释和应用更加一致。数据保护机构还应更加积极地支持利益相关者(尤其是中小企业)的合规工作,应更加一致地解释和适用GDPR。根据该报告,利益相关者希望看到更多关于匿名化、假名化、合法利益和科学研究方面的指导方针,同时还关注儿童对其数据保护权利的理解等问题。该报告的调查结果可能会对法规带来一些切实的变化,需要密切关注后续的发展。
