智库报告
位置: 首页  >  智库报告  >  欧洲数据保护监管局战略计划(2020-2024)——塑造更安全的数字未来
欧洲数据保护监管局战略计划(2020-2024)——塑造更安全的数字未来
2020-07-03 14:00:00 作者:赛博研究院 
关键词: 

【编者按】6月30日,欧洲数据保护监管局(EDPS)发布《欧洲数据保护监管局战略计划(2020-2024)——塑造更安全的数字未来》(EDPS Strategy 2020-2024——Shaping a Safer Digital Future)。战略重点在于“数字团结”,三个核心支柱包括愿景、行动和团结,旨在塑造一个更安全,更公平,更可持续的数字欧洲。EDPS将继续与不同政策领域的机构和专家合作,以解决在新冠疫情期间日趋严重的数字不对称问题。EDPS还指出,应暂时禁止公共场所的自动识别技术。


1我们身处的世界

 

1.1 全球竞争标准制定

未来五年可能会成为隐私和个人数据保护的全球转折点。世界上大多数国家/地区将拥有通用的数据保护法。大多数解决社会、环境和公共卫生问题的政策都将涉及数据使用,新冠疫情更是加强了人们对个人隐私保护的重视,数据保护正在经受前所未有的挑战。

 

新的十年将见证工业数据之战,欧洲希望在其中发挥领导作用,同时重新设计当前重要的互联网协议和标准。依赖跟踪、概要分析和行为定向的业务模型目前正经受严格审查。为了响应对第三方Cookie的日益强烈的反对声音,可能会出现新的识别个人身份的方法,这对隐私和数据保护提出了新的挑战。

 

数字系统日益复杂,数据控制者可以通过个人数据定位相关个人,同时以某种方式掩盖或删除这些数据的显性标识符,使个人更加难以行使其数据访问权。另外,边缘计算可以使数据和服务更接近用户,为数据和隐私保护提供新机遇和新挑战。

 

1.2 广泛的监视

生物识别技术的部署将对隐私和匿名性产生深远影响,并对合法的政治抗议和激进主义产生寒蝉效应。人工智能将越来越多地部署在公共服务和刑事司法领域。预测性警务和法律技术的应用将成为执法和司法机关以及参与诉讼的其他行为者的日常。娱乐,医疗保健和零售环境中推出的增强/虚拟现实(AR / VR)将生成高度敏感的数据。机器对机器(M2M)通信有望在未来5到10年内成倍增长,5G、6G技术将为物联网(IoT)提供支持。设备和数据的激增将引发无限的隐私和数据保护问题。

 

1.3 后疫情世界

随着新冠疫情的发展,数字化程度的提高意味着数据收集的增加,不仅涉及患者或消费者,而且涉及教育、工作和社交生活。这将要求数据保护界继续探讨如何权衡公共健康与个人数据隐私保护,以及如何在促进公共利益的同时保护个人数据。我们需要确保“新常态”不会侵蚀我们长期进行的个人权利斗争,欧盟数据保护规范必须成为欧盟复兴之路的一部分。

 

1.4 主权

许多国家,包括中国、俄罗斯和印度,都已采取措施控制其辖区内生成的基础设施和数据,并制定了本地数据存储规则,限制对外国直接投资以及对本地公司的收购。我们不支持创建人为地理边界,但我们偏爱基于共享的欧洲价值观处理数据。欧洲数据保护监管局对实现“数字主权”的政策计划感兴趣,该计划将把欧洲产生的数据转换为欧洲公司和个人的价值,并根据欧洲价值观进行处理。同时,我们致力于克服欧盟机构对具有风险的供应商的依赖。

 

2战略支柱

2.1 愿景

1)智慧

我们希望成为欧盟机构的智能管理机构

 

知识是EDPS实现战略目标的重要资产,我们希望通过知识分享为欧盟机构的智能管理贡献力量,利用专业知识和先进技术,保障员工以及利益相关者的权益,并坚持打造一个包容且透明的政策环境。为实现这一目标,具体行动包括:

 

●  监督判例,参与欧洲法院(CJEU)的案件诉讼。

●  总结新冠疫情期间欧盟机构采取的措施。区分常态措施和紧急措施,待疫情结束后摒弃后者。

●  我们将为欧盟机构新员工制定简短但强制性的在线培训机制,并为数据保护官(DPO)建立数据保护专家网络。

●  组织关于侵入性、新兴或假设性实践的循证讨论,例如电子医疗、生物识别技术、自动识别系统、量子计算、边缘计算和区块链。

●  与来自欧盟和其他国际组织的公共卫生界的专家进行交流,以便更好地了解流行病学监测需求,并准确衡量基于个人数据保护原则所开发工具的效率和效果。

●  继续促进数据保护专家、监管机构和包括伦理委员会在内的研究界的讨论,以确保从数据保护维度加强科研力度。

●  通过与欧盟数据保护委员会(EDPB)和其他数据保护机构(DPA)密切合作,建立研究学者访问计划,与学术界和独立研究人员建立更紧密的合作关系。

●  发布有关欧盟一级数据保护和隐私的判例法摘要。

●  继续与其他国家和国际组织交流信息和最佳实践。

●  研究并优先考虑数据处理方式对个人和群体的影响,尤其是弱势群体。

●  投资知识管理,提高工作质量,组建一支多元化、跨学科的优秀员工队伍。

 

2)趋势

我们希望洞悉现状与未来

 

欧洲数据保护监管局的战略重点在于,将技术维度的数据保护整合到我们的业务实践中,仔细研究技术进步带来的风险和机遇,探索新技术的可能。同时,我们鼓励将通过“设计”(data protection by design)和“默认”(data protection by default)的数据保护思想整合到我们的创新实践中。

 

我们希望以简单的方式解释这些趋势的相互作用,并将数据保护纳入新的欧盟技能议程中。在与EDPB以及欧盟机构顾问的合作中,我们专注于数据保护、技术演进以及其他法律领域之间的相互作用。

 

●  我们将积极关注可能对隐私和数据保护产生影响的数据处理实践和技术发展,继续发布有关新兴技术问题的报告。此外,我们将加强对特定技术“发展前沿”的理解,例如匿名化、加密和网络安全。

●  如果欧盟委员会提出数据保护措施,我们将继续提供遵守《欧盟宪章》和适用法律中规定的数据保护原则的法律建议。

●  正如我们在欧盟委员会“人工智能白皮书:追求卓越和信任的欧洲道路”以及欧盟委员会关于“欧洲数据战略”的讨论中表明的观点一样,我们将关注技术驱动型政策的潜在影响。

●  当欧盟机构打算部署新技术时,我们将系统地要求他们明确说明这些技术的影响及其对个人和团体的风险。

●  在部署数字技术时,对于不尊重个人数据保护,隐私权以及《欧盟基本权利宪章》所规定的其他权利和公民自由的行为,我们将警示欧盟机构和公众。

●  我们将通过更新的谅解备忘录与欧洲委员会,其他欧盟机构以及在相关领域活跃的机构开展密切合作。

●  我们将以现有举措为基础,整合数据保护网络,以期在欧洲的数据保护机构中获得技术优势,并与私营部门的创新者进行交谈,学习关键技术和新兴技术实践的核心知识。

●  我们将特别关注欧盟一级开发的电子医疗服务。

●  我们将与利益相关者制定一致且有针对性的沟通机制,以解决新冠疫情中的数据保护问题。我们希望在2022年召开会议,探讨如何在后疫情时代维护个人权利。

 

2.2 行动

1)工具

我们将充分利用现有的工具,并积极开发新工具

 

隐私和数据保护是任何法治和民主社会的基石,同理,技术设计是互联网自由社会的基石。尽管我们的GDPR和《电子隐私法》允许出于公共利益处理个人数据,但是当互联网内容监视干扰公民在线隐私和自由时,作为监管机构,我们必须具备监视和预测问题并快速在运营、政策、法律方面做出响应的能力。我们认为欧盟机构的DPO是使数据处理方式发生积极变化的关键因素。

 

欧盟和欧洲公共行政部门具有相当大的影响力,可以真正改变违背欧盟价值观、基本权利和数据保护规则的商业模式。我们承诺:

 

●  促进通过设计和默认的数据保护实践,与部署的技术或政治重点无关。

●  在联合抗疫中部署有效的监督机制,尤其是在技术和工具上,赋予公民权力,而不是对其进行控制、压制或侮辱。

●  开发强大的技术和工具监督、审计和评估机制,对于数字生态系统中越来越“流行”的技术和工具,我们将提供自动决策系统和人工智能处理个人数据的操作指南。

●  支持欧盟境内的公共场所暂停使用生物识别技术,对此可以开展民主讨论。

●  通过增强数据保护意识以及提供标准合同条款建议来提高数据控制者在欧盟机构数据处理者中核心地位。

●  最大程度地减少我们对通信和软件服务垄断供应商的依赖,并与欧盟其他机构和公共管理部门达成一致。对此,我们将呼吁欧盟机构和其他公共管理部门审查其在数字产品、软件、服务和技术方面的外部合同,以实现欧盟数据保护法所要求的合规性。我们将探索如何部署免费的开源软件和解决方案。

●  以标准的数据保护条款为准则,审查以前向第三方国家转移的授权。

●  通过演示和开发定制化的隐私治理工具和解决方案,继续为欧盟机构提供帮助,包括在需要进行数据保护影响评估(DPIA)时提供建议。

●  发布我们已收到的个人数据泄露信息,包括涉及的组织类型和受影响的人数。

●  使用我们的执行权力来确保欧盟机构网站和移动应用程序的合规性,尤其是在第三方跟踪方面。

●  密切监视欧盟系统的“互操作性”建设工程,并在需要时与国家监管机构合作,特别关注个人数据的访问和处理,以确保有效监管。

●  基于法院判例和学术研究,探索和解释隐私权和数据保护的本质概念。

 

2)连贯性

我们不保护数据,保护的是人类本身

 

欧盟尚未完成其针对数字时代的数据保护框架的更新,在缺少特定数据保护规则的情况下,欧盟法律漏洞仍然存在,这种情况破坏了采取一致的方法保护数据的可能性。我们需要制定电子通信机密性保护的最新规则,同时兼顾技术的可行性。数据保护和隐私是数字化时代民主的基础。为此,我们将:

 

●  继续进行能力建设,以确保到2025年,GDPR成为公认的全世界所有民主国家的榜样,以及数字信任和尊重的蓝图。

●  呼吁更加真诚地表达欧洲真正的团结、责任担当和行动的一致性,以确保我们的数据保护规则得以执行。EDPS支持在EDPB内建立专家智库,这将帮助DPA处理丰富、复杂的案件。

●  计划于2022年4月对(EU)2018/1725号法规进行审查,并为解决差异提供有力的依据。同时,EDPS将本着(EU)2018/1725法规的精神解释任何特定规则。

●  根据法律赋的职责,密切监视欧洲刑警组织和AFSJ中其他机构对数据分析和人工智能等新工具的使用,同时推广保护个人权利和自由的解决方案。

●  呼吁在新的欧盟监管框架下采取协调一致的方法,以使欧盟机构与欧盟成员国遵循相同的规则。

●  监督刑事司法领域的新角色——欧洲检察官办公室(EPPO),尤其是与欧洲刑警组织和欧洲司法组织的关系。

 

2.3 团结

1)正义

我们积极促进正义与法治

 

团结一致,共同的价值观、利益和目标是欧盟项目的核心。在规划民主与人权战略时,欧盟应保障所有人的数字司法和隐私。隐私和数据保护永远都不能用来交换访问基本服务的权利。尽管欧盟在警察和司法合作以及边境管理领域积累大量经验,但法律框架仍然是零散的,造成了不必要的差异。这给EDPS的监督和执行施加了不必要的限制。对此,我们将:

 

●  强调隐私和数据保护是法治不可分割的一部分,永远不能孤立对待。如果其他DPA的独立性或EDPB的“集体独立性”受到损害,我们将采取行动。

●  提倡将数据保护和隐私的基本权利作为欧洲未来会议的核心。我们还将支持将数据保护纳入《欧洲民主行动计划》,以作为独立新闻、合法异议和政治活动的保障。

●  继续强制要求欧盟机构遵守规则,以保护弱势群体。

●  鉴别欧盟法律在自由、安全和司法领域(AFSJ)中数据保护标准的差异,我们将始终如一地执行这些规则。

●  鼓励欧洲委员会进一步调整业务数据处理中的数据保护规则(2018/1725号法规第IX章),包括在《欧洲刑警条例》(Europol Regulation)审查期间。

●  建议欧盟立法者在《移民与庇护新公约》(the New Pact on Migration and Asylum)中保障数据安全和保护隐私。

●  继续为欧盟委员会有关打击算法歧视的提案做出贡献。

●  向欧盟机构提供政策指导,这些政策旨在要求私营公司为私人利益负责,但要避免全面监视和言论审查。

●  基于我们在数字交易所和其他论坛上的经验,我们将与EDPB,欧洲委员会以及相关的欧盟机构合作,在数字监管机构之间就具体案例建立切实的合作关系和联合执法机制。

●  积极促进欧盟对数字化和技术蓝图的发展。为了在整个欧盟采取一致的方法,EDPS建议任何新的监管框架都应同时适用于欧盟成员国和欧盟机构。如果欧盟机构使用人工智能,则应遵循与欧盟成员国相同的规则。

●  定期参加有关数字道德的研讨,强调不仅需要遵守法律,而且还必须考虑欧盟机构和其他数据控制者进行数据处理时对个人、团体和社会的影响。

●  促进数据保护讨论的多样性。

 

2)可持续性

世界只有一个

 

数据处理和数据保护必须走向绿色发展之道。持续发展的人工智能和基于区块链的技术以及对个人的非法追踪和剖析产生了越来越多的危险副产品,这是由短生命周期的连接物,以及成倍增加的碳排放量导致的。鉴于最近十年的欧盟绿色交易和数据保护实践经验,这是一个令人担忧的重大问题。对此,我们将:

 

●  传达我们对数字化给世界带来的影响的深刻理解。

●  在环境危机,不平等加剧和地缘政治紧张局势下,鼓励对未来数据保护产生更广泛和更长远的见解。

●  特别关注能源消耗。

●  参与有关数据共享的研讨,倡导数字时代基于严格的比例测试和适当保护措施的数据重分配政策(包括匿名化和假名化),以防止数据滥用和非法访问。

 

 

编译 |李顾元/上海社会科学院信息所研究生

 

本文由赛博研究院出品,转载请注明:本文来源于赛博研究院公众号。

更多精彩内容请关注“赛博研究院”公众号。

1595816401679330.jpg