去年,我们再次看到了重要的GDPR执法行动,重要的监管指导,以及大量涉及网络、数据保护和人工智能监管问题的欧洲立法活动。在这里,我们分析了定义2022年的五大趋势,以及2023年值得关注的信号领域:
- 加强人工智能监管;
- 操作弹性的优先级;
- 关注儿童隐私;
- 欧洲经济区/英国数据传输的持续复杂化;而且
- 加强对数据最小化的审查。
从CNIL在年底发布的一系列公告和罚款中,可以明显看出监管环境的稳健微软,TikTok,苹果其中,总额超过7000万欧元。
加强人工智能监管
到2022年,对人工智能的直接监管继续升级,一些重要的执法决定突显了越来越多的监管担忧。
《人工智能法案》最初于2021年提出,于2022年逐步走向最终形式,并由欧盟委员会于9月公布拟议的人工智能责任指令完成在这里).欧盟对人工智能监管的关注突显了人们对公平、透明度以及滥用人工智能可能带来的潜在危害的日益担忧。《人工智能法案》草案反映了大西洋彼岸的担忧,它似乎还将对人工智能模型中使用的数据的准确性、完整性和适当性施加重大义务。这些担忧在欧洲多个监管机构对Clearview AI的罚款中得到了呼应在这里).
与此同时,英国采取了一种略有不同的方法,拒绝引入针对人工智能的监管,而是主要通过数据保护的视角来看待人工智能相关的挑战。英国的做法反映出一种更广泛的担忧,即确保人工智能监管不会无意中阻碍数字创新。话虽如此,英国ICO指南(例如,关于生物识别技术)及其本身的执法行动去年Clearview的人工智能显示出与欧盟出现的担忧相似的信号。
虽然2023年似乎不太可能看到任何其他人工智能监管的大项目,但随着《人工智能法案》和《人工智能责任指令》朝着采用方向发展,以人工智能为重点的执法行动继续获得动力,有很多可以预期的地方。越来越多的监管审查凸显了企业需要做好准备,确保遵守这些新法律,但人工智能的使用也符合GDPR和其他适用法律规定的现有义务。
操作弹性
2022年,欧盟和英国立法者仍然坚定地关注数字运营弹性,扩大了关键基础设施和金融服务部门的措施。
欧盟采取了重大举措。2022年11月,欧洲议会通过了两项法案第二网络和信息系统指令(“NIS2”)和数字操作弹性法案(“朵拉”)。除了规定新的供应链安全和事件报告义务外,NIS2还大幅扩大了现有关键基础设施监管的范围,以涵盖其他部门和实体,包括数字基础设施(数据中心服务提供商、内容交付服务提供商、信托服务提供商、公共电子通信网络或电子通信服务提供商);航天、邮政和快递服务以及数字提供商(社交网络服务平台)。
同样,直接适用的法规DORA将对金融服务公司(包括银行、保险公司、支付服务提供商和私募股权公司)以及首次将由欧盟金融服务监管机构直接监管的关键服务提供商施加深远的运营弹性要求和管理监督义务。
与此同时,英国议员采取了更为微妙的做法。2022年7月,金融服务和市场法案除其他事项外,提议由FCA和PRA以类似DORA的方式监督关键服务提供商。然而,英国因此没有像朵拉那样对所有金融实体施加广泛的义务。英国政府也是如此确认计划推进计划中的扩展,这将加强网络安全事件报告和关键基础设施的其他义务,并允许英国政府在不需要进一步立法的情况下将其他部门纳入范围。目前尚不清楚这些变化是否会像NIS2一样影响深远。
虽然到2023年,有关英国方法的更多细节将出现在所有提案中,但增加而不是减少繁重要求的总体趋势似乎可能会继续下去。与此同时,企业可能希望评估它们是否受到上述任何更改的影响,如果是,则尽快制定遵从策略。
孩子们的隐私
多家监管机构将注意力转向了处理儿童个人数据的公司。
在立法方面,英国的讨论集中在《在线安全法案》(Online Safety Bill)上,该法案仍有待上议院(House of Lords)审议,但似乎很快就会获得通过。该法案将对社交媒体平台规定义务,包括执行基于年龄的访问措施,删除非法内容,防止儿童访问有害内容,并通过发布风险评估等方式,使其平台对儿童构成的风险和危险透明。
英国的ICO也制定了儿童的隐私权最高执法优先事项声明称,该公司正在“调查50多种不同的在线服务是否符合《互联网安全法》孩子们的代码目前正在对提供数字服务的公司进行六项调查。”去年九月,其中一家公司,TikTok该公司收到了ICO的意向书,并面临高达2700万英镑的罚款,因为据称在未经父母适当同意、对用户的适当透明度或处理特殊类别数据的法律依据的情况下处理13岁以下儿童的数据。
爱尔兰民主党也追求多项与儿童数据处理有关的执法行动,包括抖音与英国案件相关的行为。在那里,当局做到了提交向教育局作出初步执行决定或覆核。它还罚款Meta的4.05亿欧元与之前的Instagram设置有关,该设置公开了使用商业账户功能的儿童的联系方式,并且默认情况下,将儿童的个人账户设置为公开。这笔罚款仍在EDPB的审查中。
我们预计,针对儿童在线数据处理的监管重点将在今年全年持续,公司可能希望确保他们有足够的措施和流程来解决儿童如何与他们的平台或服务互动的问题。认识到这一风险,从事儿童业务的企业可能希望审查过去的执法行动和指导,以确保现有和计划中的项目符合监管预期,并充分考虑到执法风险的增加。
跨境数据传输
尽管欧洲和美国的立法者一直在努力,但从欧洲经济区和英国转移个人数据仍然很复杂。
从CJEU开始差不多两年了Schrems二世决定(覆盖在这里而且在这里),欧洲立法者和美国官员最终于2022年4月达成协议,使美国能够根据GDPR第45条作出充足性决定在这里).欧盟委员会公布了决定草案该协议将于2022年12月生效,目前正在通过欧盟的各种机构检查。尽管美国。有前途的在美国监控活动的背景下,加强保护欧盟个人数据的措施,欧盟成员国之间的分歧和相关的欧洲数据保护委员会可能会对该法案的通过造成障碍,预计该法案将于今年晚些时候通过。如果获得通过,欧盟司法专员迪迪埃·雷恩代尔(Didier Reynders)很可能会对CJEU的充足性决定提出挑战,给它一个机会。十有八九“在挑战中生存下来的机会。
在这种不确定性中,欧盟标准合同条款和英国数据传输协议及附录可能继续在促进跨境数据传输方面发挥重要作用。然而,在2022年,对标准合同条款的依赖也变得更加令人担忧。到2022年,奥地利、意大利、法国和丹麦的数据保护部门出版的决定欧盟的标准合同条款和谷歌的技术和组织措施不符合GDPR,特别是考虑到美国情报机构使用出口数据的前景。虽然这些决定将注意力集中在谷歌分析上,但它们并没有导致更广泛的数据传输的广泛转变。此外,欧盟在这一点上的分歧在去年12月突显出来决定另一方面,它关注的是投诉的目标并没有打算识别用户。
除了标准合同条款方面的分歧,欧盟和英国现在在跨境转移风险评估方法上也分道扬镳。去年11月,英国信息专员办公室(Information Commissioner’s Office)发布了一份新的风险评估工具反映了一个整体的和特定于转让的风险评估,重点是“转让是否显著增加隐私或其他人权受到侵犯的风险”。这种方法标志着与EDPB指南建议的方法的适度转变,后者涉及对出口国的法律和实践与进口国的法律和实践进行相对形式主义的比较。虽然英国的做法可能更宽松,但同样受欧盟GDPR约束的实体应该考虑到欧盟监管机构可能认为英国的风险评估不够充分的风险。
从事从欧盟和英国进行国际数据传输的企业应继续监测事态发展、指导和执法行动,因为我们预计到2023年情况将发生进一步变化。
数据最小化和卫生
虽然数据最小化一直是GDPR的核心焦点,但执法越来越强调合规失败——要么是核心,要么是支持需要罚款和补救行动的行为。
特别是,CNIL在2022年在这个问题上发挥了主导作用,呼吁数据最小化和保留失败不和而且Infogreffe等等。CNIL发现,Discord没有书面的数据保留政策,涉及如何处理已不活跃超过三年的用户帐户,也没有向用户提供关于数据保留期限的清晰完整的信息。在Infogreffe的案例中,虽然它有公司决定的保留期限,但CNIL发现25%的用户的个人数据存储超过了该期限,因此未能将个人数据保留与处理目的成比例的一段时间。
意大利人加兰特以类似的方式批评Deliveroo意大利的数据保留政策在更广泛的执行命令中,未能确定每种类型的个人数据和处理目的的保留期限。相反,监管机构发现,Deliveroo意大利公司将所有个人数据保留了六年,而不考虑数据的性质或处理方式。西班牙AEPD也对两人处以罚款互联网域除了其他违反GDPR的行为外,这些公司无限期存储所有注册用户的个人数据,除非用户撤回对数据处理的同意。
总的来说,这些执法行动明确规定,公司必须制定全面的数据最小化和保留政策,根据收集的特定类型的数据和数据处理的目的量身定制,在整个2023年及以后,当这些政策缺乏或在实践中没有实际遵守时,监管机构可能会提出问题。
我们将继续在博客上报道与这些趋势、GDPR执行等相关的更新。
订阅数据博客,请点击这里.
