欧盟委员会发布GDPR实施报告

7月25日，欧盟委员会发布了关于《通用数据保护条例》（GDPR）实施的第二份报告。该报告根据GDPR第97条的规定编制，旨在评估GDPR自2018年实施以来的效果，并提出进一步改善的建议。

报告主要内容包括GDPR的执行情况、成员国的实施情况、数据主体的权利、组织面临的机遇和挑战、GDPR对欧盟数字政策的影响、国际转移和全球合作等方面，本文总结如下：

►处理跨境案件的效率提升：2023年7月，欧盟委员会通过了关于程序规则的条例提案，以更有效地处理欧盟的跨境案件，协调各国行政程序和GDPR合作机制中相关概念解释的重大差异，并为个人提供迅速的救济。欧洲议会和理事会正在就该提案进行谈判。

►加强数据保护机构间的合作与一致性机制的使用：近年来跨境案件数量显著增加，数据保护机构越发愿意利用GDPR提供的合作工具，同时，GDPR的一致性机制也越来越多地被数据保护机构使用。

►更有力的执行：数据保护机构的执法活动显著增加，包括对“大型科技”跨国公司处以巨额罚款。除了罚款，最常用的纠正措施是警告、谴责和命令遵守GDPR。虽然大多数数据保护机构认为他们的惩罚工具是足够的，但有些机构需要在国家层面使用额外的工具，例如对控制者未能合作或提供必要信息的适当制裁。此外，一些数据保护机构认为缺乏足够的资源和技术与法律的专业知识是影响执法能力的主要因素。

►欧洲数据保护委员会：大多数数据保护机构认为委员会在加强合作方面发挥了积极作用，但也有部分较小的机构认为其无法充分参与委员会的活动。同时，部分人士表示委员会的流程效率有待提高，且指南的提供速度和质量也需要提升。

►数据保护机构：大多数数据保护机构能够独立于政府、议会或任何其他公共机构运作，但仍需要足够的人力、技术和财政资源才能有效和独立地执行GDPR规定的任务。此外，一些数据保护机构在处理大量投诉方面存在困难，这使其无法为其他活动分配足够的资源。同时，数据保护机构对GDPR的解释存在分歧，与信息控制者和处理者的互动也需要加强。

►国家应用中的碎片化：成员国在立法以具体化应用GDPR时遇到了规则碎片化问题，主要涉及儿童同意的最低年龄、基因数据等的处理以及处理与刑事定罪和犯罪有关的个人数据等方面，但许多利益相关者认为问题主要源于数据保护机构对GDPR的解释存在分歧。

►委员会的监督：委员会通过启动侵权程序、要求数据保护机构定期提供大规模跨境案件信息、利用GDPR成员国专家小组促进讨论和分享经验以及积极参与法院审理的案件等方式来监督GDPR的实施情况。

►个体对GDPR和数据保护机构的认知：大多数欧盟受访者听说过GDPR，部分受访者知道其具体内容。此外，许多受访者也听说过负责保护其数据权利的国家机构。

►数据主体权利的行使：数据主体越来越熟悉并积极行使其在GDPR下的权利。控制者报告称访问权是数据主体最常使用的权利；委员会承诺探索切实可行的方法以促进个人根据数据策略更多地使用便携权；人们对向数据保护机构投诉的权利也有广泛的认识；儿童的个人数据保护也受到关注。

►企业工具包：GDPR为企业提供了包括行为准则、认证机制和标准合同条款在内的合规工具包，使组织能够灵活地管理和证明其合规性。但这些工具的使用也存在一些问题，如行为准则的制定要求繁琐、缺乏数据保护机构的参与等。

►中小企业和小运营商的具体挑战：中小企业强调了来自当地数据保护机构的针对性支持的好处，但是数据保护机构在提高意识和提供指导方面的方法各不相同，这使得使一些中小企业认为合规很复杂。

►数据保护官员：数据保护官员在确保组织遵守GDPR方面发挥着重要作用，但仍面临一些挑战，如难以任命具有所需专业知识的官员、缺乏欧盟范围内的教育和培训标准、未能将数据保护官充分融入组织流程等。

►基于GDPR的数字政策建设：欧盟通过一系列举措来补充或细化GDPR在特定领域的应用，如《数字服务法》《数字市场法》《人工智能法》等。

►加强数据共享的法律框架：GDPR为所有旨在加强欧盟数据自由流动的举措提供了框架，如《数据治理法》和《数据法》是数据战略的支柱，欧洲健康数据空间也反映了健康数据部门的特定需求等。

►新数字规则的治理：数字监管的发展提高了监管领域之间密切合作的必要性，数据保护机构正在采取措施确保其行动与其他监管领域互补和一致，但需要更结构化和高效的合作手段。成员国还应努力确保在国家层面开展适当的合作。

►GDPR转移工具箱：数据流动已成为社会数字化转型和经济全球化不可或缺的一部分。GDPR第五章提供的转移工具箱提供了各种工具来解决不同的流动转移情况，同时确保数据在离开欧盟时继续受益于高水平的保护，其中包括充分性决定、提供适当保障的措施（如标准合同条款等）以及确保与其他政策互补的措施。

►数据保护的国际合作：在双边层面，欧盟委员会继续与各国和国际组织就隐私规则的制定、改革和实施进行对话；在多边层面，欧盟委员会还继续积极参与一些国际论坛，以促进共同价值观，并在区域和全球层面建立趋同。

自GDPR实施以来的6年里，它通过允许人们控制自己的数据来赋予人们权利，还帮助企业创造了公平的竞争环境，并为推动欧盟数字化转型的一系列举措奠定了基石。

为了充分实现GDPR的双重目标（在保护个人数据的同时，确保个人数据在欧盟内部的自由流动和欧盟以外的安全数据流动），还需要关注的方面有：强有力地执行GDPR、数据保护机构积极支持利益相关者的合规工作、欧盟范围内对GDPR的一致解释和应用、监管机构之间的有效合作以及推进欧盟的数据保护国际战略等。

为了支持GDPR的有效应用并为数据保护提供进一步的思考，还需要采取一些行动：制定有效的合作结构、实施和完善法律框架、支持利益相关者以及进一步发展数据转移工具包和国际合作等。