EDPB 2024年度报告：在不断变化的环境中保护个人数据

2024年欧洲数据保护委员会（EDPB）年度报告全面展示了该机构在过去一年中在个人数据保护领域的核心工作与成就，重点围绕法律一致性、技术挑战应对及跨境合作展开。报告分为四部分：前言、EDPB秘书处工作、EDPB年度活动及执法合作案例。

前言部分强调EDPB通过新战略（2024-2027）强化GDPR执行，重点关注人工智能、跨境数据流等新兴挑战。主席Anu Talus指出，平台"同意或付费"模式多数不符合GDPR有效同意要求，并呼吁技术创新需符合伦理标准。

秘书处章节显示其支持EDPB运作的关键作用，包括组织530次会议，处理4200项IT请求。秘书处协助起草8份一致性意见，涉及机场人脸识别等议题，并参与13起欧盟法院案件。

核心活动包括通过28份意见（20份依据GDPR第64(1)条，8份依据第64(2)条），发布4项指南（如LED第37条解释），以及6份立法声明（涉及AI法案、金融数据共享等）。协调执法框架对GDPR第15条访问权开展全欧审查，覆盖1185家机构。

执法案例显示各国处罚显著：爱尔兰对Meta罚款6.52亿欧元（密码存储违规），荷兰对Uber数据跨境处罚2.9亿欧元。全欧共记录1254起罚款，总额超12.5亿欧元，主要涉及数据泄露、非法监控等违规行为。

前言与战略框架

EDPB主席Anu Talus在前言中强调，2024年是应对数字环境快速变革的关键年。EDPB通过了2024-2027年新战略，围绕四大支柱展开：

（1）推进协调与合规：确保欧盟各国数据保护法统一应用；

（2）强化执法文化：加强数据保护机构（DPA）协作，处理复杂案件；

（3）应对技术挑战：以人权为中心引导人工智能（AI）等新兴技术发展；

（4）提升全球角色：推动国际高标准数据保护合作。

新战略首次明确将AI治理、跨境数据流动监管等新兴议题纳入核心议程。

核心活动与成果

1. 一致性意见

EDPB通过《通用数据保护条例》（GDPR）第64条机制发布多项关键意见，解决跨境争议与技术难题：

“同意或付费”模型（Opinion 08/2024）：指出大型在线平台若仅提供“同意数据收集”或“付费使用服务”的二元选择，通常无法满足GDPR对“自由同意”的要求。EDPB建议平台提供非侵入式广告（如上下文广告）作为替代方案，避免用户被迫同意。

机场面部识别技术（Opinion 11/2024）：要求生物识别数据需加密存储且密钥由个人控制，禁止集中式数据库存储未加密数据，以符合数据最小化与安全原则。

AI模型数据训练（Opinion 28/2024）：明确开发者若以“合法利益”为数据处理依据，需通过三步测试（目的识别、必要性评估、利益平衡），并强调非法训练数据可能影响模型后续部署的合法性。

2. 一般指南

EDPB发布多项指南以细化法律适用：

执法指令（LED）第37条：规范执法机构跨境数据传输的“适当保障措施”，要求法律文书明确数据用途与风险管控；

电子隐私指令第5(3)条：澄清终端设备信息存储与访问的范围，涵盖URL跟踪、像素跟踪、IP追踪等技术，强化用户知情权；

GDPR第6(1)(f)条合法利益：提供具体场景（如反欺诈、网络安全）的合规框架，强调数据最小化与透明度。

3. 立法声明与跨领域协作

EDPB积极参与欧盟数字立法进程，发布多项声明：

《人工智能法案》：主张DPA应作为高风险AI系统的市场监督机构，推动AI开发与GDPR原则（如可解释性、问责制）融合；

《儿童性虐待防治条例》：支持监测技术应用，但反对普遍监控，要求措施符合比例原则；

金融数据访问规则：呼吁在反欺诈交易监控中增设数据保护保障，平衡安全与隐私。

执法合作与DPA行动

1. 协调执法框架

EDPB主导多项全欧盟范围的执法行动，例如针对GDPR第15条“访问权”的协调审查。30国DPA联合评估1185家数据控制者的合规性，发现中小型企业合规水平较低，主要问题包括响应延迟、信息不完整及过度限制用户权利。最终报告提出七项改进建议，推动统一执法标准。

2. 专家支持池

SPE通过技术援助提升DPA能力，2024年完成项目包括：

AI风险评估工具：针对光学字符识别（OCR）与命名实体识别（NER）技术设计隐私风险模型；

移动应用审计训练：50名审计员参与，提升应用合规审查效率；

GDPR执法案例库：汇总“访问权”相关案件，为DPA提供实践参考。

3. 跨境案件与罚款

各国DPA在EDPB协调下处理大量跨境案件，2024年共记录350起跨境案件，通过“一站式机制”完成485项最终决定。典型案例如：

爱尔兰对Meta罚款6.52亿欧元：因未加密存储用户密码、未及时报告数据泄露；

荷兰对Uber罚款2.9亿欧元：违规向美国传输欧洲司机数据；

奥地利视频监控案：依据欧盟法院判例，按企业整体经济能力处以150万欧元罚款，体现“处罚有效性”原则。

资源与挑战

EDPB秘书处工作量激增，2024年组织会议530场（较2023年增长47%），处理IT支持请求4200次。尽管未发布任何GDPR第65条约束性决定（反映DPA共识增强），但一致性意见请求（GDPR第64(2)条）数量显著上升，凸显技术复杂性带来的协调压力。EDPB明确呼吁增加预算与人员编制，以应对AI监管、跨境执法等新增职责。