查看原文
其他

域外观察 | EDPB对101项数据跨境投诉做出回应

全文约2000字,预计阅读时间12分钟

文|王金钧 中国信通院互联网法律研究中心助理研究员


一、背景情况

2020年8月,数字权利欧洲中心(又名NOYB,即“none of your business”的缩写)向各国数据监管机构提起101项投诉,波及30个欧盟成员国中的101家公司,这些公司在欧盟法院对Schrems II案做出判决后仍在向谷歌和脸书传输数据。NOYB在投诉中写到:

对欧盟范围内网页的HTML源代码进行的快速分析显示,在欧盟法院(CJEU)做出重大判决一个月后,许多公司仍在使用谷歌分析(Google Analytics)或脸书连接(Facebook Connect)——尽管他们明显在美国监控法律的管辖范围。脸书和谷歌似乎都没有实现欧盟-美国数据传输的法律依据。尽管法院认定美国监控法违反了基本权利,谷歌在隐私盾失效后一个月仍然使用这一机制,而脸书则通过标准合同(SCC)传输个人数据。

2020年9月,欧洲数据保护委员会(EDPB)决定成立“101特别工作组”,并于2023年4月19日发布了101工作组的调查报告,确保以适当且一致的方式来处理这一问题。

二、重点问题

(一)个人数据跨境传输

文件再次确认了欧盟在数据处理方面的统一立场。在适用GDPR第五章有关数据跨境传输的规定之前,数据控制者应确保其数据处理行为符合GDPR其他部分的规定,如GDPR第6条(1)项规定的数据处理的合法性基础,若网页中所使用的特定工具并无处理个人数据的合法性,则不涉及GDPR第五章的要求。

工作组的结论是,如果数据跨境传输是基于2020年7月16日之后被判无效的欧盟-美国充分性决定,则违反了GDPR第五章的有关规定。此外,投诉中的相关实体并不能根据GDPR第46条(2)项(c)款缔结具有追溯效力的标准数据保护条款(根据GDPR第44条及第46条(1)项,应当在数据传输前采取适当性保护措施)。如果已经缔结了标准数据保护条款,则应采取适当性保障作为补充措施,这些措施必须回应欧洲法院在2020年7月16日的判决中所提出的关切——有关第三国立法情况的缺陷。

具体而言,根据当地法律的规定,如果数据接收方在特定情形有提供密钥的法律义务,那么对欧盟而言数据接收方所采取的加密手段并不是适当的保护措施;如果数据在传输至第三国的数据接收方之后才进行匿名化处理,则匿名化也并非是适当的保护措施。另外,在数据处理者代替数据控制者(网站运营商)成为数据传输方的情形中,根据GDPR第五章的相关规定,数据控制者也应当承担相应的责任,同时根据GDPR第28条,数据控制者也应当确保数据处理者提供足够的担保。

(二)问责原则

根据欧洲法院的解释,在网站运营商被视为是数据控制者的情况下,其应当证明已经采取了适当的措施来保护数据权利。如果网站运营商无法提供这样的证据(特别是在联合控制者的情形),且在没有进行合规性检查的情况下将分析工具整合到网站上,则应当承担相应的法律责任。值得注意的是,根据GDPR第28条所规定的协助义务,除了网站运营商(作为数据控制者)之外,分析工具的供应商也至少在特定操作中被视为控制者或处理者,并由此承担相应义务。

(三)角色定位

通常而言,网站运营商通过整合使用第三方工具(如社交媒体插件或分析工具)导致处理个人数据的行为,这意味着网站运营商需要承担数据处理者的责任,但这种责任可能仅限于特定的处理操作。

工作组认为,网站运营商为特定目的(如为分析网站访问者的行为)使用分析工具的行为可以被视为是GDPR第4条(7)项(定义条款)中对数据处理“目的和手段(purposes and means)”的决定,从而应当被视为数据控制者。同时,由于网站运营商使用的分析工具具备不同的功能、选项,其所应当承担的责任应当在逐案分析的基础上决定。网络运营商和工具供应商根据GDPR第26条及28条签订的协议并不能限制相关监管机构的评估及资格认定权力。

三、投诉结论

早在2022年11月,欧洲数据保护监督员(EDPS)确认了欧洲议会的COVID-19测试网站违法,因其使用谷歌分析和由美国公司(Stripe)提供的支付功能,EDPS认为,该网站使用两种工具的行为与欧盟法院Schrems II案的判决精神相悖。EDPS对议会发出了谴责声明,与各国数据保护监管机构的权限不同,EDPS不能在此案中针对议会做出处罚决定,而是要求欧洲议会在一个月内更新其数据保护措施并解决EDPS提出的其他的透明度问题。NOYB希望监管机构能在EDPS的决定之后对更多的私人网站进行处理。

101工作组的工作使得各国监管机构能够在此问题上采取一致立场。截至目前,已经有部分成员国的监管机构做出了处理决定,各国将进一步加强对网站运营商的监督,特别是关于GDPR第五章数据跨境传输的规定。有些网站运营商在监管机构做出决定之前就已经停止使用这些分析工具,这也导致目前没有监管机构发出禁止令。其他决定将在一站式机制和其他监管机构的合作下做出。

参考文献:

1.Report of the work undertaken by the supervisory authorities within the 101 Task Force, at https://edpb.europa.eu/our-work-tools/our-documents/other/report-work-undertaken-supervisory-authorities-within-101-task_en

 

2.101 Complaints on EU-US transfers filed, at https://noyb.eu/en/101-complaints-eu-us-transfers-filed

 

3.EDPS sanctions the European Parliament for illegal EU-US data transfers - among other violations, at https://noyb.eu/en/edps-sanctions-parliament-over-eu-us-data-transfers-google-and-stripe


END


往期精彩回顾



域外观察 | FCC垃圾短信和骚扰电话治理规则简析中心研究 | 数据法案例(一)—Meta爱尔兰案(个性化广告的合法性基础之辩)域外观察 | 美国智库发布《全球云竞争概述》认为中国全球云竞争存在优势域外观察 | 欧盟稳步推进《媒体自由法》,将强化对媒体自由的保护域外观察 | 美-荷-日半导体出口管制协议“可窥一斑”中心研究|从最高检发布的典型案例看如何保护生物识别信息域外观察|美国发布《促进数据共享与分析中的隐私保护国家战略》域外观察|欧盟委员会发布2023-2024年数字欧洲工作计划动态观察|欧盟成员国GDPR重点执法案例汇编(2023.03)月度热点 | 国际ICT立法跟踪3月热点域外观察|ChatGPT遭遇数据泄露,人工智能安全如何保证?域外观察|国外隐私增强技术监管和实践域外观察 | 欧洲数字身份提案最新进展专家解读|推进依法行政 护航数字经济高质量发展域外观察|美国商会发布《人工智能委员会报告》专家解读|新时代网络法治建设稳步推进 制度体系持续完善专家解读|《新时代的中国网络法治建设》彰显网络法治建设是全面依法治国的题中应有之义月度热点|国际ICT立法跟踪2月热点
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用



继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存