速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切

【按语】2022年4月7日，欧洲数据保护委员会（EDPB）通过了关于新的跨大西洋数据隐私框架的声明，发布关于比利时数据保护机关的独立地位的关切函件，并讨论了春季会议成员资格，为包括非欧洲经济区国家在内的全欧洲各数据保护机关间提供了对话平台。特别是关于比利时数据保护机关的独立性地位的关切，是近年有关欧盟GDPR施行态势的严重事件之一，有助于公众理解GDPR关于“独立监管机关”的理念以及欧盟法与国家法的复杂、动态关系。——吴沈括，北京师范大学互联网发展研究院院长助理、博导、中国互联网协会研究中心副主任。

欧洲数据保护委员会通过关于新的跨大西洋数据隐私框架的声明

以及关于比利时数据保护机关的独立地位的关切函件

（2022年4月7日通过）

（2022年4月7日，布鲁塞尔）

欧洲数据保护委员会（EDPB）通过了一份关于宣布新的跨大西洋数据隐私框架的声明。委员会对美国做出的承诺表示肯定，其具体内容为在欧洲经济区（EEA）的个人数据被转移到美国时，采取“前所未有”的措施以保护个人隐私及数据安全，这是朝着正确方向积极主动迈出的第一步。

欧洲数据保护委员会指出，这一声明并不提供欧洲经济区数据传输者向美国转移数据的法律框架。数据传输者必须继续采取必要行动，遵守欧盟法院（CJEU）的判例法，特别是2020年7月16日的Schrems II决定。委员会将重点关注如何将这一政治协议转化为具体的法律议案。

欧洲数据保护委员会期待在收到欧盟委员会的所有支持性文件后，根据欧盟法律、CJEU判例法和委员会之前的建议，仔细评估新框架可能带来的改变。值得注意的是，委员会将分析基于国家安全目的收集个人数据是否需要被限定于必要且适当的范围内。此外，委员会将审查已公布的独立补救机制如何保障欧洲经济区公民获得有效补救和公平审判的权利。具体而言，欧洲数据保护委员会将调查该机制产生的所有新权力部门在执行任务时，是否有权限查阅有关资料，包括个人资料，以及是否能够做出对情报机构有所约束的决定。欧洲数据保护委员会也将考虑是否需要提出新的司法补救措施以抗衡一些机构的错误决定或不作为。

委员会重申，它仍然致力于在欧洲经济区内个人和组织的跨大西洋个人数据传输保护方面发挥建设性作用。

此外，欧洲数据保护委员会通过了对比利时近期立法发展表达关切的信件，这一系列的立法提案旨在改革建立比利时数据保护机关（BE SA）的法律，但可能会对该机构的稳定和独立运作产生负面影响。

欧洲数据保护委员会强调，独立监管对于数据保护的基本权利至关重要，但可能受到议案改革的影响，因此独立监管受到《宪章》和《欧盟条约》的保护。它也是《通用数据保护条例》（GDPR）下有效执法和数据保护机关间有效合作的基石。此外，欧洲数据保护委员会还担心这些提案是否符合《通用数据保护条例》标准以及严格的欧盟法院判例法。委员会特别指出，目前被中断的比利时数据保护机关外部成员的授权和解散成员理由的增多仍是需要解决的问题。同时进一步提出质疑，促使议会加强监督的各种提案如何满足《通用数据保护条例》第52（2）条要求各数据保护机关“不受外部影响”。此外,委员会还指出，设置共享服务中心的提案可能与各数据保护机关拥有独立工作人员的自由选择（见《通用数据保护条例》第52（5）条）相冲突, 这可能导致对比利时数据保护机关的稳定性及功能的间接外部影响。

最后，委员会同意在欧洲数据保护机关春季会议中设立观察员身份。春季会议为包括非欧洲经济区国家在内的全欧洲各数据保护机关间提供了对话平台。这一要求是《欧洲数据保护委员会2021-2023战略》的一部分，旨在加强与国际社会的交流沟通，促进欧洲数据保护委员会成员与第三国家数据保护机关之间的合作。

欧洲数据保护委员会副主席Aleid Wolfsen表示:“国际合作对于保障欧洲经济区及其他地区的数据保护权利至关重要。这是我们与国际社会加强合作的重要一步，以完善欧盟数据保护标准，并确保在欧盟境外的个人数据得到有效保护。”