EDPS发布年度报告重点强调数据安全
一、引言
欧洲数据保护监督机构(EDPS)是欧盟独立的数据保护机构,负责监督欧洲各机构、组织、办事处和机关(EUIs)对个人数据的处理。EDPS就与个人数据保护相关的新立法提案和倡议向欧盟机构提供建议,并与监管机构合作,确保欧盟数据保护规则的一致执行。
二、EDPS在政策制定中发挥的作用
1.人工智能方面。作为欧盟各机构、团体、办事处和机关(EUIs)的数据保护机构,EDPS持续着引导人工智能的开发和应用方式,以确保这项技术遵循以人为本和可持续的方法,尊重隐私和数据保护原则,并最终得以融入日常生活。
(1)当拟议的《人工智能法案》(AI Act)进入最后谈判阶段时,EDPS提出了有关的倡议和意见。并要求在《人工智能法》中明确EDPS的作用、任务和权力,并欢迎成立欧洲人工智能办公室
(2)如果AI如果出了问题,谁来担责?个人如何受到保护?EDPS在 2023 年 10 月 11 日拟议了两条指令以规范AI责任,要求欧盟及其成员国的因AI而遭受损害的个人受到同等保护。
考虑到人工智能系统的不透明性、自主性、复杂性,EDPS提出了具体意见和建议,以确保对个人的高度保护。其中包括,明确了程序保障措施,即证据披露机制和因果关系推定,应适用于人工智能系统造成损害的所有案件。
(3)EDPS要求欧盟共同立法者考虑采取额外措施,进一步减轻人工智能系统受害者的举证责任。
2.数字货币(欧元)方面。EDPS与欧洲数据保护委员会(EDPB)于2023年10 月17日就数字欧元作为中央银行数字货币的条例提案发表了联合意见。数字欧元作为现金之外的另一种支付手段,旨在为个人提供在线和离线电子支付的可能性。拟议的条例涉及数字欧元的许多数据保护方面。例如,提供使用数字欧元或现金支付的选择。
EDPS建议采取措施确保只处理数字欧元用户的必要个人数据,避免欧洲中央银行过度集中管理个人数据。
3. 《通用数据保护条例》(GDPR)方面。2023年9月19日,EDPS和EDPB通过了一份联合意见书,涉及欧盟委员会关于GDPR执行补充程序规则的条例提案。
该提案主要内容为通过协调欧盟各国在程序上的一些差异、简化跨境合作,从而确保及时完成调查,迅速为跨境案件中的个人提供补救。
4. 打击跨国犯罪。在2023年5月4日和12月11日,EDPS与五个拉丁美洲国家、亚美尼亚签订了国际协议,根据这些国际协议,双方可交换个人数据以共同应对国际刑事犯罪。
5.飞机旅客的个人数据保护。EDPS与申根成员国挪威、冰岛和瑞士之间的旅客姓名记录数据传输协议发布了三份意见书,旨在使这三个国家能够合法地从欧盟成员国接收旅客姓名记录数据。
6.针对涉政、司法大型IT系统提出意见。
7.与其他欧盟机构协作保护隐私数据。
三、EDPS科技与隐私小组(T&P)的下属部门
为了应对即将到来的未来技术进步与发展,并建立的评估与准备体系,EDPS下属的科技与隐私小组(T&P)设置了三大部门应对这些挑战,分别是:
1.技术监测与预测部门。该部门会定期发布技术洞察和技术研发报告,对即将出现的技术及其对隐私的影响进行深入分析。其次,组织了互联网隐私工程网络(IPEN)研讨会、技术专家小组和 ChatGPT工作组等各类工作组为EDPS面临的技术问题提供专业知识咨询。
2.数字化转型部门。该部门负责EDPS的数字化转型。
3.系统监督和技术审计部门。该部门负责调查和审计欧盟机构在处理个人数据时如何使用技术,特别是大型信息技术系统,主要涉及自由、安全和司法领域。该部门负责管理欧盟机构发出的个人数据泄露通知。
四、EDPS监管技术发展前景
1.发布技术洞察报告
2023年12月,EDPS发布了第三份技术洞察报告,该报告涉及了五项新兴技术:
- 大型语言模型 (LLM)
- 数字身份钱包
- 行为互联网
- 扩展现实
- 深度伪造检测
本报告深入分析了这些技术的发展状况和发展前景,揭示了潜在的隐私风险。本报告还获得了2023年全球隐私和数据保护创新奖。
2.发布技术研发报告
2023年3月和11月,EDPS分别发布了两篇TechDispatches报告,主题分别为:(1)欧洲中央银行数字货币。报告主要关注这项技术的主要设计方案以及潜在的隐私问题。(2)可解释的人工智能。报告主要关注不透明的人工智能系统带来的风险,以及如何通过合理的方式处理这些人工智能。
3.举办研讨会活动
EDPS采取研讨会的形式聚集起技术和数据保护专家,旨在更好地了解新技术对数据保护的影响、评估隐私增强技术的现状,并支持将隐私融入日常工具的项目。
五、隐私保护
1.技术审计
2023年EDPS共进行了两次技术审计。一次是对欧盟内部市场、工业、创业和中小企业总局(DG-GROW)内部市场信息系统(IMI)进行审计,另一次是对欧盟大型IT系统运行管理机构eu-LISA管理的申根信息系统(SIS)进行审计。检查了这些系统是否采取了必要的技术措施,以遵守欧盟数据保护法,保护个人的个人数据。
2.处理个人数据泄露
根据欧盟法律,所有欧盟机构、办事处、团体和机关都有义务向 EDPS报告个人数据泄露事件。一般而言,每个欧盟机构都必须在发现数据泄露后72小时进行报告。如果资料外泄可能对个人权利和自由造成负面影响的风险很高,有关欧盟机构还必须通知有关个人,不得有不必要的延误。
(1)2023年EDPS收到的个人数据泄露通知总量
2023年,EDPS收到并评估了77份新的可受理个人数据泄露通知。总体而言,相比较2022年的95起相比下降了近19%。
图1 2020年-2023年EDPS收到的数据泄露通知总量
(2)个人隐私数据泄露的类型
个人数据泄露具有保密性、完整性和完整性三种不同类型。2023年期间,73起案件涉及保密性、1起案件涉及完整性漏洞、3起案件涉及可用性漏洞,5起案件涉及了全部三种泄露类型。
图2 2023年EDPS收到的数据泄露通知类型
(3)个人隐私数据泄露的起因
在2023年,尽管提交的数据泄露通知数量有所下降,但人为错误仍然是最常见的原因。在人为错误是根本原因的案例中,通常的模式包括向错误的收件人发送包含机密信息的电子邮件。
图3 2023年EDPS收到的数据泄露通知的原因
(4)受个人隐私数据泄露影响的人数
在约44%的个人隐私数据泄露案件中,有101-500人受到影响,而在约4%的个人隐私数据泄露案件中,有1000人以上受到影响。
图4 2023年EDPS收到的数据泄露通知的受影响人数
(5)受泄露隐私数据的类别
这些案件中19% 涉及特殊类别数据。其中主要涉及的是健康数据,多与在报销过程中与错误发送医疗发票有关。
图5 2023年EDPS收到的数据泄露通知中数据的类别
六、参与国际合作
报告中介绍了EDPS在2023年参与的八大国际合作。
1.全球隐私大会
EDPS参加了2023年的全球隐私大会,并参与了如下工作组:全球框架和标准、数字经济、数据保护和其他权利自由、国际执法合作——数字公民和消费者、个人数据在国际发展援助中的作用、数据共享。
2. 欧洲数据保护机构会议
EDPS参加了2023年5月10日至12日在匈牙利布达佩斯举行的第 31 届欧洲数据保护机构会议。通过了一项关于修订会议规则和程序的决议,还通过了关于需要加强数据保护和竞争法领域合作的第二项决议。
3. 七国集团数据保护和隐私管理机构圆桌会议
EDPS参加了 2023 年6月20到21日在日本东京举行的3.七国集团数据保护和隐私管理机构圆桌会议。会上,EDPS和七国集团代表讨论了与数据保护有关的一些关键问题的联合行动。其中包括“生成式人工智能”主题和“数据自由流动与信任”主题。
4. 欧洲委员会
EDPS持续支持支持欧洲委员会正在进行的《保护个人数据自动处理公约》的批准进程。
5. 经济合作与发展组织
6. 国际组织工作组
7. EDPS和英国信息专员办公室签署备忘录
8. “西巴尔干和东部伙伴关系地区数据保护”的高级别活动
七、总结
这份2023年年度报告第二章的提到EDPS本年度的9大关键指标和完成情况如下图:
图6 2023年EDPS的关键指标及完成情况
EDPS称其基本完成了2023年的预期目标,并在数据安全方面取得一定成果。