【编者按】2022年,欧洲(包括欧盟和英国)在网络、数据保护和人工智能等领域发生了大量的立法活动以及重要的执法监管行动。数字监管机构一系列年终公告证实了欧洲当下严监管的政策态度,欧盟对微软、谷歌和苹果等公司处以总计超过 7000 万欧元的罚款。通过分析 2022 年的诸多趋势,本文作者判断在 2023 年值得关注的数字监管领域包括以下几个方面:

1. 加强人工智能监管

2. 运营弹性的优先级

3. 关注儿童隐私

4. 从欧洲经济区/英国传输数据的持续复杂化

5. 加强对“数据最小化”的审查

其中,《通用数据保护条例》(GDPR)即将迎来实施5周年的节点。一方面,大型科技公司在欧盟的运营面临越发繁重的数字合规责任;另一方面,数据监管机构对他们在重大案件中的低效系统感到沮丧。欧盟委员会预计将在2023年夏季之前提出一项新法律,旨在改善欧盟国家数据监管机构执行《通用数据保护条例》(GDPR) 的方式,这一行为将会开启新一轮监管机构的内部博弈及公司游说活动,可以预计GDPR执法在2023年即将发生重大变化。《互联网法律评论》近期将发布一篇文章对此进行详细阐释。

趋势一:加强人工智能监管

2023年,人们对AI的直接监管将继续升级,2022年一些重要的执法决定已经凸显了监管方面的担忧。

《人工智能法案》最初于2021年提出,于2022年9月由欧盟委员会公布拟议的《人工智能责任指令》完成立法行动。欧盟对人工智能监管的关注突显了人们对公平、透明度以及滥用人工智能可能带来的潜在危害的日益担忧。《人工智能法案》草案似乎还将对人工智能模型中使用的数据的准确性、完整性和适当性施加重大义务。这些担忧在欧洲多个监管机构对Clearview AI的处罚中得到了呼应。

与此同时,英国采取了一种略有不同的方法,拒绝引入针对人工智能的特定监管,而是主要通过数据保护的视角来界定与人工智能相关的挑战。英国的做法反映出一种对人工智能更广泛的担忧,即确保人工智能监管不会无意中阻碍数字创新。话虽如此,英国信息专员办公室(ICO)指南(例如,关于生物识别技术)及其对Clearview AI的执法行动表明,英国对AI也存在与欧盟类似的担忧。

2023年刚开年,我们已经看到ChatGPT这个现象级互联网产品风靡全球以及监管者的迅速回应。随着《人工智能法案》和《人工智能责任指令》朝着既定方向发展,以人工智能为重点的执法行动继续获得更大动力,有很多可以预期的地方。越来越多的监管审查凸显了企业需要做好准备,确保遵守这些新法律,也要符合《通用数据保护条例》(GDPR)和其他适用法律规定的现有义务。

趋势二:运营弹性

2023年,欧盟和英国立法者仍然坚定地关注数字运营弹性,扩大针对关键基础设施和金融服务部门的措施。

2022年欧盟在运营弹性监管方面采取了重大举措。2022 年11月,欧洲议会通过了《第二网络和信息系统指令》(NIS2)和《数字运营弹性法案》(DORA)

除了规定新的供应链安全和事件报告义务外,NIS2还大幅扩大了现有关键基础设施监管的范围,以涵盖其他部门和实体,包括数字基础设施(数据中心服务提供商、内容交付服务提供商、信托服务提供商、公共电子通信网络或电子通信服务提供商),航天、邮政和快递服务以及数字提供商(社交网络服务平台)。

同样,《数字运营弹性法案》(DORA)的出台将对金融服务公司(包括银行、保险公司、支付服务提供商和私募股权公司)以及关键服务提供商施加影响深远的运营弹性要求和管理监督义务。其中,服务提供商直接受到欧盟金融服务监管机构的监管,在欧盟尚属首次

与此同时,英国立法者采取了更为微妙的方法。2022 年 7 月,英国提出《金融服务和市场法案》(Financial Services and Markets Bill),由英国FCA(行为监管局)和PRA(审慎监管局)以类似于《数字运营弹性法案》(DORA) 的方式监督关键服务提供商。然而,英国因此没有像《数字运营弹性法案》(DORA)那样对所有金融实体施加广泛的义务。同样,英国政府已对此进行扩展,加强网络安全事件报告和关键基础设施的其他义务,并允许英国政府将更多部门纳入范围,而无需进一步立法。目前尚不清楚这些变化是否会像NIS2一样影响深远。

到 2023 年所有提案都将呈现更多关于英国监管方法的细节,但总的趋势是增加而非减轻相关企业的负担。与此同时,企业应当评估它们是否受到上述变化的影响,如果受到影响,则应尽快制定合规策略。

趋势三:儿童隐私

多个监管机构将注意力转向了处理儿童个人数据的公司。

在立法方面,英国的讨论集中在《在线安全法案》(Online Safety Bill)上,该法案仍有待上议院(House of Lords)审议,并遭到多方的批评,但似乎很快就会获得通过。该法案将对社交媒体平台规定义务,包括执行基于年龄的访问措施、删除非法内容、防止儿童访问有害内容,并通过发布风险评估等方式,使其平台对儿童构成的风险和危险透明化。

英国英国信息专员办公室(ICO)也将儿童隐私权列为首要执法重点,称其“正在调查50多种不同的在线服务是否符合儿童法典,并对提供数字服务的公司进行了六项正在进行的调查。”

爱尔兰数据保护机构还采取了多项与处理儿童数据相关的执法行动,对Meta罚款4.05 亿欧元,原因是 Meta 之前的 Instagram 设置公开披露了使用企业帐户功能的儿童的联系方式,并且默认情况下将儿童的个人帐户设置为公开。该罚款仍在等待欧洲数据保护委员会(EDPB)审查。

笔者预计,针对儿童在线数据处理的监管重点将贯穿2023年全年,公司应当确保他们有足够的措施和流程来解决儿童如何与他们的平台或服务互动的问题。认识到这一风险,从事儿童业务的企业应当审查过去的执法行动和指导,以确保现有和计划中的项目符合监管预期,并充分考虑到执法风险的增加。

趋势四:跨境数据传输

尽管欧洲和美国的立法者不断努力,但欧洲经济区和英国的个人数据出境问题仍然很复杂。

在欧盟法院(CJEU)的Schrems II决定近两年后,欧洲立法者和美国官员于 2022 年 4 月最终达成协议,使美国能够做出《通用数据保护条例》(GDPR )第 45 条的充分性决定。欧盟委员会于 2022 年 12 月发布了该决定草案,目前正在通过各种欧盟机构审查。尽管美国承诺在美国监视活动的背景下加强保护欧盟个人数据的措施,欧盟成员国与相关的欧洲数据保护委员会之间的分歧可能会对欧美隐私框架造成障碍。如果上述对美国的充分性决定获得通过,一旦该决定有机会被提交给欧盟法院(CJEU)审理,欧盟司法专员也极有可能对这一充分性决定提出质疑和挑战,其存续下来的可能性大概只有七八成。

在这种不确定性中,欧盟标准合同条款和英国数据传输协议及附录可能会继续在促进跨境数据传输方面发挥重要作用。然而,在2023年,对标准合同条款的依赖也变得更加令人担忧。2022年,奥地利、意大利、法国和丹麦的数据保护当局公布了决定,认为欧盟的标准合同条款和谷歌的技术和组织措施不符合《通用数据保护条例》(GDPR),特别是考虑到美国情报机构利用数据的前景。虽然这些决定将注意力集中在谷歌分析上,但它们并没有导致数据传输发生普遍的转向。此外,欧盟在这一点上的分歧在 2022年12 月凸显出来,当时西班牙数据保护机构发布了一项与上述国家机关相反的决定,即被投诉者——谷歌——并无意识别用户。

除了标准合同条款形式的分歧外,欧盟和英国目前在跨境转移风险评估方法上也分道扬镳。2022年11 月,英国信息专员办公室(ICO)发布了一个新的风险评估工具,反映了一个整体的和特定于传输的风险评估,重点是“转移是否显着增加隐私或其他侵犯人权的风险”。 欧洲数据保护委员会(EDPB)指南推荐方法主要侧重出口国与进口国法律和实践的相对形式化的比较,而英国的这一评估工具意味着更实质化的转变。虽然英国的方法可能更为宽松,但同样受欧盟《通用数据保护条例》(GDPR)约束的实体应考虑欧盟监管机构可能认为英国风险评估不充分的风险

从事来自欧盟和英国的国际数据传输的企业应继续监测事态发展、指导和执法行动,因为2023年情况可能会发生进一步变化。

趋势五:数据最小化

虽然数据最小化一直是《通用数据保护条例》(GDPR) 的核心重点,但执法越来越强调“合规性失败”——无论是作为核心行为还是辅助行为,都需要采取罚款和补救措施。

特别是,2022年法国数据监管机构(CNIL)在这个问题上发挥了主导作用,指出Discord和Infogreffe等公司的数据最小化和保留失败。法国数据监管机构(CNIL) 发现 Discord 没有书面的数据保留政策来涵盖如何处理三年以上不活跃的用户帐户,也没有向用户提供有关其数据保留期限的清晰和完整的信息。在 Infogreffe公司 的案例中,虽然它有一个公司确定的保留期限,但 CNIL 发现其 25% 的用户的个人数据存储超过该期限,因此未能仅将个人数据保留与处理目的相称的期限。

同样,意大利的数据保护机关在更广泛的执法命令中批评了Deliveroo Italy 的数据保留政策,因为未能确定每种类型的个人数据和处理目的的保留期限。监管机构发现 Deliveroo Italy 已将所有个人数据保留六年,无论数据或处理的性质如何。西班牙 AEPD 还对两个互联网域名处以罚款,除其他违反《通用数据保护条例》(GDPR) 的行为外,公司还无限期地存储所有注册用户的个人数据,除非并直到用户撤回对数据处理的同意。

总的来说,这些执法行动明确表明,相关公司必须制定全面的数据最小化和保留政策,针对收集的特定类型的数据和数据处理的目的量身定制,并且在整个2023年及以后,当这些政策缺乏或在实践中没有实际遵守时,监管机构可能会提出质询。

作者:Robert Maddox 、 Friedrich Popp

Robert Maddox是伦敦Debevoise & Plimpton LLP的数据战略与安全业务和白领与监管辩护组的国际法律顾问和成员。他的执业领域是网络安全事件准备和响应、数据保护和战略、内部调查、合规性审查和监管防御。2021年,罗伯特被《全球数据评论》评为“40岁以下40人”。他被《美国法律500强》(The Legal 500 US, 2022)描述为网络法领域的“新星”。

Friedrich Popp博士是Debevoise & Plimpton LLP法兰克福办事处的国际法律顾问,也是诉讼部门的成员。他的业务重点是仲裁、诉讼、内部调查、公司法、数据保护和反洗钱。此外,他在并购、私募股权、银行和资本市场方面经验丰富,并发表了多篇关于银行法的文章。

免责声明】本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。

本文仅为分享、交流信息之目的,不构成对任何企业、组织和个人的决策依据。