《欧盟数字合规趋势与政策洞察》

编者按

2021年3月，欧盟委员会发布“2030数字指南针：数字十年的欧洲之路”，提出欧盟2030年成功实现数字转型的愿景。欧盟的雄心，是在一个开放和互联的世界中实现“数字主权”，在数字世界中独立行事，并推行其数字政策。这一愿景之下，欧盟近期在数字政策与监管方面进展迅速：

一是立法进展方面。 2022年10月，欧盟委员会发布《2023年欧盟委员会工作计划》，强调数字立法是其2023年政策的六大议题之一。除制定新法，其还将于2023年重点推进既有立法进程以求实现突破。2023年将重点推进的法案包括：《人工智能责任指令》《网络韧性法案》《数据法案》《安全联通条例》《欧盟数字身份条例》《平台用工指令》《人工智能法案》《电子隐私条例》以及《芯片法案》等。2020至2022年间，欧盟委员会发布了一系列数字立法议案。截至目前，欧盟数字治理版图已基本清晰完整。

二是顶层设计方面。2022年12月，《欧洲数字权利和原则宣言》签署。这一宣言体现了欧盟对以人为本、可靠、安全和可持续的数字化转型的承诺、其核心价值观以及保障基本权利的目标。这一宣言将成为政策制定者和企业处理新技术的指导方针，并将引导欧盟在全球范围内进行数字化转型。此外，近两年，欧盟委员会还在建立统一数字身份识别工具（欧盟数字身份框架计划）、设立监管辅助机构（建立欧洲算法透明度中心），以及统一应用欧盟数据处理规则（推出首个符合GDPR的数据保护认证机制Europrivacy）等方面取得进展。

三是数据跨境方面。国际合作层面，为促进跨大西洋数据的安全流动，2022年12月，欧盟委员会启动“欧盟—美国数据隐私框架充分性决定”进程，并发布充分性决定草案。依据草案，欧盟实体将能够向美国公司转移个人数据，而无需实施额外的数据保护保障措施。实务工具层面，欧盟委员会发布了新版欧盟标准合同条款（SCCs），要求数据传输方与境外数据接收方签署这一官方制定合同模板，以确保欧盟个人信息在出境后的保护水平不低于本国标准。

四是执法判例方面。2022年12月，欧盟法院发布一项在“被遗忘权”领域极具开创性初步裁决，明确了“被遗忘权”的新触发方式：取消引用权。这一裁决明确在搜索引擎运营商发布不准确信息时，数据主体行使取消引用权的权利，并将取消引用权的适用范围扩大至基于自然人名称进行图像检索所得的缩略图；同时，欧盟法院明确了信息获取自由的重要性。

2022年10月18日，欧盟委员会发布了《2023年欧盟委员会工作计划》（Commission work programme 2023，以下简称“计划”）[1]。该计划分为四个部分，其中第三部分为核心，列举并阐释了欧盟2023年政策的六大议题，其中数字立法是仅次于环保之后的第二大议题，主要包括以下要点：

● 计划明确提出，数字转型和绿色转型需要协同并进，因此，2023年3月16日，欧盟委员会发布了《关键原材料法案》[2]（EU Critical Raw Materials Act），旨在增加欧盟的战略原材料储备，在提取、加工和回收环节降低欧盟对其他国家的依赖。

● 欧盟也曾考虑对元宇宙领域[3]进行单独立法，但最终未选择通过立法的形式对其进行治理，而是将重点放在发展相关治理工具上，促进构建以人类为中心（human-centric）的虚拟世界。

● 欧盟版权法不适用于体育运动直播等场景，因此，欧盟委员会将于2023年发布一份关于打击盗版侵权直播的建议，尤其是在体育赛事直播方面。

● 欧盟将继续关注数据空间的发展。2022年，欧盟率先建设了医疗领域的公共数据空间，并且形成了一套非常庞杂的规则体系。欧盟下一个政策目标将聚焦在交通领域，并将于2023年上半年建设交通领域的公共数据空间。

● 2023年将是欧盟推出单一市场战略[4]的三十周年，因此，欧盟委员会将发布一个“单一市场通讯”（Single Market Communication），总结三十年来构建欧盟单一市场的成就、目前出现的执法漏洞，以及未来的工作重点。

除上述要点外，为了进一步激活市场并助力中小企业发展，欧盟委员会将推出中小企业纾困计划；此外，欧盟委员会还将于2023年推出数字技能提升和再培训的相关措施。

除制定新法之外，欧盟还将于2023年继续推进既有的立法进程并实现突破。2020—2022年，欧盟委员会发布了一系列数字立法议案，目前，整个数字治理版图已经基本清晰完整，立法工作已经开始进入收尾阶段。因此，2023年的工作计划也会将重心从新法的规划转向既有法律文本的打磨与敲定之上，将重点推进的法案包括：《人工智能责任指令》《网络韧性法案》《数据法案》《安全联通条例》《欧盟数字身份条例》《平台用工指令》《人工智能法案》《电子隐私条例》以及《芯片法案》等。

欧盟委员会每年都会通过一项年度工作计划，列明来年将采取的一系列行动。这一计划将向公众和联合立法者通报委员会提出新议题、撤回未决的提案，和审查现有欧盟立法的政治承诺。计划通常不包括委员会正在进行的部分工作：履行其作为条约监护人职责相关工作，推动现有立法或委员会每年通过的常规议题执行。

2022年12月13日，欧盟委员会启动了“欧盟—美国数据隐私框架充分性决定[5]”（Adequacy Decision for the EU-US Data Privacy Framework）的进程，并发布了充分性决定草案[6]。该框架将促进跨大西洋数据的安全流动，并试图解决欧盟法院在2020年7月Schrems II案裁决中提出的担忧。

在Schrems II案中，奥地利公民Maximilian Schrems在当地法院提起诉讼，认为美国关于个人信息保护的保护强度远低于欧盟，请求禁止Facebook将其个人信息传输至美国境内。随着整个诉讼的推进，欧盟法院先于2015年认定《安全港协议》[7]无效，数月后又同美国政府重新签订了保护水平高于前者的《欧美隐私盾协议》[8]。即便如此，2020年欧盟法院仍认定《隐私盾协议》因违反《欧盟基本权利宪章》（Charter of Fundamental Rights of the European Union）和《欧盟通用数据保护条例》（GDPR）而无效，美国企业不得基于该协议将欧盟用户信息传输至美国。

《欧盟通用数据保护条例》（GDPR）第45（3）条授予欧盟委员会评估和决定非欧盟国家能否有能力确保与欧盟相当的个人数据保护水平的执法权限。充分性决定草案反映了欧盟委员会对美国法律框架的评估，其结论认为，美国采取了与欧盟类似的保障措施，为欧盟公民提供了与欧盟法律规定相当水平的数据保护措施，确保了对从欧盟转移到美国公司的个人数据的充分保护。根据该草案，欧盟实体将能够向美国的相关公司转移个人数据，而无需实施额外的数据保护保障措施。

根据充分性决定草案，美国相关企业必须遵守详细的隐私保护义务，例如目的限制和数据保留相关义务，以及有关数据安全和与第三方共享数据的具体义务。当用户个人数据无需再被收集时，应删除数据，并确保与第三方共享数据时保护的连续性。如果欧盟公民的个人数据被违规收集处理，他们可依据充分性决定草案中的补救途径维护权益。

此外，充分性决定草案规定了对美国当局及情报机构获取数据的一系列限制和对欧盟公民的保障措施，特别是出于刑事执法和国家安全等目的进行数据收集和使用的行为。美国情报机构对欧盟数据的访问将仅限于保护国家安全所必需和相称的范围；欧盟公民可以在一项独立公正的救济机制启动前【其中，包括一个新成立的数据保护审查法庭（Data Protection Review Court）】，就美国情报机构收集、使用其数据的行为维护自身合法权益；前述法庭将独立调查和解决欧盟公民的投诉，包括采取有约束力的补救措施。

目前，欧盟委员会已向欧盟数据保护委员会（EDPB）提交了充分性决定草案，目前EDPB尚未批准该草案。2023年2月28日，EDPB发布了对该草案的意见，要求在数据主体权利、数据对外传输、豁免范围、临时大量收集数据以及救济机制的实际运作等方面进行澄清。此外，欧盟议会有权对该充分性决定草案进行审查。该程序完成后，委员会将着手通过最终的充分性决定。委员会希望在2023年夏天前实现这一目标。

欧盟—美国数据隐私框架的运作将受到定期审查，由欧盟委员会、欧盟数据保护各机构和美国主管当局共同进行。第一次审查将在充分性决定生效后一年内进行，以验证美国法律框架的所有相关要素是否已得到充分实施并在实践中实现了有效运作。

2023年5月22日，爱尔兰数据保护委员会（DPC）宣布对Meta爱尔兰采取执法行动，对其处以创纪录的12亿欧元罚款，这也是GDPR实施近五年以来的最高罚款。爱尔兰DPC同时要求Meta爱尔兰旗下的Facebook在此处罚决定发布后的五个月内停止向美国转移个人数据，六个月内停止在美国非法处理（包括存储）欧盟和欧洲经济区用户的个人数据，以使其处理个人数据的操作符合GDPR规定。

爱尔兰数据保护委员会（DPC）的这一最终决定表明，欧盟不相信Meta公司使用SCC和额外的保障措施可以填补Schrems II决定留下的法律空白。这再次表明，这是一个单靠公司无法完全解决的法律挑战。 

走出去智库欧洲地区合作律师网络（部分）：