跨境数据传输,对2023年英国关于国际数据的预测
英国暗示可能会在跨境数据传输保护监管方面跳出框框思考,在脱欧后的英国引入英国GDPR两年后。全球大流行开始三年后,这场大流行迫使人们围绕公共卫生和数据隐私之间的紧张关系展开讨论。距离 GDPR 在整个欧洲乃至全世界生效已有四年多了。但时间的流逝似乎并未削弱全球对数据和隐私问题的关注。
在这篇文章中,对未来一年英国和欧盟的跨境数据传输保护和隐私发展做出了一些预测。
1、英国脱欧后的数据保护改革
2023年是我们应该看到英国数据保护法改革的一年,因为在去年年底的政治动荡之后,英国将把重点转向数据保护和数字信息法案。但尚不清楚的是,这项改革究竟会是什么样子,以及它对英国在欧盟的充分地位意味着什么,因为英国希望在保持充分性与提供对商业更友好的隐私环境以推动创新之间保持平衡并减轻合规负担。也就是说,英国法律的变化可能不会对希望在整个欧盟采用单一方法的跨境企业产生太大影响,因此需要采用任何更高的欧盟标准,即便如此,改革在2023年还是可喜的。
2023年也是我们将看到更多与数据相关的立法和规则的一年,例如在线安全法案(以提高互联网安全)、产品安全和电信基础设施法案(以提高物联网产品的安全性),以及潜在的人工智能监管)。
2、在全球范围内加强隐私监管
2023年看起来是亚洲、非洲和中东建立新的和修订的隐私框架的一年,欧盟GDPR仍然引领着海外数据保护制度的灵感。印度首个针对数据保护的立法《数据保护法案》的修订提案预计将于2023年初提交给议会。修订版于2022年8月被撤回,并于2022年11月发布了一项规范性较低的提案,修订版预计将包含一个更简单的数据保护框架,主要与欧盟 GDPR 一致,以供立法批准,预计后续实施细则将对此进行细化处理。
其他希望在未来一年建立或重新审视其数据保护制度的地区可能包括尼日利亚、沙特阿拉伯和越南,加拿大和以色列的立法还没决定。澳大利亚的制度也仍在发展中,这些制度中的哪些将在年底前最终确定并通过成为法律还有待观察。
3、跨境数据传输——欧盟活动
跨境数据传输的主题似乎主导了2022年的数据保护讨论,尽管我们预计2023年这一领域可能不会发生如此大的变化,但跨境数据传输的复杂问题似乎不太可能消失完全。首先,我们不要忘记去年欧盟委员会的SCC常见问题解答文件中略带随意的评论,该评论证实委员会正在制定另一套标准合同条款,以应对数据进口商受到影响的情况由于第3条而适用于GDPR。
然后,在其他国际传输新闻中,欧盟委员会于12月启动了一项流程,以通过一项针对欧盟-美国数据隐私框架的充分性决定。如果过程顺利,2023年可能会通过一项新的充分性决定,涵盖向美国的转移,这将在一定程度上缓解许多欧盟组织在施雷姆斯之后将个人数据转移到美国时所面临的挥之不去的不确定性。在其他地方,对以色列司法部发布的关于从欧洲经济区传输的数据的隐私保护条例草案的评论征求意见期于12月结束,这些条例是否会正式推进还有待观察,如果是,可能会帮助保持以色列目前的充足状态。
4、跨境数据传输——英国立场
与欧盟一样,去年英国也围绕跨境数据传输话题大肆宣传,特别是随着国际数据传输协议 (IDTA) 和欧盟SCC国际数据传输附录的生效。虽然迄今为止我们已经看到更多英国附录的实施,基于许多处理个人数据的组织将处理欧盟和英国的个人数据,但已经开始看到更多 IDTA 的实施,预测这种趋势可能继续。展望未来,撇开英国数据保护制度,包括国际传输方面的制度,可能进行改革的可能性不大。
5、美国隐私变得更加严重,但仍然没有联邦法律
美国各州可能会在2023年继续通过新的全面隐私法来填补联邦法律形成的漏洞,想想新的加州隐私权法案和弗吉尼亚消费者数据保护法案,两者均于2023年1月生效,以及科罗拉多州和犹他州的新法律以今年晚些时候,导致立法拼凑而成。也可能看到各州解决更多离散问题,例如关于生物识别、健康数据以及最近在加利福尼亚所做的儿童隐私问题。然而,尽管新的数据隐私立法总是受到欢迎,但这些拼凑的法律无疑会给合规带来挑战,并导致企业负担越来越重。也许这将导致制定联邦隐私立法的压力不断增加。虽然2023年可能不会通过,如果有的话,我们可以期待在拟议的美国数据隐私和保护法案,被亲切地称为“美国 GDPR”方面取得什么进展?如上所述,还预计2023年将是欧盟-美国转移的充分决定的一年。
6、进一步走向数据本地化
尽管某些司法管辖区(例如英国/欧盟和美国)之间的国际数据传输预计会放宽,但到 2023 年是否会进一步走向数据本地化和区域实践?在Schrems II的失败中,希望避免在传输或实施补充措施方面进行尽职调查的时间、精力和成本的组织可能会继续根据托管位置自行选择供应商,以将数据保存在国家/地区而不是导航现在与跨境数据传输相关的监管挑战。此外,根据即将出台的《数据治理法》和拟议的《数据法》,对非个人数据传输的进一步潜在限制进行了导航,以及 EDPB 最近的建议,在其对公共部门使用基于云的服务的调查结果中,欧洲公共当局转向使用基于欧盟的“主权”云提供商而不是大型外国提供商,并且它观察2023年全球转移的整体影响将很有趣。然而,这一预测存在局限性;而数据本地化可能一个速盈注册,它并不总是合规性的速盈注册,因为它不切实际且不合理。
7、欧盟关注监管非个人数据
欧洲数据战略出台的大量立法看起来将在2023年继续,新立法将最终确定并确认立法何时生效。特别值得注意的是,欧盟正在寻求以《数据治理法》(DGA) 和拟议的《数据法》(DA) 的形式监管“个人数据”之外的数据使用,并建立九个欧洲共同数据空间,DGA 将于2023年9月申请,旨在增加对数据共享的信任;制定关于数据市场中立性的新规则;促进公共部门数据的使用。虽然DGA旨在建立一个跨部门的治理框架,使企业更容易访问和使用数据,
放眼国内,为了释放DCMS在其国家数据战略中承诺的“英国数据的力量”,今年英国的重点是否也将超越“个人数据”?还是英国数据保护制度的全面改革会掩盖这些努力?
8、不同的cookie方法和第三方cookie的消亡
这个预测现在看起来像是一年一度的仪式,但2023年会是我们最终看到欧盟电子隐私条例生效的一年吗?也许我们会在 2023 年年中或年底前实现——但即便如此,潜在的 24 个月过渡期也意味着该立法不会在 2025 年年中或年底之前生效。作为其数据保护制度改革的一部分,我们还会看到英国走向不同的方向吗?数据保护和数字信息法案提议对 cookie 进行改革,这将允许“选择退出”而不是“选择加入”cookie 同意模式,减少点击同意横幅的需要,这对许多人来说可能是个好消息. 到 2023 年,随着第一方数据和用户智能成为 AdTech 世界的新命脉,第三方 cookie 也可能会继续被弃用。
9、技术与数据监管——平衡行为仍在继续
在《数字服务法》和《2022 年数字市场法》出台之后,欧盟数字领域的监管步伐在未来一年没有放缓的迹象。随着组织努力负责任地使用新技术,我们将继续看到监管机构寻求制定适当的立法框架来解决出现的法律复杂性(包括在数据方面)并鼓励采用值得信赖的新兴技术,而不扼杀创新和技术投资。人工智能尤其如此,根据拟议的人工智能法案,欧盟正在率先采用基于风险的分层方法来监管人工智能系统,该法案预计将于2023年底获得通过。
2023年,英国也可能会发布期待已久的白皮书,阐述其“在治理和监管 AI 方面支持创新的国家立场”。基于AI监管政策文件2022,我们可以预期白皮书将采取按比例、部门主导的方式,具有共同原则,但不像欧盟那样规定性或集中化方式。与这种方法一致,看看数据保护和数字信息法案是否保留先前提议的放宽自动决策规则的提议将会很有趣。
鉴于欧盟委员会在未来几个月内也将注意力转向虚拟世界,预计2023年将出现大量棘手的监管考虑,从而扩展现有监管框架的应用。随着元宇宙中用户和虚拟环境之间更深入的交互、更深入的剖析和元宇宙平台之间多个数据集的共享,以及收集从基本标识符到敏感生物识别数据的个人数据的复杂数据控制链和处理器链运动和脑电波模式,期望隐私挑战仍然是任何相关欧盟倡议的前沿和中心。
10、通过竞争执法进行隐私监管
2023 年,欧盟法院将确定欧盟成员国的国家竞争主管机构是否有权在竞争诉讼中确定违反欧盟 GDPR,以及这在多大程度上可以构成确定侵权的基础竞争法。这些问题在Meta Platforms and Others v Bundeskartellamt 案的初步裁决参考中发挥了作用,在德国正在进行的关于 Facebook 是否通过其数据收集行为违反竞争法的诉讼中。去年 9 月,总检察长兰托斯发表了一项意见,得出的结论是,虽然竞争管理机构不能“主要”就违反 GDPR 做出裁决,但它可以将行为与 GDPR 规定的兼容性作为“偶然事件”考虑在内”适用竞争法时的问题。Advocate General opinions 对 CJEU 没有约束力,但在实践中经常被遵循。鉴于数据在许多组织的业务战略中发挥着越来越重要的作用,以及竞争主管部门和数据保护主管部门在数据处理问题上的职权范围越来越大的重叠,欧洲法院的判决备受期待。