GDPR从诞生之初就被赋予重任,但在其生效之后对GDPR的积极推广、消极质疑相伴相生。GDPR实施两周年之后,官方在2020年出具了两周年实施报告,报告对于GDPR给予了高度的评价,肯定其在数据保护以及激发公众数据保护意识方面的积极影响。但同时亦指出各国数据保护机构的执法能力极大受限于资金和人力的投入,由于各成员国对GDPR的执法重点和标准并不一致,执法差异性逐渐凸显。不少受GDPR约束企业也不时提出意见,称GDPR使得企业的合规成本直线上升,对中小企业的豁免也没有落到实处。尽管各国数据保护机构(Data Protection Agency,DPA)纷纷开具巨额罚单,但相比于用户的投诉量而言,被处罚的案例仍然是冰山一角。有数据显示,在部分成员国,仅有0.15%的投诉得到调查。1如今距离2018年5月25日已经三年有余,关于GDPR在市场上的评价是否有新的动态,对GDPR的表现力和具体作用是否有更新情况,是本文探究的重点。
本文希望通过整理欧盟委员会在2021年有关数据领域的立法活动以及欧盟数据保护委员会(European Data Protection Board,EDPB)、欧洲数据保护监督机构(European Data Protection Supervisor,EDPS)对欧盟委员会法案以及数据活动所发布的意见、欧盟各国数据保护机构的处罚案例以及各类机构所发布的GDPR评估报告,分析2021年内GDPR的实施情况和对GDPR的评价。
GDPR成为新技术立法基础框架
2021年,EDPB和EDPS针对AI、在线支付、数字欧元等新兴技术领域的数据处理活动发布了指引意见。2021年5月20日,EDPB发布了关于在线交易活动中存储信用卡数据的指导意见,主要是针对个人通过在线网易或应用购买产品或者接受服务并需要提供信用卡数据进行支付的交易活动中,数据控制者存储信用卡数据的条件以及期限。EDPB认为,个人于在线交易中对信用卡数据储存的时间之预期应当是不超过支付商品或者服务所需要的时间,且难以认为数据控制者在此之外继续存储信用卡数据具有正当的理由及目的,因此,如果数据控制者希望在购买活动结束后还能够储存信用卡数据,必须根据GDPR第6条(a)项取得个人的同意。2
在2021年6月21日,EDPB和EDPS针对AI中涉及个人数据处理的活动发布了共同意见,强调在应用AI技术处理个人数据时,仍然需要遵守以GDPR为基础的欧盟数据法律框架,且遵循欧盟数据立法所确立的法律义务是相关AI产品进入欧洲市场的先决条件。同时,两机构除了呼吁全面禁止使用AI自动搜索和识别可以公开访问的空间中储存的个人信息以外,还建议禁止利用人工智能技术将人根据种族、性别、性取向等歧视性理由进行分类。对于利用人工智能对个人进行评分的活动,除非基于健康等特殊、正当目的,否则也应当予以禁止。此外,EDPB的主席Andrea Jelinek认为,在公共场所部署生物识别设备间导致公众丧失在公共场所的匿名期待,因此我们如果需要维护我们的自由,就应当全面禁止在公共场所布置面部识别设备。3
符合隐私保护标准成为公众对于欧盟新兴科技的基本要求。在2021年7月14日,欧洲央行正式宣布数字欧元(Digital Euro)项目的启动,而在此之前,其便针对数字欧元的设计开展了公众咨询。4咨询结果显示,保护隐私是公众和专业人士认为数字欧元应当具备的基本功能,但他们亦同意应当在保护隐私与维护金融安全、打击违法犯罪之间取得平衡。EDPB在其就数字欧元中的隐私及数据保护问题向欧盟各机构发出的建议信中亦指出,数据保护应当被作为一项数字欧元的重要因素予以考虑,同时注意平衡个人数据权利与金融稳定、货币政策以及反洗钱等公共利益的关系,将隐私及数据的风险降到最低。具体而言,其担忧如果数字欧元在制度上不能设计得当,可能会存在侵犯个人数字权利的风险,例如在支付系统中对于使用者的追踪可能导致政府机构或市场经营者过度干预个人活动的风险。因此,中央银行等机构在设计数字欧元制度时,应当平衡反洗钱、反恐怖活动等公共利益需求与隐私及数据保护之间的关系,包括对资金追踪及审查设定相应的金额阈值,以保障日常生活中的交易活动能够保持匿名化,以及在满足反洗钱需求的基础上,允许使用者采用化名进行活动。5数字欧元将会由欧洲央行进行保护和监管,数字欧元是作为现金的补充,而不是取代。此外,信中还建议数字欧元在使用过程中应当保持数据最小化以及目的限定,EDPB认为应当在数字欧元的使用过程之进行全面的基本权利影响评估,未来在数字欧元的使用过程当中,仍然建议要求相关数据控制者进行个人信息影响评估。特别的,在数字欧元的探索阶段,更是需要进行更高水准的影响评估。
在2021年EDPB和EDPS针对新兴科技领域发布的意见及建议中,其往往对于新行业的发展表达欢迎和支持的态度,但对于新行业中的数据处理活动,其往往重申和强调“唯有通过较高水平的个人数据保护,才能够建立公众对于新科技的信任”以及“GDPR从来不是新科技发展的阻碍,而是新科技发展的基础”的观点6,从而要求其严格遵守“告知——同意”等GDPR所确立的规则,并且对于公共监控、面部识别以及个人评分等新应用形式持极其谨慎的态度,更倾向于禁止这些高数据风险应用的发展。7
GDPR施行现状
(一)权利保障初显现,责任机制正在落实
GDPR在保障公众数据权利上发挥重要作用。其通过赋予个人以广泛的数据权利,有效地激发人们的数据维权意识,保障了人在科技发展当中的核心地位,增强了个人数据处理活动的透明度,构建了一个新的数据治理体系和更为公平的竞争环境。根据欧盟基本权利机构(European Union Agency for Fundamental Rights,FRA)发布的“2021年基本权利报告”的统计数据,在2019年的欧盟,已有超过70%的人对GDPR有所了解,而各国DPA收到的投诉案件数量更是大幅增长。8
作为保障权利的有力手段,GDPR所确立的以严厉著称的责任机制正在得到落实。截止至2021年末,各国DPA针对数据违法活动已累计开出了超过12.5亿欧元的罚单。同时,欧盟以及各国的执法机构亦通过发布指引与执法相结合的方式治理侵害公众数据权利的违法行为。以Cookie的规范与治理为例,在2021年,法国数据保护局(Data Protection Authority for France,CNIL)在EDPB发布的指引基础上发布了关于运用Cookie及网络追踪器的新建议,明确指出将同意作为浏览或进入网站前提的“Cookie墙(Cookie Wall)”模式违背了GDPR中的知情同意原则,用户在此基础上作出的同意并非自由作出的。在该指引生效后,法国CNIL便对各网站的遵守情况进行了巡查,对于未满足指引要求的网站和组织发出通知。此后,其更是对未能遵守指引和建议的费加罗(Societe Du Figaro)公司处以5万欧元的罚款。对于Cookie的治理活动并不限于法国境内,西班牙、挪威等国的DPA都对涉Cookie的违法行为开出了相应的罚单。9
(二)巨额罚款难落地,被罚企业异议不断
GDPR施行以来,以其大额罚款声名大噪。根据CMS Legal 所发布的GDPR执法追踪报告,在GDPR的罚款案件中,“数据处理的合法性不足”(Insufficient legal basis for data processing)以及“缺乏数据保护的技术措施以及组织架构”(insufficient technical and organisational measures)是最为常见的处罚原因。此外,不遵守数据处理的一般原则也成为惯常使用的缘由之一。其次,因个人的数据权利未能得到充分保障以及数据控制者未能充分履行义务而受到处罚的案例数量在总数量中分别排第四和第五位。10
在2021年根据GDPR所作出的所有处罚中,卢森堡数据保护委员会(Luxembourg’s National Commission for Data Protection,CNPD)对亚马逊开出的7.46亿欧元以及爱尔兰数据保护委员会(Irish Data Protection Commission,DPC)对Facebook旗下的Whatsapp软件开出的2.25亿欧元巨额罚单最为受人瞩目。根据华尔街日报的报道,亚马逊因涉嫌收集和使用个人数据而受到该高额罚款。11此外,CNPD还责令亚马逊改正其错误,否则将每天处以74.6万欧元的罚款,而亚马逊在其主动披露的文件中声称,该处罚决定是没有法律依据的,其将针对处罚决定提出上诉。在2021年12月,卢森堡行政法院(Luxembourg’s Administrative Court)院长认为CNPD并未指明亚马逊应当如何改正其违法行为,因而裁定亚马逊暂时无需支付该罚款,并将在2022年对该罚单的上诉作出裁决。12根据EDPB以及爱尔兰数据保护委员会所公布的处罚决定,Whatsapp主要是违反了GDPR所规定的透明性原则,其没有明确地向其用户说明WhatsApp与其母公司Facebook共享数据的范围以及将如何利用所共享的信息等处理规则;在将案件根据GDPR第65条提交EDPB裁决后,EDPB最终作出了对WhatsApp处以2.25亿欧元罚款以及责令其采取相应的补救措施的处罚决定。而WhatsApp则认为这一罚款的决定不具有合比例性,明确表示其会对该决定向爱尔兰法院提起诉讼。但在收到该处罚决定后,WhatsApp便对其欧洲用户的隐私政策进行了更新,进一步明确了WhatsApp如何将个人数据传输到其母公司Facebook(Meta)。13在2021年11月,爱尔兰高等法院已经允许WhatsApp对该处罚决定提起诉讼。14
值得注意的是,2021年首次出现中国公司因违反GDPR而受到处罚的案件,即荷兰数据保护局(Dutch Data Protection Authority)对Tik Tok侵犯儿童隐私权而对其处以75万欧元的处罚。荷兰DPA认为,Tik Tok向荷兰用户所提供的隐私政策是英文的,并不便于荷兰用户理解,尤其是对于荷兰的儿童用户,其无法充分地知晓个人数据的处理规则。在受到调查后,Tik Tok主动地修订了自己的隐私政策,但对于75万欧元罚金的处罚决定,Tik Tok亦提出了异议。15
(三)执法现状受牵制,联合执法亟待加强
在ICCL(Irish Council for Civil Liberties)发布的2021年DPA执法能力评估报告16以及Access Now在GDPR实施三周年之际发布的GDPR实施进度报告17中对于GDPR的指责主要集中在监督力度不足、DPA资源不足、案件处理效率低、各国DPA不同的执行力度以及低效的联合执法机制等方面。
爱尔兰数据保护委员会(The Irish Data Protection Commission,DPC)遭受了各机构最为强烈的指责。由于爱尔兰的税收政策优势,包括Apple、eBay、Facebook、Google、Microsoft等大部分互联网巨头的总部都设立在爱尔兰,且在欧盟各成员国之间转介的投诉案件中,五分之一的案件都转介至爱尔兰,这意味着DPC是欧盟境内唯一能够监督和制裁这些大型互联网公司的执法机构,亦是执行GDPR的主要力量。虽然DPC在2021年对Facebook开出了2.25亿欧元的巨额罚单,但DPC处理投诉案件以及制裁数据违法活动的情况并不尽如人意,根据ICCL的报告,98%的转介投诉案件都仍然没有得到解决,而在GDPR实施的三年内,DPC仅向EDPB提交了4份处罚决定草案。18在2021年3月,德国联邦数据监管机构(Germany’s federal data regulator,BfDI)以及欧盟议会的公民自由、正义和内部事务(civil liberties, justice and home affairs,LIBE)委员会更是分别对DPC怠于监管包括Facebook在内的科技公司提出了谴责,而DPC则对这些指责提出了反驳。19
造成DPC怠于履行其监督和处罚职责的原因是多方面的。一方面,爱尔兰政府为了使这些科技企业的欧洲总部留在其境内,其显然不想看见DPC与大型科技企业之间的关系趋于紧张,因而不愿对这些公司进行监督和处罚。另一方面,Access Now的报告指出,DPC的预算虽然在GDPR实施以来逐年增加,但其规模与Google、Microsoft等大型科技企业的营收相比仍然是微不足道的,某些科技企业的收入甚至高于爱尔兰的GDP,这意味着这些企业在资源方面相较于DPC具有优势地位,他们可以运用大量的资源对处罚的决定进行上诉或拖延处罚决定的执行,且类似的问题亦普遍存在于各欧盟成员国之中。20
针对跨境转介案件处理效率低的问题,Access Now的报告则将矛头指向了GDPR第62条所规定的联合执法机制,又称为一站式服务(One Stop Shop,OSS)机制。该机制要求对于涉及跨境数据处理活动或者数据处理者在多个欧盟成员国中有分支机构的案件,相关成员国的DPA都有权联合调查该案件,而这些调查活动将由涉案企业的主要机构所在地的DPA作为主导监管机构(Lead Supervisory Authority)进行协调。此种协调机制本意在于使各国DPA能够全面合作,然而在实践中,主导监管机构的活动往往低效且不透明,各国的DPA之间更是没有适合数据监管活动的沟通系统,而是采用非专业的IMI(Internal Market Information System)系统,降低了沟通的效率。
此外,虽然GDPR的执行中存在一些普遍性问题,但不同成员国的DPA对GDPR的实施积极性仍有较大的区别。执行GDPR最为积极的西班牙DPA自2018年以来已经开出了223张罚单,而爱尔兰等国家仅开出了个位数的罚单,斯洛文尼亚更是仍未将GDPR充分纳入国家的法律。21
(四)合规成本显提升,对技术创新影响暧昧不清
根据IAPP和安永(EY)联合发布的调查结果,2021年企业对于数据合规的预算投入平均为83.7万美元,相较2020年增长了29%,而大部分的受访者认为他们所在企业的隐私预算仍然无法满足其需求。根据IAPP和安永(EY)的报告预测,由于GDPR对于数据跨境流动越来越严格的规制,欧盟的每年出口规模将降低4%,每年的GDP将减少1%,持续到2030年企业的损失将达到1.3万亿欧元,并因此而减少130万个工作岗位。22
合规成本的不断攀升将对中小科技企业产生极大的负面影响。对于Google、Facebook等大型科技企业而言,虽然数据合规成本在不断增加,但是相较于其收入仍然是可以负担的;但对于中小企业而言,数据合规的成本可能远高于其数据活动的收入,这将严重打击技术创新的积极性,反而加强了大型科技企业的竞争优势和垄断地位。此外,数据规定的不断变化使企业的数据合规境况进一步复杂化,成本也不断增加。在EDPB和EDPS针对AI中涉及个人数据处理的活动发布了共同意见中,其便呼吁欧盟应当全面禁止使用AI自动搜索和识别可以公开访问的空间中储存的个人信息,包括人脸、步态、指纹、DNA、语音以及其他生物特征,但在GDPR第9条中,处理个人主动公开的敏感信息是被允许的,因此该意见实际上收缩了合法处理公开个人数据的空间。对于此种规则的变动,IAPP在其发布的隐私风险研究报告中指出,隐私法规要求的不断变化导致数据合规的不确定性,企业需要分配大量的资源应对此种不确定性,以避免受到处罚和诉讼。密切参与 GDPR 起草过程的欧洲议会成员 Axel Voss认为,GDPR未能实现预期目标,还导致了大量的官僚主义现象和高昂的合规成本,严重阻碍了欧洲的数字化转型,应尽快修复其暴露出来的问题。23
欧盟推进GDPR有效执行的策略
(一)改进联合执法机制,及时执法以避免倒退
欧盟层面显然也意识到GDPR存在执法孱弱的问题。在GDPR实施三周年之际,作为欧洲数据保护监督员的Wojciech Wiewiórowski在其文章中提到,在未来,数据保护机构应当勇敢地进行执法活动,让GDPR实际发挥作用,尤其是针对那些对数字行业生态带来系统性的严重危害的大型企业应当充分利用GDPR提供给各机构的执法手段。24
要提高GDPR的执行力,首先需要在规范层面对第七章第二节说规定的一站式服务(OSS)机制进行改革。Access Now的报告中建议,EDPB应当协调各国的DPA,制定一份OSS机制的详细指引,明确每个调查程序的期限以提高案件的办理效率。25
其次,GDPR的执行不能够完全依赖各国DPA的主观能动性,而需要在欧盟层面进行必要的监督。ICCL的报告呼吁,欧盟委员会应当运用《欧洲联盟运作条约》(Treaty on the Functioning of the European Union)所赋予的权利,对怠于履行数据监管义务的成员国以及未能保障DPA独立地位的成员国发表督促意见乃至提交欧盟法院。此外,欧盟委员会应当主动对GDPR的实施情况进行监测,要求EDPB和各国DPA提交包括个案处理时间、处理数量以及行使调查权次数等数据。26
最后,各国的DPA必须充分行使GDPR所赋予的执法权,制裁违法处理个人数据的科技企业,尤其是大型科技企业。在Access Now的报告文末指出,如果欧盟各国不能增强其执行GDPR的力度,那么欧洲的数据保护状况将会倒退回2018年GDPR生效前的指令时代。27GDPR设置以科技企业全球营业额为计算基准的高额罚款,其目的在于提高企业的违法成本,扼杀数据违法活动的收益,避免罚款成为科技企业逐年缴纳的“违法税”,但如果各国DPA不能对大型企业违反GDPR的行为及时执法,这些企业的违法收益将远高于其受到的罚款,况且企业能够运用复杂、冗长的法律程序拖延处罚决定的执行,这将导致GDPR的执行陷入恶性循环。要跳脱出这一循环,一方面依赖各国DPA积极、果断地对企业作出处罚,另一方面要求各国DPA运用GDPR第66条所规定的临时措施纠正科技企业的违法行为,及时保护公民的数据权利。
(二)不断推出细化指南和建议,统一各国理解
为确保GDPR在整个欧盟经济区(EEA)范围内适用的一致性,欧盟数据保护委员会(EDPB)发布了通用指南用于澄清欧洲数据保护法。这些指南为公众和利益相关者提供了有关权利和义务的统一解释,并确保成员国监管机构(SA)在GDPR的适用和执行基准上保持一致性。EDPB 从2018年开始就开始发布指南和建议,对重要概念和制度进行解释。迄今为止,共出具了54份指南和5份建议,分别在2018年发布指南15份,2019年发布指南10份,建议一份,2020年发布指南15份,建议1份,2021年发布指南12份,建议3份,2022年发布指南2份。
指南和建议在数据权利及其限制、合法性基础、个人数据侵权通知形式、重要概念澄清以及新技术新情况下个人信息的使用指引方面进行了说明。28例如数据保护委员会(EDPB)就访问权、被遗忘权、可携带权发布了相关指南,为权利的进一步落地和各国的执法依据进行统一。在指南中,EDPB会以概念解释和生动案例进行澄清,例如在关于访问权的指南中,EDPB 对 GDPR 第 15 条访问权的 4 个条款,通过《数据主体权利指南 01/2022-访问(副本)权1.0版 》,抱以 50000 多字符数(中文数)进行事无巨细的释义。毫无疑问,欧盟在试图将欧盟范围内统一对GDPR的理解做了很多工作,指南的出台也会进一步完善GDPR的具体制度。
结语
GDPR正式实施的三年来取得了广泛的国际影响力,同时也面临着许多操作层面上的困境。例如,其监督和执法情况并不理想,这可能使其所确立的各项数据权利沦为纸面上的空谈,更难言营造一个良好的、公平的竞争环境。GDPR在保护个人数据权益的同时,也造成了企业在服务创新上的谨小慎微,而这将可能扼杀欧盟企业赶超世界信息产业发展水平的希望,最终却加强了科技巨头的垄断地位,使得执法机构与大型企业之间的规模差距更为悬殊,面对他们的数据违法行为陷入“心有余而力不足”的尴尬境地。
纵观2021年的欧盟数据立法活动,欧盟显然也意识到了其在数据共享方面的疲弱,正在积极推动相关的立法。但从已经公布的各项立法草案来看,欧盟委员会仍试图在GDPR的框架下寻求个人数据共享的有效途径,其一方面明确表示这些立法不会有损GDPR的效力,另一方面亦希望通过创设新的法律概念以降低数据流动的门槛和成本,而这必然对GDPR的原则有所突破。GDPR路在何方,让我们一起期待。
1. Axel Voss: Position Paper on Fixing the GDPR: Towards Version 2.0, The Group of the European People's Party(25 May 2021), https://www.axel-voss-europa.de/wp-content/uploads/2021/05/GDPR-2.0-ENG.pdf.
2. EDPB adopts opinions on first transnational codes of conduct, Statement on Data Governance Act, Recommendations on the legal basis for the storage of credit card data, EDPB(20 May 2021),
https://edpb.europa.eu/news/news/2021/edpb-adopts-opinions-first-transnational-codes-conduct-statement-data-governance-act_en.
3. EDPB & EDPS call for ban on use of AI for automated recognition of human features in publicly accessible spaces, and some other uses of AI that can lead to unfair discrimination, EDPB(21 June 2021),
https://edpb.europa.eu/news/news/2021/edpb-edps-call-ban-use-ai-automated-recognition-human-features-publicly-accessible_en.
4. Eurosystem launches digital euro project, European Central Bank(14 July 2021), https://www.ecb.europa.eu/press/pr/date/2021/html/ecb.pr210714~d99198ea23.en.html.
5. EDPB letter to the European institutions on the privacy and data protection aspects of a possible digital euro, EDPB.
6. EDPB & EDPS adopt joint opinion on the Data Governance Act (DGA), EDPB(10 March 2021), https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinion-data-governance-act-dga_en.
7. GDPR: a three-year-old who must still learn to walk before it runs, Wojciech Wiewiórowski, EDPB(10 March 2021),
https://edps.europa.eu/press-publications/press-news/blog/gdpr-three-year-old-who-must-still-learn-walk-it-runs_en.
8. Fundamental Rights Report 2021, European Union Agency for Fundamental Rights,2021.
9. Nichole Sterling: International Data Protection Update – Summer 2021, Baker Hostetler (September 21, 2021),
https://www.bakerdatacounsel.com/eu/international-data-protection-update-summer-2021/.
10. CMS Legal: GDPR Enforcement Tracker Report,2021.
11. Sam Schechner, Amazon Faces Possible $425 Million EU Privacy Fine, The Wall Street Journal(June 10, 2021),
https://www.wsj.com/articles/amazon-faces-possible-425-million-eu-privacy-fine11623332987?mod=article_inline.
12. Kate OGLESBY, Court halts Amazon daily fine in legal data tussle, Luxembourg Times(Dec 17, 2021),
https://www.luxtimes.lu/en/business-finance/court-halts-amazon-daily-fine-in-legal-data-tussle-61bc9b7bde135b92369ae742.
13. AMAZON.COM, INC.FORM 10-Q For the Quarterly Period Ended June 30, 2021.
14. Aodhan O'Faolain: WhatsApp Ireland allowed to challenge €225m GDPR fine in High Court, The Irish Time(Nov 8 2021),
https://www.irishtimes.com/business/technology/whatsapp-ireland-given-permission-to-challenge-dpc-s-225m-fine-1.4722727.
15. Binding decision 1/2021 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding WhatsApp Ireland under Article 65(1)(a) GDPR, European Data Protection Board.
16. Irish Council for Civil Liberties: ICCL’s 2021 report on the enforcement capacity of data protection authorities,2021.
17. Estelle Massé: Three Year Under EU GDPR: An Implementation Progress Report, Access Now,2021.
18.同注17。
19. Derek Scally: Irish data regulator sparks row with EU colleagues on Facebook oversight, The Irish Times(Mar 17, 2021),
https://www.irishtimes.com/business/economy/irish-data-regulator-sparks-row-with-eu-colleagues-on-facebook-oversight-1.4513065.
20. 同注17。
21. 同注17。
22. Müge Fazlioglu: IAPP-EY Annual Privacy Governance Report 2021, IAPP&EY,2021.
23. University of Maine School of Law Student Jason Meuse et al.: Privacy Risk Study 2021, IAPP
24. GDPR: a three-year-old who must still learn to walk before it runs, Wojciech Wiewiórowski, EDPB(10 March 2021),
https://edps.europa.eu/press-publications/press-news/blog/gdpr-three-year-old-who-must-still-learn-walk-it-runs_en.
25. 同注17。
26. 同注16。
27. 同注17。
28. EDPB发布的指南和建议的内容包含:重要概念解释,例如控制者和处理者、同意、合同所必需,以及其他重要制度的解释与澄清:个人信息侵权通知、管辖范围与数据跨境、个人信息主体权利限制、数据跨境工具以及传输补充工具、虚拟语音辅助、促进在线交易的指南、针对社交媒体用户的指南、主管机关、数据保护机关的合作、在线网连车、《执法指令》下的充分参考建议、数据泄漏通知示例、个人数据跨境传输、第二支付指令和GDPR相互作用、隐私设计、遗忘权、同意、疫情下位置和接触者追踪工具、为科学目的处理。具体可见于EDPB的官方网站:
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/position-paper-derogations-obligation-maintain-rrecords_en.
撰稿 | 何深睿,清华大学智能法治研究院实习生;石玉珍,清华大学法学院2019级计算法学方向硕士研究生
修改 | 刘云
编辑 | 朱正熙,清华大学智能法治研究院实习
