Access Now发布GDPR实施两周年的进度报告 —

Access Now发布GDPR实施两周年的进度报告 ——进展情况、分析和建议

研究成果研究成果

2020年07月25日 09:29:35 作者:侯梦婕、刘阳婕、余远芳、范延衣来源:互联网法治研究

译者序

自《通用数据保护条例》(GDPR)生效以来，其促进了欧洲数据保护意识的觉醒，也成为全球数据保护的标杆。但过去两年中，行政危机、政治危机、人权危机等不断显现，影响着GDPR的实施，新冠肺炎疫情的爆发更是进一步挑战了GDPR的稳定性。要使GDPR的立法目标得以充分实现，还需解决来自内部与外部的多重挑战。

Access Now是一个在世界范围内致力于捍卫和扩展用户数据权利的全球性NGO组织。2020年5月，Access Now发布了GDPR实施两周年的进度报告。介绍了GDPR的实施情况；分析了多重危机如何影响GDPR的实施；为解决具体问题，推进GDPR的适用，Access Now还面向不同主体，在报告中提出了具有可操作性的方案和建议。

摘要

《通用数据保护条例》（GDPR）实施已有两年。我们目睹了其最初产生的积极影响，也见证了条例实施过程中权力机关、法院和民众所面临的挑战。事实证明，在过去的12个月中，欧盟乃至整个世界都面临着重大的政治和健康危机，保护个人信息、执行GDPR更显急迫。

在2019年5月发布的第一份GDPR进度报告中，我们写道：“对于大多数人来说，2018年数据保护是在欧洲觉醒的一年。尽管如此，如果要使GDPR发挥其最大的潜力，2019年必须是执行之年。”然而，事实证明，2019年是充满危机的一年。从公共卫生到政治危机，从侵犯人权到行政积压，一系列的挑战考验着GDPR的稳定性。

在本报告中，我们研究了去年多重危机如何影响GDPR的适用。首先，我们将解决一些内部挑战。为实施GDPR而建立的机制已开始显示其局限性，数据保护部门（DPAs）之间缺乏合作以及缺乏资源开展工作的问题需要尤为关注。然后，我们将分析外部危机（例如英国脱欧和新冠肺炎爆发）如何进一步影响GDPR的适用。在本篇报告的结尾，我们将提出一系列建议，以使欧盟委员会，欧盟各国和数据保护部门能够解决适用GDPR所面临的障碍。

2020年5月不仅意味着GDPR实施两周年，这一月份，欧盟机构也首次对GDPR发表官方评论。Access Now通过多方参与的专家组向欧盟委员会提出了有关意见，致力于推进GDPR的实施。

本报告的发布与该法的回顾过程相吻合，是一个显示GDPR作为成功范例的机会。本报告包括：GDPR在危机期间的稳定性和保障人权的能力；其在促进权利保障中所起到的作用；其作为全球参照标准的能力（其使欧盟成为了数据保护领域的世界领导者）等等。但是，我们还必须反思以下问题，例如：GDPR如何被滥用于压制记者和非政府组织；此外，由于数据保护部门之间缺乏合作，进一步减缓了GDPR的执法步伐，这种减缓又是怎样威胁到其在数据保护方面改变私主体规范和实践的长期能效。

在本报告中，我们进一步关注到实际执法速度与公众对执法的评价之间存在脱节。数据显示，自2018年5月以来，数据保护部门已开展调查，罚款金额成倍增长。但是，尚不清楚这些执法措施在某些情况下会产生怎样的影响，我们将继续等待一些重大案件的解决方案，这可能会促使侵入性数据收集行为发生较大的变化。

同时，GDPR的反对者正在利用回顾程序，将其作为修订法律条文的机会，并试图删除许多权利保障条款。而欧盟在充分实施、应用和执行GDPR之前，就对其进行改革是不明智的。

欧盟机构和成员国花了五年时间在巨大的外部压力下就GDPR进行谈判，因此，两年内它的执行并不完善也就不足为奇了。但是，我们需要的不仅仅是耐心，要看到GDPR的承诺得到兑现，还需要采取更为具体、更迅速的行动，数据保护部门必须更快、更加协调地工作。GDPR的强弱取决于它最薄弱的环节，我们不能让薄弱环节留待实施并成为代表我们权利的一部分。如果缺乏实施，即使是世界上最完善的法律也将收效甚微。对执法成本的担心和拖延战术严重限制了数据保护部门在关键案件中处理科技巨头能力，这些公司的收入有时比数据保护部门的预算高十倍。为了消除这种不平衡，成员国和欧盟必须向数据保护部门提供充足的资源并保障其独立性。

GDPR经受了两年的考验、危机和挑战，我们呼吁欧盟机构和数据保护部门进一步推动法律的实施和执行。

引言

GDPR于两年前开始实施。实施首年，GDPR使得公民、政府和企业对数据权利的保护意识攀升。尽管我们寄希望于第二年的重点在于法律执行，但事实证明这对GDPR来说充满挑战。在过去的12个月中，GDPR面临着行政和政治危机，并不得不适应公共卫生危机。

数据保护部门不仅共同致力于执行GDPR，甚至有时为执行该法而竭尽全力。新冠肺炎的爆发考验了其在危急时期保护人权的能力；在一些欧盟成员国中，存在滥用GDPR以伤害记者和民间社会行动者的行为；英国脱欧的决定也影响了其在欧洲的实施，并对欧洲的个人数据保护的产生了一定影响。

在本报告中，我们研究了这些挑战，并向成员国、欧盟委员会和数据保护部门提供建议以解决在GDPR实施过程中面临的棘手问题。

I.GDPR与执行：行政危机

A.公众未感受到罚款力度

2019年5月，Access Now发布了一份报告，其中重点介绍了GDPR实施和执行中存在的几个问题。当时，我们提请注意投诉的处理速度缓慢。2018年5月以来，制裁与罚款的数量和强度不断增加，很明显，数据保护部门增强了GDPR的执法力度。但是，市场和消费者尚未感受到这些执法行动的整体影响。

从2018年5月到2020年3月，数据保护部门实施了231次罚款和制裁。如下图所示，自GDPR生效以来，这些罚款的数量和规模呈指数型增长。尽管增长是正向的，但与人们在2019年5月之前提出的144,376项投诉相比，罚款次数仍然很低。

虽然并非每份投诉都会导致罚款，还可以采取其他制裁措施来解决违反数据保护的问题，但仍有大量的投诉没有得到解决。数据保护部门现在面临着投诉积压的问题。除了关注他们可能自行发起的调查之外，我们还在等待数据保护部门对这些投诉作出回应，以保护我们的权利。

到目前为止，罚款次数最多的西班牙实施了81次罚款；紧随其后的是罗马（26次）和德国（25次）。需要指出的是，虽然大多数国家只有一个数据保护部门，德国由于联邦制的缘故，有17个独立的数据保护部门，使得罚款的次数相对较少。

在罚款金额方面，到目前为止，英国实施的罚款总额最多，超过3.15亿欧元。但是，针对英国航空（British Airways，2.04亿欧元）和万豪国际（Marriott International，1.1亿欧元）的两项最高罚款已经被两次延期。他们原计划分别于5月18日和6月1日生效。然而，英国政府于5月12日第三次推迟对万豪国际的罚款。罚款的最终决议有望于9月30日做出，这距离首次提出罚款已经超过一年。雪上加霜的是，在宣布第二次延期的当天，万豪国际承认了三年来发生的第二次数据泄露，这次涉及520万顾客的个人信息。

紧随英国之后的是法国，处以5100多万欧元的罚款，几乎所有的罚款总额都来自于谷歌。该公司现在正在就该决定提起上诉。

处理涉及Amazon、Facebook、WhatsApp、Twitter、,PayPal、 Instagram、Microsoft、Google等案件的机构位于爱尔兰和卢森堡，但迄今为止，尚无任何针对这些科技巨头的罚款。而与此同时，在2018年和2019年中，爱尔兰当局共收到11,328份投诉。

除了罚款以外，自2018年5月以来，还实施了其他重要的惩罚性措施。在调查发现政府税务局未经适当同意便收集了数百万公民的生物识别数据后，英国数据保护部门发布了强制执行通知，要求税务局删除所有包含非法收集信息的数据库。这一标志性的决定不但解决了最初的数据违规问题，而且还防止了数据的进一步使用（或滥用），对人们的权利产生了直接影响。这也向企业发出了强烈信号，即那些未能落实数据保护可能不仅需要承担经济责任。

B.数据保护部门资源匮乏

自从GDPR实施之日起，我们就知道，提升数据保护意识、执行和改变数据保护行为需要时间，因为政府需要提供指导并重新组织自身职能运作。

在去年的报告中，我们写道：“数据保护部门作为监督和执行GDPR的主要部门，将对GDPR的成功与否起到核心作用。为此，至关重要的是成员国们尊重并保证这些部门的独立性，同时为他们提供更多的财政和人力资源，以确保其能够充分履行职责。”

但一年以后，情况并未改善。如下图所示，自2019年以来，欧盟范围内数据保护部门的雇员数量几乎没有增加。从这些部门与欧盟数据保护委员会（EDPB）发布的信息来看，2020年欧盟范围内的员工总数将基本保持不变。

数据保护部门是决定GDPR成败的关键。如果其不执行法律，作为个人的我们可能永远无法从中受益。为使数据保护部门能够正常运行并解决已经提交的大量投诉，必须增加分配给他们的资源。Politico Europe报道，许多数据保护部门都对当前的预算和资源表示不满。在来自英国、挪威、冰岛、以及27个欧盟国家的30个数据保护部门中，只有9个数据保护部门对资源配置水平表示满意。

上图展示了欧盟各国数据保护部门之间预算的巨大差异。尽管德国在人员编制和经费筹措上均名列前茅，但这些资源却要分给17个数据保护部门，分别是16个地方部门和1个联邦部门。因此，综合而言，英国数据保护部门拥有最多的雇员和财政资源，它也是少数拥有内部专业技术的机构之一，这对于开展独立调查十分重要。但随着英国脱欧，在欧洲数据保护委员会内协同合作的欧洲政府网络将失去这个资源丰富的机构的支持。

英国的预算是意大利的两倍，比法国的三倍还要多，而这三个国家的居民和经济体量大致相同。但这并不意味着英国的预算过于宽裕，实际上其可能是唯一一个拥有足够资源的机构。欧盟成员国正在辜负GDPR，并将其数据保护部门置于危急状况。如果数据保护部门没有足够的资源，那么我们可能会回到95/46指令时期经历过的“一切照旧”的状态，当时有许多公司由于执法力度小而无视法律。

数据保护部门预算不足意味着我们的权利可能无法得到有效的保护。实际上，这可能会给其调查大型科技公司带来负面影响，促使他们同意达成可能对这些公司更有利的和解协议。在剑桥分析公司(Cambridge Analytica)丑闻发生后，英国当局与Facebook达成和解，以此途径来减少冗长诉讼将花费的成本。这一点尤其令人惊讶，因为英国当局是资源最充足的数据保护部门之一。

企业可以利用数据保护部门资源的匮乏绕过GDPR的适用，或者至少显著推迟它的影响。例如，爱尔兰当局表示，来自公司的“程序性询问”正在推迟他们的第一批罚款。事实上，数据保护部门往往缺乏财力，无法经受包含多级上诉的法律诉讼程序，而公司则没有这样的限制。

上图显示了数据保护部门和他们应该制约的公司之间的资源差异。与分配给数据保护部门的限制性预算相比，大型科技公司几乎拥有无穷无尽的财务资源。就爱尔兰而言，其中一些公司的收入甚至高于该国的国内生产总值。

欧盟国家向数据保护部门分配更多的资源是至关重要的。作为对GDPR进行第一次审查的内容，欧洲议会(European Parliament)在致欧盟委员会(European Commission)的一封信中呼吁，要针对各国政府未能为其数据保护部门提供适当资源的情形启动侵权诉讼。尽管我们希望各成员国主动履行其义务，自行向数据保护部门提供足够的资源，但我们仍然支持欧盟委员会的干预，以确保GDPR的实施不会进一步遭受拖延与损害。

C:一站式机制：合作系统崩溃了吗？

资源和预算是导致未能适当、及时实施GDPR的主要问题，但还有另一个主要的行政障碍:欧洲数据保护委员会内部的合作体系。GDPR建立了一个复杂的机制，以在法律实施方面保持合作和一致性，该机制应有助于解决跨境调查。

该系统基于所谓的“一站式”机制，这个机制应该为个人和公司提供服务。通过该系统，即使所投诉的公司位于另一个国家，用户也可以向其所在国家的主管部门提出数据保护投诉。同时，公司可以指定一个牵头部门，负责处理所有与其有关的投诉，而无论投诉是在何处提出。这意味着牵头部门必须与受理投诉的其他部门合作。例如，如果我在法国投诉了注册于爱尔兰的Facebook，爱尔兰的部门将牵头调查，但是必须与代表我权利的法国部门以及可能和这个案子有利益关联的其他部门进行磋商，以保护居住在特定司法辖区的人们的权利。

在GDPR实施两年后，尽管许多跨境案件已被提交给当局，但该系统仍有待全面测试以解决跨境案件。该系统适用的复杂程度毫不为奇。2015年12月，在GDPR协商期间，代表欧盟各国的欧盟理事会法律服务机构表达了对于一站式功能的担忧。他们指出，“牵头部门对于保护公民基本权利而言是一个糟糕的系统”，并进一步提到尽管该系统对公司来讲是一站式的，但对人们来讲是“三站式服务”，因为我们必须与多个部门和法院打交道以解决投诉。当时，这些担忧被视为是高度政治性的，因为有可能进一步延长已经持续很长时间的法律谈判。但在GDPR实施的两年内，这些评论不幸被验证。

几个数据保护部门都在抱怨跨境案件的执法瓶颈，因为牵头机构既不透明，也不迅速采取行动以处理投诉。今年早些时候，德国联邦数据保护部门负责人Ulrich Kelber称当前的跨境执法系统“难以忍受”。几个月之后，汉堡数据保护部门称一站式机制“令人厌烦，耗费时间且无效”。

合作的主要阻碍之一又是预算和资源。在所有的欧盟国家中，只有五个国家认为自己有足够的资源来投入时间协调工作，包括处理跨境投诉。这五个国家是捷克、丹麦、匈牙利、英国（已脱欧）以及卢森堡（尚未处理任何重大案件）。其他国家都报告存在重大问题。在同一调查中，奥地利数据保护部门称其没有能力处理某些需要与其他部门合作的案件，因为“该部门的每个律师平均同时在处理100多个案件（国内的和跨境的）”。包括比利时、立陶宛、波兰以及保加利亚在内的许多国家表示，部门内对于此项合作无法分配工作人员。德国17个数据保护部门共同指出，“现在的员工不足以有效执行”这些合作任务。西班牙部门称，尽管他们自2018年以来拥有了更多的雇员，“但员工的增加不足以应对GDPR带来的工作量的增长”。法国部门坦言其缺乏人力资源以“有效地促进所有合作机制”。葡萄牙的情形最令人担忧，因为“只有一个人负责这项事务”。

一站式机制和被授予牵头部门的权力，使得爱尔兰在GDPR的实施中发挥了关键作用。由于大量科技公司都在爱尔兰注册，爱尔兰部门负责处理大量案件。该部门尚未启动欧盟数据保护委员会内部的合作机制，但表示其“欢迎欧盟数据保护委员会的同事一同参与到与联合机制中来”。一站式服务机构应当避免的是将实施GDPR的权力过多的赋予某个单一机构。爱尔兰目前正在主导大量GDPR投诉，这一事实不仅是行政问题，也可能是政治问题。经过70多年的经济转型，爱尔兰鼓励外国投资，特别是来自美国的投资，使其已成为科技巨头的避风港。在80年代，诸如苹果、微软、戴尔和英特尔之类的科技公司在爱尔兰建立了制造工厂，充分利用大幅减税的优势，确立了自己作为主要的投资者和雇主的地位。随着时间的推移，越来越多的公司将他们的欧洲基地建立在爱尔兰，科技巨头们可以说在爱尔兰的政策辩论中获得了空前的影响力。《一个国家如何在数据隐私方面阻碍世界》这一报告揭示了技术公司高管如何向爱尔兰政府施加压力，以保护其税收优惠。现在，数据保护执法工作也已经成为游说的目标。在科技巨头和爱尔兰政府本身的压力下，爱尔兰数据保护委员会（DPC）能否充分行使其职权，包括对违反GDPR的巨型公司进行罚款，仍然值得怀疑。自从GDPR生效以来，爱尔兰数据保护委员会已开展了数项调查，但两年后的今天，我们仍在等待爱尔兰做出首次重大决议。

由于科技公司极力避免落于数据保护部门的管辖，即便他们处理整个欧盟用户的数据，我们也必须在个人数据保护方面防止它们随意选择法院（forum shopping）。在这种情况下，欧盟委员会和欧洲数据保护局在确保合作和一致性机制的适当运行上发挥着重要作用。尽管我们认为尚无必要改革GDPR设计的规则，但我们仍然强调有必要确保法律提供的所有选择得到落实。因此，我们敦促数据保护部门开始适用GDPR第66条规定的紧急程序，采取临时措施或者强制其他机构采取行动。

II.政治危机、健康危机与人权危机时期的GDPR

A.GDPR与健康危机

自2019年底新冠肺炎疫情爆发以来，全世界一直在与其作斗争。为了响应以及预防世界卫生组织（WHO）标记的大流行病新冠肺炎，全球各国政府一直在利用数据来绘制病毒传播图，以此来保障人们的安全。对许多公司鼓吹的考虑不周技术解决方案的匆忙回应和接受，凸显了在应对这一公共卫生危机的所有措施中，保护人们的基本权利，包括数据保护权的必要性。尽管欧盟机构和各国政府都重申了遵守GDPR的必要性，并且数据保护部门强调了法律的灵活适用，但许多解决方案仍未达到欧盟关于隐私和数据保护的标准。

健康信息本质上是私密且敏感的，并且揭示了一个人生活的私密细节。理想情况下应通过全面的数据保护法（例如GDPR），对信息的使用、收集和任何其他处理行为进行保护。健康信息的使用——包括血型，病史，遗传信息，体温记录等等通常受到严格的限制。但是，在公共卫生危机期间，问题不是政府是否可以使用健康数据来应对危机，而是如何在最大程度地保护个人隐私和尊严的同时实现这一目的。

非政府组织noyb表示：“与许多初步报告相反，数据保护（尤其是GDPR之下）与使用个人数据抗击疫情之间没有冲突。有关声明所述的必须放弃数据保护的声明似乎是对于法律的错误理解”。

实际上，GDPR明确规定了在公共卫生危机的背景下进行数据处理的规则，尤其是在第6、9和25条中，分别规定了处理数据的合法性基础、适用于处理敏感数据的具体措施、以及在设计和默认情况下对数据保护的要求。在第46号文中还作出特别解释：“某些类型的处理既可以服务于公共利益，也可以服务于数据主体的切身利益，例如以下几种出于人道主义目的而进行的处理：为了监测传染病（重点补充）及其传播；发生了人道主义紧急情况（尤其是自然和人为灾难）。”因此，GDPR可以而且必须在整个危机期间得到遵守，它能帮助公共卫生官员获得抗击疫情所需的准确和必要的数据。

匈牙利政府采取了一项激进但并不令人意外的举动，2020年5月，匈牙利决定中止适用《通用数据保护条例》规定核心数据权利保护的第15至22条，将其作为“冠状病毒应急措施”的一部分。受影响的权利包括数据访问权，告知数据使用方式的权利，反对数据处理的权利等等。政府进一步规定了行使救济权的期限，包括GDPR第77至79条规定的行使申诉权和有效的司法救济权的期限。这个决定是不相称的，在人们的个人信息（包括健康数据）比以往任何时候都更多地收集的情况下，这严重危害了人们的数据保护权。Access Now与匈牙利公民自由联盟（the Hungarian Civil Liberties Union）、欧洲公民自由联盟（Civil Liberties Union for Europe）一起向欧洲数据保护委员会致信，呼吁他们要求欧盟委员会对匈牙利启动侵权程序，以恢复数据保护权的适用。

在与新冠肺炎进行斗争时，当局政府应依靠数据（包括健康数据）来确定减少病毒传播的最佳措施，并决定在危机期间和过后之后必须采取哪些措施来保护民众。

在撰写本报告时，新冠肺炎继续蔓延，确保这一公共卫生危机不会演变成人权危机至关重要。某些欧盟国家正在实施追踪项目，并正在开发侵入性追踪应用程序。在各国均通过紧急立法减损人权保障义务的背景下，国家数据保护部门和欧盟数据保护委员会将在审查数据保护措施中继续发挥关键作用。GDPR是在这场危机中指导官方和公共卫生当局的有力工具。

B.GDPR与人权滥用

在GDPR实施的两年中，其已被证明是行使数据保护权利的必备工具。不幸的是，许多公共机构试图滥用GDPR来扼杀新闻业，破坏民主社会的运行。

在匈牙利，法院通过了一项初步禁令，责令《福布斯》的当地出版商从报摊上召回刊载了匈牙利富人名单的杂志。该裁定源自于一家大型国有能量饮料制造商，地狱能量饮料公司（Hell Energy Drink）提起的诉讼。公司领导层显然对其老板出现在名单上感到恼火，地狱能量饮料公司认为福布斯侵犯了公司所有者的数据保护权。尽管该决定不是最终判决，但杂志被立即从报亭中撤出，地狱能量饮料所有者的名字也被从在线版本的名单中删除。

尽管GDPR的若干条款，特别是第85条，明确提到了数据保护权与言论自由权之间的联系，但法院未能充分考虑到言论自由。它本应以言论自由为由驳回这一指控。法院的决定赋予了无效控诉合法性，破坏了报纸自由传递信息的权利，这一决定使GDPR在当时被描绘为“通向地狱之路”，危及到了GDPR的实施。

在波兰，一个非政府组织因通过搜索引擎获取公共登记簿数据（包括波兰国家法院登记簿数据）而被指控违反GDPR。考虑到此信息在数据库中属于敏感数据，波兰数据保护部门下令该非政府组织进行删除。但是，非政府组织并未发布过前述信息，且信息是从公开的政府渠道获得。非政府组织最终胜诉，因为必须在获取公共信息与数据保护权之间寻求平衡。即使GDPR明确承认了这一点，非政府组织还是需要花费其有限的资源来争辩这种平衡的必要性。更糟糕的是，波兰数据保护部门最初的决定已经让人对其独立性和适当平衡权利的监管能力产生了质疑。

在罗马尼亚，执行GDPR的首批案件中，不幸涉及数据保护部门自身试图滥用法律以限制调查性新闻的丑闻。2018年11月，罗马尼亚数据保护部门向发布了有关该丑闻信息的记者提出了一系列问题，询问了消息来源并提到了记者可能要面临自2018年6月GDPR实施以来最大的数据保护侵权罚款，高达2000万欧元。斯洛伐克数据保护部门采用了类似的策略，威胁要对拒绝披露消息来源的记者施以罚款。数据保护部门的这些错误行为是对新闻自由的攻击，是对GDPR的严重滥用。负责保护我们权利的数据保护部门正背道而驰，违背了GDPR的目的。

在斯洛伐克，有一个关于GDPR滥用的更令人震惊的事件。2020年4月，斯洛伐克议会通过了罢免数据保护局局长索娅·波塞洛娃（SoňaPőtheová）的决议，因为其滥用职权，以高额罚款相威胁，迫使记者披露他们的匿名消息来源。此外，通过2018年新闻记者Jan Kuciak及其未婚妻Martina Kusnirova被谋杀一案的调查发现，索娅·波塞洛娃与被控下令谋杀的斯洛伐克商人Marian Kocner有直接关系。Kuciak是一名调查记者，专门调查有政治关系的商人的欺诈行为。Kuciak及其未婚妻被谋杀一案引发了反腐败抗议活动，这也使得长期执政的斯洛伐克总理罗伯特·菲科下台。

GDPR是一部具有里程碑意义的法律，有助于权利的保护和保障；不仅是数据保护权，还有表达自由、信息获取权和其他权利。欧盟委员会不能允许国家当局，特别是数据保护部门滥用或曲解GDPR，从而限制新闻自由或阻碍非政府组织的工作。如果不采取行动解决和消除这种行为，GDPR可能违背其目的而沦为压迫的工具。

C.GDPR与英国脱欧

英国脱欧将对双方都产生重大影响，包括数据保护领域。

首先，实际上，自英国于2020年1月31日脱欧以来，英国数据保护部门不再是欧洲数据保护委员会的成员。这意味着欧盟正在失去其资源最丰富的数据保护机构，英国数据保护部门曾为复杂的调查提供了急需的专业技术，并为处理跨境案件做出了巨大贡献。

尽管英国最初承诺其在离开后仍将继续遵守GDPR的规定，但英国首相鲍里斯·约翰逊（Boris Johnson）却提出了相反的主张。据报道，英国现在坚持通过脱欧谈判降低英国现行标准，并要求退出已经达成一致的数据保护机制。尽管此刻英国退欧的影响尚不确定，但我们可以看到英国将在未来几年发展自己的数据保护机制。这当然会对同时在欧盟和英国开展业务的企业产生影响，因为它们必须遵守两套不同的规则。这也影响到欧盟和英国关于授权在两个司法管辖区之间进行传输数据的充分性决定（adequacy decision）的谈判。

欧盟和英国已明确表示愿意在退出协议设定的过渡期内敲定充分性决定。由于该期限目前定于2020年12月31日结束，因此这可能是有史以来有关充分性决定最快的谈判。我们注意到，欧盟没有义务在此之前完成谈判，而且这一日期仅仅是各方表达的愿望。谈判达成充分性决定并非易事，目前也未达成终局性决定。过去与其他国家/地区的谈判花费了数年时间，且法律体系的差异越大，分析所需的时间就越长。通过谈判，欧盟应该确定英国是否具有“基本等同”的数据保护水平。同样，如果英国决定不再遵守GDPR的规定，则对数据保护水平的分析可能需要更多时间。

尽管英国目前有义务遵守GDPR，但至关重要的是确保其在未来继续对数据保护适用高标准。此外，根据欧盟法律的规定，英国将必须保证欧盟数据主体获得救济的权利，并且必须确保包括执法部门在内的公共机构对数据的处理是必要且适当的。任何充分性决定的重要组成部分之一，是审查可能影响数据和隐私权的措施，包括监视措施。英国拥有欧洲最具侵入性的监视系统之一，除非进行大规模改革，否则可能无法做出充分性决定。委员会有义务确保欧盟居民的数据传输到英国后不会被滥用或被监视。

虽然由于新冠肺炎疫情而推迟了脱欧谈判，但英国政府最近披露的数据违规行为表明，这些谈判已经在错误的道路上展开。在过去的几个月中，我们了解到英国卫生与社会保障部（the UK Department of Health and Social Care）一直在向药品公司出售患者数据。后来，有消息称英国当局非法复制了欧盟申根信息系统（the EU Schengen Information System），该系统是供欧盟开放边境申根区的警察和边境战士自由使用的庞大数据库。英国还被发现向其欧盟同行掩盖有关跨境调查的信息。

尽管英国可能会离开欧盟，但它并没有离开欧洲，即使困难重重，其与欧洲大陆之间的纽带也需要保持。为了英国公民和居住在英国的所有人的利益，我们呼吁英国政府继续适用GDPR并改革其监视法。

Ⅲ.关于推进GDPR的建议

为解决本报告详述的问题和挑战，Access Now针对欧盟委员会（European Commission）、政府、数据保护部门（Data Protection Authorities）和欧洲数据保护委员会（European Data Protection Board）提出了建议。我们相信，这些具体建议的实施将促进GDPR加强数据保护权利这一目标在整个欧盟范围内得以有效实现。

结论

GDPR实施的头两年是危机之际，无论是内部危机、外部危机、政治危机、地缘政治危机还是行政危机。从这个意义上讲，它的早期实施阶段与磋商制定阶段有许多共同点。当时，立法者在布鲁塞尔面临着试图破坏GDPR的空前游说。

自正式通过以来，GDPR这部法律被全球公认为是欧盟的重大成功之一，也是全球对基本权利保护最健全的框架之一。但是试图破坏GDPR的游说并未停止、危机并未减弱。尽管GDPR迄今为止抵制住了挑战，未更改法律内容，但其适用和实施仍然存在问题。

由于缺乏资源、预算紧张和行政障碍等因素，数据保护部门未能充分执行GDPR。更糟糕的是，一些公共机构滥用GDPR损害其他基本权利。尽管这些失败不能归咎于GDPR，但如果不及时采取行动，矛头势必会指向法律本身。我们希望，本报告提出的建议有助于解决这一问题。

GDPR正为世界各国数据保护标准的制定提供借鉴，在全世界的关注下，是时候采取行动执行法律了。我们不应该低估正确执行GDPR对欧盟企业和用户的重要性，以及其对欧盟范围外的数据保护和人权的积极影响。

责任编辑：郑通