該法律被稱為《一般資料保護規範》(GDPR),重新定義了 21 世紀隱私的含義,並賦予歐洲人決定誰有權存取其個人資料、要求更正和提出法律投訴的權利。
它還在法律中規定了現在著名的“被遺忘權”,公民可以援引該權利從公司登記冊中永久刪除其資料。
但在生效五年後,GDPR 留下的遺產還遠非完美無缺。
政府機構、私營部門、隱私倡議者和民間社會組織都對立法的執行方式表示擔憂,包括立案所需的高額費用、成員國之間的程序不同以及解決問題的漫長等待時間。
另一個長期存在的爭議點是各成員國資料保護機構(DPA)之間的關係。
「五年內,我們可以統計出資料保護機構做出的超過711 項最終決定。這清楚地表明GDPR 得到了很好的執行。但我們可以做得更好,」歐盟司法專員迪迪埃·雷德爾斯(Didier Reynders) 週二表示。
根據 GDPR,執行權由公司歐洲總部所在國負責。絕大多數 GDPR 案件涉及全國範圍,並且僅涉及一個 DPA。
然而,在某些情況下,侵權行為具有跨境性質,需要多個主管機關介入。
鑑於愛爾蘭有大量大型科技公司,愛爾蘭 DPA 受到了特別關注,該機構必須處理最引人注目的案件。
今年早些時候,愛爾蘭 DPA 與其他國家當局之間的分歧迫使歐洲資料保護委員會 (EDPB) 介入針對 Meta 的案件,這導致了破紀錄的罰款價值12億歐元。
為了解決這些持續存在的緊張局勢,歐盟委員會提出了一項法規,對 GDPR 的程序規則進行有針對性的改革,重點是跨境訴訟。
擬議的義務將迫使主要資料保護機構在程序的早期階段邀請其他相關國家的當局參與,以便集體討論案件的實質內容,包括其法律範圍、潛在的違規行為、證據的收集和技術評估。
委員會表示,這條溝通線路將促進達成共識,並有助於在爭端失控之前解決爭端。新規則將統一跨境案件的受理要求,並保證所有成員國的公民受到平等對待,無論其國籍為何。
換句話說,工作距離更近才能工作得更好。
「我們在這裡嘗試做的是透過跨境案件中的通用規則更好地執行 GDPR,協調國家層面的不同規則,並確保可以比現在更早地做出反應,因為現在有時, (需要)很長時間來組織整個過程直到做出最終決定,」雷德爾斯說。
專員駁斥了全面修改法律的呼籲,認為歐盟共同立法者之間進行此類對話的時機還不成熟,並捍衛了原籍國原則,該原則允許公民直接聯繫使用其母語的 DPA。
Reynders 表示,GDPR 是一個「非常年輕的孩子」。 “五年過去了,我們需要繼續研究如何更好地執行 GDPR。”
「目前我們不想重新打開潘朵拉魔盒,」他補充道。
但歐洲監管中心數位研究計畫主任 Alexandre de Streel 表示,布魯塞爾認識到 GDPR 需要一個位於國家 DPA 之上的集中實體來有效追究大型科技公司的責任可能只是時間問題(塞爾)。
德斯特雷爾在接受歐洲新聞採訪時表示:“這項改革是朝著正確方向邁出的一步,但這可能還不夠。” 「對於大型科技公司——那些遍布全球的公司——你需要有一個歐洲監管機構。它不能只是由原籍國為所有歐洲人承擔這項任務。”
de Streel 表示,GDPR 執行的失敗對 2018 年後的監管產生了明顯影響,例如《數位服務法》(DSA) 和《數位市場法》(DMA),這兩項法案都賦予歐盟委員會最終決定權。主管的角色。
這位學者補充說,人工智慧驅動的聊天機器人的出現,透過大量資料進行訓練,可以自學新任務,這進一步強化了全面改革的必要性。
「原產地原則是為想要在國際市場上擴大規模的小公司製定的,而不是為已經擴大規模的公司製定的,這是一個很大的誤解,」德斯特雷爾說,他指的是Meta、蘋果等巨頭,亞馬遜、谷歌和TikTok,其市值遠超過愛爾蘭的GDP。
“你不能指望愛爾蘭來評判整個歐洲。”
