2024年11月20日,欧洲消费者组织(BEUC)发布了关于《通用数据保护条例》(GDPR)跨境执行法规三方谈判的建议。该报告的背景是欧洲委员会于2023年7月提出了一项法规,规定了与《通用数据保护条例》(GDPR)执行相关的额外程序规则。欧洲议会于2024年4月通过了其一读立场,而理事会于2024年6月通过了其一般方法。
BEUC认为,共同立法者提出的修正案对委员会的提案进行了若干改进。虽然理事会和欧洲议会似乎在很大程度上同意需要对委员会提案进行修改,但两个版本都需要进行技术调整,以确保更有效和具有保护性的执行,以及法律确定性。
BEUC建议,该法规应:
确保消费者的个人数据得到充分保护。通过确保GDPR具有威慑力,跨国公司如大型科技公司遵守规定的可能性更大。
在中小企业和跨国公司之间建立公平竞争环境。目前,中小企业相对于大型科技公司处于不利地位,因为中小企业通常受国家程序的约束,这些程序比大公司所受的跨境程序更快。这对欧洲中小企业来说是不公平的劣势,改革将降低大公司潜在“挑选法院”的风险。德拉吉报告重申了克服成员国在执行和遵守GDPR方面的差异,并确保GDPR在更短的时间内得到更严格执行的必要性。
以下为全文:
为什么这对消费者很重要
《通用数据保护条例》(GDPR)维护了人们在欧盟内的个人数据保护基本权利。然而,消费者、消费者组织和代表他们的组织在向数据保护机构提出投诉时,特别是在跨境案件中,面临着不成比例的障碍。这些问题包括当局决定时间过长、投诉人权利不足以保护其利益,以及当局处理案件时行动的不可预测性。关于GDPR跨境执行法规的谈判为解决这些问题提供了机会。如果不改进GDPR的执行,像大型科技公司这样的主要违规者将不会面临威慑行动,消费者也将无法获得他们应享的保护。
主要建议
最小化监管机构的行政负担:简化投诉的处理和调查,并促进当局之间的合作。这将确保监管机构更有效地利用其有限的人力和财力资源。
为实现上述目标,BEUC建议:
为跨境机制下的主导机构和相关机构设定全面且具体的时间限制。这应确保在投诉提交后不超过一年的合理且可预测的时间内作出最终决定,在此期间必须宣布投诉可受理并进行依职权的调查。
保障投诉人在程序相关阶段,包括在初步调查结果之后和草拟决定阶段的听证权。
确保个人和民间社会团体能够轻松提交投诉,并及时开展调查。
根据案件的复杂性和影响调整程序要求,同时确保在早期解决案件中具有坚实的程序权利。
促进数据保护机构与其他监管机构之间的合作,并消除合作中的程序或其他法律障碍。
1. 设定适当期限
如果当局需要数年时间才能对投诉作出最终决定,那么GDPR的执行就不能被认为是成功的。BEUC成员和其他非政府组织就遇到过这种情况。为确保GDPR的有效执行并保护消费者的个人数据,必须设定全面的期限,以确保在具有特别影响的案件中在合理且可预测的时间内作出最终决定。在数字领域,当局应调整其执行速度与发展和违规的速度相匹配。
我们欢迎理事会和欧洲议会都引入了变化,为程序的不同步骤设定了具体期限,包括主导监管机构(LSA)。
我们注意到,两位共同立法者在从相关监管机构(CSA)收到投诉到主导监管机构(LSA)开展调查之间建立期限方面采取了相似的方法。这将防止BEUC成员在2022年提交“快速通道监控”投诉时遇到的问题。我们的成员不得不等待一年多时间,才让主导监管机构(LSA)开展调查,而调查随后又因谷歌的法院挑战而停止。
我们注意到,共同立法者在从指定主导监管机构到向相关监管机构提交草拟决定方面采取了不同的技术方法。但从向相关监管机构提交草拟决定到程序结束,他们对提交草拟决定后的最后程序步骤采取了非常相似的方法。在任何情况下,从收到投诉之日起,主导监管机构都不应超过一年时间向相关监管机构提交草拟决定。
1.1 从指定主导监管机构到草拟决定
欧洲议会一读为根据《通用数据保护条例》第60(3)条,主导监管机构提交草拟决定的总体期限设定为自收到投诉之日起不超过9个月,并可根据情况适当延长。我们支持这一方法,认为这是确保及时处理投诉的良好解决方案。
理事会的一般方法建立了分步骤的期限,涵盖从相关监管机构收到投诉到根据第3、6(bis)、9、10、12、14和15条提交草拟决定的整个过程。如果文本中包含保障措施,BEUC可以支持这种替代方法。这些保障措施包括允许为达到程序不同里程碑分配的时间有一定的灵活性,或对所有期限的延长都有限制,以创造法律确定性,并确保主导监管机构的期限与其任务相称:
期限延长不应无限期。根据理事会的方法,只有在主导监管机构不给予自己过长延期的情况下,所有可受理的跨境投诉才会在合理时间内提交草拟决定。在程序的两个关键实例(向被调查方传达初步调查结果和向相关监管机构提交草拟决定)中,主导监管机构可根据需要给予自己尽可能长的延期。
主导监管机构的期限和延期必须相称。理事会一般方法中规定的各种期限及其可能的延期(如有规定)过长且与其他一般方法中规定的期限不相称。在花费最多六个月时间起草当局达成共识的关键问题摘要后,主导监管机构还需要六个月时间起草将与程序各方分享的初步调查结果,这很难得到合理解释。相反,自向各方提交初步调查结果之日起,各方只有四周时间提交意见(第14(4)、14(7)、15(1)条)。
我们敦促共同立法者确保主导监管机构从收到投诉之日起不超过一年时间向相关监管机构提交草拟决定。
1.2 从草拟决定到最终决定
我们赞扬共同立法者确保从主导监管机构根据《通用数据保护条例》第60(3)条向相关监管机构提交草拟决定起,有一个时限明确的过程,设定了全面期限,防止程序无限期地陷入与相关监管机构的协商中。这将解决BEUC成员面临的问题。例如,自2022年主导监管机构就2018年11月提起的投诉起草初步决定草案以来,我们在2023年初提交意见后一年多时间里,仍在等待关于触发《通用数据保护条例》第65条下的欧洲数据保护委员会(EDPB)争议解决机制的通知,或期待主导监管机构的最终决定。
我们注意到,理事会一般方法中的第22(1)条与欧洲议会修正案147-150之间的差异在于,在相关监管机构提出相关且有理由的反对意见(RRO)的情况下,主导监管机构提交新草拟决定或将事项提交欧洲数据保护委员会进行争议解决的时间限制。我们倾向于欧洲议会修正案中主导监管机构的一个月时间限制,而不是一般方法第22(1)条中规定的三个月限制。一个月的时间限制与《通用数据保护条例》第60(4)条为相关监管机构起草主导监管机构需在此期限内评估的相关且有理由的反对意见所设定的四周时间限制相一致,因此更为适当。
2. 保障投诉人和被调查方的程序权利
BEUC欢迎在理事会的一般方法和议会的一读中扩大投诉人作为程序当事方的听证权。我们认为这些变化很重要且相辅相成。我们还认为,共同立法者正确地理解了投诉人在整个程序中行使其听证权所提供的投入,这是投诉处理结果决策稳健性的来源。
理事会的一般方法为投诉人就初步调查结果发表意见设定了具体的时间限制(四周)。它还取消了投诉人在获取相关文件之前必须向主导监管机构提交保密声明的要求(第15条)。
欧洲议会一读明确旨在保护《基本权利宪章》第41条所规定的善治权利(修正案1)。欧洲议会授予当事方在对其产生不利影响的任何措施采取之前听证的权利。这包括在维持或驳回投诉的决定之前,并强制主导监管机构通知并听证当事方,以便他们就主导监管机构作出的所有事实调查结果和法律结论发表意见(修正案64)。修正案31澄清,欧洲数据保护委员会在根据第65(1)(a)条作出具有约束力的决定之前,应当听证当事方。
我们注意到,如果主导监管机构在相关监管机构提出相关且有理由的反对意见后起草修订的草拟决定,一般方法未能延长投诉人的听证权(第17条)。如果相关监管机构的反对意见,特别是关于范围、法律论点或事实要素的重大反对意见,将导致主导监管机构在不听取提出反对意见的相关监管机构所引入要素的情况下对投诉人作出决定,则可能出现问题。我们还注意到,欧洲议会一读通过采取基于原则的方法,在当局必须听取投诉人意见的具体时刻留下了一定的模糊性和解释空间。
鉴于此,BEUC建议共同立法者利用理事会文本第15条与议会修正案31和64之间的协同作用,授予投诉人就主导监管机构的初步调查结果、草拟最终决定和欧洲数据保护委员会的决定听证的权利。
就程序而言,确立投诉人就主导监管机构的初步调查结果和任何修订的草拟决定听证的权利最符合程序利益。
我们还欢迎理事会的修正案(第四章)和议会的修正案(95-102、146),这些修正案澄清了管理保密主张的程序,并取消了要求投诉人提交保密声明的规定。
3. 投诉的可受理性
BEUC赞同确保迅速确定投诉可受理性的共同目标,这是理事会(第3条)和议会(修正案67-81)引入的不同变化。BEUC欢迎澄清接收投诉的相关监管机构与(假定)主导监管机构之间的任务和责任分配。
由相关监管机构决定投诉的可受理性确立了对投诉和投诉人的相互认可。
BEUC之前曾提出关切,即在跨境案件中,从提交投诉到开展调查之间的长时间延误不必要地推迟了决定的作出和GDPR违规者的遵守。例如,我们的成员不得不等待16个月,才让主导监管机构在一系列于2022年6月提交的跨境投诉中开展程序。
虽然理事会和欧洲议会的文本都带来了至关重要的改进,但必须审查可受理性要求,以确保投诉人不会面临过多的障碍和负担。
投诉人不得被要求详细解释和论证所指控的GDPR违规行为,以使其投诉被视为可受理(理事会,第3(1)(f)条),也不得被要求指出已违反的GDPR条款(欧洲议会一读附件2)。
正如个人在警察局报告其个人财物被盗时,不需要引用《刑法》的具体条款,或指出他们是否成为盗窃或抢劫的受害者一样,数据主体在理解其数据保护权受到侵犯时,必须能够根据《通用数据保护条例》第77条提交投诉。应由监管机构来确定和/或确认投诉中提及的个人数据处理实例所违反的具体GDPR条款。
4. 为不同性质的案件设定不同的主导监管机构与相关监管机构合作规范
4.1 根据达成共识的早期阶段和案件影响调整监管机构之间的合作
BEUC欢迎共同立法者尝试为复杂程度和合作要求不同的案件设定不同的合作安排。我们回顾了监管机构在《维也纳宣言》中的要求,以及随后欧洲数据保护委员会关于选择具有战略重要性案件的文件,要求监管机构优先处理“高影响”案件,如果案件具有结构性或重复性特征、与其他法律领域相交、或影响大量数据主体等,则应对其给予优先处理。
BEUC欢迎理事会的一般方法(第6(1)(bis)条)和欧洲议会一读(修正案110)根据主导监管机构和相关监管机构在早期阶段达成共识的能力调整程序,同时确保所有跨境案件投诉人的高度程序权利(见第2节)和适当时间限制(见第1节)。
4.2 确保友好解决或早期解决程序不会降低GDPR的威慑力和对数据主体权利的保护
我们对理事会一般方法(第5条)中提出的“投诉早期解决程序”表示关切。这可能从后门重新开放GDPR,因为该可能性在法律中并未考虑。该程序可能对消费者的数据保护权利构成重大意外风险,即使仅适用于涉及数据主体权利行使的投诉。重要的是要考虑三个因素:
GDPR执行应保持其威慑作用。《通用数据保护条例》规定,监管机构应对一系列GDPR违规行为施加有效、适当且具有威慑力的行政罚款,包括涉及数据主体权利行使的违规行为。通过用使投诉“失去目的”的非正式和解取代可能导致监管机构行使各种执行权力(如禁止处理个人数据或处以罚款)的决定,拟议的早期解决程序可能会:
降低其他数据保护机构权力在阻止违规行为和鼓励问责方面所起的作用,因为它们提高了违规成本。
削弱对不遵守行为的纠正权力对守法控制者和处理者的道德和支持信号。
投诉不应仅仅导致监管机构酌情作出的非正式决定。这将削弱投诉人在整个程序中维护其权利的能力(见第2节),并削弱其根据《通用数据保护条例》第78条寻求对监管机构决定采取法律补救措施的能力。采用这种方法将违反欧洲法院最近的判例法,该判例法确认投诉的处理必须接受全面的司法审查。
这不应给投诉人施加不成比例的程序警觉负担,特别是如果投诉人被认为同意监管机构与被调查方之间达成的和解,而它未在短期限内提出反对意见。
因此,我们坚决支持欧洲议会的修正案14-15、91-95,以确保友好和解完全基于被调查方与投诉人之间的明确协议。监管机构被强制在必要时开展依职权的调查,并强调需要将友好和解的应用限制在涉及数据主体权利(如数据擦除请求或数据副本请求)的案件上。
GDPR只有在实践中具有足够的威慑力,才能阻止不遵守规定的行为者首先侵犯其规定。本法规应仅在非常有限且合理的情况下为友好和解创建法律基础。
5. 数据保护机构与其他机构之间的合作
BEUC强调数据保护机构与其他机构之间合作的重要性,而委员会提案和理事会的一般方法对此保持沉默。欧洲法院“Meta v. Bundeskartellamt”(C-252/21)案强调了数据保护、竞争和消费者保护等领域之间的相互作用,欧洲数据保护委员会当前的工作方案也将其优先事项之一定为“加强与其他监管机构的接触和合作”。正如全球隐私大会所指出的那样,世界各地的数据保护机构都面临着数字环境不断变化的挑战,并需要与其他监管机构合作。
在缺乏合作法律基础和既不允许也不指示数据保护机构与其他相关机构合作的监管框架的情况下,存在风险,即指南和声明中提出的计划可能因程序问题(例如信息共享限制)而无法实施。
在此背景下,并回顾2023年6月11家非政府组织致欧洲委员会副主席尤罗娃和委员雷恩德斯的信,BEUC支持欧洲议会一读中的修正案132,以促进数据保护机构与其他执法机构之间亟需的合作。
