关注 | 2023年欧洲及美国在数据隐私法律领域发展展望——新科技、更多数据和更多规定

人工智能和元宇宙——观点不同

人工智能技术在各个行业的不断推进，无论是好是坏，都将在未来几年内重塑我们的社会。同样地，元宇宙也受到了很大的重视，尽管我们大多数人还不清楚元宇宙将如何在实践中运作，以及会对人们的隐私产生什么影响。

对企业和政府而言，2023年及之后面对的挑战将是如何负责任地行事，而对监管机构来说，则是要在鼓励应用新技术和保护我们所有人（尤其是最脆弱人群）的信息不被滥用之间达到公正的平衡。

虽然有一些国际倡议正在研究如何应对这些挑战，但到目前为止，最可能的情况是将出现零散的立法，并可能从欧盟的人工智能法开始。

欧盟委员会规范人工智能的提案，包括《人工智能法》和（新近提出的）《人工智能责任指令》。针对《人工智能法》提交的意见很广泛，讨论也在进行中，其中某些议题仍然很复杂。

目前，对于应将哪些系统归为“高风险”，以及应该在多大程度上限制人工智能在生物识别系统中的使用，都存在争议。此外，对于欧盟委员会本身可以在多大程度上修改高风险人工智能系统的名单，也已有了进一步的提案。

由于人们使用技术、接受医疗护理、购买消费者服务以及在工作场所中进行操作等行为，因此人工智能系统有可能被用于生活的各个方面。鉴于此，必须对人工智能系统对隐私和个人自由的影响进行仔细审查。那么，如何对待那些可以分析人类情绪的新技术呢？数据保护法将如何处理这些技术发展，以及将如何处理这些技术深入评估人类行为的事实呢？

欧盟立法机关将加快立法速度

数字和数据领域的立法机关将在2023年加速前进。展望未来，我们也将在2023年中期看到这一法律领域的发展。

随着新法律的定稿和生效时间表的确定，“欧洲数据战略”正在稳步成型。欧盟正在起草和敲定的大量法律（包括《数据法》和《数据治理法》）强调了数据监管不仅仅与个人数据有关。这些法律的主题，主要是改善企业与消费者之间以及企业与企业之间的个人数据和非个人数据的获取和共享。

欧盟委员会也热衷于推动数据空间等新倡议。这类倡议的第一个体现形式是“欧洲健康数据空间”，欧盟委员会认为它“将加强医疗健康数据的质量和连续性，并确保公民对其健康数据的权利”。

在欧盟委员会（在10月中旬公布的）2023年的工作计划中，在“适合数字时代的欧洲”这一标题下，一系列拟议的法律被列为优先事项，包括命运多舛的《电子隐私条例》。

这个替代第200258号指令（即所谓的《Cookies法》，也涉及直接营销规则）的法案的立法进程已经停滞多年。2023年是否会成为新的欧洲电子隐私法最终取得积极进展的一年？自2017年该项立法提出至今，我们每年都会在这个时候问这个问题。对于“今年将是《电子隐私条例》年”这一预期，我们持谨慎态度，但另一方面，该条例的立法进程也不能继续无限期地拖延下去，所以我们只能拭目以待。

欧盟在2023年也将继续关注网络安全。在本文撰写之时，《NIS2指令》即将定稿，《网络弹性法》期望提高消费类物联网产品的安全性，而《数字运营弹性法》（DORA）则涉及金融行业的网络安全要求。

2023年，欧盟内企业以及与之打交道的企业（以及他们的律师）将发现自己全年都在忙于理解所有即将到来的数据和网络立法。

至少在一段时间内，从欧盟和英国向美国传输数据应该会变得更容易。当我们将焦点转移到美国，就会发现有迹象表明2023年美国在数据领域将会有一些发展。首先，我们应该会看到“隐私盾（Privacy Shield）”的替代方案，而重新推进的欧盟—美国数据传输协议将可能会有一个新名字。拜登总统新签署的《关于加强美国信号情报活动保障措施的行政命令》（Executive Order on Enhancing Safeguards for US Signals Intelligence Activities），是为新框架奠定的一个坚实基础。

EDPB是否会像欧盟委员会一样对行政命令充满信心？当然，即使该替代方案的充分性决定得到最终确定，它仍然很有可能不可避免地导致在欧盟法院（CJEU）新一轮的“Schrems系列诉讼案件”。即使CJEU一定会第三次裁定欧盟委员会败诉，也需要几年时间才能走到这一步，这意味着， 2023年从欧盟向美国传输数据很可能将进入一个稳定期。

然而，如果新的美国充分性协议看起来不那么完美，那么当不确定性仍存在时，企业是否愿意依据该协议进行欧盟—美国之间的数据传输？鉴于大多数人已经在过去几个月里把新的欧盟版本的标准合同条款落实到位，许多人可能会选择在中短期内继续依赖标准合同条款。

对于涉及政府获取数据和数据传输影响评估的要求的辩论，可能会产生影响的一点是：有消息称，经济合作与发展组织（OCED）可能很快正式通过一项关于政府获取数据的做法的协议。人们期待这一协议将对政府获取数据作出某些限制。这样的协议也许会对未来产生重大影响，而这取决于这些限制的有力程度以及各国政府如何迅速将其获取数据的做法与OCED的标准接轨。

Meta公司的社交媒体在欧盟的终结

2023年，我们可能会看到关于跨境数据传输的裁决带来的其他后果。Meta公司是否会被迫关闭其在欧盟的服务（Facebook、Instagram、WhatsApp）？爱尔兰数据保护机构（DPC）将于2022年底或2023年初作出对Meta公司的决定。从2013年Max Schrems向DPC投诉Meta（当时的Facebook）将个人数据从欧盟转移到美国开始，这个针对社交媒体巨头的传奇故事可能终于会有某种结论。然而，如果这把剑落在Meta的欧盟用户身上，将对欧盟企业以及每天使用Meta服务的个人带来巨大影响。

美国将对数据保护更加重视，但2023年不会有联邦层面的法律出台

在丝芙兰因违反《加州消费者隐私法》（California Consumer Privacy Act）的“不出售”条款而被罚款120万美元并达成和解之后，我们很可能会看到美国更多的执法行动。现在，美国一些州已经通过了数据保护或隐私法（其中一些将于2023年生效），监管机构和官员很可能会面临展现这些新法律的执法效果的压力。虽然关于新的美国联邦数据保护法的讨论仍在继续，但我们似乎不太可能在未来12个月内看到美国国会通过该数据保护法的最终版本。

英国将通过新的数据保护法，但目前尚不清楚它将带来多大变化

2023年很可能会决定英国数据保护法的未来。英国政府（假设它仍然是一个保守党占多数的政府）似乎有可能想要推进并改革英国的数据保护法。但仍然不确定的是，英国的这些改革是否被欧盟视为具有适当性。

英国政府发言人再次强调，保持适当性是英国处理相关问题方式的核心，甚至说，任何遵守欧盟GDPR规定的组织都会发现，自己符合任何新的英国数据保护法。

如果这样，英国新的数据保护法对那些想在整个欧洲采用统一方法的跨国企业可能不会产生太大的影响。但是，如果英国推动构建一个力求创新和更加灵活的英国法律框架，则可能会使欧盟对英国隐私标准感到担忧。

不过，英国数据保护法不仅仅是英国的GDPR替代品。与欧盟一样，英国希望通过《产品安全和电信基础设施法案》（Product Security and Telecommunications Infrastructure Bill）使物联网产品更加安全，这一法案可能在2022年底前成为法律。虽然英国在这一领域领先于欧盟，但在其他平行的重点领域，如人工智能和促进非个人数据的共享方面，则落后于欧盟。2023年可能是英国在这些领域追赶欧盟的一年。

泰乐信将持续密切关注欧盟数据隐私领域的发展动向，也欢迎您关注我们的全球数据中心（Global Data Hub）以获得更多信息！

作者简介：

Victoria Hordern律师是泰乐信伦敦办公室数据保护、数据隐私法律专业的合伙人，拥有超过15年的执业经验，Victoria律师擅长为客户就数据保护以及数据隐私相关的所有法律事项提供咨询。她的客户群体主要来自生命科学、科技、媒体、广告业、制造业以及零售行业。

本文属英翻中文章，如需阅读英文原文，请点击文章左下角“阅读原文”链接。