新的 关于欧盟非个人数据自由流通的框架的(EU)2018/1807条例 (非个人数据法规的自由流动) 博客,自2019年5月28日起适用。与《通用数据保护条例》(EU)2016/679(GDPR)一起,这两项条例现在提供了 “一个共同的欧洲数据空间和自由流动的综合框架 所有 欧盟内部的数据”。欧盟委员会已发布 实践指导 帮助用户了解这两个规定之间的相互作用。

个人,非个人或混合数据?

该委员会的指南解决了每个法规所涵盖的个人和非个人数据的概念。虽然个人数据是在GDPR中定义的,但非个人数据是由反对派在《非个人数据自由流动条例》中定义的,例如 “除第4条第1点所定义的个人数据以外的数据” GDPR的非个人数据按来源分类为:(1)最初与已识别或可识别的自然人无关的数据,或(2)最初是个人数据,但后来被匿名的数据。请注意,对个人数据的匿名化与假名化不同,后者是对数据的处理,这些数据最终可以通过使用其他信息归因于某人。

在大多数日常情况下,数据集可能是由个人数据和非个人数据组成的混合数据集。该指南提供了混合数据集的示例,例如公司的税收记录,并提及了公司常务董事的姓名和电话号码。对于混合数据集,该指南将方法设置如下:

  1. 《非个人数据自由流通规定》适用于集合中的非个人数据部分;
  2. GDPR适用于集合中的个人数据部分;
  3. 如果非个人数据和个人数据为“有着千丝万缕的联系”,即使个人数据仅占集合的一小部分,GDPR规定的数据保护权利和义务也将完全适用于整个混合数据集。

而“有着千丝万缕的联系“在任何法规中均未定义,该指南指的是将个人和非个人数据分开的情况”要么不可能,要么被控制器认为在经济上效率低下或在技术上不可行”。例如,在某些情况下,分离数据集可能需要公司产生重复成本(例如,必须购买单独的软件来处理两种类型的数据),或者可能会大大降低数据集的价值。在其他情况下,可能无法指出不同类别数据之间的分界线,因为随着新技术的发展,这一界限变得更加模糊。因此,这两个法规都不要求企业分离他们处理的数据集。

没有数据本地化要求

《非个人数据自由流通条例》对数据本地化要求作了一般性禁止,无论这些要求是直接的(例如,有义务将数据存储在特定地理位置的服务器上)还是间接的(例如,使用具有具有阻碍在特定位置之外处理数据的效果)。出于公共安全的考虑可能会发生例外,但这必须与需要实现的目的成比例。

自我监管以支持数据的自由流通

根据非个人数据法规的自由流通,委员会鼓励行业参与者制定欧盟一级的自我法规行为守则,以促进竞争性数据经济。此类行为准则应解决数据的移植问题,以避免由于用户的数据“锁定”在提供商系统中而导致用户无法在服务提供商之间进行切换的厂商锁定做法。欧洲数据保护委员会已经发布了 行为准则和监督机构准则 进行咨询,如我们先前讨论的 博客.

评论

该指南为企业提供了有关GDPR与非个人数据法规自由流动之间相互作用的有用信息。这两个法规共同致力于通过消除数据本地化要求,坚持数据可移植性要求并鼓励行业制定行为守则以促进数据自由流动来实现数据自由流动。这将尤其使中小型企业更容易跨越国界扩展并开发新的创新服务。