五年：对《欧盟通用数据保护条例》GDPR成熟的印象

Reynders是2023年在布鲁塞尔举行的IAPP欧洲数据保护大会上就GDPR的效力和地位发表意见的众多人之一。

Reynders在主题演讲中补充道：“2018年，我们面临着许多关于GDPR会产生什么影响的问题。现在，仅仅过去了五年，我们已经看到了丰富的判例法、指导和决策实践的发展。

这为企业的义务带来了更大的法律确定性，也为个人的权利带来了更明确的法律确定性。整个行业和社会的数据保护意识比以往任何时候都要高。”

欧洲立法者、监管机构、学者和其他人利用专门的DPC分组会议，反思欧盟具有里程碑意义的数据保护法的现状、执法步骤及其与欧盟更广泛的数字监管框架的相互作用，包括《欧盟人工智能法》、《数据法》、《数字服务法》和《数字市场法》。

“没有什么是完美的，”那慕尔大学名誉教授Yves Poullet说，GDPR是“成功的”，结果是积极主动的数据保护当局的执法以及随后的一些法律挑战，提高了公众对数据保护风险的认识和关注。

与此同时，欧洲议会议员Axel Voss描述了一系列“GDPR的问题”，其中包括该法规的统一适用导致成员国之间缺乏和谐，以及法院和监管机构之间的解释分歧。他还提到，该法规文本中缺乏指导方针、标准和法律清晰度，需要适应新技术和当今的“数字时代”。

Voss表示，GDPR为合法处理个人数据建立的法律基础可能不是数据驱动世界的最佳方法。

他说：“我认为，我们应该说，‘你可以做你想做的事，但不要侵犯我们公民的隐私。’我知道这可能很难定义，但这可能是一个更好的前进方向。”他指出，欧盟数字立法一揽子计划下的法规正在试图规避GDPR。

对于欧盟委员会司法和消费者总局数据保护部门负责人Olivier Micol来说，这些规定是GDPR的“最大成就”。

他说：“它为许多其他立法奠定了基础。这些其他立法之所以没有出台，是因为《通用数据保护条例》存在问题。《通用数据管理条例》奠定了其他立法的基础。我们必须根据GDPR的目标来判断GDPR它，它并不是所有事情的规则。”

Reynders在DPC主题演讲阶段也发表了类似的声明，指出GDPR“仍然是欧盟数字监管框架的基石”。他说，欧盟已经通过或正在考虑的其他数字监管都没有将个人数据保护作为主要目标。

他说：“欧盟的每一项新举措都追求一个特定的目标，它们可能会以某种方式帮助或建立在《通用数据保护条例》的基础上，但《通用数据管理条例》仍然是整个欧盟法律框架的基础。每当这些新举措涉及个人数据处理时，它们都依赖于GDPR的规则，因此我们将继续在欧盟层面组织的数据保护法规的中心进行监管。”

Reynders还谈到了简化数据保护机构在跨境案件执法方面合作的拟议法规，称这“进一步提高了GDPR跨境执法的效率”，并“有针对性地补充了GDPR”，以改进执法并提供更快的补救措施。

“这不会影响GDPR的任何实质性内容，”他说，并重申目标是加强执法，而不是重新打开可能对该法规进行修改的“所谓潘多拉盒子”。

Reynders说：“数据保护机构在通过指导方针、调查投诉和批准行为准则时，每天都会对《通用数据保护条例》进行解释。在所有这些活动中，有必要采用通用的方法来应用《通用数据保护条例》。当局必须共同努力实现这一水平的一致性。一致性意味着企业的法律确定性和个人在所有情况下的明确性。”

在另一次关于跨境执法的DPC会议上，欧洲数据保护委员会秘书处负责人Isabelle Vereecken表示，该提案的提出是因为需要根据GDPR制定更详细的规则并进行合作。

她说：“你会认为它足够详细，但在实践中，事情要复杂得多。”她补充道，EDPB希望解决几个问题，包括跨境合作和争端解决的最后期限。

比利时数据保护局诉讼庭成员、曾担任倡导组织NOYB项目主任的Romain Robert表示，迫切需要最后的期限，他引用了该倡导者对一家大型科技公司的一项投诉，该投诉在五年多后仍未解决，原因是关于谁应担任首席监管机构的争议。

拟议的统一监管和一系列其他可能重叠的数字立法引发了围绕GDPR的挥之不去的新问题。但这些因素是否意味着仅仅五年后就有必要进行修正或“GDPR 2.0”？

欧盟委员会的Micol表示，也许会有那么一天。目前，欧盟委员会正计划明年发布一份报告，对GDPR的应用进行全面审查。Micol表示，该报告可能会审视不同的因素，并最终帮助决定后续行动。

Voss更倾向于主动解决监管中的漏洞。他说，在最终进入立法审议之前，等待GDPR出现或出现问题不是一条理想的道路。

Voss说：“我们在立法过程中所经历的是，我们提出了新的想法，但说‘不要触碰GDPR’。在这个问题上，我们必须更具革命性地说，‘不，这并不完美。我们必须一直改进这一点。’我们需要一个灵活的立法机构来解决这些问题。”