4月9日，欧洲数据保护监督机构（EDPS）发布了2023年年度报告，该报告重点介绍了EDPS在数据安全的监督与执法、政策与咨询、技术与隐私方面的情况与所做的努力，本次发布的2023年的年度报告内容主要包括七大章节，涉及了机构自身运行状况、履职情况、公共责任、前景展望等多方面内容。本文选取有关数据安全的第五章、第六章内容并将其总结为下。

一、引言‍‍‍‍‍‍‍‍‍‍‍‍‍‍

欧洲数据保护监督机构（EDPS）是欧盟独立的数据保护机构，负责监督欧洲各机构、组织、办事处和机关（EUIs）对个人数据的处理。EDPS就与个人数据保护相关的新立法提案和倡议向欧盟机构提供建议，并与监管机构合作，确保欧盟数据保护规则的一致执行。

二、EDPS在政策制定中发挥的作用

1.人工智能方面。作为欧盟各机构、团体、办事处和机关（EUIs）的数据保护机构，EDPS持续着引导人工智能的开发和应用方式，以确保这项技术遵循以人为本和可持续的方法，尊重隐私和数据保护原则，并最终得以融入日常生活。

（1）当拟议的《人工智能法案》（AI Act）进入最后谈判阶段时，EDPS提出了有关的倡议和意见。并要求在《人工智能法》中明确EDPS的作用、任务和权力，并欢迎成立欧洲人工智能办公室

（2）如果AI如果出了问题，谁来担责？个人如何受到保护？EDPS在 2023 年 10 月 11 日拟议了两条指令以规范AI责任，要求欧盟及其成员国的因AI而遭受损害的个人受到同等保护。

考虑到人工智能系统的不透明性、自主性、复杂性，EDPS提出了具体意见和建议，以确保对个人的高度保护。其中包括，明确了程序保障措施，即证据披露机制和因果关系推定，应适用于人工智能系统造成损害的所有案件。

（3）EDPS要求欧盟共同立法者考虑采取额外措施，进一步减轻人工智能系统受害者的举证责任。

2.数字货币（欧元）方面。EDPS与欧洲数据保护委员会（EDPB）于2023年10 月17日就数字欧元作为中央银行数字货币的条例提案发表了联合意见。数字欧元作为现金之外的另一种支付手段，旨在为个人提供在线和离线电子支付的可能性。拟议的条例涉及数字欧元的许多数据保护方面。例如，提供使用数字欧元或现金支付的选择。

EDPS建议采取措施确保只处理数字欧元用户的必要个人数据，避免欧洲中央银行过度集中管理个人数据。

3. 《通用数据保护条例》（GDPR）方面。2023年9月19日，EDPS和EDPB通过了一份联合意见书，涉及欧盟委员会关于GDPR执行补充程序规则的条例提案。

该提案主要内容为通过协调欧盟各国在程序上的一些差异、简化跨境合作，从而确保及时完成调查，迅速为跨境案件中的个人提供补救。

4. 打击跨国犯罪。在2023年5月4日和12月11日，EDPS与五个拉丁美洲国家、亚美尼亚签订了国际协议，根据这些国际协议，双方可交换个人数据以共同应对国际刑事犯罪。

5.飞机旅客的个人数据保护。EDPS与申根成员国挪威、冰岛和瑞士之间的旅客姓名记录数据传输协议发布了三份意见书，旨在使这三个国家能够合法地从欧盟成员国接收旅客姓名记录数据。

6.针对涉政、司法大型IT系统提出意见。

7.与其他欧盟机构协作保护隐私数据。

三、EDPS科技与隐私小组（T&P）的下属部门

为了应对即将到来的未来技术进步与发展，并建立的评估与准备体系，EDPS下属的科技与隐私小组（T&P）设置了三大部门应对这些挑战，分别是：

1.技术监测与预测部门。该部门会定期发布技术洞察和技术研发报告，对即将出现的技术及其对隐私的影响进行深入分析。其次，组织了互联网隐私工程网络（IPEN）研讨会、技术专家小组和 ChatGPT工作组等各类工作组为EDPS面临的技术问题提供专业知识咨询。

2.数字化转型部门。该部门负责EDPS的数字化转型。

3.系统监督和技术审计部门。该部门负责调查和审计欧盟机构在处理个人数据时如何使用技术，特别是大型信息技术系统，主要涉及自由、安全和司法领域。该部门负责管理欧盟机构发出的个人数据泄露通知。

四、EDPS监管技术发展前景

1.发布技术洞察报告

2023年12月，EDPS发布了第三份技术洞察报告，该报告涉及了五项新兴技术：

– 大型语言模型 (LLM)

– 数字身份钱包

– 行为互联网

– 扩展现实

– 深度伪造检测

本报告深入分析了这些技术的发展状况和发展前景，揭示了潜在的隐私风险。本报告还获得了2023年全球隐私和数据保护创新奖。

2.发布技术研发报告

2023年3月和11月，EDPS分别发布了两篇TechDispatches报告，主题分别为：（1）欧洲中央银行数字货币。报告主要关注这项技术的主要设计方案以及潜在的隐私问题。（2）可解释的人工智能。报告主要关注不透明的人工智能系统带来的风险，以及如何通过合理的方式处理这些人工智能。

3.举办研讨会活动

EDPS采取研讨会的形式聚集起技术和数据保护专家，旨在更好地了解新技术对数据保护的影响、评估隐私增强技术的现状，并支持将隐私融入日常工具的项目。

五、隐私保护

1.技术审计

2023年EDPS共进行了两次技术审计。一次是对欧盟内部市场、工业、创业和中小企业总局（DG-GROW）内部市场信息系统（IMI）进行审计，另一次是对欧盟大型IT系统运行管理机构eu-LISA管理的申根信息系统（SIS）进行审计。检查了这些系统是否采取了必要的技术措施，以遵守欧盟数据保护法，保护个人的个人数据。

2.处理个人数据泄露

根据欧盟法律，所有欧盟机构、办事处、团体和机关都有义务向 EDPS报告个人数据泄露事件。一般而言，每个欧盟机构都必须在发现数据泄露后72小时进行报告。如果资料外泄可能对个人权利和自由造成负面影响的风险很高，有关欧盟机构还必须通知有关个人，不得有不必要的延误。

（1）2023年EDPS收到的个人数据泄露通知总量

2023年，EDPS收到并评估了77份新的可受理个人数据泄露通知。总体而言，相比较2022年的95起相比下降了近19%。

图1 2020年-2023年EDPS收到的数据泄露通知总量

（2）个人隐私数据泄露的类型

个人数据泄露具有保密性、完整性和完整性三种不同类型。2023年期间，73起案件涉及保密性、1起案件涉及完整性漏洞、3起案件涉及可用性漏洞，5起案件涉及了全部三种泄露类型。

图2 2023年EDPS收到的数据泄露通知类型

（3）个人隐私数据泄露的起因

在2023年，尽管提交的数据泄露通知数量有所下降，但人为错误仍然是最常见的原因。在人为错误是根本原因的案例中，通常的模式包括向错误的收件人发送包含机密信息的电子邮件。

图3 2023年EDPS收到的数据泄露通知的原因

（4）受个人隐私数据泄露影响的人数

在约44%的个人隐私数据泄露案件中，有101-500人受到影响，而在约4%的个人隐私数据泄露案件中，有1000人以上受到影响。

图4 2023年EDPS收到的数据泄露通知的受影响人数

（5）受泄露隐私数据的类别

这些案件中19% 涉及特殊类别数据。其中主要涉及的是健康数据，多与在报销过程中与错误发送医疗发票有关。

图5 2023年EDPS收到的数据泄露通知中数据的类别

六、参与国际合作

报告中介绍了EDPS在2023年参与的八大国际合作。

1.全球隐私大会

EDPS参加了2023年的全球隐私大会，并参与了如下工作组：全球框架和标准、数字经济、数据保护和其他权利自由、国际执法合作——数字公民和消费者、个人数据在国际发展援助中的作用、数据共享。

2. 欧洲数据保护机构会议

EDPS参加了2023年5月10日至12日在匈牙利布达佩斯举行的第 31 届欧洲数据保护机构会议。通过了一项关于修订会议规则和程序的决议，还通过了关于需要加强数据保护和竞争法领域合作的第二项决议。

3. 七国集团数据保护和隐私管理机构圆桌会议

EDPS参加了 2023 年6月20到21日在日本东京举行的3.七国集团数据保护和隐私管理机构圆桌会议。会上，EDPS和七国集团代表讨论了与数据保护有关的一些关键问题的联合行动。其中包括“生成式人工智能”主题和“数据自由流动与信任”主题。

4. 欧洲委员会

EDPS持续支持支持欧洲委员会正在进行的《保护个人数据自动处理公约》的批准进程。

5. 经济合作与发展组织

6. 国际组织工作组

7. EDPS和英国信息专员办公室签署备忘录

8. “西巴尔干和东部伙伴关系地区数据保护”的高级别活动

七、总结

这份2023年年度报告第二章的提到EDPS本年度的9大关键指标和完成情况如下图：

图6 2023年EDPS的关键指标及完成情况

EDPS称其基本完成了2023年的预期目标，并在数据安全方面取得一定成果。

来源|EDPS官网

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。