文章目录
前言
欧盟在数据驱动创新的背景下,提出“欧洲数据战略”,其中引入“欧洲共同数据空间”的概念,并在《数据治理法》(DGA)中进一步阐述了这一概念。欧盟网络安全局(ENISA)作为提升整个欧洲网络安全水平的机构,于2024年1月发布《欧盟数据空间中设计个人数据保护》(Engineering Personal Data Protection in EU Data Spaces)。报告从个人数据保护工程角度,讨论了欧盟数据空间的设计和部署。报告将介绍欧洲数据空间中数据保护的注意事项,并通过设想制药领域的两个具体应用场景,进一步阐释欧盟数据空间应如何设计个人数据保护。
一、背景:欧盟数据空间
在数据驱动创新(DDL)的时代背景下,欧盟于2020年宣布一项为期五年的“欧洲数据战略”,提出“单一欧洲数据空间”的愿景。欧洲数据战略提出建立“欧洲共同数据空间(以下简称“欧盟数据空间”)”,并在数据治理法(DGA)中进一步阐释这一概念。
欧盟数据空间将创建一个尊重隐私、安全和符合其他相关监管要求的数据共享框架,同时通过实施一系列措施来促进部门间的合作,最终旨在促进创新、经济增长和数字化转型。尽管欧盟数据空间可以产生诸多好处,但由于数据空间中各方有着不同的战略目标和特定的数据需求,协调各方的利益是一项具有挑战的工作。此外,由于欧盟数据空间是在现有欧盟政策和法律框架中运作,探究部门间共同的术语、设计和合规框架,明确适当的数据工程工具至关重要。
(一)欧盟数据空间的设计原则
首先,DGA提供了一个整体的治理框架,强调欧盟数据空间需要遵守欧盟其他相关的政策和法律。其次,为了实现“最有效和最负责任的数据访问和使用”,必须设计、设置和维护欧盟数据空间,提供安全和受监督的数据处理环境,同时保障技术互操作,保护商业秘密、第三方知识产权和个人数据。最后,将采纳有关重新使用条件以及相关的技术和组织措施(TOMs)的基本和统一建议,特别是为了帮助数据持有者了解和调整安全和保密规则,并调整其公司政策,以符合欧盟数据保护要求(GDPR)。
(二)欧盟数据空间的核心:互操作
数据持有者有义务推进互操作。实际上,数据共享服务提供商应“促进按照其从数据持有者那里收到的格式交换数据,并且仅在跨部门内部或跨部门之间增强互操作性,或是由数据用户要求,或根据欧盟法律规定,或为了确保与国际或欧洲数据标准的协调,而将数据转换为特定格式”。互操