欧盟新规：跨境数据传输与 AI 数据保护

欧盟数据保护委员会发布新指南：对跨境数据传输和 AI 数据保护提供清晰指引

2025年6月4日，欧洲数据保护委员会（EDPB）公布了关于《通用数据保护条例》（GDPR）第48条的最终指南（Guidelines 02/2024），明确了对第三方国家当局数据传输的规定。同时，EDPB还推出了两个针对 AI 和数据保护的新培训项目。

对跨境数据传输的新指引：

该指南重点强调，来自第三方国家的司法或行政决议不能自动在欧盟成员国被认可或执行。它重申，外国当局的要求本身并不构成合法处理数据的依据或传输依据。

虽然国际协议可能提供合法依据和传输依据，但指南也承认在没有国际协议的情况下，或者当国际协议缺乏足够保障时，可以考虑其他合法依据或传输依据。然而，EDPB明确指出，私营实体不能依靠GDPR第6条(1)(b)条款（处理是为了履行合同）作为回应第三方国家当局的转移或披露请求的适当法律依据。

AI 和数据保护培训项目：

在 6 月例会期间，EDPB 推出了两个新的专家支持计划项目： “AI 安全与数据保护中的法律和合规” （针对数据隐私官员和隐私专业人员），以及“具有个人数据的安全 AI 系统基础知识”（针对网络安全专业人员、开发人员或部署高风险 AI 系统的人员）。

这两个项目旨在为专业人士提供有关 AI 和数据保护的必要技能，从而营造更有利于执行数据保护法规的环境。考虑到 AI 技术发展迅速，EDPB 推出了一个为期一年的试点项目，该项目包含可修改的社区版本报告，允许外部贡献者提出更改或对文件添加评论。

这些新指南和培训项目旨在帮助欧盟成员国更好地应对跨境数据传输和快速发展的 AI 技术带来的挑战，确保个人数据得到充分保护。

阅读本文之前，你最好先了解…

• GDPR (通用数据保护条例): 这是欧盟颁布的一项关于个人数据处理的法律法规，旨在保护欧盟公民的隐私权和数据安全。
• 第三方国家: 指不属于欧盟成员国的国家或地区。
• AI (人工智能): 一种利用计算机模拟人类智能的技術。

更多内容：

• 跨境数据传输的复杂性: 该指南强调了跨境数据传输所面临的复杂性，特别是在缺乏明确国际协议的情况下。欧洲对个人数据的保护力度较高，因此第三方国家的法律法规和数据安全标准可能与欧盟标准有所差异，这使得跨境数据传输更加困难。
• AI 数据保护挑战: AI 的发展带来新的数据处理方式和挑战。指南没有详细规定 AI 数据处理的具体要求，但强调了对使用个人数据的 AI 系统的责任和透明度，以及需要评估潜在风险。
• EDPB 的作用: EDPB 是欧盟负责监督和解释 GDPR 条例的机构。其发布的指南具有重要的参考价值，可以帮助企业理解 GDPR 的应用范围和具体要求。

未来展望:

随着 AI 技术的发展和全球化程度加深，跨境数据传输将面临更多挑战。EDPB 持续发布新的指南和培训项目，旨在帮助欧盟成员国更好地应对这些挑战，确保个人数据得到充分保护。企业需要密切关注最新的监管趋势，并采取措施确保其数据处理活动符合 GDPR 的要求。

如果你有其它意见，请评论留言。