爱尔兰通过GDPR“保密”法，允许数据保护委员会使GDPR程序保密

发布于2023年7月10日，作者：Glyn Moody

爱尔兰刚刚通过了一项新的法律，这项法律管理根据欧盟的一般数据保护条例GDPR提出的投诉，其要旨是：

[这法案] 将允许爱尔兰数据保护委员会DPC对任何分享有关待处理的[GDPR] 程序信息的人进行刑事处罚。虽然该法律并不明确，且可能违宪，但这将成为进一步施压于在爱尔兰DPC面前发声的申诉者的一种工具。

这是隐私专家Max Schrems创立的组织noybeu的看法。人们难以不解读这项新法律是针对他和他的组织。正如Schrems所言：“我想我们对GDPR有效执行的斗争如此高效，以至于DPC现在试图刑事化我们。”

多年间，Schrems和他的noybeu一直是爱尔兰数据保护委员会的眼中钉，并成功挑战了许多DPC的GDPR决定。这项新的爱尔兰GDPR保密法改变了这一局面，似乎赋予爱尔兰数据保护机构广泛的权力，以阻止任何人包括noybeu分享GDPR案件的细节。

隐私监管机构压制隐私活动家

这并不是DPC第一次试图压制活动家。2021年10月，DPC向noybeu发出了一份下架通知，声称会“要求[noyb]立即从您的网站上移除草拟的[GDPR]决定，并停止进一步或其他发布或披露”。Schrems拒绝遵循因为在当时，DPC无法强制执行其要求，因此没有后续行动。

爱尔兰政府坚称这没有任何问题，但这一说法被DPC新权力的引入方式所削弱这是在投票前几天突然提出的。在一份“谴责声明”中，欧洲数字权利组织指出，没有进行预立法审查，因此爱尔兰议会成员无法事先审查该法律。

爱尔兰的GDPR保密法未经过议会辩论阶段，也没有委员会阶段，让政治家们获取有关该法律及其影响的专家意见。爱尔兰国务大臣仅给出三行对法律变更的解释，而爱尔兰议会只给予一小时的时间来与其他23个部分一起辩论后直接投票。

换句话说，爱尔兰政府似乎知道这项法律变更将会引起争议，故意将信息保持在最低限度，限制人们讨论和挑战它的机会，然后急匆匆地推进。

除了noybeu和欧洲数字权利组织外，其他几个组织对DPC的新权力也感到担忧，其中包括爱尔兰公民自由委员会和大赦国际，后者将其称为“明目张胆的企图，不仅要使大型科技公司免于审查，也要压制捍卫隐私和数据保护权利的个人和组织”。

欧洲议会的一位高级成员Sophie in ‘t Veld在推特上写道：“这部保密法如此荒谬，令人难以置信。与爱尔兰DPC的关系已经紧张一段时间，压制批评者并不是正确的解决方案，尤其是在民主国家中。”她已向两个可以对该新法采取行动的重要机构欧洲委员会和欧洲数据保护委员会EDPB提交了书面问题。

欧盟可以结束爱尔兰的GDPR案件处理方式

EDPB 确保GDPR在欧盟内的一致性应用，并促进各国数据保护机构DPA之间的合作，包括执法。在此情况下，Schrems担心即便是EDPB也可能受到新爱尔兰法律的负面影响，并指出DPC已经对EDPB提出法律行动，因此不太可能对施行新权力有所顾虑。

截至发稿时，EDPB尚未对爱尔兰立法发表评论，欧洲委员会也尚未就其刚刚发布的提案作出回应，该提案旨在“精简数据保护机构在跨境案件中执行一般数据保护条例时的合作”。这将可能直接解决DPC新权力所引发的对其GDPR执行批评的问题。例如，其中一项变更将明确允许欧盟的任何数据保护机构执行GDPR。

目前，通常由公司的欧盟总部所在国执行GDPR，而这通常意味著爱尔兰的DPC。可悲的是，欧洲委员会并未采取这一途径。Schrems表示，该提案其实是“对用户在GDPR程序中权利的攻击”：

委员会的提案似乎主要基于某些DPA的要求，旨在将公民排除在程序之外以“简化”程序。在试图解决问题时，委员会只是试图堵住系统中的个别漏洞，而这些漏洞在爱尔兰DPC与其欧洲对手之间的第一场大案中暴露出来。

目前，GDPR的变更仅为提案，因此希望在欧盟立法过程中能有更好的改善。与此同时，noybeu表示：

我们不会屈服于这部违宪的地方[爱尔兰]法律。然而，这可能意味著我们提供的一些信息将无法在爱尔兰获得。DPC和Meta之前曾威胁提起诉讼，但从未实施可能因为他们知道会输掉这样的案件。然而，我们必须预计DPC将利用这项新条款进一步制造程序上的戏剧。

新的爱尔兰GDPR保密法，加上欧盟调整GDPR某些方面的计划，意味著隐私世界在可预见的未来不会平静无波。

立即获取PIA VPN

图片来自D。