欧洲数据保护委员会(EDPB)和欧盟委员会联合发布关于 DMA 与 GDPR 相互作用的指南草案
- Boring Editor
- 2025年10月16日
- 讀畢需時 2 分鐘
2025-10-01
欧洲数据保护委员会(EDPB)和欧盟委员会联合发布了关于《数字市场法》(DMA)与《通用数据保护条例》(GDPR)相互作用的指南草案。该指南旨在澄清两种法规在数据处理、同意管理和用户权利方面的交集,以帮助守门人(gatekeepers)合规。
指南强调,在DMA下,守门人必须为用户提供基于GDPR的有效同意机制,特别是针对数据组合和跨服务使用。EDPB 指出,DMA 的公平、合理和非歧视(FRAND)条件应与GDPR的同意要求一致,避免强制性数据处理。
此外,指南讨论了数据访问权、数据可移植性和互联互通义务如何与GDPR 协调,包括处理数据主体请求时的隐私保护措施。
该草案还涵盖了执法合作机制,EDPB 和数字市场咨询委员会(DMAC)将共同确保法规一致性。
公众咨询期开放至2025年11月15日,欢迎利益相关方提交反馈。
该草案是欧洲数据保护委员会(EDPB)和欧盟委员会联合发布的指南,旨在澄清《数字市场法》(DMA)和《通用数据保护条例》(GDPR)在数字市场中的相互作用,特别是针对守门人(gatekeepers)在数据处理方面的合规义务。以下是主要内容的要点总结:
主要内容:
法规交集与适用范围:
DMA 针对守门人(如大型平台)施加的核心义务(如数据组合、广告透明度)必须符合GDPR的数据保护原则。
强调DMA不取代GDPR,而是补充;守门人在履行DMA义务时,仍需遵守GDPR的合法性、公平性和最小化原则。
同意机制与用户选择:
DMA要求守门人为数据组合、跨服务使用和个性化广告提供拒绝选项,该机制必须基于GDPR的有效同意(自愿、具体、知情)。
拒绝数据处理不应导致服务降级或歧视;指南提供示例,如cookie墙(cookie walls)可能违反GDPR如果强制同意。
公平、合理和非歧视(FRAND)条件适用于数据访问,但不能绕过GDPR的同意要求。
数据访问、可移植性和互联互通:
DMA的工具和数据访问义务(如API提供)需与GDPR协调,确保访问不侵犯隐私(如匿名化处理)。
数据可移植权(DMA Art. 6(9))与GDPR Art. 20互补,但守门人需验证请求者身份并保护第三方数据。
互联互通(如消息服务)必须评估数据保护影响(DPIA),并实施安全措施防止滥用。
执法与合作机制:
建立EDPB与数字市场咨询委员会(DMAC)的合作框架,包括信息共享和联合调查。
国家数据保护机构(DPAs)与国家竞争机构协调执法;指南定义了投诉处理流程和优先级。
强调一致性解释,避免法规冲突,例如在市场调查中整合隐私评估。
实际指导与最佳实践:
提供场景示例,如针对未成年用户、行为跟踪和算法透明度的具体要求。
守门人需记录合规措施,并定期审查DMA义务对隐私的影响。
公众咨询旨在收集反馈,以完善最终指南。
总体而言,草案强调数据保护是DMA合规的核心,确保用户权利在数字生态中得到平衡保护,而非牺牲隐私换取市场公平。