欧盟通用数据保护条例（GDPR）监管机构一直处于忙碌中。在GDPR实施开始20个月里，监管机构向包括Google和Facebook在内的公司开出了数百张罚单，金额超过1.14亿欧元。今年晚些即2020年5月25日之时，欧盟委员会将按照GDPR第97条的规定提交一份报告。该报告将评估在GDPR实施下取得的进展以及面临的挑战，很有可能为即将开展的任一重大改革奠定基础。
　　
　　然而，其他新进展可能会对今年GDPR产生即时影响，例如英国脱欧，其他国家推出了本国的数据保护法律以及欧盟法院的裁决。本文将带您先睹为快，了解GDPR下一年将如何变化，以及如何影响您的业务。
　　
　　寄予厚望的一年
　　
　　尽管Facebook、Google和WhatsApp确实收到了GDPR罚款，但其数量和规模令GDPR支持者感到失望。法国数据保护机构对谷歌处以5000万欧元罚款，但与谷歌的总体预算相比只是九牛一毛。为了使这些巨头科技公司真正重视数据保护，专家认为罚款额度应提到更高。欧盟委员会负责人Margarethe Vestager呼吁应当更加严格执行GDPR和促进科技行业竞争的政策。
　　
　　此外，截至2019年7月，个别国家，即希腊、葡萄牙和斯洛文尼亚仍未使其国内法律与GDPR保持一致。其他国家仍在为这些新监管机构雇用和培训人员。这种滞后现象意味着GDPR尚未在整个欧盟范围内得到全面实施。因为一个国家在建立数据保护机构之前需要先配套相应国家法律，法律滞后影响了欧盟内可以提出申诉，甚至只是了解其权利的人数。伴随着这些“拖后腿”国家实施国家立法，激励希腊、葡萄牙和斯洛文尼亚的公司确保其完全合规，这情况应该能在2020年结束。
　　
　　对于试图建立全面且强有力的数据保护体系的GDPR来说，今年可能是成败攸关的一年。
　　
　　GDPR不再是唯一需要关注的数据保护缩写
　　
　　从巴西的LGPD到美国加州的CCPA，GDPR带来了许多模仿效应。尽管其中许多法律在数据保护的广泛条款上达成了一致，但各自都以自己的方式来实施数据保护。这两个新法规仅仅是个开始：加拿大和澳大利亚都在考虑新的数据保护法规，印度立法机关将对其个人数据保护法案进行投票。在美国，包括内华达州、纽约州、得克萨斯州和华盛顿州在内的几个州正在考虑效仿加利福尼亚州，通过各州自己的数据保护法。
　　
　　英国脱欧还不会带来什么改变
　　
　　过去几年来，英国脱欧一直占据欧洲新闻的热门，英国和欧盟的监管机构需要为将来建立替代的数据保护监管框架。然而这对2020年的影响相对较小，至少在数据保护方面。尽管英国2020年1月31日正式退出欧盟，但在这一整年英国仍将遵守欧盟的所有标准和法规。这意味着GDPR仍然适用于英国。
　　
　　欧盟新《电子隐私条例》似乎尚未就绪
　　
　　与GDPR相对应的《电子隐私条例》被一再推迟，似乎可能比原计划更加滞后。这使得今年可能需要提出一项修订提议案，这意味着真正实施可能还需要至少一年时间。《电子隐私条例》原定于2017年实施，以取代目前的《电子隐私指令》，该指令规定了整个欧盟境内cookie的监管方式。
　　
　　数据传输将面临另一场战斗
　　
　　2015年，奥地利隐私倡导者Max Schrems向爱尔兰数据保护专员提出申讼，质疑爱尔兰Facebook向美国Facebook公司传输个人数据时，以标准合同条款作为法律依据的做法，Schrems认为，上述标准合同条款并没有为欧盟数据主体提供足够程度的保护。这使得裁决颇有争议，随后该裁决经辩论后从而引起Schrems II案，该案目前将近尾声。
　　
　　问题的核心在于GDPR第46条内容，其中规定了数据控制者（即确定如何以及为何进行数据处理的公司）可以在国际间进行数据传输到或传输至第三方，“只有在数据控制者或处理人已提供适当安全保障，并且前提是数据主体能行使其数据主体权利并可获得有效法律救济时，才可进行。（法规原文内容）”
　　
　　2019年12月19日，欧盟法院（CJEU）总法律顾问（AG）发表了一项意见，主张标准合同条款可用于国际间的数据传输。但是，AG在细则中还建议，应根据具体情况审核此类条款的使用。还提出了关于美国数据保护的严重问题，使美国数据传输遭受质疑。
　　
　　尽管AG的意见不具有约束力，但往往是CJEU裁决的预览。敬请期待今年晚些时候CJEU的最终决定——以及有关数据传输的另一场战役。