2020年5月25日是欧盟正式发布实施通用数据保护条例(GDPR)的两周年纪念日。然而GDPR这个刚满两岁的条例还有很长的路要走,两年来有关遵守该条例的数据表明,理想的条例遵守情况与现实发展之间存在重大脱节。
一、理想和现实的巨大落差
在GDPR开始之前,有78%的公司自信地认为他们已准备好满足数据要求,但实施后只有28%的公司遵守GDPR,可见遵守GDPR和类似GDPR的法律(如CCPA和PDPA)并不像最初想的那样容易,还有大量公司远远未达到GDPR合规要求,仍需要不断改进。
造成这种落差的原因是什么?
1. 首先公司需要遵守出台的法规是一项庞大而昂贵的工作
自GDPR于2018年5月生效以来,在发生个人数据泄露时,除非个人数据的泄露不会产生危及自然人权利和自由的风险,否则数据控制者应在获知泄露之时起的 72 小时内向监管机构发送通知报告。另外,当个人数据泄露可能对自然人的权利和自由产生高风险时,数据控制者还应当向数据主体告知数据泄露的相关情况。
倘若有违反法规的企业、单位或组织的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其上一年全球总营业额4%的金额罚金,两者取其最高。
举个例子:如果发现某公司不符合GDPR,则其年营业额占全球营业额的4%以上,就已下达28笔重大罚款,相当于罚金4.64亿美元,这无疑是一笔巨款。
通过2020年初,DLA Piper律师事务所就欧盟数据保护状况发布报告显示,自2018年《一般数据保护条例》(GDPR) 发布以来,欧盟已经收了1.14亿欧元(约合1.26亿美元)的罚款。然而对欧盟来说,这一切还仅仅是个开始。
DLA Piper负责网络和数据保护领域的合伙人麦基恩 (Ross McKean) 对CNBC表示,目前欧盟仍处于执法的初期,“未来还会发出更多罚单。”
对数据监管机构来说,数据泄露是隐私保护工作中的重点。从2018年5月到2020年初,欧盟共收到个人数据泄露事件通报160921起。
国际巨头公司如Facebook(脸书)和Google(谷歌),以及苹果、微软、Twitter、WhatsApp、Instagram等企业都遭到投诉或调查、处罚。
一些公司甚至因为GDPR的罚金,直接关闭了针对欧盟用户的业务。
部分较为重大的处罚或调查、投诉案例如下:
- 爱尔兰数据保护委员会(Data ProtectionCommission, DPC)近日启动19项法定调查,其中11项重点关注Facebook、WhatsApp和Instagram。此外,谷歌/Twitter和领英也在接受调查;
- 法国数据保护机构CNIL向谷歌发出了5000万欧元的罚款,原因是因谷歌在个性化广告方面“缺乏透明度,信息提供不充分,且未获得用户的有效同意 ” ;
- 荷兰数据保护执法机构向Uber开出60万欧元罚单,因为Uber发生数据泄露事件但未按规定进行报告;
- 香港国泰航空已被英国数据监督机构处以 50 万英镑的罚款。本次漏洞暴露了全球约 940 万客户的个人详细信息,且其中有 111578 名来自英国。
2. 法规标准过多,且全球缺乏统一标准
除了以上这些价格不菲的罚款外,公司还需付出其他的代价,假设所有的公司都在全球开展业务,那么根据美国加利福尼亚州司法部的数据,仅就CCPA而言,使加利福尼亚州企业遵守法规的初步估计费用约为550亿美元。研究人员估计,在较低端,员工人数少于20人的公司可能在一开始需要支付约50000美元才能保持合规。而在较高端,员工人数超过500人的公司一开始的合规成本平均在200万美元左右。这还仅仅是为了遵守一项法规。
所以想做到合规非常昂贵,然而“你懂的”(给一个严肃的眼神),倘若被发现不合规更加昂贵。
那么公司应如何在当今世界中导航以确保其客户和团队的隐私权得到保护,而不会遗漏这些法规要求中的任何一项?
有不少公司正在尝试一对一地处理这些隐私法规,但其实没必要对这些规则中的每一项都采取单独的方法,因为这不仅非常费力而且还会增添企业的税费。
二、一些改进建议分享给大家
1. 先确定所有法规中的共同点
用最简单的形式,它可以归结为:了解您实际拥有的数据,并放置适当的控件以确保可以适当地保护它。实施这种通用的方法可以节省大量时间,精力和资源,专门用于全面开展数据隐私工作。
在开始时,请考虑执行以下步骤:首先,确定系统,数据库和文件存储(例如Box,Sharepoint等)中存储的敏感数据。接下来,确定谁有权访问哪些内容,以便可以确保只有“应该”具有访问权限的正确人员才可以访问。这对于保护客户信息至关重要。最后,实施控制措施以保持员工访问权限的更新。使用策略来保持访问的一致性很重要,但是至关重要的是必须对其进行更新并与组织的任何变化保持最新。
同时需要遵守的隐私法规如此之多,我们该如何改善这种情况呢?
2. 建议采用通用隐私法
例如现有法规中的2020年《加利福尼亚州隐私权和执行法》,有人称其为“ CCPA 2.0 ”,这是对CCPA的修正。如果这项立法生效,它将创建一套全新的与GDPR保持一致的隐私权,从而为保护敏感的个人信息提供了更大的保障。
我认为,既然世界已经比以往任何时候都更能认识到隐私权的价值,那么我们将继续看到依据全球现有法规去更新的修正案。
同时现在很多人会因为已存在于暗网中的私人数据而感到不知所措,但我们并不能因此对这些事坐视不管,毕竟这会损害我们客户的隐私,产生过高的成本并且导致办事效率低下,不能任由它继续发生。
那么解决问题的关键要点是什么?
3. 建议使您的数据隐私工作与其余安全策略一样重要,确保它们是一个整体,并考虑到我们今天都必须遵守的各种法规中的所有事实和重叠之处。
只有这样,您才有机会保护您的客户和员工的数据,让公司避免成为另一个新闻头条以及GDPR罚款的统计数据。
三、展望未来
GDPR已成年两周岁,它的诞生也带来了全球隐私保护立法的热潮,提升了社会各领域对于数据保护的重视。在全球其他国家或地区拥有了自己的兄弟姐妹们,比如:
- 美国加州:制定《加州消费者保护法案》,于2020年生效
- 印度:制定本地数据保护法草案,与GDPR性质类似
- 新加坡:成立公共机构数据安全检讨委员会,以加强对公民数据的保护
我国中央网信办也发布了中国版迷你“GDPR”《数据安全管理办法(征求意见稿)》,向社会公开征求意见。《意见稿》对当下的一些热点数据安全问题都作出了回应,诸如网络爬虫、跨境数据传输、定向推送和自动化洗稿等由大数据利用等产生的问题……
下一年,GDPR仍将继续生效,数据监管究竟会如何走向,又会如何发展,让我们拭目以待。