2020年5月25日是歐盟正式發(fā)布實施通用數(shù)據(jù)保護(hù)條例(GDPR)的兩周年紀(jì)念日。然而GDPR這個剛滿兩歲的條例還有很長的路要走，兩年來有關(guān)遵守該條例的數(shù)據(jù)表明，理想的條例遵守情況與現(xiàn)實發(fā)展之間存在重大脫節(jié)。

一、理想和現(xiàn)實的巨大落差

在GDPR開始之前，有78%的公司自信地認(rèn)為他們已準(zhǔn)備好滿足數(shù)據(jù)要求，但實施后只有28%的公司遵守GDPR，可見遵守GDPR和類似GDPR的法律(如CCPA和PDPA)并不像最初想的那樣容易，還有大量公司遠(yuǎn)遠(yuǎn)未達(dá)到GDPR合規(guī)要求，仍需要不斷改進(jìn)。

造成這種落差的原因是什么?

1. 首先公司需要遵守出臺的法規(guī)是一項龐大而昂貴的工作

自GDPR于2018年5月生效以來，在發(fā)生個人數(shù)據(jù)泄露時，除非個人數(shù)據(jù)的泄露不會產(chǎn)生危及自然人權(quán)利和自由的風(fēng)險，否則數(shù)據(jù)控制者應(yīng)在獲知泄露之時起的 72 小時內(nèi)向監(jiān)管機(jī)構(gòu)發(fā)送通知報告。另外，當(dāng)個人數(shù)據(jù)泄露可能對自然人的權(quán)利和自由產(chǎn)生高風(fēng)險時，數(shù)據(jù)控制者還應(yīng)當(dāng)向數(shù)據(jù)主體告知數(shù)據(jù)泄露的相關(guān)情況。

倘若有違反法規(guī)的企業(yè)、單位或組織的罰金最高可達(dá)2000萬歐元(約合1.5億元人民幣)或者其上一年全球總營業(yè)額4%的金額罰金，兩者取其最高。

[[327819]]

舉個例子：如果發(fā)現(xiàn)某公司不符合GDPR，則其年營業(yè)額占全球營業(yè)額的4%以上，就已下達(dá)28筆重大罰款，相當(dāng)于罰金4.64億美元，這無疑是一筆巨款。

通過2020年初，DLA Piper律師事務(wù)所就歐盟數(shù)據(jù)保護(hù)狀況發(fā)布報告顯示，自2018年《一般數(shù)據(jù)保護(hù)條例》(GDPR) 發(fā)布以來，歐盟已經(jīng)收了1.14億歐元(約合1.26億美元)的罰款。然而對歐盟來說，這一切還僅僅是個開始。

DLA Piper負(fù)責(zé)網(wǎng)絡(luò)和數(shù)據(jù)保護(hù)領(lǐng)域的合伙人麥基恩 (Ross McKean) 對CNBC表示，目前歐盟仍處于執(zhí)法的初期，“未來還會發(fā)出更多罰單。”

對數(shù)據(jù)監(jiān)管機(jī)構(gòu)來說，數(shù)據(jù)泄露是隱私保護(hù)工作中的重點。從2018年5月到2020年初，歐盟共收到個人數(shù)據(jù)泄露事件通報160921起。

國際巨頭公司如Facebook(臉書)和Google(谷歌)，以及蘋果、微軟、Twitter、WhatsApp、Instagram等企業(yè)都遭到投訴或調(diào)查、處罰。

一些公司甚至因為GDPR的罰金，直接關(guān)閉了針對歐盟用戶的業(yè)務(wù)。

[[327820]]

部分較為重大的處罰或調(diào)查、投訴案例如下：

• 愛爾蘭數(shù)據(jù)保護(hù)委員會(Data ProtectionCommission, DPC)近日啟動19項法定調(diào)查，其中11項重點關(guān)注Facebook、WhatsApp和Instagram。此外，谷歌/Twitter和領(lǐng)英也在接受調(diào)查;
• 法國數(shù)據(jù)保護(hù)機(jī)構(gòu)CNIL向谷歌發(fā)出了5000萬歐元的罰款，原因是因谷歌在個性化廣告方面“缺乏透明度，信息提供不充分，且未獲得用戶的有效同意 ” ;
• 荷蘭數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu)向Uber開出60萬歐元罰單，因為Uber發(fā)生數(shù)據(jù)泄露事件但未按規(guī)定進(jìn)行報告;
• 香港國泰航空已被英國數(shù)據(jù)監(jiān)督機(jī)構(gòu)處以 50 萬英鎊的罰款。本次漏洞暴露了全球約 940 萬客戶的個人詳細(xì)信息，且其中有 111578 名來自英國。

[[327821]]

2. 法規(guī)標(biāo)準(zhǔn)過多，且全球缺乏統(tǒng)一標(biāo)準(zhǔn)

除了以上這些價格不菲的罰款外，公司還需付出其他的代價，假設(shè)所有的公司都在全球開展業(yè)務(wù)，那么根據(jù)美國加利福尼亞州司法部的數(shù)據(jù)，僅就CCPA而言，使加利福尼亞州企業(yè)遵守法規(guī)的初步估計費用約為550億美元。研究人員估計，在較低端，員工人數(shù)少于20人的公司可能在一開始需要支付約50000美元才能保持合規(guī)。而在較高端，員工人數(shù)超過500人的公司一開始的合規(guī)成本平均在200萬美元左右。這還僅僅是為了遵守一項法規(guī)。

所以想做到合規(guī)非常昂貴，然而“你懂的”(給一個嚴(yán)肅的眼神)，倘若被發(fā)現(xiàn)不合規(guī)更加昂貴。

那么公司應(yīng)如何在當(dāng)今世界中導(dǎo)航以確保其客戶和團(tuán)隊的隱私權(quán)得到保護(hù)，而不會遺漏這些法規(guī)要求中的任何一項?

有不少公司正在嘗試一對一地處理這些隱私法規(guī)，但其實沒必要對這些規(guī)則中的每一項都采取單獨的方法，因為這不僅非常費力而且還會增添企業(yè)的稅費。

二、一些改進(jìn)建議分享給大家

1. 先確定所有法規(guī)中的共同點

用最簡單的形式，它可以歸結(jié)為：了解您實際擁有的數(shù)據(jù)，并放置適當(dāng)?shù)目丶源_?？梢赃m當(dāng)?shù)乇Ｗo(hù)它。實施這種通用的方法可以節(jié)省大量時間，精力和資源，專門用于全面開展數(shù)據(jù)隱私工作。

在開始時，請考慮執(zhí)行以下步驟：首先，確定系統(tǒng)，數(shù)據(jù)庫和文件存儲(例如Box，Sharepoint等)中存儲的敏感數(shù)據(jù)。接下來，確定誰有權(quán)訪問哪些內(nèi)容，以便可以確保只有“應(yīng)該”具有訪問權(quán)限的正確人員才可以訪問。這對于保護(hù)客戶信息至關(guān)重要。最后，實施控制措施以保持員工訪問權(quán)限的更新。使用策略來保持訪問的一致性很重要，但是至關(guān)重要的是必須對其進(jìn)行更新并與組織的任何變化保持最新。

同時需要遵守的隱私法規(guī)如此之多，我們該如何改善這種情況呢?

2. 建議采用通用隱私法

例如現(xiàn)有法規(guī)中的2020年《加利福尼亞州隱私權(quán)和執(zhí)行法》，有人稱其為“ CCPA 2.0 ”，這是對CCPA的修正。如果這項立法生效，它將創(chuàng)建一套全新的與GDPR保持一致的隱私權(quán)，從而為保護(hù)敏感的個人信息提供了更大的保障。

我認(rèn)為，既然世界已經(jīng)比以往任何時候都更能認(rèn)識到隱私權(quán)的價值，那么我們將繼續(xù)看到依據(jù)全球現(xiàn)有法規(guī)去更新的修正案。

同時現(xiàn)在很多人會因為已存在于暗網(wǎng)中的私人數(shù)據(jù)而感到不知所措，但我們并不能因此對這些事坐視不管，畢竟這會損害我們客戶的隱私，產(chǎn)生過高的成本并且導(dǎo)致辦事效率低下，不能任由它繼續(xù)發(fā)生。

那么解決問題的關(guān)鍵要點是什么?

3. 建議使您的數(shù)據(jù)隱私工作與其余安全策略一樣重要，確保它們是一個整體，并考慮到我們今天都必須遵守的各種法規(guī)中的所有事實和重疊之處。

只有這樣，您才有機(jī)會保護(hù)您的客戶和員工的數(shù)據(jù)，讓公司避免成為另一個新聞頭條以及GDPR罰款的統(tǒng)計數(shù)據(jù)。

[[327822]]

三、展望未來

GDPR已成年兩周歲，它的誕生也帶來了全球隱私保護(hù)立法的熱潮，提升了社會各領(lǐng)域?qū)τ跀?shù)據(jù)保護(hù)的重視。在全球其他國家或地區(qū)擁有了自己的兄弟姐妹們，比如：

• 美國加州：制定《加州消費者保護(hù)法案》，于2020年生效
• 印度：制定本地數(shù)據(jù)保護(hù)法草案，與GDPR性質(zhì)類似
• 新加坡：成立公共機(jī)構(gòu)數(shù)據(jù)安全檢討委員會，以加強(qiáng)對公民數(shù)據(jù)的保護(hù)

我國中央網(wǎng)信辦也發(fā)布了中國版迷你“GDPR”《數(shù)據(jù)安全管理辦法(征求意見稿)》，向社會公開征求意見?！兑庖姼濉穼Ξ?dāng)下的一些熱點數(shù)據(jù)安全問題都作出了回應(yīng)，諸如網(wǎng)絡(luò)爬蟲、跨境數(shù)據(jù)傳輸、定向推送和自動化洗稿等由大數(shù)據(jù)利用等產(chǎn)生的問題……

下一年，GDPR仍將繼續(xù)生效，數(shù)據(jù)監(jiān)管究竟會如何走向，又會如何發(fā)展，讓我們拭目以待。