2020年5月25日是歐盟正式發(fā)布實(shí)施通用數(shù)據(jù)保護(hù)條例(GDPR)的兩周年紀(jì)念日。然而GDPR這個(gè)剛滿兩歲的條例還有很長(zhǎng)的路要走，兩年來(lái)有關(guān)遵守該條例的數(shù)據(jù)表明，理想的條例遵守情況與現(xiàn)實(shí)發(fā)展之間存在重大脫節(jié)。

一、理想和現(xiàn)實(shí)的巨大落差

在GDPR開(kāi)始之前，有78%的公司自信地認(rèn)為他們已準(zhǔn)備好滿足數(shù)據(jù)要求，但實(shí)施后只有28%的公司遵守GDPR，可見(jiàn)遵守GDPR和類(lèi)似GDPR的法律(如CCPA和PDPA)并不像最初想的那樣容易，還有大量公司遠(yuǎn)遠(yuǎn)未達(dá)到GDPR合規(guī)要求，仍需要不斷改進(jìn)。

造成這種落差的原因是什么?

1. 首先公司需要遵守出臺(tái)的法規(guī)是一項(xiàng)龐大而昂貴的工作

自GDPR于2018年5月生效以來(lái)，在發(fā)生個(gè)人數(shù)據(jù)泄露時(shí)，除非個(gè)人數(shù)據(jù)的泄露不會(huì)產(chǎn)生危及自然人權(quán)利和自由的風(fēng)險(xiǎn)，否則數(shù)據(jù)控制者應(yīng)在獲知泄露之時(shí)起的 72 小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)發(fā)送通知報(bào)告。另外，當(dāng)個(gè)人數(shù)據(jù)泄露可能對(duì)自然人的權(quán)利和自由產(chǎn)生高風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者還應(yīng)當(dāng)向數(shù)據(jù)主體告知數(shù)據(jù)泄露的相關(guān)情況。

倘若有違反法規(guī)的企業(yè)、單位或組織的罰金最高可達(dá)2000萬(wàn)歐元(約合1.5億元人民幣)或者其上一年全球總營(yíng)業(yè)額4%的金額罰金，兩者取其最高。

[[327819]]

舉個(gè)例子：如果發(fā)現(xiàn)某公司不符合GDPR，則其年?duì)I業(yè)額占全球營(yíng)業(yè)額的4%以上，就已下達(dá)28筆重大罰款，相當(dāng)于罰金4.64億美元，這無(wú)疑是一筆巨款。

通過(guò)2020年初，DLA Piper律師事務(wù)所就歐盟數(shù)據(jù)保護(hù)狀況發(fā)布報(bào)告顯示，自2018年《一般數(shù)據(jù)保護(hù)條例》(GDPR) 發(fā)布以來(lái)，歐盟已經(jīng)收了1.14億歐元(約合1.26億美元)的罰款。然而對(duì)歐盟來(lái)說(shuō)，這一切還僅僅是個(gè)開(kāi)始。

DLA Piper負(fù)責(zé)網(wǎng)絡(luò)和數(shù)據(jù)保護(hù)領(lǐng)域的合伙人麥基恩 (Ross McKean) 對(duì)CNBC表示，目前歐盟仍處于執(zhí)法的初期，“未來(lái)還會(huì)發(fā)出更多罰單。”

對(duì)數(shù)據(jù)監(jiān)管機(jī)構(gòu)來(lái)說(shuō)，數(shù)據(jù)泄露是隱私保護(hù)工作中的重點(diǎn)。從2018年5月到2020年初，歐盟共收到個(gè)人數(shù)據(jù)泄露事件通報(bào)160921起。

國(guó)際巨頭公司如Facebook(臉書(shū))和Google(谷歌)，以及蘋(píng)果、微軟、Twitter、WhatsApp、Instagram等企業(yè)都遭到投訴或調(diào)查、處罰。

一些公司甚至因?yàn)镚DPR的罰金，直接關(guān)閉了針對(duì)歐盟用戶的業(yè)務(wù)。

[[327820]]

部分較為重大的處罰或調(diào)查、投訴案例如下：

• 愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)(Data ProtectionCommission, DPC)近日啟動(dòng)19項(xiàng)法定調(diào)查，其中11項(xiàng)重點(diǎn)關(guān)注Facebook、WhatsApp和Instagram。此外，谷歌/Twitter和領(lǐng)英也在接受調(diào)查;
• 法國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)CNIL向谷歌發(fā)出了5000萬(wàn)歐元的罰款，原因是因谷歌在個(gè)性化廣告方面“缺乏透明度，信息提供不充分，且未獲得用戶的有效同意 ” ;
• 荷蘭數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu)向Uber開(kāi)出60萬(wàn)歐元罰單，因?yàn)閁ber發(fā)生數(shù)據(jù)泄露事件但未按規(guī)定進(jìn)行報(bào)告;
• 香港國(guó)泰航空已被英國(guó)數(shù)據(jù)監(jiān)督機(jī)構(gòu)處以 50 萬(wàn)英鎊的罰款。本次漏洞暴露了全球約 940 萬(wàn)客戶的個(gè)人詳細(xì)信息，且其中有 111578 名來(lái)自英國(guó)。

[[327821]]

2. 法規(guī)標(biāo)準(zhǔn)過(guò)多，且全球缺乏統(tǒng)一標(biāo)準(zhǔn)

除了以上這些價(jià)格不菲的罰款外，公司還需付出其他的代價(jià)，假設(shè)所有的公司都在全球開(kāi)展業(yè)務(wù)，那么根據(jù)美國(guó)加利福尼亞州司法部的數(shù)據(jù)，僅就CCPA而言，使加利福尼亞州企業(yè)遵守法規(guī)的初步估計(jì)費(fèi)用約為550億美元。研究人員估計(jì)，在較低端，員工人數(shù)少于20人的公司可能在一開(kāi)始需要支付約50000美元才能保持合規(guī)。而在較高端，員工人數(shù)超過(guò)500人的公司一開(kāi)始的合規(guī)成本平均在200萬(wàn)美元左右。這還僅僅是為了遵守一項(xiàng)法規(guī)。

所以想做到合規(guī)非常昂貴，然而“你懂的”(給一個(gè)嚴(yán)肅的眼神)，倘若被發(fā)現(xiàn)不合規(guī)更加昂貴。

那么公司應(yīng)如何在當(dāng)今世界中導(dǎo)航以確保其客戶和團(tuán)隊(duì)的隱私權(quán)得到保護(hù)，而不會(huì)遺漏這些法規(guī)要求中的任何一項(xiàng)?

有不少公司正在嘗試一對(duì)一地處理這些隱私法規(guī)，但其實(shí)沒(méi)必要對(duì)這些規(guī)則中的每一項(xiàng)都采取單獨(dú)的方法，因?yàn)檫@不僅非常費(fèi)力而且還會(huì)增添企業(yè)的稅費(fèi)。

二、一些改進(jìn)建議分享給大家

1. 先確定所有法規(guī)中的共同點(diǎn)

用最簡(jiǎn)單的形式，它可以歸結(jié)為：了解您實(shí)際擁有的數(shù)據(jù)，并放置適當(dāng)?shù)目丶源_保可以適當(dāng)?shù)乇Ｗo(hù)它。實(shí)施這種通用的方法可以節(jié)省大量時(shí)間，精力和資源，專(zhuān)門(mén)用于全面開(kāi)展數(shù)據(jù)隱私工作。

在開(kāi)始時(shí)，請(qǐng)考慮執(zhí)行以下步驟：首先，確定系統(tǒng)，數(shù)據(jù)庫(kù)和文件存儲(chǔ)(例如Box，Sharepoint等)中存儲(chǔ)的敏感數(shù)據(jù)。接下來(lái)，確定誰(shuí)有權(quán)訪問(wèn)哪些內(nèi)容，以便可以確保只有“應(yīng)該”具有訪問(wèn)權(quán)限的正確人員才可以訪問(wèn)。這對(duì)于保護(hù)客戶信息至關(guān)重要。最后，實(shí)施控制措施以保持員工訪問(wèn)權(quán)限的更新。使用策略來(lái)保持訪問(wèn)的一致性很重要，但是至關(guān)重要的是必須對(duì)其進(jìn)行更新并與組織的任何變化保持最新。

同時(shí)需要遵守的隱私法規(guī)如此之多，我們?cè)撊绾胃纳七@種情況呢?

2. 建議采用通用隱私法

例如現(xiàn)有法規(guī)中的2020年《加利福尼亞州隱私權(quán)和執(zhí)行法》，有人稱(chēng)其為“ CCPA 2.0 ”，這是對(duì)CCPA的修正。如果這項(xiàng)立法生效，它將創(chuàng)建一套全新的與GDPR保持一致的隱私權(quán)，從而為保護(hù)敏感的個(gè)人信息提供了更大的保障。

我認(rèn)為，既然世界已經(jīng)比以往任何時(shí)候都更能認(rèn)識(shí)到隱私權(quán)的價(jià)值，那么我們將繼續(xù)看到依據(jù)全球現(xiàn)有法規(guī)去更新的修正案。

同時(shí)現(xiàn)在很多人會(huì)因?yàn)橐汛嬖谟诎稻W(wǎng)中的私人數(shù)據(jù)而感到不知所措，但我們并不能因此對(duì)這些事坐視不管，畢竟這會(huì)損害我們客戶的隱私，產(chǎn)生過(guò)高的成本并且導(dǎo)致辦事效率低下，不能任由它繼續(xù)發(fā)生。

那么解決問(wèn)題的關(guān)鍵要點(diǎn)是什么?

3. 建議使您的數(shù)據(jù)隱私工作與其余安全策略一樣重要，確保它們是一個(gè)整體，并考慮到我們今天都必須遵守的各種法規(guī)中的所有事實(shí)和重疊之處。

只有這樣，您才有機(jī)會(huì)保護(hù)您的客戶和員工的數(shù)據(jù)，讓公司避免成為另一個(gè)新聞?lì)^條以及GDPR罰款的統(tǒng)計(jì)數(shù)據(jù)。

[[327822]]

三、展望未來(lái)

GDPR已成年兩周歲，它的誕生也帶來(lái)了全球隱私保護(hù)立法的熱潮，提升了社會(huì)各領(lǐng)域?qū)τ跀?shù)據(jù)保護(hù)的重視。在全球其他國(guó)家或地區(qū)擁有了自己的兄弟姐妹們，比如：

• 美國(guó)加州：制定《加州消費(fèi)者保護(hù)法案》，于2020年生效
• 印度：制定本地?cái)?shù)據(jù)保護(hù)法草案，與GDPR性質(zhì)類(lèi)似
• 新加坡：成立公共機(jī)構(gòu)數(shù)據(jù)安全檢討委員會(huì)，以加強(qiáng)對(duì)公民數(shù)據(jù)的保護(hù)

我國(guó)中央網(wǎng)信辦也發(fā)布了中國(guó)版迷你“GDPR”《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》，向社會(huì)公開(kāi)征求意見(jiàn)?！兑庖?jiàn)稿》對(duì)當(dāng)下的一些熱點(diǎn)數(shù)據(jù)安全問(wèn)題都作出了回應(yīng)，諸如網(wǎng)絡(luò)爬蟲(chóng)、跨境數(shù)據(jù)傳輸、定向推送和自動(dòng)化洗稿等由大數(shù)據(jù)利用等產(chǎn)生的問(wèn)題……

下一年，GDPR仍將繼續(xù)生效，數(shù)據(jù)監(jiān)管究竟會(huì)如何走向，又會(huì)如何發(fā)展，讓我們拭目以待。