2019年5月25日,处理欧盟公民个人数据的公司企业喜提《通用数据保护条例》(GDPR)实施一周年纪念。
一年来,新闻媒体围绕该管理规定及其处罚方案的报道层出不穷。比如说,2019年1月,BBC新闻网就报道称,法国国家信息自由委员会(CNIL)以 “缺乏透明性、信息不足和个性化广告缺少有效同意” 为由,对谷歌处以5000万欧元罚款。几个月后,《华尔街日报》报道称,英国及爱尔兰相关机构将于2019年夏天开始对其他公司企业处以大额罚款。
尽管有这些报道,GDPR一周年的重要性仍然超出了监管罚款和处罚的范畴。欧洲数据保护委员会(EDPB)在其首份GDPR年度报告中对此结论加以了证实。报告揭示了欧洲经济区 (EEA:欧盟28国、冰岛、芬兰和列支敦士登) 各国家监管机构(SA)在这一年中是如何携手一致实施GDPR的。
国家级实施
EDPB报告发现,GDPR实施头一年里,EEA各SA共上报了206,326例案件,分属3个主要门类:近半数(94,622)是投诉;64,684件涉及数据泄露通知;剩下的则是 “其他” 问题。
一年时间里,监管机构了结了超过一半的案子 (52%)。
GDPR明确要求SA对违规数据处理者或控制者拥有不同类型的纠正权,包括发出警告、宣告申斥、责令合规,以及判处违规罚款。2018年5月25日GDPR生效以来,31家SA采取最后一种监管方式共判处了55,955,871欧元的行政罚款。
SA手段及权力不断增加
过去一年里,SA增强了其参与度以适应其不断扩大的执法权力。这一点从很多机构的预算和员工需求的增长上体现得非常明显。举个例子,26家SA已经见证了2018到2019年的预算的增长。展望未来,17家SA已提出预算增长需求。其中多数SA寻求30%-50%的预算增长幅度,且有些的要求高达100%。然而,几乎没有哪家SA收到了所要求的数额。
跨境和互助案件比比皆是
EDPB的首份年度报告阐明了SA正联手实施GDPR。这种合作自2018年5月25日开始便以各种形式展开。最明显的例证就是,该条例实施的头一年里,30家SA登记的281件案子都有跨境合作的部分。此类案件往往需要SA协同办案,要么通过互助、联合执法,要么在特殊 “一站式” 机制下展开协作。
尽管GDPR实施的头一年里没有联合执法的情形出现,一站式机制发挥效果的案例也仅有几十例,但互助案例非常丰富。事实上,一年来,18个不同国家的SA发出了444个正式及非正式的互助请求。收到请求的SA回应了其中353个互助请求。
改善空间
报告中,EDPB承认GDPR的实施尚有很多工作有待完成。关于GDPR的协作机制,EDPB表示可以做更多工作以提升IMI系统的效率,目前正在考虑分配更多的资源给各SA,雇佣更多可以讲英语的雇员。
外部分析师认为,还有其他方式可以改善GDPR。Panorays风险与合规总监 Dov Goldman 就觉得该条例的一个重要方面仍有待解决:
除了对谷歌、Facebook和Instagram等明显的数据泄露嫌犯提起的诉讼,我们也看到了公司企业在数据隐私保护方式上的改变。话虽如此,这些改善与增强大多局限在表面的处理,而不是监管机构设想的‘从设计着手的隐私(privacy by design)’ 。
此时我们尚无法看清 “设计隐私” 新阶段可能的样子,也无法预期新阶段何时到来。但这些未知并不能削弱新阶段的重要性。相反,进入 “设计隐私” 阶段将大大帮助我们认识到数据安全远不仅仅是保护 “用户”,其目的是通过保护这些每个个体各自不想暴露的隐私元素,来实现对个人的尊重。
意识到 “设计隐私” 的重要性,我们所能做的就是等待并观察GDPR后续实施中还会发生什么。
欧洲数据保护委员会GDPR年度报告:
相关阅读