GDPR一周年:经验与教训
作者: 日期:2019年05月29日 阅:11,610

5月25日,处理欧盟公民个人数据的公司企业迎来《通用数据保护条例》(GDPR) 实施一周年纪念日。2018年5月25日生效日之前的两年间,各公司企业争先恐后地检查并修改自己的安全操作以符合GDPR规定,避免可高达全球营业额4%的潜在罚款。

生效一年来,随着监管机构不断完善对成千上万份已提交投诉的审查过程,这种着急忙慌的自纠自查和整改步伐变得更为谨慎而从容了。截止目前,执行GDPR的案例相对较少,罚金也不算太高,因为监管机构在探寻以最有效的方式来实施GDPR。

本月初,国际隐私专家协会在华盛顿特区举行了一年一度的全球隐私峰会,全球4,000多名数据隐私专业人士汇聚一堂,共商国际隐私保护大计。圆桌讨论中,爱尔兰数据保护专员 Helen Dixon 与英国信息专员 Elizabeth Denham 和欧洲数据保护保护委员会主席 Andrea Jelinek 交换了意见,强调违规调查至少应做足6个月时间。问询期间,监管机构必须先确定欧盟公民的投诉是否与GDPR违规相关,是否已达到违规的程度。去年各数据保护机构收到的成千上万份投诉中,很多都不过是要求能选择去掉广告,而这并不在GDPR的适用范围内。至于有效投诉案件,监管机构需改善自身问询技术,联系作为投诉主体的公司企业以寻求更多信息。

监管机构与公司企业间的来回沟通也是解决投诉的一种方式。Dixon专员就更属意 “胡萝卜” 而非大棒,并在去年即表示罚款并非监管机构的唯一工具。公司企业应意识到:积极参与监管机构的调查,能获得比回避调查好得多的结果。

放下调查不谈,随着公司企业抓紧向公众宣传他们的数据操作,GDPR也驱动了欧盟消费者的利益。访问、修正和删除请求机制的建立,给了数百万人更好地控制自己个人数据的便利途径。同时,赋予欧盟消费者的权利,对很多非欧盟消费者也产生了下游效应——因为公司企业在数据隐私问题上采取通行办法。

造成巨额罚金的已结案调查的企业并没有被大肆宣传报道,于是如今关于GDPR的一个问题是:公司企业是否会就此自满并降级他们的隐私项目?但任何缩减都是有风险的,因为陈旧的隐私影响评估或过时的资产清单都会造成处理记录不全现象。而处理记录不全,对监管机构来说就是隐私项目缺乏维护的明显迹象,需要进一步的调查。另一个主要问题是:公司企业宣称的合规是由第三方加以审查,还是直到监管机构来看过觉得不满意了才接受审查?

GDPR也为美国的隐私法律加强设立了参考。成型中的《加州消费者隐私法案》(CCPA)就包含与GDPR相似的内容,包括加州人享有对法案辖下公司企业所收集自身个人数据的访问权。而且,CCPA可能比GDPR更进一步,最终允许可致违规公司企业承受集体诉讼的个人诉权。另外,加州并非个案,美国其他州也纷纷将GDPR经验引入立法,公司企业可能将会面对一大堆需要遵守的矛盾立法。一个可能的结果或许会是出台标准化所有隐私要求的联邦隐私立法,但该联邦立法不太可能在各州法律实施前推出。于是,几乎可以肯定,这段时期里消费者会对自身享有权利倍感迷惑,公司企业的合规负担加重,法律实施和普法教育也成问题。

据说GDPR之前,于1995年推出的欧洲《数据保护指令》23年后仍在解释执行,直到被GDPR取代。GDPR仍处于其婴儿期,无疑会在司法执行过程中不断修改完善。但毋庸置疑的是,实施一周年来,GDPR已经深刻塑造了公司企业处理数据的方法。而且,随着隐私态势及监管规定的发展变化,有关数据隐私的新问题和新方法也将继续在全世界涌现。

相关阅读

对GDPR的六大常见误解

GDPR通用数据保护条例-要点总结

关于GDPR:你应该知道的那些事儿

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章