如何应对欧盟《通用数据保护条例》(GDPR)?
随着欧盟具有里程碑意义的《通用数据保护条例(简称GDPR)》全面开放超过八个月之后,其引发的一大实质性影响已经得到广泛认可:相较于开诚布公,遮掩安全事件反而会引发更加夸张的经济损失。作为众多目标中的核心一条,GDPR要求各类组织机构在发现安全违规行为之后的72小时之内对其进行报告。如果未能及时履行要求,那么相较于惩罚性制裁,安全违规事件本身的损失反而可以忽略不计。
考虑到这一法规才刚刚生效,我们无法确切统计出究竟有多少级原本“忘记”上报问题的组织开始积极地公布违规事件。然而,根据国际律师事务所DLA Piper上公布的近60000起数字来看,由此引发的影响已然可见一斑。迄今为止数额最大的罚款当数几周之前指向谷歌的制裁结果,总数字为5000万欧元(折合5700万美元,目前其正在寻求上诉)。
很明显,这样的数字对于谷歌这家年收入超过1100亿美元的企业而言实际是太低——无论如何计算,也远远达不到全球收入4%的水平。除此之外,监管机构实际只征收了91笔罚款,比例还不到已上报违规活动的1%,而且其中大部分罚款数额甚至还不足2万欧元。但这一切有可能在不久的未来发生变化。DLA Piper事务所报告称,“到目前为止,相较于监管机构有权做出的最高罚款比例相比,实际罚款水平一直相当低。
然而,我们预计随着监管机构对故意拖延发布GDPR数据泄露事件行为的关注,2019年年内有可能出现数千万甚至数亿欧元的罚款。”根据其发布的报告,“监管机构的处理能力已经捉襟见肘,而且其收件箱中仍然存在着大量积压的已通报泄露事件。因此可以想见,在对自身资源进行分配时,关注影响更大、更为重要的安全问题将成为其高优先级事务。
因此,很多组织实际上是在两难之间纠结——到底是对泄露事件进行及时上报,还是静静观察监管机构到底会采取怎样的行动,或者是否会采取行动。”由于这项新法律才刚刚颁布不到一年,各监管机构也许还没弄清楚哪些属于大数据隐私问题,而哪些只是常见的小毛病。他们还有很大的完善空间,因此在顺利弄清楚各类上报事件随时间推移所对应的实际后果之前,他们并不打算轻率地征收太高或太低的罚款数额。
开创先例无疑充满风险,他们确实不应该在刚起步时就用力过猛。欧盟委员会公布的官方泄露通报数量远远低于DLR Piper报告中的水平:从2018年5月25日到2019年1月28日期间,总事件上报数量为41502起。不过这一数字仅涵盖总计28个欧盟成员国当中的21个,挪威、冰岛与列支敦士登并没有被列入其中——这些国家虽然在政治上不属于欧盟,但由于隶属于欧洲经济区(简称EEA),因此同样应当受到监管。
DLA Piper公司统计出的泄露事件通报总量为59430起,其中荷兰、德国与英国分别为15400起、12600起以及10600起成为榜上三甲。荷兰的通报比例最高,每10万人口中的上报安全事件为89.8起,紧随其后的分别为爱尔兰以及丹麦。当然,GDPR的既定目标不仅仅在于征收罚款,而更多希望敦促收集用户个人数据的组织能够切实肩负起保护与保密等义务。
欧盟《通用数据保护条例》实施一周年,哪家科技企业遭受了最多的调查?
根据国际隐私专家协会(IAPP)给出的简单统计数据:除了开出 5600 万欧的罚单,欧盟还在过去一年增设了 50 万名数据保护官员、数据保护机构接收了 20 万 的案件、涉及 9.4 万多名申诉人、并且发出了 6.4 万 的数据泄露通知。不过英国广播公司(BBC)报道称,社交网络巨头 Facebook,遭到了来自爱尔兰数据监管机构的最多调查。
(截图来自:Facebook 官网)据悉,自欧盟《通用数据保护条例》(GDPR)实施一年以来,Facebook 及其子公司(包括 Instagram 和 WhatsApp),一直受到爱尔兰数据监管机构的重点调查。目前爱尔兰数据保护委员会已经启动 19 项法定调查,其中 11 项重点关注着 Facebook、WhatsApp 和 Instagram 。
除了 Facebook,其它社交网络平台也未能独善其身,比如 Twitter 和 LinkedIn 。此外上周,爱尔兰数据监管机构对谷歌使用个人数据来投放针对性广告的行为展开了调查。此前,法国数据监管机构 CNIL 因‘缺乏透明度、信息不完善、个性化广告未取得用户的有效认可’等原因,向谷歌开出了 5000 万欧元的罚单。
尽管谷歌已就此事提起了上诉,但后续不见得有大翻盘的可能。此外,大多数美国大型科技企业,都在爱尔兰注册过处理个人数据的业务,包括 Facebook、谷歌、微软、Twitter、苹果、LinkedIn、Airbnb、以及 Dropbox 。正因如此,爱尔兰数据监管机构 DPC(数据保护委员会)也遵从着欧盟的通用数据保护条例(GDPR),担负起了对上述企业展开调查的责任。
DPC 的九项调查,是在接到个人或企业的投诉后启动的,另有 10 项调查是由该机构自行发起的。最常见的问题,涉及企业对个人数据的收集和处理、缺乏透明度、以及人们访问数的权利。DPC 通讯负责人 Graham Doyle 表示,自 GDPR 生效以来,个人对于其数据权利的认知,已经有了很大的提升。同时这也造成了投诉量的急剧增加,从 2017 年的 2500 件、到现在 6500 件。
原先才 27 人的办公室,也不得不扩充到了 130 人,预计明年会增加到 200 人以上。Facebook 发言人称:该公司在 GDPR 合规性上花费了 18 个月的时间。新政策下,隐私设置可以轻松找到、文字描述变得更加清晰易懂、并为人们提供了访问、下载和删除信息的实用工具。这家社交网络巨头表示其与爱尔兰数据保护办公室(DPC)保持着密切的联系,以确保可以回答该机构提出的任何问题。
Graham Doyle 预计,爱尔兰的数据保护专员 Helen Dixon 有望在 7~8 月作出对某些案件的裁定,并在年底前公布最终的结果。【背景资料】《通用数据保护条例》(GDPR)让大家知晓了企业是如何收集、使用和存储他们的个人数据的,并赋予了欧盟用户更多的知情权和控制权。此外,企业有责任保护用户的数据安全。
欧洲“史上最严”数据保护条例实施,用户数据真的会安全吗,你怎么看?
欧盟委员会周五表示,自八个月前欧盟旗舰数据保护法生效以来,已向欧盟国家提出了95000多起投诉。这些投诉已经至少引发了三次经济处罚,其中包括法国周一对美国巨头谷歌的罚款5000万欧元,因为他们没有充分告知用户他们的数据是如何使用的。谷歌已经对去年5月25日通过的欧盟通用数据保护条例(GDPR)所适用的法国裁决提出上诉。
“公民越来越意识到数据保护及其权利的重要性,”欧委会委员会官员说。“他们现在正在行使这些权利,正如监管部门日常工作中所看到的那样。他们现在收到了95000多起来自公民的投诉,”“利害攸关的不仅是保护我们的隐私,还确保了我们数据驱动型经济的可持续性。”然而,官员们指出,布鲁塞尔仍在等待五个成员国的国内立法使其开始“兼容”GDPR,这五个国家分别是保加利亚,捷克共和国,葡萄牙,斯洛文尼亚和希腊。
欧盟一直将GDPR视为数据隐私法规的最大改组,称其在Facebook数据收集丑闻之后制定了新的标准。法律确立了一个关键原则,即个人必须明确授予其数据使用许可,并为消费者提供“知情权”,即处理其信息的人及其用途。人们将能够阻止他们的数据处理,甚至在“被遗忘的权利”下删除数据。Cambridge Analytica为2016年美国总统大选收集Facebook用户数据的丑闻加剧了新规则的通过。
Facebook是否会追随其他科技公司应用《通用数据保护条例》隐私政策?
在剑桥分析数据丑闻爆发高峰期,Facebook首席执行官马克·扎克伯格没有立即承诺将欧盟的《通用数据保护条例》(GDPR)应用到该社交网站,并表示他只是“在精神上同意这些政策。周四Facebook的首席隐私官Erin Egan终于揭示了该公司GDPR实施的范围,并在博客文章中表示,Facebook将在其全球平台上实施规则的规定。
Egan解释称,从本周开始,Facebook用户会在导航到News Feed时看到警报,这会要求他们检查有关广告、面部识别以及他们在他们的个人资料中分享的信息的详细信息。这家社交媒体巨头最初将这种体验推广给了欧盟的用户,现在该公司也计划向全球用户扩展。作为其GDPR准备工作的一部分,Facebook将在未来几周内向超过20亿用户通报其处理从其合作伙伴收集的针对性广告的数据以及他们的个人资料中分享的政治、宗教和关系信息。
