歐盟的《通用數據保護條例》(General Data Protection Regulation,以下簡稱 GDPR)已經於 2018 年 5 月 25 日正式施行,但無論是公司還是監管者似乎都沒有做好迎接它的準備。
在經過四年的審議之後,2016 年歐盟正式通過了《通用數據保護條例》。當時歐盟給了相關企業兩年的時間來整改以適應條例要求,理論上講這個時間完全足夠,然而如今,情況依然混亂。
但這也成了一些人發財的機會,United Lex 公司目前正在開展相關業務,為企業設立 GDPR 合規服務。作為 United Lex 公司的首席隱私官,Jason Straight 在該法律正式生效之前表示:“5 月 25 日,很少有公司可以百分百合規。由於最後期限即將到來,大部分公司,尤其是美國公司,上個月肯定是疲於奔命,手忙腳亂。”在 4 月份,由 Ponemon Institute 進行的對 1000 多家公司的調查中,有一半的公司表示,他們在最後期限前將無法做到合規。按行業劃分後,60%的科技公司也表示他們還沒有準備好。
GDPR 涵蓋了包括數據洩露發生後 72 小時內向監管機構通報的要求,以及提前告知用戶數據用途的要求等等。Straight 說,“多年以來,公司先儘量多地從用戶那裡獲取數據,然後再考慮如何利用這些數據的模式,但在 GDPR 的約束下,這一做法將很難存在。然而,如果根據 GDPR 規定提前告知用戶數據的用途,用戶極有可能不再同意提供數據了。”
但是也許讓每個公司最頭疼的 GDPR 要求是“響應數據主體的訪問請求”。歐盟居民有權要求查閱公司收集的個人信息。用戶,即 GDPR 中所說的數據主體,可以要求刪除、糾正個人信息,甚至可以要求以文件的形式拿到數據。但是這些數據可能在 5 個不同的服務器上,而且可能有多種不同格式。因此,公司為滿足 GDPR 所需的整改工作中很大一部分來自重改數據庫的基礎設施,以便可以響應用戶的這類請求。
公司如何重改底層數據庫是問題的一部分,除此之外,“個人信息”的定義本身邊界也並不明確。姓名、電子郵箱、電話號碼、位置數據——這些是顯而易見的個人信息。但也有更多的不明確的數據,Straight 舉例說:“如果有人在電子郵件中提到‘居住在東 18 街的那個高大的禿頭男人’,那這也將是 GDPR 要求提供的信息。”
這在某種程度上也是不可避免的結果。一年前,61%的公司還沒有開始啟動相關整改。Straight 表示,總體而言,歐洲公司——尤其是德國和英國等國的公司,其現有的隱私法與 GDPR 有部分重疊,因此有更充足的時間來調整。儘管如此,今年 1 月的一項調查發現,倫敦四分之一的企業甚至還不知道 GDPR 是什麼。
客觀來講,GDPR 確實有些複雜。科羅拉多大學波爾得分校人類學和信息科學教授 Alison Cool 在《紐約時報》上寫道,這項法律“非常複雜”,並且難以理解,科學家和數據管理員都“懷疑這項條例甚至不可能做到完全遵守”。
GDPR 允許監管機構對違反規定的公司處罰高達其全球收入的 4%的罰金。如果亞馬遜受到懲罰,罰款將為 70 億美元。然而有趣的是,由於像亞馬遜這樣的公司收入巨大,利潤卻相對較低,因此 4%的罰款可能會花掉他們兩年的利潤。
美國企業家、風險投資家 Peter Thiel 因此而指責 GDPR 是歐洲制定的一個保護主義法律。“在歐洲沒有成功的科技公司,他們嫉妒美國,所以他們要懲罰我們”,他在 3 月份的紐約經濟俱樂部演講時這樣講到。
由於 GDPR 的大部分表達含糊不清,因此它在實踐中如何運作將取決於監管機構的處理。最終我們會看到:監管機構將追究誰,他們將對哪種行為採取什麼樣的處罰,以及他們到底將徵收多少罰金。
目前普遍的猜想是,當截止日期到來時,歐洲監管機構將彈性處理,在一小段時間內不會給公司施加太大壓力。但監管機構也無法完全控制 5 月 25 日的處理方式,因為 GDPR 的一部分是用戶主導的。
如果歐盟居民提交了數據訪問請求,公司有 30 天的時間作出響應。假設一家公司收到了這樣的請求,但它們仍不完全符合 GDPR 標準,並且無法回應,那麼該居民可以向當地監管機構提出投訴。
GDPR 要求監管機構採取措施來執行法律。就算不是 4% 的罰款,但他們也不能對投訴坐視不理。“如果監管機構在第一個月收到 10000 個投訴,他們就有麻煩了。”Straight 說。路透社 5 月上旬調查的 24 家歐洲監管機構中有 17 家表示,他們還沒有準備好實施新法,因為他們還沒有資金或權力來履行職責。
另一個監管機構面臨的困難時是 GDPR 的數據洩露通知要求。公司需要在發現數據洩露後的 72 小時內通知相關數據保護機構,但監管機構對之後的工作也並不完全清楚。監管機構可能沒有準備好對公司的安全工作進行審計,或者採取什麼措施保護受到影響的歐盟居民。就算監管機構在如何應對方面有一定的靈活性,但 GDPR 不會允許他們無所作為。
GDPR 只適用於歐盟境內和歐盟居民,但由於許多公司在歐洲開展業務,美國科技行業正在手忙腳亂地整改。儘管可以預見在 GDPR 的實施初期一定會出現問題,但這一規定標誌著全球數據處理方式的鉅變。希望隨著公司和監管機構逐漸走上正軌,經 GDPR 所加強的隱私保護也將成為常態。
閱讀更多 DeepTech深科技 的文章
