一、GDPR:最严格的数据保护立法,将会为企业带来障碍?
在《数据保护通用条例》生效近一年后,美国的企业和律师事务所,以及欧洲的监管机构,仍然在适应《数据保护通用条例》规定的隐私和数据保护要求。欧美数据保护通用条例的影响超出了公司的行动,为了避免陷入巨额罚款,企业必须在数据合规方面投入巨大,但即便投入了巨大人力物力,也不一定就完全符合GDPR的标准。
根据披露的数据,欧洲监管机构已经封锁了1000多个不符合规定的美国网站,即使是哪些花了几个月时间准备的大型企业也已经步履蹒跚了。法官监管机构以5700万美元的巨额罚款对谷歌的违规行为进行了处罚!也是美国第一家被GDPR规则处罚的科技公司。谷歌表示它已经提起上诉。但无论是巨额的罚款,还是巨额的律师费等维权费用,不是任何一家企业能够担负的。实际情况是,根据IAPP在2018年的调查数据披露,只有不到50%的受访者“完全遵守”GDPR规定,而近五分之一的受访者表示完全遵守是不可能的。其中一个原因在于:
<strong>(一)庞大的数据对方访问请求的数量令企业为之震惊,极大考验企业技术能力,并需要巨额投入以应对数据主体的访问请求。
根据GDPR规定,消费者可以要求他们的数据,组织应该以独特的方式作出反应。但数据主体访问请求的数量之多,让公司为之震撼,也反过来要求公司要应对这一访问请求量,必须要有过硬的软件及硬件设施,过应的技术能力,在海量的数据中能够快速、精确找到数据,然后对个人作出反应。
根据GDPR规定,发现任何数据泄露的公司,需要在72小时内向政府提交一份报告。而提交的报告的数量总和让人震惊!
许多机构仍然在严格按照规定,在GDPR规定的安全违规通知方面开展工作,<strong>而72小时是评估事件发生情况紧迫截止时间。由此导致监管机构一直在增加人手处理这些文件,而无暇顾及其他事情。
但在GDPR的推动下,美国各州也出台了数据加密法,尤其是在加州。该州的消费者隐私法案已经颁布实施,影响着企业如何处理加州居民的个人信息,并在该州合规开展业务。加州之后,华盛顿州参议院也通过了华盛顿保密法。
但对于大数据公司、科技企业等与数据打交道的机构而言,最大的难点在于走出去时,除了需要符合并遵守GDPR规则的要求,避免风险外,还需要研究途径国、行为发生地对数据隐私有没有特别的法律规定,以免由此导致不可承受之后果。
<strong>无可否认,GDPR规则是隐私与数据保护领域中最为重要的立法成果,其提出了大数据时代个人数据保护的新秩序愿景,同时就数据可携带权、数据保护官、数据保护影响评估、识别主导监管机构、行政处罚、充分保护认定、数据泄露通知、自动决策和画像、同意、隐私实践透明度等作出了回应。
在下一章节将对生物统计资料隐私诉讼的上升,潜藏的法律服务大蓝海进行分享。
閱讀更多 曉君有說法 的文章
