欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称 GDPR)已经于 2018 年 5 月 25 日正式施行,但无论是公司还是监管者似乎都没有做好迎接它的准备。
在经过四年的审议之后,2016 年欧盟正式通过了《通用数据保护条例》。当时欧盟给了相关企业两年的时间来整改以适应条例要求,理论上讲这个时间完全足够,然而如今,情况依然混乱。
但这也成了一些人发财的机会,United Lex 公司目前正在开展相关业务,为企业设立 GDPR 合规服务。作为 United Lex 公司的首席隐私官,Jason Straight 在该法律正式生效之前表示:“5 月 25 日,很少有公司可以百分百合规。由于最后期限即将到来,大部分公司,尤其是美国公司,上个月肯定是疲于奔命,手忙脚乱。”在 4 月份,由 Ponemon Institute 进行的对 1000 多家公司的调查中,有一半的公司表示,他们在最后期限前将无法做到合规。按行业划分后,60%的科技公司也表示他们还没有准备好。
GDPR 涵盖了包括数据泄露发生后 72 小时内向监管机构通报的要求,以及提前告知用户数据用途的要求等等。Straight 说,“多年以来,公司先尽量多地从用户那里获取数据,然后再考虑如何利用这些数据的模式,但在 GDPR 的约束下,这一做法将很难存在。然而,如果根据 GDPR 规定提前告知用户数据的用途,用户极有可能不再同意提供数据了。”
但是也许让每个公司最头疼的 GDPR 要求是“响应数据主体的访问请求”。欧盟居民有权要求查阅公司收集的个人信息。用户,即 GDPR 中所说的数据主体,可以要求删除、纠正个人信息,甚至可以要求以文件的形式拿到数据。但是这些数据可能在 5 个不同的服务器上,而且可能有多种不同格式。因此,公司为满足 GDPR 所需的整改工作中很大一部分来自重改数据库的基础设施,以便可以响应用户的这类请求。
公司如何重改底层数据库是问题的一部分,除此之外,“个人信息”的定义本身边界也并不明确。姓名、电子邮箱、电话号码、位置数据——这些是显而易见的个人信息。但也有更多的不明确的数据,Straight 举例说:“如果有人在电子邮件中提到‘居住在东 18 街的那个高大的秃头男人’,那这也将是 GDPR 要求提供的信息。”
这在某种程度上也是不可避免的结果。一年前,61%的公司还没有开始启动相关整改。Straight 表示,总体而言,欧洲公司——尤其是德国和英国等国的公司,其现有的隐私法与 GDPR 有部分重叠,因此有更充足的时间来调整。尽管如此,今年 1 月的一项调查发现,伦敦四分之一的企业甚至还不知道 GDPR 是什么。
客观来讲,GDPR 确实有些复杂。科罗拉多大学波尔得分校人类学和信息科学教授 Alison Cool 在《纽约时报》上写道,这项法律“非常复杂”,并且难以理解,科学家和数据管理员都“怀疑这项条例甚至不可能做到完全遵守”。
GDPR 允许监管机构对违反规定的公司处罚高达其全球收入的 4%的罚金。如果亚马逊受到惩罚,罚款将为 70 亿美元。然而有趣的是,由于像亚马逊这样的公司收入巨大,利润却相对较低,因此 4%的罚款可能会花掉他们两年的利润。
美国企业家、风险投资家 Peter Thiel 因此而指责 GDPR 是欧洲制定的一个保护主义法律。“在欧洲没有成功的科技公司,他们嫉妒美国,所以他们要惩罚我们”,他在 3 月份的纽约经济俱乐部演讲时这样讲到。
由于 GDPR 的大部分表达含糊不清,因此它在实践中如何运作将取决于监管机构的处理。最终我们会看到:监管机构将追究谁,他们将对哪种行为采取什么样的处罚,以及他们到底将征收多少罚金。
目前普遍的猜想是,当截止日期到来时,欧洲监管机构将弹性处理,在一小段时间内不会给公司施加太大压力。但监管机构也无法完全控制 5 月 25 日的处理方式,因为 GDPR 的一部分是用户主导的。
如果欧盟居民提交了数据访问请求,公司有 30 天的时间作出响应。假设一家公司收到了这样的请求,但它们仍不完全符合 GDPR 标准,并且无法回应,那么该居民可以向当地监管机构提出投诉。
GDPR 要求监管机构采取措施来执行法律。就算不是 4% 的罚款,但他们也不能对投诉坐视不理。“如果监管机构在第一个月收到 10000 个投诉,他们就有麻烦了。”Straight 说。路透社 5 月上旬调查的 24 家欧洲监管机构中有 17 家表示,他们还没有准备好实施新法,因为他们还没有资金或权力来履行职责。
另一个监管机构面临的困难时是 GDPR 的数据泄露通知要求。公司需要在发现数据泄露后的 72 小时内通知相关数据保护机构,但监管机构对之后的工作也并不完全清楚。监管机构可能没有准备好对公司的安全工作进行审计,或者采取什么措施保护受到影响的欧盟居民。就算监管机构在如何应对方面有一定的灵活性,但 GDPR 不会允许他们无所作为。
GDPR 只适用于欧盟境内和欧盟居民,但由于许多公司在欧洲开展业务,美国科技行业正在手忙脚乱地整改。尽管可以预见在 GDPR 的实施初期一定会出现问题,但这一规定标志着全球数据处理方式的巨变。希望随着公司和监管机构逐渐走上正轨,经 GDPR 所加强的隐私保护也将成为常态。
閱讀更多 DeepTech深科技 的文章
