(原标题:GDPR已经来了,但几乎没有公司可以100%合规)
欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)已经于2018年5月25日正式施行,但无论是公司还是监管者似乎都没有做好迎接它的准备。
但这也成了一些人发财的机会,UnitedLex公司目前正在开展相关业务,为企业设立GDPR合规服务。作为United Lex公司的首席隐私官,Jason Straight在该法律正式生效之前表示:“5月25日,很少有公司可以百分百合规。由于最后期限即将到来,大部分公司,尤其是美国公司,上个月肯定是疲于奔命,手忙脚乱。”在4月份,由Ponemon Institute进行的对1000多家公司的调查中,有一半的公司表示,他们在最后期限前将无法做到合规。按行业划分后,60%的科技公司也表示他们还没有准备好。
GDPR涵盖了包括数据泄露发生后72小时内向监管机构通报的要求,以及提前告知用户数据用途的要求等等。Straight说,“多年以来,公司先尽量多地从用户那里获取数据,然后再考虑如何利用这些数据的模式,但在GDPR的约束下,这一做法将很难存在。然而,如果根据GDPR规定提前告知用户数据的用途,用户极有可能不再同意提供数据了。”
但是也许让每个公司最头疼的GDPR要求是“响应数据主体的访问请求”。欧盟居民有权要求查阅公司收集的个人信息。用户,即GDPR中所说的数据主体,可以要求删除、纠正个人信息,甚至可以要求以文件的形式拿到数据。但是这些数据可能在5个不同的服务器上,而且可能有多种不同格式。因此,公司为满足GDPR所需的整改工作中很大一部分来自重改数据库的基础设施,以便可以响应用户的这类请求。
公司如何重改底层数据库是问题的一部分,除此之外,“个人信息”的定义本身边界也并不明确。姓名、电子邮箱、电话号码、位置数据——这些是显而易见的个人信息。但也有更多的不明确的数据,Straight举例说:“如果有人在电子邮件中提到“居住在东18街的那个高大的秃头男人”,那这也将是GDPR要求提供的信息。”
这在某种程度上也是不可避免的结果。一年前,61%的公司还没有开始启动相关整改。Straight表示,总体而言,欧洲公司——尤其是德国和英国等国的公司,其现有的隐私法与GDPR有部分重叠,因此有更充足的时间来调整。尽管如此,今年1月的一项调查发现,伦敦四分之一的企业甚至还不知道GDPR是什么。
客观来讲,GDPR确实有些复杂。科罗拉多大学波尔得分校人类学和信息科学教授AlisonCool在《纽约时报》上写道,这项法律“非常复杂”,并且难以理解,科学家和数据管理员都“怀疑这项条例甚至不可能做到完全遵守”。
GDPR允许监管机构对违反规定的公司处罚高达其全球收入的4%的罚金。如果亚马逊受到惩罚,罚款将为70亿美元。然而有趣的是,由于像亚马逊这样的公司收入巨大,利润却相对较低,因此4%的罚款可能会花掉他们两年的利润。
美国企业家、风险投资家Peter Thiel因此而指责GDPR是欧洲制定的一个保护主义法律。“在欧洲没有成功的科技公司,他们嫉妒美国,所以他们要惩罚我们”,他在3月份的纽约经济俱乐部演讲时这样讲到。
由于GDPR的大部分表达含糊不清,因此它在实践中如何运作将取决于监管机构的处理。最终我们会看到:监管机构将追究谁,他们将对哪种行为采取什么样的处罚,以及他们到底将征收多少罚金。
目前普遍的猜想是,当截止日期到来时,欧洲监管机构将弹性处理,在一小段时间内不会给公司施加太大压力。但监管机构也无法完全控制5月25日的处理方式,因为GDPR的一部分是用户主导的。
如果欧盟居民提交了数据访问请求,公司有30天的时间作出响应。假设一家公司收到了这样的请求,但它们仍不完全符合GDPR标准,并且无法回应,那么该居民可以向当地监管机构提出投诉。
GDPR要求监管机构采取措施来执行法律。就算不是4%的罚款,但他们也不能对投诉坐视不理。“如果监管机构在第一个月收到10000个投诉,他们就有麻烦了。”Straight说。路透社5月上旬调查的24家欧洲监管机构中有17家表示,他们还没有准备好实施新法,因为他们还没有资金或权力来履行职责。
另一个监管机构面临的困难时是GDPR的数据泄露通知要求。公司需要在发现数据泄露后的72小时内通知相关数据保护机构,但监管机构对之后的工作也并不完全清楚。监管机构可能没有准备好对公司的安全工作进行审计,或者采取什么措施保护受到影响的欧盟居民。就算监管机构在如何应对方面有一定的灵活性,但GDPR不会允许他们无所作为。
GDPR只适用于欧盟境内和欧盟居民,但由于许多公司在欧洲开展业务,美国科技行业正在手忙脚乱地整改。尽管可以预见在GDPR的实施初期一定会出现问题,但这一规定标志着全球数据处理方式的巨变。希望随着公司和监管机构逐渐走上正轨,经GDPR所加强的隐私保护也将成为常态。
