2020年5月25日是欧盟正式发布实施通用数据保护条例(GDPR)的两周年纪念日。然而GDPR这个刚满两岁的条例还有很长的路要走,两年来有关遵守该条例的数据表明,理想的条例遵守情况与现实发展之间存在重大脱节。
一、理想和现实的巨大落差
在GDPR开始之前,有78%的公司自信地认为他们已准备好满足数据要求,但实施后只有28%的公司遵守GDPR,可见遵守GDPR和类似GDPR的法律(如CCPA和PDPA)并不像最初想的那样容易,还有大量公司远远未达到GDPR合规要求,仍需要不断改进。
造成这种落差的原因是什么?
1. 首先公司需要遵守出台的法规是一项庞大而昂贵的工作
自GDPR于2018年5月生效以来,在发生个人数据泄露时,除非个人数据的泄露不会产生危及自然人权利和自由的风险,否则数据控制者应在获知泄露之时起的 72 小时内向监管机构发送通知报告。另外,当个人数据泄露可能对自然人的权利和自由产生高风险时,数据控制者还应当向数据主体告知数据泄露的相关情况。
倘若有违反法规的企业、单位或组织的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其上一年全球总营业额4%的金额罚金,两者取其最高。
举个例子:如果发现某公司不符合GDPR,则其年营业额占全球营业额的4%以上,就已下达28笔重大罚款,相当于罚金4.64亿美元,这无疑是一笔巨款。
通过2020年初,DLA Piper律师事务所就欧盟数据保护状况发布报告显示,自2018年《一般数据保护条例》(GDPR) 发布以来,欧盟已经收了1.14亿欧元(约合1.26亿美元)的罚款。然而对欧盟来说,这一切还仅仅是个开始。
DLA Piper负责网络和数据保护领域的合伙人麦基恩 (Ross McKean) 对CNBC表示,目前欧盟仍处于执法的初期,“未来还会发出更多罚单。”
对数据监管机构来说,数据泄露是隐私保护工作中的重点。从2018年5月到2020年初,欧盟共收到个人数据泄露事件通报160921起。
国际巨头公司如Facebook(脸书)和Google(谷歌),以及苹果、微软、Twitter、WhatsApp、Instagram等企业都遭到投诉或调查、处罚。
一些公司甚至因为GDPR的罚金,直接关闭了针对欧盟用户的业务。
部分较为重大的处罚或调查、投诉案例如下:
2. 法规标准过多,且全球缺乏统一标准
除了以上这些价格不菲的罚款外,公司还需付出其他的代价,假设所有的公司都在全球开展业务,那么根据美国加利福尼亚州司法部的数据,仅就CCPA而言,使加利福尼亚州企业遵守法规的初步估计费用约为550亿美元。研究人员估计,在较低端,员工人数少于20人的公司可能在一开始需要支付约50000美元才能保持合规。而在较高端,员工人数超过500人的公司一开始的合规成本平均在200万美元左右。这还仅仅是为了遵守一项法规。
所以想做到合规非常昂贵,然而“你懂的”(给一个严肃的眼神),倘若被发现不合规更加昂贵。
那么公司应如何在当今世界中导航以确保其客户和团队的隐私权得到保护,而不会遗漏这些法规要求中的任何一项?
有不少公司正在尝试一对一地处理这些隐私法规,但其实没必要对这些规则中的每一项都采取单独的方法,因为这不仅非常费力而且还会增添企业的税费。
二、一些改进建议分享给大家
1. 先确定所有法规中的共同点
用最简单的形式,它可以归结为:了解您实际拥有的数据,并放置适当的控件以确保可以适当地保护它。实施这种通用的方法可以节省大量时间,精力和资源,专门用于全面开展数据隐私工作。
在开始时,请考虑执行以下步骤:首先,确定系统,数据库和文件存储(例如Box,Sharepoint等)中存储的敏感数据。接下来,确定谁有权访问哪些内容,以便可以确保只有“应该”具有访问权限的正确人员才可以访问。这对于保护客户信息至关重要。最后,实施控制措施以保持员工访问权限的更新。使用策略来保持访问的一致性很重要,但是至关重要的是必须对其进行更新并与组织的任何变化保持最新。
同时需要遵守的隐私法规如此之多,我们该如何改善这种情况呢?
2. 建议采用通用隐私法
例如现有法规中的2020年《加利福尼亚州隐私权和执行法》,有人称其为“ CCPA 2.0 ”,这是对CCPA的修正。如果这项立法生效,它将创建一套全新的与GDPR保持一致的隐私权,从而为保护敏感的个人信息提供了更大的保障。
我认为,既然世界已经比以往任何时候都更能认识到隐私权的价值,那么我们将继续看到依据全球现有法规去更新的修正案。
同时现在很多人会因为已存在于暗网中的私人数据而感到不知所措,但我们并不能因此对这些事坐视不管,毕竟这会损害我们客户的隐私,产生过高的成本并且导致办事效率低下,不能任由它继续发生。
那么解决问题的关键要点是什么?
3. 建议使您的数据隐私工作与其余安全策略一样重要,确保它们是一个整体,并考虑到我们今天都必须遵守的各种法规中的所有事实和重叠之处。
只有这样,您才有机会保护您的客户和员工的数据,让公司避免成为另一个新闻头条以及GDPR罚款的统计数据。
三、展望未来
GDPR已成年两周岁,它的诞生也带来了全球隐私保护立法的热潮,提升了社会各领域对于数据保护的重视。在全球其他国家或地区拥有了自己的兄弟姐妹们,比如:
我国中央网信办也发布了中国版迷你“GDPR”《数据安全管理办法(征求意见稿)》,向社会公开征求意见。《意见稿》对当下的一些热点数据安全问题都作出了回应,诸如网络爬虫、跨境数据传输、定向推送和自动化洗稿等由大数据利用等产生的问题……
下一年,GDPR仍将继续生效,数据监管究竟会如何走向,又会如何发展,让我们拭目以待。
我们可以将美元或欧元等钞票握在手中,也可以将它们兑换成商品和服务,但是加密...
2020年4月,我国的央行数字货币开始在深圳、成都、苏州、雄安进行小范围试点,这...
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展...
之前在某厂的某次项目开发中,项目组同学设计和实现了一个引以为傲,额,有点扩...
你有想过现有的银行制度会被逐渐地替换掉吗?从古至今在货币上面更替是一直在进行...
12月5日,在由海南省工业和信息化厅主办的海南自贸港数字经济和区块链国际合作论...
最近比特币越来越瞩目,很多人都不知道这东西到底干啥的,有人说庞氏骗局,有人...
家庭将会是发生网络攻击的地方 毫无疑问,IT从业人员在积极地适应在家工作 这样...
犯罪分子利用信用卡窃密事件在人们的日常生活中屡见不鲜,且频频见诸报端,甚至...
科技界的每家公司都已经拥有区块链战略。如果他们现在没有,他们就有可能错过了...