2020年5月25日是欧盟正式公布并实施通用数据保护条例(GDPR)两周年。然而,GDPR这一出台仅两年的法规还有很长的路要走,两年的合规数据表明理想化的合规与现实世界的发展之间存在重大脱节。1.理想与现实的巨大差距GDPR实施前,78%的企业自信地认为自己已做好满足数据要求的准备,但实施后,只有28%的企业遵守了GDPR,说明GDPR的合规性类似于GDPR的法律(如CCPA和PDPA)并不像最初想象的那么容易,而且仍有大量公司距离GDPR合规性还很远,仍需要不断改进。造成这种差距的原因是什么?1.首先,企业需要遵守出台的规定,这是一项庞大而昂贵的工作。自GDPR于2018年5月生效以来,当个人数据泄露发生时,除非个人数据泄露不会危及自然人的权利和自由,否则数据控制者应在72小时内向监管机构发送通知报告自知晓违规行为之日起。此外,当个人数据泄露可能对自然人的权利和自由造成高风险时,数据控制者还应当将数据泄露情况告知数据主体。如果有公司、单位或组织违反规定,最高可处以2000万欧元(约合人民币1.5亿元)或其上一年全球营业额的4%的罚款,以金额最高者为准。举个例子:如果一家公司被发现不符合GDPR,其年营业额占全球营业额的4%以上,已开出28项重大罚款,相当于罚款4.64亿美元,无疑是一笔巨款。截至2020年初,欧华律师事务所发布的欧盟数据保护状况报告显示,自2018年《一般数据保护条例》(GDPR)发布以来,欧盟共收取1.14亿欧元(约合1.26亿美元)美元)罚款。然而,对于欧盟而言,这仅仅是个开始。欧华律师事务所网络和数据保护领域的合伙人罗斯麦基恩告诉CNBC,欧盟仍处于执法的早期阶段,“未来将开出更多罚款”。对于数据监管者来说,数据泄露是隐私保护工作的重点。从2018年5月到2020年初,欧盟共收到160,921份个人数据泄露通知。脸书(Facebook)、谷歌(Google)等国际巨头公司,以及苹果、微软、推特、WhatsApp、Instagram等公司都曾被投诉或查处。一些公司甚至因为GDPR罚款而直接关闭了针对欧盟用户的业务。一些比较重大的处罚或调查和投诉如下:爱尔兰数据保护委员会(DataProtectionCommission,DPC)最近发起了19项法定调查,其中11项主要针对Facebook、WhatsApp和Instagram。此外,谷歌/推特和领英也在接受调查;法国数据保护机构CNIL对谷歌处以5000万欧元的罚款,原因是其在个性化广告方面“缺乏透明度、信息不足以及未能触及用户”。有效同意”;荷兰数据保护执法机构以数据泄露为由对Uber罚款60万欧元,但未按要求报告;香港国泰航空被英国数据监管机构罚款50万英镑。该漏洞暴露了全球约940万客户的个人详细信息,其中111,578名来自英国。2、法规标准过多,缺乏全球统一的标准。除了上述昂贵的罚款,公司还需要支付其他费用。假设所有公司都在全球开展业务,那么根据加州司法部的数据,仅就CCPA而言,初步估计使加州企业合规的成本约为550亿美元。研究人员估计,在低端,员工人数少于20人的公司最初可能需要支付约50,000美元才能保持合规。而在高端,拥有500多名员工的公司的合规成本平均约为200万美元。那只是为了遵守法规。因此,合规的代价非常高,但“你知道”(认真看一下),被发现不合规的代价更高。那么,公司应如何驾驭当今世界,以确保其客户和团队的隐私权得到保护,同时又不遗漏任何这些监管要求?有相当多的公司试图一对一地处理这些隐私法规,但实际上没有必要对这些规则中的每一个都采取单独的方法,因为这会非常费力并且会给企业增加税收.二、与大家分享的一些改进建议1、首先找出所有法规的共同点。以最简单的形式,它可以归结为:了解您实际拥有的数据,并采取适当的控制措施以确保它能够得到适当的保护。实施这种通用方法可以节省大量时间、精力和资源,而这些时间、精力和资源可用于全面的数据隐私工作。开始时,请考虑以下步骤:首先,识别存储在系统、数据库和文件存储(例如Box、Sharepoint等)中的敏感数据。接下来,确定谁有权访问什么,以便您可以确保只有“应该”有权访问的正确人员才能访问。这对于保护客户信息至关重要。最后,实施控制以更新员工访问权限。使用策略来保持访问的一致性很重要,但重要的是要更新这些策略并使其与组织的任何更改保持同步。有这么多的隐私法规需要同时遵守,我们如何才能改善这种情况?2.在现有的法规中提出一个通用的隐私法,比如2020年的《加利福尼亚州隐私权和执行法》,有人称之为“CCPA2.0”,也就是CCPA的正确修正案。如果立法生效,它将创建一套全新的与GDPR一致的隐私权,为保护敏感的个人信息提供更大的保障。我认为,既然世界比以往任何时候都更加认识到隐私的价值,我们将继续看到世界各地对现有法规的修订。同时,很多人会对已经存在于暗网上的隐私数据感到不知所措,但我们不能因此坐视。毕竟,这会损害我们客户的隐私,产生过多的成本并导致效率低下。低,不能让它继续发生。那么解决这个问题的关键要点是什么?3.建议使您的数据隐私工作与您的其他安全策略一样重要,确保它们是集成的,并考虑到我们今天必须遵守的各种法规中的所有事实和重叠。只有这样,您才有机会保护您的客户和员工的数据,并使您的公司免受另一个标题和GDPR精细统计的影响。3、展望未来GDPR已经两年了,它的诞生也带来了全球隐私保护立法的热潮,提升了社会各领域数据保护的重要性。我在全球其他国家或地区也有自己的兄弟姐妹,比如:美国加州:制定,2020年生效印度:制定本地数据保护法草案,性质类似于GDPR新加坡:成立事业单位数据安全审查委员会为加强对公民数据的保护,我国中央网信办还发布了中文版迷你《GDPR》《数据安全管理办法(征求意见稿)》,向社会公开征求意见。《意见稿》已经回应了当前一些热点的数据安全问题,比如网络爬虫、数据跨境传输、定向推送、自动化稿件清洗等,都是大数据的使用……明年,GDPR数据监管将如何走向,将如何发展,让我们拭目以待。
