GDPR：2018年表现疲软，2019年或将迎来新气象

互联网+ 译者：栀航 · 未央网 THE NEXT WEB 2019-01-04 阅读：4404

关键词：通用数据保护 GDPR 隐私保护 个人数据泄露

欧盟正式实施《通用数据保护条例》，成为2018年度技术领域的关键事件之一。

2018年5月25日，欧盟正式实施《通用数据保护条例》（GeneralDataProtectionRegulation，后文简称GDPR），成为2018年度技术领域的关键事件之一。这项雄心勃勃的法案是世界上最严格的隐私和安全法，旨在保障用户享有更好地控制个人数据的权力。但是法案达到预期效果了吗？对于大多数人来说，无论是人在欧盟还是在全球其他地区，除了访问每个网站时弹出无数个令人讨厌的同意窗口，貌似没有什么其他地方体现出"更好的控制"。

首先，GDPR究竟是什么？

如果您已经是GDPR专家，可以跳过本节。但考虑到GDPR文字内容超过100页，并且关于这部法案有很多误区，有必要对其要点进行简短解释。

欧盟切实希望人们能够更好地控制个人数据。欧盟所据主体（法律术语，代指所有使用计算机和类似设备的欧盟公民和居民）现在都有权对组织如何处理数据发表意见，因为他们只是"借出"数据，个人数据只属于本人，不属于其他任何人。

因此根据GDPR，个人有权：

了解个人数据被如何处理；

访问个人数据；

要求更正不正确的个人数据；

要求删除个人数据（例如，数据处理过程非法时可以要求删除）；

当人个人数据被用于营销目的时表示抗议；

在特定情况下，提出限制个人数据处理的要求；

数据可移植性权；

要求由自然人做出基于涉及数据的自动处理决策，而不仅仅由计算机完成；

执行条款方面，GDPR支持"数据主体"寻求损害赔偿。违反GDPR将被处以高达全球收入的4％或2000万欧元的罚款，以较高者为准，这项罚款也被称为该条例最强力的执法工具。面对可能的大额罚款，即使是科技巨头也必须留心GDPR，但法令的影响范围也起到了重要作用。实际上，该法案适用于处理欧盟公民或居民个人数据的任何公司，因此2018年GDPR的实施举足轻重。

根据GDPR，公司必须对个人数据和处理个人数据的方式负责，包括在没有合理授权或理由的情况下，不得以任何方式使用个人数据。例如，可以是明确的同意、法院判令，或者为了执行或准备与个人的合同必须处理个人数据，例如，房屋租赁之前进行背景检查。但是，存在"合法利益"的情况下，公司也可以处理个人数据，这一条款意思并不清楚，会导致困惑。我们期待2019年能够出台更明确的定义和指导方针，同时参考常识用法。

条例要求公司保障适当的数据安全性，数据处理过程必须透明，并且必须在72小时内通知受影响的数据主体，否则将面临处罚。最后一项义务意义重大，但2018年爆发了大量大数据泄露事件，其中大部分都没有在72小时内通知受影响的用户，所以条例并没有起到太大的作用。Facebook在最近一次数据泄露事件发生两个多月之后才将情况公之于众。

等等，如果不遵守规则，GDPR还有什么用？

2018年执行状况不佳

Mozilla以关注隐私和开放互联网的立场而闻名，RaeganMacDonald是Mozilla的高级政策经理和欧盟负责人。对她来说，至少在最初的几个月里，GDPR的表现只能说是令人喜忧参半。

MacDonald表示：

"虽然正在取得一些进展，但是现在还很早，还没有发挥什么作用。许多公司更新了隐私条款并创建了帮助用户获得更多控制权的工具，如请求删除数据的方法。但是这些措施都过于表面化，许多公司似乎在尽可能狭隘地解释GDPR。我担心，在默认情况下，用户理解有限，又无法行之有效地控制隐私，个人隐私仍然会在处于危险之中。"

GDPR的目标之一是鼓励（或有力地推动）公司从设计着手保护隐私，而现状令人失望。

但MacDonald对未来持乐观态度："我们还没有看到哪家公司被征收巨额罚款。但我觉得如果2018年是实施年，2019年就应该是执行年。"她指出，有9个欧盟成员国尚未实施GDPR，而监管机构欧洲数据保护委员会也仍在建设之中，因此难怪进展缓慢。

"我预计到2019年，'宽限期'将会结束，公司将要么好好表现，要么接受巨额罚款。法律的效力取决于其执行力度，许多数据保护机构开始密切关注一些公司采取的措施效果平平（还有成千上万的投诉），这一点还是让人挺受鼓舞的。"

目前，欧洲的数据保护机构（后文简称DPA）累积了许多引人注目的投诉。5月25日，隐私维权组织noyb向数据保护执法机构投诉，直指Facebook、Google等公司"强制"其用户"同意"其收集和处理个人数据，而用户本应可以使用服务，无需同意放弃个人数据。最近还有报道称，谷歌涉嫌非法追踪其欧盟用户。

可以向DPA提交投诉还是不错的，但除此之外，MacDonald表示，还应当提高控制手段的可操作性，让用户应该真正掌控自己的数据："Mozilla坚信用户应当掌握真正的控制权，而不仅仅是使用隐藏在隐私声明或者设置菜单深处的工具。最终，需要在欧洲强有力地执行GDPR，惩戒不履行GDPR原则的公司。"

Mozilla等公司已经开始研发浏览器反跟踪功能等工具，但更有必要采用GDPR的思维方式，真正实现人对数据的控制。像MacDonald指出的那样，我们需要强有力的执行。但是，监管机构何在？

2019年GDPR将开始发力

GDPR运行只有几个月，但监管机构已经忙了很久。每个成员国的DPA都在扩充员工数量和专业知识。例如，爱尔兰数据保护委员会（DPC）从2014年的不到30名员工发展到2018年的130名员工，并计划2019年进一步扩充员工和专业技能。

全球许多大型科技公司都将欧盟总部设在爱尔兰，因此爱尔兰DPC在实施GDPR方面发挥着非常重要的作用。对Facebook、Twitter、微软、LinkedIn以及谷歌等公司的投诉都属于DPC的受理范畴。爱尔兰DPC沟通负责人GrahamDoyle指出，GDPR让大众增强了个人数据隐私意识。一个重要的指标就是报告事件数量激增：2018年发出违规通知3500件和接受投诉2500件，是2017年的两倍。"2017年初我们开展了一项调查，评估了爱尔兰企业对GDPR的认知水平，调查结果在30％到40％之间。到2018年5月再次调查时，数字升至90％左右。"

2018年GDPR还是发挥了一定作用的，唤起了公众对个人数据处理方式的更多思考。DPC将教育企业和公众看做发挥自身作用的重要组成部分，因此在唤醒公众个人隐私意识方面投入了大量资源。

"我们采取双管齐下的方式为GDPR提供支撑：执行和参与监督，"Doyle说，"我们通过与组织互动，参与个人数据相关立法咨询和公司新产品的咨询，发挥参与监督作用。与组织接洽时，我们会尽力协助他们从初始阶段就按照正确的方式做好。"这种方法是也是可以理解的，因为对于公司而言，在第一时间做正确的事情，防止个人数据泄露，远比仅仅关注惩罚违法者的做法更好。Doyle补充说，DPC也计划履行其纠正作用，GDPR实施前几个月执行乏力并不是失效的表现。"GDPR为DPA提供的新工具包赋予了DPA更大的权力，"Doyle解释并补充说，目前尚未开出罚单是因为调查仍在进行中，"我们会在适用范围内，将赋予我们的权力发挥到极致，充分使用GDPR工具包。"

GDPR在2018年的影响可以归纳为，大众对个人数据被如何处理的意识更强了，推动企业改变了做法，尽管大多数企业可以在这方面做的还不够好。要做得更好，需要更强的执法力度，时间上不会等太久。被问到什么时候调查才会结束时，Doyle表示，"2019年，我们会完成部分大规模调查。"

2019年GDPR将发挥更大的作用，届时法令将发挥全部功能。

专题推荐：金融毛细血管

零壹智库推出“金融毛细血管系列策划”，通过系列文章、系列视频、系列报告、系列研讨会和专著，系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。