'GDPR實施一週年:下個週年,會是什麼樣?'
2018年5月25日,歐盟《通用數據保護條例》(GDPR)正式實施,旨在保護歐盟公民的個人數據,對企業的數據處理提出了嚴格要求。2019年5月25日,GDPR實施一週年,數據保護相關的案例與公開事件數量攀升。同時,全球多個國家或地區也以GDPR為參考,制定或補充了不同的數據保護細則。全球隱私數據保護領域迎來了較大發展。
2018年5月25日,歐盟《通用數據保護條例》(GDPR)正式實施,旨在保護歐盟公民的個人數據,對企業的數據處理提出了嚴格要求。2019年5月25日,GDPR實施一週年,數據保護相關的案例與公開事件數量攀升。同時,全球多個國家或地區也以GDPR為參考,制定或補充了不同的數據保護細則。全球隱私數據保護領域迎來了較大發展。
數據洩露事件通報數量走高
GDPR實施之後,牛津大學的一項研究發現,未經用戶同意而設置的新聞網站上的cookie數量下降了22%。DLAPipe的調查結果顯示,在2018年5月至2019年1月期間,監管機構共收到59,000多份個人數據洩露事件的通報(來自荷蘭、德國和英國的案件佔比最多),並處以91次罰款,其中大多為小額罰款。EDPB的報告顯示,GDPR實施一年以來,歐盟當局收到了約145000份數據安全相關的投訴和問題舉報;整個歐洲經濟區的各個國家監管機構則一共上報了206326起案例(近一半是投訴;約三分之一涉及數巨洩露通知;剩下的是其他問題)。
在一年時間內,監管機構共解決了52%的案例;共判處55,955,871歐元行政罰款。其中,較為重大的處罰或調查、投訴案例如下:
1. 愛爾蘭數據保護委員會(Data ProtectionCommission, DPC)近日啟動19項法定調查,其中11項重點關注Facebook、WhatsApp和Instagram。此外,谷歌/Twitter和領英也在接受調查;
2. 法國數據保護機構CNIL向谷歌發出了5000萬歐元的罰款,原因是因谷歌在個性化廣告方面“缺乏透明度,信息提供不充分,且未獲得用戶的有效同意 ” ;
3. 荷蘭數據保護執法機構向Uber開出60萬歐元罰單,因為Uber發生數據洩露事件但未按規定進行報告;
4. 奧地利先後開出三次罰單,但金額在300歐元至4800歐元之間,合計金額很小
此外,蘋果、微軟、Twitter、WhatsApp、Instagram等企業也都遭到投訴或調查、處罰。不過,沸沸揚揚的FaceBook劍橋分析事件卻因為發生在GDPR正式實施之前,因此其處罰並未按照GDPR的規定實施,而是遵循舊有《1998數據保護法案》,對FaceBook開出最高額罰款50萬元。此外,2018年12月,意大利競爭管理局對Facebook處以兩項總計1000萬歐元的罰款,理由之一是FaceBook在勸說用戶在其平臺上註冊過程中並未告知其可能會被收集數據,並用於商業目的;理由之二是FaceBook將用戶數據提供給第三方。但這些處罰也並非是基於GDPR,而是由於意大利2018年4月開展的獨立調查。
促進全球其他各地區立法
GDPR正式實施之後,全球其他國家或地區也先後加強數據保護立法:
美國加州:制定《加州消費者保護法案》,將於2020年生效
印度:制定本地數據保護法草案,與GDPR性質類似
新加坡:成立公共機構數據安全檢討委員會,以加強對公民數據的保護
中國:《數據安全管理辦法(徵求意見稿)》 發佈
此外,包括中國在內的其他國家或地區也在逐步設立或細化能夠支撐數據保護相關條例實施的細則。很明顯,GDPR帶來了全球隱私保護立法的熱潮,併成功提升了社會各領域對於數據保護的重視。在全球範圍類,數據保護法規都將變得越來越嚴格,企業也依舊面臨著挑戰。
2018年5月25日,歐盟《通用數據保護條例》(GDPR)正式實施,旨在保護歐盟公民的個人數據,對企業的數據處理提出了嚴格要求。2019年5月25日,GDPR實施一週年,數據保護相關的案例與公開事件數量攀升。同時,全球多個國家或地區也以GDPR為參考,制定或補充了不同的數據保護細則。全球隱私數據保護領域迎來了較大發展。
數據洩露事件通報數量走高
GDPR實施之後,牛津大學的一項研究發現,未經用戶同意而設置的新聞網站上的cookie數量下降了22%。DLAPipe的調查結果顯示,在2018年5月至2019年1月期間,監管機構共收到59,000多份個人數據洩露事件的通報(來自荷蘭、德國和英國的案件佔比最多),並處以91次罰款,其中大多為小額罰款。EDPB的報告顯示,GDPR實施一年以來,歐盟當局收到了約145000份數據安全相關的投訴和問題舉報;整個歐洲經濟區的各個國家監管機構則一共上報了206326起案例(近一半是投訴;約三分之一涉及數巨洩露通知;剩下的是其他問題)。
在一年時間內,監管機構共解決了52%的案例;共判處55,955,871歐元行政罰款。其中,較為重大的處罰或調查、投訴案例如下:
1. 愛爾蘭數據保護委員會(Data ProtectionCommission, DPC)近日啟動19項法定調查,其中11項重點關注Facebook、WhatsApp和Instagram。此外,谷歌/Twitter和領英也在接受調查;
2. 法國數據保護機構CNIL向谷歌發出了5000萬歐元的罰款,原因是因谷歌在個性化廣告方面“缺乏透明度,信息提供不充分,且未獲得用戶的有效同意 ” ;
3. 荷蘭數據保護執法機構向Uber開出60萬歐元罰單,因為Uber發生數據洩露事件但未按規定進行報告;
4. 奧地利先後開出三次罰單,但金額在300歐元至4800歐元之間,合計金額很小
此外,蘋果、微軟、Twitter、WhatsApp、Instagram等企業也都遭到投訴或調查、處罰。不過,沸沸揚揚的FaceBook劍橋分析事件卻因為發生在GDPR正式實施之前,因此其處罰並未按照GDPR的規定實施,而是遵循舊有《1998數據保護法案》,對FaceBook開出最高額罰款50萬元。此外,2018年12月,意大利競爭管理局對Facebook處以兩項總計1000萬歐元的罰款,理由之一是FaceBook在勸說用戶在其平臺上註冊過程中並未告知其可能會被收集數據,並用於商業目的;理由之二是FaceBook將用戶數據提供給第三方。但這些處罰也並非是基於GDPR,而是由於意大利2018年4月開展的獨立調查。
促進全球其他各地區立法
GDPR正式實施之後,全球其他國家或地區也先後加強數據保護立法:
美國加州:制定《加州消費者保護法案》,將於2020年生效
印度:制定本地數據保護法草案,與GDPR性質類似
新加坡:成立公共機構數據安全檢討委員會,以加強對公民數據的保護
中國:《數據安全管理辦法(徵求意見稿)》 發佈
此外,包括中國在內的其他國家或地區也在逐步設立或細化能夠支撐數據保護相關條例實施的細則。很明顯,GDPR帶來了全球隱私保護立法的熱潮,併成功提升了社會各領域對於數據保護的重視。在全球範圍類,數據保護法規都將變得越來越嚴格,企業也依舊面臨著挑戰。
前路漫漫
與投訴或公開的數據洩露事件數量相比,GDPR實際的訴訟與處罰案例數量並不算多,罰金也沒達到天價。企業逐漸從當初自查與整改的手忙腳亂切換到如今的審慎與從容。有專家認為,GDPR的實際處罰案例數量少,處罰力度小,可能會導致很多公司鬆懈或降低要求。但事實上,沒有處罰不代表企業沒有問題。監管機構在不斷探索,尋求以最有效的方式來實施GDPR。按照GDPR的規定,除罰款之外,各國家監管機構還有權對違規數據處理者或控制者擁有不同類型的糾正權,包括髮出警告、宣告申斥、責令合規等。
很多被投訴的企業沒有受到實際處罰,但也接受了嚴謹的調查、評估,並在此過程中完善了自身的隱私保護策略與實踐。在法律法規的監管下,公司企業需要經常進行內部審計以評估合規情況。而一旦發生數據洩露或遭遇投訴,審計記錄可以作為證據,證明企業曾在合規方面做出努力,這有助於避免重大處罰。因此,就算遭遇投訴的企業沒有受到GDPR的處罰,也不意味著就能高枕無憂,他們依舊要遵守合規要求。
Varonis最近對785個組織和超過500億個文件進行的研究發現,平均每家公司擁有超過500,000份敏感文件(包含信用卡數據、健康記錄或受GDPR、HIPAA和PCI等法規約束的個人信息),而其中至少有17%的文件可被公司任意員工訪問。另外,儘管GDPR規定了“數據被遺忘的權利”,但87%的公司持有超過1000份包含敏感信息的舊文件,71%的公司持有5,000多份包含敏感信息的舊文件,這些文件都未得到妥善處理。以上的調查結果表明,還有大量公司遠遠未達到GDPR合規要求,仍需要不斷改進。
另一方面,由於相關監管機構並未處理完所收到的全部投訴或數據洩露通報案件,因此2019年後半年,待調查完畢之後,GDPR相關的罰款或其他處罰也將會不斷出現,且罰款金額可能是之前的數倍。這期間,還會有其他投訴或違規案例出現。
歐洲數據保護委員會(EDPB)在GDPR實施一週年報告中指出,自GDPR實施至今,由於案例涉及跨境及大量調查,GDPR的實際協作機制還有待改進、IMI系統的效率有待提升、各國監管機構需要更多資源,甚至還需要增加人手來完成更多工作。而外部分析師認為,GDPR促使很多企業所作出的改變大多浮於表面,在未來,有必要讓企業從架構上真正考慮並落實數據保護政策。但這種從根本上的改變,還需要時間去準備。
可以預見,隱私與數據保護將一直是監管部門與企業需要直面的挑戰,將成為企業在正常運轉中需要持續關注的問題。
企業將如何做?
隨著全球多個國家或地區逐步制定、完善數據或隱私相關的法律法規,企業面臨更為嚴格的監管。擁有跨國或跨區域業務的企業將面臨更為複雜、嚴峻的合規挑戰。在這種情況下,做好合規就意味著避免損失、節約成本。企業可以從以下幾點出發,防範於未然。
1. 讓董事會意識到數據保護的重要性,提升合規的優先級:保持溝通,定期更新全球立法與合規動態以及企業面臨的風險,讓數據保護相關的工作更容易獲得董事會認可,也更容易開展落實。
2. 研究當前關於數據保護的法律法規,立足現狀對業務進行調整規劃,以便能更好地應對未來的發展與變化:未來一段時間出臺的新數據保護法規必然會以當前的相關規定為基礎,加以改進或演變。因此,瞭解並把握現數據保護立法現狀,結合自身業務進行分析與調整,就能為未來的變化做好準備。
3. 2019年開始,歐盟還將逐步制定關於電子通信隱私安全的ePrivacy規則,作為GDPR的補充規則。可以預見,ePrivacy將成為新的全球焦點與參考框架,值得企業儘早關注;
4. 定期開展企業內部合規審計:數據保護相關法規在實際執行中,都會涉及到對企業的問責,而公司企業的合規操作也包括對隱私及合規項目的監理。因此,企業內部定期開展合規審計有助於企業捕捉到自身項目的漏洞,並在發生違規或遭遇投訴時,向監管機構展現出自身的盡職努力。
無規矩不成方圓。在整個信息技術領域,合規是永遠無法規避的話題。GDPR從正式實施至今,也許頗有些雷聲大雨點小的意味,但其對全球隱私及數據保護的推動效果有目共睹。下個一年,GDPR仍將繼續生效,而其他國家或地區的數據保護法律法規,也將逐漸彰顯成效。