2018年5月25日,欧盟《通用数据保护条例》(GDPR)正式实施,旨在保护欧盟公民的个人数据,对企业的数据处理提出了严格要求。2019年5月25日,GDPR实施一周年,数据保护相关的案例与公开事件数量攀升。同时,全球多个国家或地区也以GDPR为参考,制定或补充了不同的数据保护细则。全球隐私数据保护领域迎来了较大发展。
关于GDPR的具体规定,可参考一年前FreeBuf的专题文章:《史上最严数据保护条例GDPR今日生效,对你我而言意味着什么?》
数据泄露事件通报数量走高
GDPR实施之后,牛津大学的一项研究发现,未经用户同意而设置的新闻网站上的cookie数量下降了22%。DLAPipe的调查结果显示,在2018年5月至2019年1月期间,监管机构共收到59,000多份个人数据泄露事件的通报(来自荷兰、德国和英国的案件占比最多),并处以91次罚款,其中大多为小额罚款。EDPB的报告显示,GDPR实施一年以来,欧盟当局收到了约145000份数据安全相关的投诉和问题举报;整个欧洲经济区的各个国家监管机构则一共上报了206326起案例(近一半是投诉;约三分之一涉及数巨泄露通知;剩下的是其他问题)。
在一年时间内,监管机构共解决了52%的案例;共判处55,955,871欧元行政罚款。其中,较为重大的处罚或调查、投诉案例如下:
1. 爱尔兰数据保护委员会(Data ProtectionCommission, DPC)近日启动19项法定调查,其中11项重点关注Facebook、WhatsApp和Instagram。此外,谷歌/Twitter和领英也在接受调查;
2. 法国数据保护机构CNIL向谷歌发出了5000万欧元的罚款,原因是因谷歌在个性化广告方面“缺乏透明度,信息提供不充分,且未获得用户的有效同意 ” ;
3. 荷兰数据保护执法机构向Uber开出60万欧元罚单,因为Uber发生数据泄露事件但未按规定进行报告;
4. 奥地利先后开出三次罚单,但金额在300欧元至4800欧元之间,合计金额很小
此外,苹果、微软、Twitter、WhatsApp、Instagram等企业也都遭到投诉或调查、处罚。不过,沸沸扬扬的FaceBook剑桥分析事件却因为发生在GDPR正式实施之前,因此其处罚并未按照GDPR的规定实施,而是遵循旧有《1998数据保护法案》,对FaceBook开出最高额罚款50万元。此外,2018年12月,意大利竞争管理局对Facebook处以两项总计1000万欧元的罚款,理由之一是FaceBook在劝说用户在其平台上注册过程中并未告知其可能会被收集数据,并用于商业目的;理由之二是FaceBook将用户数据提供给第三方。但这些处罚也并非是基于GDPR,而是由于意大利2018年4月开展的独立调查。
促进全球其他各地区立法
GDPR正式实施之后,全球其他国家或地区也先后加强数据保护立法:
美国加州:制定《加州消费者保护法案》,将于2020年生效
印度:制定本地数据保护法草案,与GDPR性质类似
新加坡:成立公共机构数据安全检讨委员会,以加强对公民数据的保护
中国:《数据安全管理办法(征求意见稿)》 发布
此外,包括中国在内的其他国家或地区也在逐步设立或细化能够支撑数据保护相关条例实施的细则。很明显,GDPR带来了全球隐私保护立法的热潮,并成功提升了社会各领域对于数据保护的重视。在全球范围类,数据保护法规都将变得越来越严格,企业也依旧面临着挑战。
前路漫漫
与投诉或公开的数据泄露事件数量相比,GDPR实际的诉讼与处罚案例数量并不算多,罚金也没达到天价。企业逐渐从当初自查与整改的手忙脚乱切换到如今的审慎与从容。有专家认为,GDPR的实际处罚案例数量少,处罚力度小,可能会导致很多公司松懈或降低要求。但事实上,没有处罚不代表企业没有问题。监管机构在不断探索,寻求以最有效的方式来实施GDPR。按照GDPR的规定,除罚款之外,各国家监管机构还有权对违规数据处理者或控制者拥有不同类型的纠正权,包括发出警告、宣告申斥、责令合规等。
很多被投诉的企业没有受到实际处罚,但也接受了严谨的调查、评估,并在此过程中完善了自身的隐私保护策略与实践。在法律法规的监管下,公司企业需要经常进行内部审计以评估合规情况。而一旦发生数据泄露或遭遇投诉,审计记录可以作为证据,证明企业曾在合规方面做出努力,这有助于避免重大处罚。因此,就算遭遇投诉的企业没有受到GDPR的处罚,也不意味着就能高枕无忧,他们依旧要遵守合规要求。
Varonis最近对785个组织和超过500亿个文件进行的研究发现,平均每家公司拥有超过500,000份敏感文件(包含信用卡数据、健康记录或受GDPR、HIPAA和PCI等法规约束的个人信息),而其中至少有17%的文件可被公司任意员工访问。另外,尽管GDPR规定了“数据被遗忘的权利”,但87%的公司持有超过1000份包含敏感信息的旧文件,71%的公司持有5,000多份包含敏感信息的旧文件,这些文件都未得到妥善处理。以上的调查结果表明,还有大量公司远远未达到GDPR合规要求,仍需要不断改进。
另一方面,由于相关监管机构并未处理完所收到的全部投诉或数据泄露通报案件,因此2019年后半年,待调查完毕之后,GDPR相关的罚款或其他处罚也将会不断出现,且罚款金额可能是之前的数倍。这期间,还会有其他投诉或违规案例出现。
欧洲数据保护委员会(EDPB)在GDPR实施一周年报告中指出,自GDPR实施至今,由于案例涉及跨境及大量调查,GDPR的实际协作机制还有待改进、IMI系统的效率有待提升、各国监管机构需要更多资源,甚至还需要增加人手来完成更多工作。而外部分析师认为,GDPR促使很多企业所作出的改变大多浮于表面,在未来,有必要让企业从架构上真正考虑并落实数据保护政策。但这种从根本上的改变,还需要时间去准备。
可以预见,隐私与数据保护将一直是监管部门与企业需要直面的挑战,将成为企业在正常运转中需要持续关注的问题。
企业将如何做?
随着全球多个国家或地区逐步制定、完善数据或隐私相关的法律法规,企业面临更为严格的监管。拥有跨国或跨区域业务的企业将面临更为复杂、严峻的合规挑战。在这种情况下,做好合规就意味着避免损失、节约成本。企业可以从以下几点出发,防范于未然。
1. 让董事会意识到数据保护的重要性,提升合规的优先级:保持沟通,定期更新全球立法与合规动态以及企业面临的风险,让数据保护相关的工作更容易获得董事会认可,也更容易开展落实。
2. 研究当前关于数据保护的法律法规,立足现状对业务进行调整规划,以便能更好地应对未来的发展与变化:未来一段时间出台的新数据保护法规必然会以当前的相关规定为基础,加以改进或演变。因此,了解并把握现数据保护立法现状,结合自身业务进行分析与调整,就能为未来的变化做好准备。
3. 2019年开始,欧盟还将逐步制定关于电子通信隐私安全的ePrivacy规则,作为GDPR的补充规则。可以预见,ePrivacy将成为新的全球焦点与参考框架,值得企业尽早关注;
4. 定期开展企业内部合规审计:数据保护相关法规在实际执行中,都会涉及到对企业的问责,而公司企业的合规操作也包括对隐私及合规项目的监理。因此,企业内部定期开展合规审计有助于企业捕捉到自身项目的漏洞,并在发生违规或遭遇投诉时,向监管机构展现出自身的尽职努力。
无规矩不成方圆。在整个信息技术领域,合规是永远无法规避的话题。GDPR从正式实施至今,也许颇有些雷声大雨点小的意味,但其对全球隐私及数据保护的推动效果有目共睹。下个一年,GDPR仍将继续生效,而其他国家或地区的数据保护法律法规,也将逐渐彰显成效。
*参考来源:EDPB report等,转载请注明来自FreeBuf.COM。
来源:freebuf.com 2019-05-29 17:30:57 by: AngelaY
请登录后发表评论
注册