一、GDPR:最嚴格的數據保護立法,將會爲企業帶來障礙?
在《數據保護通用條例》生效近一年後,美國的企業和律師事務所,以及歐洲的監管機構,仍然在適應《數據保護通用條例》規定的隱私和數據保護要求。歐美數據保護通用條例的影響超出了公司的行動,爲了避免陷入巨額罰款,企業必須在數據合規方面投入巨大,但即便投入了巨大人力物力,也不一定就完全符合GDPR的標准。
根據披露的數據,歐洲監管機構已經封鎖了1000多個不符合規定的美國網站,即使是哪些花了幾個月時間准備的大型企業也已經步履蹒跚了。法官監管機構以5700萬美元的巨額罰款對谷歌的違規行爲進行了處罰!也是美國第一家被GDPR規則處罰的科技公司。谷歌表示它已經提起上訴。但無論是巨額的罰款,還是巨額的律師費等維權費用,不是任何一家企業能夠擔負的。實際情況是,根據IAPP在2018年的調查數據披露,只有不到50%的受訪者“完全遵守”GDPR規定,而近五分之一的受訪者表示完全遵守是不可能的。其中一個原因在于:
(一)龐大的數據對方訪問請求的數量令企業爲之震驚,極大考驗企業技術能力,並需要巨額投入以應對數據主體的訪問請求。
根據GDPR規定,消費者可以要求他們的數據,組織應該以獨特的方式作出反應。但數據主體訪問請求的數量之多,讓公司爲之震撼,也反過來要求公司要應對這一訪問請求量,必須要有過硬的軟件及硬件設施,過應的技術能力,在海量的數據中能夠快速、精確找到數據,然後對個人作出反應。
根據GDPR規定,發現任何數據泄露的公司,需要在72小時內向政府提交一份報告。而提交的報告的數量總和讓人震驚!
許多機構仍然在嚴格按照規定,在GDPR規定的安全違規通知方面開展工作,而72小時是評估事件發生情況緊迫截止時間。由此導致監管機構一直在增加人手處理這些文件,而無暇顧及其他事情。
但在GDPR的推動下,美國各州也出台了數據加密法,尤其是在加州。該州的消費者隱私法案已經頒布實施,影響著企業如何處理加州居民的個人信息,並在該州合規開展業務。加州之後,華盛頓州參議院也通過了華盛頓保密法。
但對于大數據公司、科技企業等與數據打交道的機構而言,最大的難點在于走出去時,除了需要符合並遵守GDPR規則的要求,避免風險外,還需要研究途徑國、行爲發生地對數據隱私有沒有特別的法律規定,以免由此導致不可承受之後果。
無可否認,GDPR規則是隱私與數據保護領域中最爲重要的立法成果,其提出了大數據時代個人數據保護的新秩序願景,同時就數據可攜帶權、數據保護官、數據保護影響評估、識別主導監管機構、行政處罰、充分保護認定、數據泄露通知、自動決策和畫像、同意、隱私實踐透明度等作出了回應。
在下一章節將對生物統計資料隱私訴訟的上升,潛藏的法律服務大藍海進行分享。