作为第一部全面的隐私法,GDPR 对世界各地的立法具有启示意义。GDPR已经实施三年,不过隐私专业人士表示,欧盟成员国之间缺乏协调统一,持续不断地更新指南也是一个艰难的过程。

欧盟《通用数据保护条例》(GDPR)三年前生效,提高了人们对隐私和数据保护的认识,并为世界各地的国家和司法管辖区设定了标准。

IAPP 发布了一份“GDPR 三周年”的总结图,图表显示 47%的公司自称完全符合 GDPR 要求,监管机构迄今已采取了 630 多项执法措施,罚款总额达 2.83 亿欧元。在过去一年中,最大的罚款包括法国数据保护机构 CNIL 针对谷歌的 5700 万美元罚款,以及德国 DPA 数据保护和信息自由专员针对服装零售商 H&M 的 4100 万美元罚款。

IBM 首席隐私官 Christina Montgomery 认为,GDPR 使得个人和企业可以在整个欧盟依赖相同的权利和数据保护标准,这意味着企业能够依靠单个隐私框架来实现跨成员国的合规性。此外,GDPR 及其问责制原则促进更有效的合规流程和数据驱动的业务模型,这些业务模型更加尊重数据主体的权利和自由。

持续的障碍

GDPR 已经实施三年,不过隐私专业人士表示,欧盟成员国之间缺乏协调统一,持续不断地更新指南也是一个艰难的过程。

Christina Montgomery 表示,成员国仍然能够制定自己的规则,缺乏统一的 GDPR 规则以及相关解释有时会产生歧义仍然是公司面临的挑战。DPA 发出了关于多个主题的指南,例如 Cookie、强制性风险评估或使用员工健康数据以使其安全地返回工作场所等。

Baker McKenzie 合伙人 Lothar Determann 表示,虽然 GDPR 使得部分公司加强合规,但这也导致一些公司由于担心 GDPR 而放弃欧洲的机遇。对于某些公司而言,该法规对个人数据泄露和 72 小时通知截止日期的相关定义比较宽泛,从而导致“不合理的时间压力”,并对采用不同标准的司法管辖区产生影响。

全球影响

作为第一部全面的隐私法,GDPR 对世界各地的立法具有启示性,比如巴西的《个人数据保护法》、中国拟议的《个人信息保护法》和印度拟议的《个人数据保护法案》等。在美国,加利福尼亚州和弗吉尼亚州的相关立法都从 GPDR 中汲取了灵感,而其他州(例如华盛顿)仍在继续研究提案。

印度 J Sagar Associates 合伙人 Sajai Singh 表示,GDPR 是拟议《个人数据保护法案》的模板,该法案最终草案有望很快提交国会。印度正在寻求扩大监管范围,比如印度未收集敏感个人数据,但这些数据若在印度进行处理,则也需要遵守相关法律。严格的数据隐私法规是当今的规范,而 GDPR 无疑为世界各国提供了指导和前进的方向。

提升私密性

对于隐私专业人士,纽约梅隆银行全球首席隐私官 Kirsten Mycroft 表示,GDPR 在扩大隐私机会、职业路径和岗位的同时,还创建了更强大、更多样化的隐私人才库。从更广泛的角度来看,GDPR 成为所有行业“执行议程中进一步提高隐私权的催化剂”。GDPR 将组织内部的数据隐私配置提升为“C-Suite 优先”,并促进许多隐私计划,从采用“打勾”式合规到通过设计和问责制创建隐私文化。

Montgomery 表示,IBM 不仅仅从法律合规性,而是通过更广泛的视角来考察 GDPR。技术投资与集中治理和企业范围内的整合相结合,正在将公司的首席隐私官从被动式领导转变为主动式领导。其首席隐私团队已不仅是纯粹的法律职能,而是嵌入业务中,与首席数据官、安全业务部门、政策团队以及 AI 道德委员会携手,使 IBM 能够在隐私和技术道德两个维度上发展。

展望未来

尽管 GDPR 作为全面的数据保护框架在全球范围内处于领先地位,但诺斯罗普·格鲁曼公司隐私执行官 Kropf 表示,其与现有国际法原则有待进行更好地保持同步。在过去三年中,“Schrems I”和“Schrems II”案一直存在不确定性,而充分性程序并不透明。确定一个国家是否符合欧盟标准的过程很复杂,可以通过寻求跨境合作的其他现有的国际贸易原则来加强该法规,例如税收、海关、航空公司、电信等领域。

在继续执行 GDPR 的过程中,各组织还应密切关注欧盟即将颁布的《电子隐私条例》(ePrivacy Regulation),该法规将取代《电子隐私权指令》(ePrivacy Directive),以创建电子通信规则以及有关人工智能法规的提案。隐私权专家表示,相关提案与 GDPR 保持一致非常重要。Mycroft 认为,GDPR 的原则,包括问责制、透明度和公平性,可以作为即将制定的法规的蓝图。即将出台的法规应“力求与 GDPR 规则保持高度一致”,以“避免欧盟内部数据治理规则的分散化”。

Montgomery 认为,《电子隐私条例》应具有针对性的范围和更宽泛的法律依据,并拥有相关机制来确保与 GDPR 规则更加契合。这将有助于减轻公司的行政负担,同时提高透明度,并保护所有欧盟成员国中数据主体的权利。GDPR 中包含的许多原则也与将来的 AI 法规息息相关。

摘编 | 贺佳瀛/赛博研究院研究员

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。