GDPR生效三周年来对全球隐私格局的影响

作为第一部全面的隐私法，GDPR 对世界各地的立法具有启示意义。GDPR已经实施三年，不过隐私专业人士表示，欧盟成员国之间缺乏协调统一，持续不断地更新指南也是一个艰难的过程。

欧盟《通用数据保护条例》（GDPR）三年前生效，提高了人们对隐私和数据保护的认识，并为世界各地的国家和司法管辖区设定了标准。

IAPP 发布了一份“GDPR 三周年”的总结图，图表显示 47％的公司自称完全符合 GDPR 要求，监管机构迄今已采取了 630 多项执法措施，罚款总额达 2.83 亿欧元。在过去一年中，最大的罚款包括法国数据保护机构 CNIL 针对谷歌的 5700 万美元罚款，以及德国 DPA 数据保护和信息自由专员针对服装零售商 H＆M 的 4100 万美元罚款。

IBM 首席隐私官 Christina Montgomery 认为，GDPR 使得个人和企业可以在整个欧盟依赖相同的权利和数据保护标准，这意味着企业能够依靠单个隐私框架来实现跨成员国的合规性。此外，GDPR 及其问责制原则促进更有效的合规流程和数据驱动的业务模型，这些业务模型更加尊重数据主体的权利和自由。

持续的障碍

GDPR 已经实施三年，不过隐私专业人士表示，欧盟成员国之间缺乏协调统一，持续不断地更新指南也是一个艰难的过程。

Christina Montgomery 表示，成员国仍然能够制定自己的规则，缺乏统一的 GDPR 规则以及相关解释有时会产生歧义仍然是公司面临的挑战。DPA 发出了关于多个主题的指南，例如 Cookie、强制性风险评估或使用员工健康数据以使其安全地返回工作场所等。

Baker McKenzie 合伙人 Lothar Determann 表示，虽然 GDPR 使得部分公司加强合规，但这也导致一些公司由于担心 GDPR 而放弃欧洲的机遇。对于某些公司而言，该法规对个人数据泄露和 72 小时通知截止日期的相关定义比较宽泛，从而导致“不合理的时间压力”，并对采用不同标准的司法管辖区产生影响。

全球影响

作为第一部全面的隐私法，GDPR 对世界各地的立法具有启示性，比如巴西的《个人数据保护法》、中国拟议的《个人信息保护法》和印度拟议的《个人数据保护法案》等。在美国，加利福尼亚州和弗吉尼亚州的相关立法都从 GPDR 中汲取了灵感，而其他州（例如华盛顿）仍在继续研究提案。

印度 J Sagar Associates 合伙人 Sajai Singh 表示，GDPR 是拟议《个人数据保护法案》的模板，该法案最终草案有望很快提交国会。印度正在寻求扩大监管范围，比如印度未收集敏感个人数据，但这些数据若在印度进行处理，则也需要遵守相关法律。严格的数据隐私法规是当今的规范，而 GDPR 无疑为世界各国提供了指导和前进的方向。

提升私密性

对于隐私专业人士，纽约梅隆银行全球首席隐私官 Kirsten Mycroft 表示，GDPR 在扩大隐私机会、职业路径和岗位的同时，还创建了更强大、更多样化的隐私人才库。从更广泛的角度来看，GDPR 成为所有行业“执行议程中进一步提高隐私权的催化剂”。GDPR 将组织内部的数据隐私配置提升为“C-Suite 优先”，并促进许多隐私计划，从采用“打勾”式合规到通过设计和问责制创建隐私文化。

Montgomery 表示，IBM 不仅仅从法律合规性，而是通过更广泛的视角来考察 GDPR。技术投资与集中治理和企业范围内的整合相结合，正在将公司的首席隐私官从被动式领导转变为主动式领导。其首席隐私团队已不仅是纯粹的法律职能，而是嵌入业务中，与首席数据官、安全业务部门、政策团队以及 AI 道德委员会携手，使 IBM 能够在隐私和技术道德两个维度上发展。

展望未来

尽管 GDPR 作为全面的数据保护框架在全球范围内处于领先地位，但诺斯罗普·格鲁曼公司隐私执行官 Kropf 表示，其与现有国际法原则有待进行更好地保持同步。在过去三年中，“Schrems I”和“Schrems II”案一直存在不确定性，而充分性程序并不透明。确定一个国家是否符合欧盟标准的过程很复杂，可以通过寻求跨境合作的其他现有的国际贸易原则来加强该法规，例如税收、海关、航空公司、电信等领域。

在继续执行 GDPR 的过程中，各组织还应密切关注欧盟即将颁布的《电子隐私条例》（ePrivacy Regulation），该法规将取代《电子隐私权指令》（ePrivacy Directive），以创建电子通信规则以及有关人工智能法规的提案。隐私权专家表示，相关提案与 GDPR 保持一致非常重要。Mycroft 认为，GDPR 的原则，包括问责制、透明度和公平性，可以作为即将制定的法规的蓝图。即将出台的法规应“力求与 GDPR 规则保持高度一致”，以“避免欧盟内部数据治理规则的分散化”。

Montgomery 认为，《电子隐私条例》应具有针对性的范围和更宽泛的法律依据，并拥有相关机制来确保与 GDPR 规则更加契合。这将有助于减轻公司的行政负担，同时提高透明度，并保护所有欧盟成员国中数据主体的权利。GDPR 中包含的许多原则也与将来的 AI 法规息息相关。

摘编 | 贺佳瀛/赛博研究院研究员

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。