2020年5月25日是歐盟正式發布實施通用數據保護條例(GDPR)的兩周年紀念日。然而GDPR這個剛滿兩歲的條例還有很長的路要走，兩年來有關遵守該條例的數據表明，理想的條例遵守情況與現實發展之間存在重大脫節。

一、理想和現實的巨大落差

在GDPR開始之前，有78%的公司自信地認為他們已準備好滿足數據要求，但實施后只有28%的公司遵守GDPR，可見遵守GDPR和類似GDPR的法律(如CCPA和PDPA)并不像最初想的那樣容易，還有大量公司遠遠未達到GDPR合規要求，仍需要不斷改進。

造成這種落差的原因是什么?

1. 首先公司需要遵守出臺的法規是一項龐大而昂貴的工作

自GDPR于2018年5月生效以來，在發生個人數據泄露時，除非個人數據的泄露不會產生危及自然人權利和自由的風險，否則數據控制者應在獲知泄露之時起的 72 小時內向監管機構發送通知報告。另外，當個人數據泄露可能對自然人的權利和自由產生高風險時，數據控制者還應當向數據主體告知數據泄露的相關情況。

倘若有違反法規的企業、單位或組織的罰金最高可達2000萬歐元(約合1.5億元人民幣)或者其上一年全球總營業額4%的金額罰金，兩者取其最高。

[[327819]]

舉個例子：如果發現某公司不符合GDPR，則其年營業額占全球營業額的4%以上，就已下達28筆重大罰款，相當于罰金4.64億美元，這無疑是一筆巨款。

通過2020年初，DLA Piper律師事務所就歐盟數據保護狀況發布報告顯示，自2018年《一般數據保護條例》(GDPR) 發布以來，歐盟已經收了1.14億歐元(約合1.26億美元)的罰款。然而對歐盟來說，這一切還僅僅是個開始。

DLA Piper負責網絡和數據保護領域的合伙人麥基恩 (Ross McKean) 對CNBC表示，目前歐盟仍處于執法的初期，“未來還會發出更多罰單。”

對數據監管機構來說，數據泄露是隱私保護工作中的重點。從2018年5月到2020年初，歐盟共收到個人數據泄露事件通報160921起。

國際巨頭公司如Facebook(臉書)和Google(谷歌)，以及蘋果、微軟、Twitter、WhatsApp、Instagram等企業都遭到投訴或調查、處罰。

一些公司甚至因為GDPR的罰金，直接關閉了針對歐盟用戶的業務。

[[327820]]

部分較為重大的處罰或調查、投訴案例如下：

• 愛爾蘭數據保護委員會(Data ProtectionCommission, DPC)近日啟動19項法定調查，其中11項重點關注Facebook、WhatsApp和Instagram。此外，谷歌/Twitter和領英也在接受調查;
• 法國數據保護機構CNIL向谷歌發出了5000萬歐元的罰款，原因是因谷歌在個性化廣告方面“缺乏透明度，信息提供不充分，且未獲得用戶的有效同意 ” ;
• 荷蘭數據保護執法機構向Uber開出60萬歐元罰單，因為Uber發生數據泄露事件但未按規定進行報告;
• 香港國泰航空已被英國數據監督機構處以 50 萬英鎊的罰款。本次漏洞暴露了全球約 940 萬客戶的個人詳細信息，且其中有 111578 名來自英國。

[[327821]]

2. 法規標準過多，且全球缺乏統一標準

除了以上這些價格不菲的罰款外，公司還需付出其他的代價，假設所有的公司都在全球開展業務，那么根據美國加利福尼亞州司法部的數據，僅就CCPA而言，使加利福尼亞州企業遵守法規的初步估計費用約為550億美元。研究人員估計，在較低端，員工人數少于20人的公司可能在一開始需要支付約50000美元才能保持合規。而在較高端，員工人數超過500人的公司一開始的合規成本平均在200萬美元左右。這還僅僅是為了遵守一項法規。

所以想做到合規非常昂貴，然而“你懂的”(給一個嚴肅的眼神)，倘若被發現不合規更加昂貴。

那么公司應如何在當今世界中導航以確保其客戶和團隊的隱私權得到保護，而不會遺漏這些法規要求中的任何一項?

有不少公司正在嘗試一對一地處理這些隱私法規，但其實沒必要對這些規則中的每一項都采取單獨的方法，因為這不僅非常費力而且還會增添企業的稅費。

二、一些改進建議分享給大家

1. 先確定所有法規中的共同點

用最簡單的形式，它可以歸結為：了解您實際擁有的數據，并放置適當的控件以確?？梢赃m當地保護它。實施這種通用的方法可以節省大量時間，精力和資源，專門用于全面開展數據隱私工作。

在開始時，請考慮執行以下步驟：首先，確定系統，數據庫和文件存儲(例如Box，Sharepoint等)中存儲的敏感數據。接下來，確定誰有權訪問哪些內容，以便可以確保只有“應該”具有訪問權限的正確人員才可以訪問。這對于保護客戶信息至關重要。最后，實施控制措施以保持員工訪問權限的更新。使用策略來保持訪問的一致性很重要，但是至關重要的是必須對其進行更新并與組織的任何變化保持最新。

同時需要遵守的隱私法規如此之多，我們該如何改善這種情況呢?

2. 建議采用通用隱私法

例如現有法規中的2020年《加利福尼亞州隱私權和執行法》，有人稱其為“ CCPA 2.0 ”，這是對CCPA的修正。如果這項立法生效，它將創建一套全新的與GDPR保持一致的隱私權，從而為保護敏感的個人信息提供了更大的保障。

我認為，既然世界已經比以往任何時候都更能認識到隱私權的價值，那么我們將繼續看到依據全球現有法規去更新的修正案。

同時現在很多人會因為已存在于暗網中的私人數據而感到不知所措，但我們并不能因此對這些事坐視不管，畢竟這會損害我們客戶的隱私，產生過高的成本并且導致辦事效率低下，不能任由它繼續發生。

那么解決問題的關鍵要點是什么?

3. 建議使您的數據隱私工作與其余安全策略一樣重要，確保它們是一個整體，并考慮到我們今天都必須遵守的各種法規中的所有事實和重疊之處。

只有這樣，您才有機會保護您的客戶和員工的數據，讓公司避免成為另一個新聞頭條以及GDPR罰款的統計數據。

[[327822]]

三、展望未來

GDPR已成年兩周歲，它的誕生也帶來了全球隱私保護立法的熱潮，提升了社會各領域對于數據保護的重視。在全球其他國家或地區擁有了自己的兄弟姐妹們，比如：

• 美國加州：制定《加州消費者保護法案》，于2020年生效
• 印度：制定本地數據保護法草案，與GDPR性質類似
• 新加坡：成立公共機構數據安全檢討委員會，以加強對公民數據的保護

我國中央網信辦也發布了中國版迷你“GDPR”《數據安全管理辦法(征求意見稿)》，向社會公開征求意見?！兑庖姼濉穼Ξ斚碌囊恍狳c數據安全問題都作出了回應，諸如網絡爬蟲、跨境數據傳輸、定向推送和自動化洗稿等由大數據利用等產生的問題……

下一年，GDPR仍將繼續生效，數據監管究竟會如何走向，又會如何發展，讓我們拭目以待。