GDPR生效三周年来对全球隐私格局的影响

业界 作者:全球技术地图 2021-05-30 23:05:29



作为第一部全面的隐私法,GDPR 对世界各地的立法具有启示意义。GDPR已经实施三年,不过隐私专业人士表示,欧盟成员国之间缺乏协调统一,持续不断地更新指南也是一个艰难的过程。



欧盟《通用数据保护条例》(GDPR)三年前生效,提高了人们对隐私和数据保护的认识,并为世界各地的国家和司法管辖区设定了标准。


IAPP 发布了一份“GDPR 三周年”的总结图,图表显示 47%的公司自称完全符合 GDPR 要求,监管机构迄今已采取了 630 多项执法措施,罚款总额达 2.83 亿欧元。在过去一年中,最大的罚款包括法国数据保护机构 CNIL 针对谷歌的 5700 万美元罚款,以及德国 DPA 数据保护和信息自由专员针对服装零售商 H&M 的 4100 万美元罚款。



IBM 首席隐私官 Christina Montgomery 认为,GDPR 使得个人和企业可以在整个欧盟依赖相同的权利和数据保护标准,这意味着企业能够依靠单个隐私框架来实现跨成员国的合规性。此外,GDPR 及其问责制原则促进更有效的合规流程和数据驱动的业务模型,这些业务模型更加尊重数据主体的权利和自由。


持续的障碍


GDPR 已经实施三年,不过隐私专业人士表示,欧盟成员国之间缺乏协调统一,持续不断地更新指南也是一个艰难的过程。


Christina Montgomery 表示,成员国仍然能够制定自己的规则,缺乏统一的 GDPR 规则以及相关解释有时会产生歧义仍然是公司面临的挑战。DPA 发出了关于多个主题的指南,例如 Cookie、强制性风险评估或使用员工健康数据以使其安全地返回工作场所等。


Baker McKenzie 合伙人 Lothar Determann 表示,虽然 GDPR 使得部分公司加强合规,但这也导致一些公司由于担心 GDPR 而放弃欧洲的机遇。对于某些公司而言,该法规对个人数据泄露和 72 小时通知截止日期的相关定义比较宽泛,从而导致“不合理的时间压力”,并对采用不同标准的司法管辖区产生影响。


全球影响


作为第一部全面的隐私法,GDPR 对世界各地的立法具有启示性,比如巴西的《个人数据保护法》、中国拟议的《个人信息保护法》和印度拟议的《个人数据保护法案》等。在美国,加利福尼亚州和弗吉尼亚州的相关立法都从 GPDR 中汲取了灵感,而其他州(例如华盛顿)仍在继续研究提案。


印度 J Sagar Associates 合伙人 Sajai Singh 表示,GDPR 是拟议《个人数据保护法案》的模板,该法案最终草案有望很快提交国会。印度正在寻求扩大监管范围,比如印度未收集敏感个人数据,但这些数据若在印度进行处理,则也需要遵守相关法律。严格的数据隐私法规是当今的规范,而 GDPR 无疑为世界各国提供了指导和前进的方向。


揭开私密性


对于隐私专业人士,纽约梅隆银行全球首席隐私官 Kirsten Mycroft 表示,GDPR 在扩大隐私机会、职业路径和岗位的同时,还创建了更强大、更多样化的隐私人才库。从更广泛的角度来看,GDPR 成为所有行业“执行议程中进一步提高隐私权的催化剂”。GDPR 将组织内部的数据隐私配置提升为“C-Suite 优先”,并促进许多隐私计划,从采用“打勾”式合规到通过设计和问责制创建隐私文化。


Montgomery 表示,IBM 不仅仅从法律合规性,而是通过更广泛的视角来考察 GDPR。技术投资与集中治理和企业范围内的整合相结合,正在将公司的首席隐私官从被动式领导转变为主动式领导。其首席隐私团队已不仅是纯粹的法律职能,而是嵌入业务中,与首席数据官、安全业务部门、政策团队以及 AI 道德委员会携手,使 IBM 能够在隐私和技术道德两个维度上发展。


展望未来


尽管 GDPR 作为全面的数据保护框架在全球范围内处于领先地位,但诺斯罗普·格鲁曼公司隐私执行官 Kropf 表示,其与现有国际法原则有待进行更好地保持同步。在过去三年中,“Schrems I”和“Schrems II”案一直存在不确定性,而充分性程序并不透明。确定一个国家是否符合欧盟标准的过程很复杂,可以通过寻求跨境合作的其他现有的国际贸易原则来加强该法规,例如税收、海关、航空公司、电信等领域。


在继续执行 GDPR 的过程中,各组织还应密切关注欧盟即将颁布的《电子隐私条例》(ePrivacy Regulation),该法规将取代《电子隐私权指令》(ePrivacy Directive),以创建电子通信规则以及有关人工智能法规的提案。隐私权专家表示,相关提案与 GDPR 保持一致非常重要。Mycroft 认为,GDPR 的原则,包括问责制、透明度和公平性,可以作为即将制定的法规的蓝图。即将出台的法规应“力求与 GDPR 规则保持高度一致”,以“避免欧盟内部数据治理规则的分散化”。


Montgomery 认为,《电子隐私条例》应具有针对性的范围和更宽泛的法律依据,并拥有相关机制来确保与 GDPR 规则更加契合。这将有助于减轻公司的行政负担,同时提高透明度,并保护所有欧盟成员国中数据主体的权利。GDPR 中包含的许多原则也与将来的 AI 法规息息相关。



免责声明:本文转自赛博研究院,原作者贺佳瀛。文章内容系原作者个人观点,本公众号转载仅为分享、传达不同观点,如有任何异议,欢迎联系我们!



推荐阅读

技经观察 | 助力抗疫的十大知识产权创新成果

图图小课堂 | 核废水焦点问题

技经观察 | 美欧高度重视上游原材料供应安全问题,围绕战略性原材料展开新一轮布局

技经观察 | 拜登百日成绩单:外交篇

技经观察 | 拜登百日成绩单:气候篇


转自丨赛博研究院

作者丨贺佳瀛

编辑丨翟丽影



研究所简介


国际技术经济研究所(IITE)成立于1985年11月,是隶属于国务院发展研究中心的非营利性研究机构,主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题,跟踪和分析世界科技、经济发展态势,为中央和有关部委提供决策咨询服务。“全球技术地图”为国际技术经济研究所官方微信账号,致力于向公众传递前沿技术资讯和科技创新洞见。


地址:北京市海淀区小南庄20号楼A座

电话:010-82635522

微信:iite_er


关注公众号:拾黑(shiheibook)了解更多

赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接