【全球时快讯】“史上最严”数据保护法GDPR是如何失败的?

2022-10-14 10:07:24   来源:商业新知网

编译|核子可乐、燕珊

来源 |InfoQ


(相关资料图)

欧盟通用数据保护条例(General Data Protection Regulation,简称 GDPR)已经四周年了。该条例最初生效于 2018 年 5 月 25 日,其为欧盟公民提供了针对个人信息保护和管理的严格准则,并适用于任何处理欧盟公民数据的公司,且不管该公司在哪里,影响范围非常广。

自颁布日起,GDPR 就被认为是“史上最严”数据保护法案,《连线》杂志一度形容其“GDPR 为未来十年的全球数据保护定下了基础,它几乎对科技公司用个人数据来赚钱的所有环节进行了规定和限制。”

四年过去,《连线》最新发布的一篇题为“GDPR 是如何失败的”的文章则直指其困境: 这部全球领先的数据法确实改变了企业的运营方式,但它对科技巨头的管理效果仍然相当有限。

裁决效率低

从实施情况来看,GDPR 针对全球各大数据公司的总裁决量仍然非常低。

比如距离非营利性数据权利组织 NOYB 根据 GDPR 发起首次诉讼,已经过去了 1400 多天。这些指控主要针对包括谷歌和 Facebook 在内的知名厂商,理由是其在未经用户适当同意的情况下迫使其放弃个人数据。这纸历史性的诉状出现在 2018 年 5 月 25 日,也就是 GDPR 生效的当天,但四年之后,NOYB 仍没能等来最终判决,而且这也绝非个例。

根据 GDPR 中的相关规定,在各欧盟国家 / 地区开展运营的企业一旦收到诉讼,案件通常会被移交至其欧洲总部所在的国家 / 地区。这种所谓一站式机制要求由欧洲总部所在国主导调查工作。例如,针对亚马逊的诉讼就落在了卢森堡这个小国身上;荷兰应付的是 Netflix;瑞典有 Spotify;爱尔兰的任务相对较重,需要负责 Meta/Facebook、WhatsApp 和 Instagram,谷歌旗下各项服务,Airbnb、雅虎、Twitter、微软、苹果和 LinkedIn。

大量复杂的早期 GDPR 诉讼已经给爱尔兰监管机构造成巨大压力,跨国协作则因繁琐的文书工作而被迫放缓。 根据监管机构自己发布的统计数据,自 2018 年 5 月以来,爱尔兰监管机构已经完成 65% 的跨境裁决案件,其中未决案件共 400 起。 NOYB 针对 Netflix(荷兰)、Spotify(瑞典)和 PimEyes(波兰)发起的各案件则是拖延多年的典型。

而随着 GDPR 落地时间的延长,罚款数额也在不断增加,目前总计已达 16 亿欧元(约合 17 亿美元)。其中最大一笔,就是卢森堡去年对亚马逊罚款 7.46 亿欧元。另外,爱尔兰也向 WhatsApp 开出了 2.25 亿欧元的罚单。(两家公司均表示将提出进一步上诉。)

Helen Dixon 是欧洲 GDPR 执法核心、爱尔兰数据保护委员会(DPC)的一员,专门负责管理各类大型科技企业。长期以来,数据保护委员会一直消化不掉职能范围内收到的大量投诉,其无能表现甚至引起了其他监管机构的不满,各界纷纷呼吁对委员会实施改革。但 Dixon 也有自己的苦衷,“如果所有事情同时堆在你的面前,那么要想维护这样一套重要的法律框架,我们只能按优先级处理事务,速度自然不够理想。”她同时提到, 数据保护委员会需要从头开始厘清 GDPR 的复杂立法思路,而且与之相关的很多新案例、新流程根本就没有简单的答案。

Dixon 进一步解释道,“我认为在 GDPR 生效的前四年中,爱尔兰数据保护委员会还是发挥了行之有效的作用。事实上,委员会已经建立起新的法律框架,短短时间就将各项法条联系在了一起,同时也以罚款和纠正措施等形式完成了多项重大制裁行动。”确实如此,这几年间数据保护委员会曾在数千起全国案件中对 Twitter、WhatsApp、Facebook 和 Groupon 采取过措施。

而且,GDPR 的意义不仅是要做出罚款、命令公司改变,同时也在引发商业活动朝着好的方向发展。专家们认为,如果没有 GDPR 的落地,企业仍会像以前那样肆无忌惮地滥用人们的数据。最近的一项研究估计, 自 GDPR 诞生以来,谷歌 Play Store 中的 Android 应用数量下降了三分之一,理由就是这些下架软件无法有效保护用户隐私。

科技公司难遵守

但对于那些掌握着海量数据的大型科技巨头,GDPR 合规就完全是另一个量级的工作了。

从现状来看,Meta(原 Facebook)仍然难以遵守 GDPR。比如由外媒《Motherboard》获得的一份 Facebook 内部文档就暗示,这家公司自己也不太清楚是如何处理用户数据的。

根据 Facebook 工程师所述,他们正在努力跟踪用户数据在其系统中的去向。然而,欧盟的 GDPR 等法规限制了像 Facebook 这样的平台如何使用他们的用户数据。GDPR 法律规定,个人数据必须“为特定的、明确的和合法的目的而收集,并且不得以与这些目的不相符的方式进一步处理”。

这意味着每条数据,例如用户的位置或宗教取向,只能被收集并用于特定目的,而不能用于其他目的。Facebook 曾因在其"你可能认识的人"功能中使用其用户的电话号码而受到批评。在被发现后,该公司最终不得不停止这种做法。

其工程师还用了一个形象的比喻来说明 Facebook 的困境:

想象一下,你手里拿着一瓶墨水。这瓶墨水是各种用户数据(3PD、1PD、SCD、欧洲等)的混合物。你把这瓶墨水倒入一个湖(我们的开放数据系统;我们的开放文化)...... 它就会...... 各处。你如何把墨水放回瓶子里?你如何再次组织它,使它只流向湖中允许的地方?

(3PD 指第三方数据;1PD 指第一方数据;SCD 指敏感类别数据)。

不过 Facebook 很快否认了自己不清楚数据如何处理的说法。同样地,2021 年底 WIRED 和 Reveal 网站在联合调查中,发现亚马逊的客户数据处理方式存在严重缺陷。(但亚马逊强调其在保护数据方面一直保持着“优良”的传统。)

德国联邦数据保护监管机构负责人 Ulrich Kelber 认为,“GDPR 在约束大型科技公司方面仍然步履维艰。毕竟大型科技公司的案件肯定涉及跨境,这就要求通过一站式机制在多家数据保护机构之间开展合作。”对于这类案件,一站式机制允许欧洲各监管机构对于牵头机构的最终决定发表意见、甚至提出质疑。比如在其他监管机构介入后,爱尔兰对 WhatsApp 的罚款也从最初的 3000 万欧元增加到 2.25 亿欧元。

改变 GDPR 运作方式

一站式机制以 GDPR 为基础,四年过去,GDPR 本身已经暴露出很多需要改进的部分。挪威数据保护机构国际负责人 Tobias Judin 提到,他们每周都需要在欧洲各数据监管机构间分发好几份裁定草案。Judin 表示,“在大多数情况下,对方都会表示同意。”(但德国提出的反对意见最多。)这些裁定往往需要在各监管机构之间往来多次,期间也受到官僚习气的严重影响。“我们也在考虑,对于那些同时影响欧洲多国的案件当中,目前这种由一国单一数据保护机构负责处理的方式是否有意义、是否具备可行性。”

法国数据监管机构则更倾向于 直接追究企业如何使用 cookie,借此绕开繁琐的跨国 GDPR 流程。 虽然看似是一码事,但烦人的 cookie 提示窗口其实并不归 GDPR 管,而是受欧盟单独的《电子隐私法》管辖。法国正好看准了这一点,其监管机构 CNIL 负责人 Marie-Laure Denis 就针对谷歌、亚马逊和 Facebook 的 cookie 政策问题提出巨额罚款。更重要的是,此案让大企业们改变了自己的行为。在本次执法之后,谷歌在整个欧洲范围内更改了其 cookie 提示样式。

Denis 表示,“我们看到数字生态系统正发生着真切而又具体的演变,这也正是我们希望看到的趋势。”她解释道,CNIL 接下来将研究如何根据《电子隐私法》管理移动应用上的数据收集,并根据 GDPR 管理云数据传输。Denis 认为, 以 cookie 为突破口进行执法并不单纯是为了避免 GDPR 的冗长流程,而是想要有效解决问题。 “我们仍然相信 GDPR 的执法制度,只是我们需要更好、更快地发挥执法效力。”

去年,改变 GDPR 运作方式的呼声越来越高。曾在 2012 年提议 GDPR 的政治家 Viviane Redding 在去年 5 月谈到这个话题时,就曾表示“对于大事,执法力度应该更集中一些。”呼声之下,欧洲又相继通过了两大数字法规:《数字服务法》和《数字市场法》。这些法律更侧重于竞争和互联网安全,且执法方式也与 GDPR 有所不同。在某些情况下,欧盟委员会会直接调查大型科技公司。从这个角度看,GDPR 的执法似乎确实已经跟不上时代主流,也坐实了之前政界人士们提出的执行效率低下问题。

加以完善

重新设计 GDPR 似乎实在没多大必要,但做一点小小调整也许能有助于改善执法。在欧洲数据保护委员会最近召开的一次数据监管机构会议上,各国同意为部分跨国案件设置固定的期限和时间表,并表示将努力“联手”开展某些调查。

来自 Access Now 的 Massé表示,对 GDPR 做出一项小小修改,就足以显著改善目前的一系列重大执法难题。应该通过立法保证各数据保护机构以相同的方式处理投诉(包括使用相同的表格),明确规定一站式机制的运作方式,并确保各国家 / 地区的规程间能够无缝对接。 简而言之,至少应该阐明各个国家该如何实施 GDPR 执法。

数据监管机构也基本支持这种观点。来自法国的 Denis 认为,监管机构应该加快跨境案件的信息分享速度,以便各国监管部门都能在相同的认知基础之上建立起非正式性共识。“例如, 委员会可以查看提交至数据保护机构的资源,毕竟欧盟各成员国有义务为数据保护机构提供履行职责所必需的充足资源。 ”而且与大型科技公司相比,监管机构在调查资源和执行人手方面都严重不足,所以打通孤岛就更显得势在必行。

来自爱尔兰的 Dixon 也强调,“如果能够针对 GDPR 发布特定的法律文书,明确规定某些流程和程序问题,那效果应该会更好。”她还补充道, 新规定还应该就调查期间查阅文件、诉讼原告方是否有权参与调查以及翻译方式等问题给出回应。“这些问题一直没有共识性答案,所以导致案件长期延误、各方深感不满。”

各民间社会团体还警告称,如果不做出一些强有力的执法改变,GDPR 最终可能无法阻止大型科技公司的恶劣行径、更遑论提高人们的隐私意识。Ryan 认为,“最需要解决的直接对象就是大型科技公司。如果我们不能搞定这些科技企业,那人们的隐私和数据权就永远得不到保障。”

四年过去,Massé说她对 GDPR 的实施效果虽然不满、但仍然抱有希望。“ GDPR 没能带来理想中的效果,但我们该做的是不断加以完善,而绝不是急着把它扔进历史的垃圾堆。 ”

免责声明 : 本文纯公益分享,无商业用途。所载内容为原创/投稿/授权/公开资料整理,仅供读者学习交流,版权归原作者及原出处所有,仅代表作者个人观点,与本号立场无关。若所引用的内容来源标注有误或涉及侵权,请及时联系处理。

关键词: 数据保护 用户数据

上一篇:
下一篇:
精彩阅读

【全球时快讯】“史上最严”数据保护法GDPR是如何失败的?

热点

GDPR为未来十年的全球数据保护定下了基础,它几乎对科技公司用个人数据来赚钱的所有环节进行了规定和限制。

天天热点!数引网汽摩产业互联网数字生态平台浙江总部落户玉环 打造千亿级产业互联网平台经济

热点

方安平副市长表示此次合作,是玉环市与数引网互惠互利,共进共赢的强强联手,玉环市将营造最好的营商环境支持项目快递落地。

头条:Facebook改名Meta这一年

热点

而全球最大的科技公司苹果也多次传出将推出头显设备,也被看做苹果将进军元宇宙的标志。

当前关注:原达摩院大模型 M6 带头人杨红霞离职!

热点

阿里M6大模型的原带头人杨红霞,已于9月初因个人家庭原因从阿里巴巴达摩院智能计算实验室离职。

世界通讯!百度创始人李彦宏:“我要用技术改变世界”

热点

1991年,李彦宏踏上飞往美国的飞机,这一次升学,承载着他对计算机的无限热爱。

今日快看!CRM热知识: Gartner SFA魔力象限在评估什么

热点

对CRM厂商而言,一年一度的GartnerSFA魔力象限报告是行业内的大事件。

全球最新:虚拟偶像不会塌房?太天真了!

热点

我们先从日本开始,暂且就叫他「行业老大,永争第一队」。

环球精选!“猴子”被美国SEC调查:推广NFT与元宇宙的法律注意事项

热点

一般来说Token的售卖会避开美国地区,NFT则很大程度不会。

当前聚焦:飞书陷入围城:冲不进招聘,飞不出字节

热点

面对用户增长乏力的困境,飞书不得不寻找新的增长方式。但在网络招聘市场,也早有入局者占据头部。

财富

世界速看:中国电热毯温暖欧洲寒冬:有人收获8个涨停,有人24小时赶工

资讯

中国电热毯温暖欧洲寒冬:有人收获8个涨停,有人24小时赶工,他决定下个月回德国时,什么都可以不带,但一定要装条电热毯。

世界热门:5000元猫砂盆,收割上亿铲屎官?

资讯

5000元猫砂盆,收割上亿铲屎官?,在当前阶段,最重要的应该是如何做大宠物电器的蛋糕,而不是赚快钱

焦点速递!被催熟的蕉下

资讯

被催熟的蕉下,“种草经济学”能否持续?

焦点资讯:疯狂的医美:上游吃肉,下游喝汤,中游骨头都啃不到

资讯

疯狂的医美:上游吃肉,下游喝汤,中游骨头都啃不到,在整个产业链上,医美机构可能是最不赚钱的那一环。

全球新动态:职场健康初创企业Sonder完成3500万美元B轮融资丨海外邦

资讯

职场健康初创企业Sonder完成3500万美元B轮融资丨海外邦,由BlackbirdVentures领投,SeekInvestments、SecondQuarterVentures、MAGrowthVentures等参投。

【世界播资讯】抖音集团焕新,“字节跳动”成为历史?

资讯

抖音集团焕新,“字节跳动”成为历史?,新logo上线!

当前关注:谷歌和YC下注,Gigs完成2000万美元A轮融资丨海外邦

资讯

谷歌和YC下注,Gigs完成2000万美元A轮融资丨海外邦,由谷歌旗下早期投资基金GradientVentures领投。

环球微速讯:狂吸500万用户,惊人院IP宇宙如何开发沉浸式剧本杀?

资讯

狂吸500万用户,惊人院IP宇宙如何开发沉浸式剧本杀?,在剧本杀“野蛮生长”的浪潮中,惊人院成为了玩家心中的必去打卡地,究其原因,也许就藏

【世界快播报】年入八位数,这家贝佐斯投资的公司,想取代NBA

资讯

年入八位数,这家贝佐斯投资的公司,想取代NBA,估值35亿,杜兰特、安东尼等NBA巨星都是投资人。

天天新资讯:融资丨「朗誉机器人」完成千万级A+轮融资,动平衡资本投资

资讯

融资丨「朗誉机器人」完成千万级A+轮融资,动平衡资本投资,本轮融资将主要用于扩大生产规模、研发生产和订单备货。

天天热点!数引网汽摩产业互联网数字生态平台浙江总部落户玉环 打造千亿级产业互联网平台经济

方安平副市长表示此次合作,是玉环市与数引网互惠互利,共进共赢的强强联手,玉环市将营造最好的营商环境支持项目快递落地。

头条:Facebook改名Meta这一年

而全球最大的科技公司苹果也多次传出将推出头显设备,也被看做苹果将进军元宇宙的标志。

当前关注:原达摩院大模型 M6 带头人杨红霞离职!

阿里M6大模型的原带头人杨红霞,已于9月初因个人家庭原因从阿里巴巴达摩院智能计算实验室离职。

世界通讯!百度创始人李彦宏:“我要用技术改变世界”

1991年,李彦宏踏上飞往美国的飞机,这一次升学,承载着他对计算机的无限热爱。

苹果举行主题为超前瞻秋季新品发布会 AirPodsPro2正式登场

北京时间9月8日凌晨,苹果举行主题为超前瞻的秋季新品发布会,在此次发布会上,备受关注的iPhone 14系列新机、新款Apple Watch Ultra以

微软正为Windows12开发新驱动框架 提升新老显卡性能

Windows 12系统可能会在2024年到来,按照正常的节奏,其开发工作应该早已秘密进行。日前,有开发者从Windows 11最新预览版Build 25188中

华盛顿地铁站首次亮相为视障人士扩展旅行路线

5月25日消息,一款旨在帮助视障人士或盲人行人使用公共交通工具的应用程序在华盛顿地铁站首次亮相。该应用程序名为Waymap,旨在为盲人和视

2022年情况又要变了!华硕高管:今年PC恐怕要供过于求

这两年来,由于疫情导致的居家办公及远程教育需求爆发,一直在下跌的PC市场枯木逢春,2021年更是创下了2012年以来的最快增长,然而2022年情

垃圾佬的心头好!西数新款固态盘SN740曝光

对于DIY垃圾佬来说,散片、拆机件、工包……这些名词怕是并不陌生。本周,西数推出了主要供应OEM厂商的新款固态盘SN740。SN740升级到了第五

虚假宣传、误导消费者 倍至冲牙器关联公司被处罚

后来者要想在激烈的市场竞争中立足,如果可以背靠巨头享受大树底下好乘凉的红利,那自然是皆大欢喜,没有这个福气,也大可凭借自己一步一个