GDPR两周年 理想与现实的差距在哪？

在 GDPR 开始之前，有 78％ 的公司自信地认为他们已准备好满足数据要求，但实施后只有 28％ 的公司遵守 GDPR，可见遵守 GDPR 和类似 GDPR 的法律（如 CCPA 和 PDPA）并不像最初想的那样容易，还有大量公司远远未达到 GDPR 合规要求，仍需要不断改进。

造成这种落差的原因是什么？

1.首先公司需要遵守出台的法规是一项庞大而昂贵的工作自 GDPR 于 2018 年 5 月生效以来，在发生个人数据泄露时，除非个人数据的泄露不会产生危及自然人权利和自由的风险，否则数据控制者应在获知泄露之时起的 72 小时内向监管机构发送通知报告。另外，当个人数据泄露可能对自然人的权利和自由产生高风险时，数据控制者还应当向数据主体告知数据泄露的相关情况。

倘若有违反法规的企业、单位或组织的罚金最高可达 2000 万欧元（约合 1.5 亿元人民币）或者其上一年全球总营业额 4% 的金额罚金，两者取其最高。

举个例子：如果发现某公司不符合 GDPR，则其年营业额占全球营业额的 4％ 以上，就已下达 28 笔重大罚款，相当于罚金 4.64 亿美元，这无疑是一笔巨款。

通过 2020 年初，DLA Piper 律师事务所就欧盟数据保护状况发布报告显示，自 2018 年《一般数据保护条例》（GDPR） 发布以来，欧盟已经收了 1.14 亿欧元（约合 1.26 亿美元）的罚款。然而对欧盟来说，这一切还仅仅是个开始。

DLA Piper 负责网络和数据保护领域的合伙人麦基恩 （Ross McKean） 对 CNBC 表示，目前欧盟仍处于执法的初期，“未来还会发出更多罚单。”

对数据监管机构来说，数据泄露是隐私保护工作中的重点。从 2018 年 5 月到 2020 年初，欧盟共收到个人数据泄露事件通报 160921 起。

国际巨头公司如 Facebook（脸书）和 Google（谷歌），以及苹果、微软、Twitter、WhatsApp、Instagram 等企业都遭到投诉或调查、处罚。

一些公司甚至因为 GDPR 的罚金，直接关闭了针对欧盟用户的业务。

部分较为重大的处罚或调查、投诉案例如下：

1. 爱尔兰数据保护委员会（Data ProtectionCommission, DPC）近日启动 19 项法定调查，其中 11 项重点关注 Facebook、WhatsApp 和 Instagram。此外，谷歌/Twitter 和领英也在接受调查；

2. 法国数据保护机构 CNIL 向谷歌发出了 5000 万欧元的罚款，原因是因谷歌在个性化广告方面“缺乏透明度，信息提供不充分，且未获得用户的有效同意”；

3. 荷兰数据保护执法机构向 Uber 开出 60 万欧元罚单，因为 Uber 发生数据泄露事件但未按规定进行报告；

4. 香港国泰航空已被英国数据监督机构处以 50 万英镑的罚款。本次漏洞暴露了全球约 940 万客户的个人详细信息，且其中有 111578 名来自英国。

法规标准过多，且全球缺乏统一标准

除了以上这些价格不菲的罚款外，公司还需付出其他的代价，假设所有的公司都在全球开展业务，那么根据美国加利福尼亚州司法部的数据，仅就 CCPA 而言，使加利福尼亚州企业遵守法规的初步估计费用约为 550 亿美元。研究人员估计，在较低端，员工人数少于 20 人的公司可能在一开始需要支付约 5 万美元才能保持合规。而在较高端，员工人数超过 500 人的公司一开始的合规成本平均在 200 万美元左右。这还仅仅是为了遵守一项法规。

所以想做到合规非常昂贵，倘若被发现不合规更加昂贵。

那么公司应如何在当今世界中导航以确保其客户和团队的隐私权得到保护，而不会遗漏这些法规要求中的任何一项？

有不少公司正在尝试一对一地处理这些隐私法规，但其实没必要对这些规则中的每一项都采取单独的方法，因为这不仅非常费力而且还会增添企业的税费。

1、先确定所有法规中的共同点

用最简单的形式，它可以归结为：了解您实际拥有的数据，并放置适当的控件以确保可以适当地保护它。实施这种通用的方法可以节省大量时间，精力和资源，专门用于全面开展数据隐私工作。

在开始时，请考虑执行以下步骤：首先，确定系统、数据库和文件存储（例如 Box、Sharepoint 等）中存储的敏感数据。接下来，确定谁有权访问哪些内容，以便可以确保只有“应该”具有访问权限的正确人员才可以访问。这对于保护客户信息至关重要。最后，实施控制措施以保持员工访问权限的更新。使用策略来保持访问的一致性很重要，但是至关重要的是必须对其进行更新并与组织的任何变化保持最新。

同时需要遵守的隐私法规如此之多，我们该如何改善这种情况呢？

2、建议采用通用隐私法

例如现有法规中的 2020 年《加利福尼亚州隐私权和执行法》，有人称其为“ CCPA 2.0 ”，这是对 CCPA 的修正。如果这项立法生效，它将创建一套全新的与 GDPR 保持一致的隐私权，从而为保护敏感的个人信息提供了更大的保障。

我认为，既然世界已经比以往任何时候都更能认识到隐私权的价值，那么我们将继续看到依据全球现有法规去更新的修正案。

同时现在很多人会因为已存在于暗网中的私人数据而感到不知所措，但我们并不能因此对这些事坐视不管，毕竟这会损害我们客户的隐私，产生过高的成本并且导致办事效率低下，不能任由它继续发生。

3、那么解决问题的关键要点是什么？

建议使您的数据隐私工作与其余安全策略一样重要，确保它们是一个整体，并考虑到我们今天都必须遵守的各种法规中的所有事实和重叠之处。

只有这样，您才有机会保护您的客户和员工的数据，让公司避免成为另一个新闻头条以及 GDPR 罚款的统计数据。

GDPR 已成年两周岁，它的诞生也带来了全球隐私保护立法的热潮，提升了社会各领域对于数据保护的重视。在全球其他国家或地区拥有了自己的兄弟姐妹们，比如：

美国加州：制定《加州消费者保护法案》，于 2020 年生效

印度：制定本地数据保护法草案，与 GDPR 性质类似

新加坡：成立公共机构数据安全检讨委员会，以加强对公民数据的保护

我国中央网信办也发布了中国版迷你“GDPR”《数据安全管理办法（征求意见稿）》，向社会公开征求意见。《意见稿》对当下的一些热点数据安全问题都作出了回应，诸如网络爬虫、跨境数据传输、定向推送和自动化洗稿等由大数据利用等产生的问题……

下一年，GDPR 仍将继续生效，数据监管究竟会如何走向，又会如何发展，让我们拭目以待。