GDPR實施百天後,英國資料官員如何評價?
如果說要闡述一個觀點,有種經典的描述手法被稱為——點面結合法。在之前的系列文章中,我們通過“個案點”的分析跟各位朋友分享了產品、技術和法律等具體操作層面上的GDPR合規建議。
為了“迎接”GDPR實施滿100天和提供更為全面的觀點分享,我們將嘗試從“執行面”來展開話題,分享GDPR在企業和監管機構中的實施效果。同時,我們也將針對GDPR實施效果統計中資料表現最為優異的英國,進行具體分析。
GDPR實施狀況的調查
在距離5月25日通用資料保護條例(GDPR)實施僅僅還有兩週的時候,有一家美國知名的網際網路專業社群Spiceworks針對GDPR的實施情況進行了調查。該調查於2018年4月初開展,來自英國、歐盟其他國家以及美國不同機構的625名網際網路專業人士參與了調查,調查的結果見以下柱形圖。
下圖中X軸表示受訪者預期完成GDPR合規的時間;Y軸表示不同時間點下預期能夠完成GDPR合規的受訪者比例。不同的色柱代表不同的受訪者國籍。“黃色”、“綠色”、“藍色”分別代表來自美國、英國、歐盟其他國家的受訪者。
根據以上的圖表資料,總計有61%的英國公司表示他們在截止日期前已經或即將完全符合GDPR的合規要求;針對歐盟其他國家而言,該比率降至46%。與此同時,受新法規影響的美國公司中,只有25%的機構表示會在GRPR生效前做好合規的準備。在GDPR合規的準備方面,我們發現英國的組織比歐盟其他國家和美國的同行都更充分一些。
除此之外,可能很多朋友以為,在鉅額罰款的“誘惑”之下,歐盟的監管機構會在GDPR實施後迅速展開大規模的調查,而英國路透社一項針對監管機構的調查發現,來自歐盟24個國家和地區的監管機構或資料保護官員中,有17個表示很難在法律生效時履行與GDPR相關的監管職責。
而導致大量相關機構無法做到合規或者有效監管的原因是什麼?
從被監管的機構來看,在歐洲,超過60%的網際網路機構的人員把不合規的藉口歸咎於缺乏時間或資源。大多數的監管機構卻表示,他們缺乏履行其監管職責所需的權力和資金。權力的缺乏是因為,大部分歐盟國家的立法機關尚未依據GDPR的要求更新其法律條款,形成在全歐洲層面上的統一的個人資料權利保障規則。同時針對資金問題,他們也不避諱的表示,目前並沒有充足的資金來覆蓋執行GDPR所需要投入的成本。考慮到這一點,大多數參與調查的監管機關表示他們可能會根據“價值”來對投訴開展調查。
英國監管機構的態度
在GDPR正式實施百天之際,我們恰好捕捉到了英國資料保護監管機構(ICO)的一名官員,在公開場合分享的有關現階段GDPR執法實踐的官方態度。這位叫做James Dipple-Johnstone 的官員是ICO負責運營的副主管,他上週在倫敦舉辦的主題為“網路安全-商業洞察會議”的公開演講中透露出了很多有價值的資訊。
第一,“政府機構通過新的GDPR立法懲罰公司的強烈願望”是圍繞GDPR的實施形成的一大誤解,鉅額懲罰不會是ICO想要追求的結果。
理由如下,首先,ICO不是一個創收組織。當一家公司被舉報有類似網路安全或隱私相關的GDPR違規行為時,ICO不會選擇鉅額罰款這種形式的懲罰對企業落井下石。其次,ICO作為監管機構並不追求完美。雖然媒體總是拿ICO做出的少量罰款決定作為炒作的熱點,但是他想提醒大家注意的是,ICO每年大約會對數千起投訴以提出建議或者給出指導性意見的形式結案,而不是處以任何罰款。
第二,ICO官員認為大多數企業對於GDPR中的通知義務的解讀存在誤解,過度履行了資料洩露通知義務。
按照GDPR第33條的要求,在個人資料洩露的情況下,控制者應當儘快且最遲自知道洩露之時72小時之內,對有可能會對自然人的權利和自由造成風險的事件,根據第55條中規定的管轄許可權,向相關的監管機構進行通知。
自GDPR實施以來,ICO辦公室每週大約會接到500個有關資料洩露相關事件的通知。在這些資料洩露的通知中,大約三分之一的通知事件經ICO內部討論後被認定為沒有達到通知的門檻。另外的一些提交通知的企業則存在將“72小時的通知截止時間”誤解為“72小時的工作截止時間”。他們提交給ICO的通知報告要麼是不完整的;要麼就是超出法定通知內容的要求,報告裡面包含著大量的龐雜資訊。所以,最終導致的結果是:由於缺乏對實際立法實施和違規報告門檻的正確理解,企業向ICO通知的絕大多數網路安全事件都以沒有提交正式報告而告終。
James指出,GDPR對企業提出的通知義務,並非要求他們必須通知或者報告在企業場所發生的每一個與網路安全相關的小事件。最後,James建議相關企業在致電或開啟其資料洩露報告入口網站之前認真閱讀ICO的報告指南。
因此,從以上英國監管機構對GDPR的實施情況來看,無論是鉅額罰款,還是具體義務的履行,都存在監管機構、企業和使用者的不同理解,需要持續跟蹤和解讀。
結語
有一個很有趣的選擇短語叫做:a glass-half-full or glass-half-empty。這句短語假設了這樣一個場景:當你看到杯子裡有一半的水,你會說這個杯子是半滿(half-full)或者是半空(half-empty)呢?據說不同的選擇會顯示你不同的性格取向和價值觀。如果你說杯子是半滿的,那麼你應該是個樂觀主義者;如果你選擇杯子是半空的,那你應該是個比較悲觀的人。
面對缺乏實際案例的GDPR執法,我們如果想對其做出好與壞的價值評價,引用以上的短語其實很合適。GDPR100天后,我們目前對於它實施效果的好壞其實是沒有確切答案的。在GDPR輿論熱度大幅削減的當下,好與壞的評判似乎完全取決於各位朋友自身是屬於樂觀(half-full)或是悲觀(half-empty)的心態了。