当前位置: 首页 > 刨根问底

被称作“史上最严”数据保护法的GDPR,已陷入重重困境

06-23

1466 天。

数据权利非营利组织 NOYB,在欧洲 GDPR 颁布后发起首次投诉,距今已经 1466 天。

GDPR 指的是通用数据保护条例,英文全称为 General Data Protection Regulation),它是欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》,保障着 7.4 亿欧洲人的隐私权。

而 NOYB 则是一家总部位于奥地利的非盈利组织,目标是保护欧盟公民的数据安全。

2018 年 5 月 25 日,是 GDPR 生效的第一天,NOYB 便发起了投诉,涉及谷歌、 WhatsApp、 Facebook 和 Instagram 强迫人们在没有得到适当许可的情况下交出自己的数据。

如今,四年过去了,NOYB 仍在等待关于那些投诉的最终决定。

自 GDPR 生效以来,除了 NOYB,悬而未决的投诉还有很多。

尽管被大家称作“史上最严”数据保护法,但无论是投诉处理效率,企业的遵守情况,还是 GDPR 的实际运行,表现都令人失望。

被称作“史上最严”数据保护法的GDPR,已陷入重重困境


1、投诉裁决效率低下

从爱尔兰监管机构的统计数据来看,自 2018 年 5 月以来,涉及跨境决定的投诉中,有 400 起仍在办理中,至于其他由 NOYB 对 Netflix (荷兰)、 Spotify (瑞典) 和 PimEyes (波兰)发起的投诉,也都拖了好几年。

除了办理时间缓慢,从全局来看,GDPR 并没有消除最严重的问题: 数据中介仍然在储存用户信息并将其出售,网络广告行业也充斥着滥用风险。

早在 2012 年初,GDPR 的立法者们就首次提出了改革欧洲数据规则的建议,并在2016年通过了最终的法律,给公司和组织两年的时间作为缓冲。

在以前的数据法规的基础上,GDPR 要求企业改变处理用户数据的方法,并设立7条核心原则,在处理、储存和使用方面给出了指导。

然而,GDPR 将这些原则武器化了。

GDPR 的条例,授权每个欧洲国家的数据监管机构,可以对企业进行高达全球营业额 4% 的罚款,并命令企业停止违反 GDPR 原则的行为。

命令一家公司停止处理人们的数据,可以说比罚款更有影响力。

然而,在 GDPR 生效四年后,针对全球最强大的数据公司的处理数,低得令人苦恼。

依据 GDPR 的一系列密集规定,针对一家在多个欧盟国家运营的公司的投诉,通常会转移到该公司主要欧洲总部所在国。

这种所谓的一站式处理流程,要求由该国牵头进行调查。比如,卢森堡负责处理对亚马逊的投诉,荷兰负责 Netflix,瑞典负责 Spotify,爱尔兰负责 Meta 的 Facebook、 WhatsApp 和 Instagram,以及所有谷歌的服务---- Airbnb、雅虎、 Twitter、微软、苹果和 LinkedIn。

正是由于这样复杂的处理流程,导致监管机构的工作大量积压,处理速度自然大受影响。

2、执行效果不理想

手握海量数据的科技巨头企业,按照 GDPR 的要求,应当严格遵守条例规定。

但是,从实际情况来看,巨头企业的执行力度并不够。比如 Facebook,也就是现在的 Meta,仍然难以遵守 GDPR。

由外媒《Motherboard》获得的一份 Facebook 内部文档就暗示,这家公司自己也不太清楚是如何处理用户数据的。

根据 Facebook 工程师所述,他们正在努力跟踪用户数据在其系统中的去向。然而,欧盟的 GDPR 等法规限制了像 Facebook 这样的平台如何使用他们的用户数据。GDPR 法律规定,个人数据必须“为特定的、明确的和合法的目的而收集,并且不得以与这些目的不相符的方式进一步处理”。

这意味着每条数据,例如用户的位置或宗教取向,只能被收集并用于特定目的,而不能用于其他目的。Facebook 曾因在其“你可能认识的人”功能中使用其用户的电话号码而受到批评。在被发现后,该公司最终不得不停止这种做法。

在描述 Facebook 的困境时,其工程师用了一个形象的比喻来说明:

想象一下,你手里拿着一瓶墨水。


这瓶墨水是各种用户数据(3PD、1PD、SCD、欧洲等)的混合物。


当你把这瓶墨水倒入一个湖(开放数据系统、开放文化)时,它就会...不可避免的... 流向各处。


你如何把墨水放回瓶子里?


你如何再次组织它,使它只流向湖中允许的地方?

在这个比喻中,3PD 指第三方数据,1PD 指第一方数据,SCD 指敏感类别数据。

但随后,Facebook 否认了这一说法。

3、改进与完善

一站式机制以 GDPR 为基础,四年过去,GDPR 本身已经暴露出很多需要改进的部分。

去年,改变 GDPR 运作方式的呼声越来越高。

曾在 2012 年提议 GDPR 的政治家 Viviane Redding 在去年 5 月谈到这个话题时,就曾表示“对于大事,执法力度应该更集中一些。”

呼声之下,欧洲又相继通过了两大数字法规:《数字服务法》和《数字市场法》。

这些法律更侧重于竞争和互联网安全,且执法方式也与 GDPR 有所不同。在某些情况下,欧盟委员会会直接调查大型科技公司。

从这个角度看,GDPR 的执法似乎确实已经跟不上时代主流,也坐实了之前政界人士们提出的执行效率低下问题。

各民间社会团体还警告称,如果不做出一些强有力的执法改变,GDPR 最终可能无法阻止大型科技公司的恶劣行径、更遑论提高人们的隐私意识。

有负责人认为:“最需要解决的直接对象就是大型科技公司。如果我们不能搞定这些科技企业,那人们的隐私和数据权就永远得不到保障。”

也许 GDPR 并没给人带来预想的惊喜,而国内也在 GDPR 的影响下,设立了一系列数据保护制度。

或许失望总是难免的,但我们要做的,绝非否认它的一切,不断完善和创新,才有可能遇见理想中的那束光。

参考资料:

1、How GDPR Is Failing?

2、The state of the GDPR in 2022: why so many orgs are still struggling


文 | 木子Yanni

嗨,这里是浅黑科技,在未来面前,我们都是孩子。

想看更多科技故事,欢迎戳→微信公众号:浅黑科技:qianheikeji

被称作“史上最严”数据保护法的GDPR,已陷入重重困境(图2)


版权保护: 转载请保留链接: https://www.qianhei.net/paogenwendi/414.html