GDPR 如何激发全球在隐私法规方面的军备竞赛

随着许多司法管辖区采用符合欧盟 GDPR的欧盟式隐私规则，例如强制性数据保护影响评估、数据隐私官以及在发生数据安全漏洞时通知个人和监管机构，合规性变得越来越复杂和组织的负担越来越重。

与此同时，要求公司在本地存储数据的数据主权规则正在兴起。一些国家对数据安全的关注也是如此。隐私法是如何发展的，它们最初存在的原因，以及它们的监管方式几乎在每个国家都是不同的。这些因素都增加了更高的监管要求。

影响数据保护和隐私法的多种趋势

在比较不同国家对隐私的态度时，问题是：‘他们是否像在欧洲一样将隐私视为一项基本人权？’

GDPR 启发了许多国家加强其数据保护和隐私规则。它与之前规则的最大变化——以及为什么每个人都关注——是因为它从根本上改变了处罚。

对于许多组织而言，所有这些发展可能意味着在其全球足迹中遵守不同的标准。“有些人使用 GDPR，尤其是总部位于欧洲的那些。一些组织只是使用核心原则，然后查看不同地区的细节。”

澳大利亚目前正在审查其隐私法，问题之一是是否采用符合 GDPR 的法规。GDPR 原则正在成为世界各地的法律。除了现有法规外，加拿大现在正在考虑类似的隐私法，魁北克省也是如此围绕数据主权。“日本日益完善其隐私法。韩国也在做。泰国引入了基于 GDPR 的法律。就在最近，斯里兰卡颁布了受 GDPR 影响的法律。巴基斯坦和印度都有受 GDPR 影响很大的法案，这些法案仍在通过立法程序，”。

相比之下，美国联邦政府在很大程度上忽略了受 GDPR 启发的趋势，“尽管有联邦 GDPR 风格的法案四处流传，但没有迹象表明它们会成为法律，”。相反，包括加利福尼亚州、缅因州和内华达州在内的各个州都率先引入了类似于 GDPR 的原则，而犹他州现在正在考虑制定自己的法律。

GDPR 之外的数据保护和隐私努力

全球数据保护和隐私法规的各种变化超出了 GDPR 启发的变化。

例如，日本、新加坡和韩国等亚洲国家在数据安全方面处于领先地位。由于网络安全事件的严重程度以及与勒索软件和其他类型的网络攻击有关的犯罪活动和国家支持的活动的数量，预计将更多地关注数据安全和法规、指南和法规中的具体要求。

在违规通知方面，美国比任何其他国家都领先。“已经生效的两项法律与关键基础设施组织和上市公司必须在很短的时间内发出通知有关。因此，美国在数据泄露透明度方面处于领先地位。”

虽然这不是严格意义上的隐私问题，但廉价存储对组织的数据保护构成了真正的威胁。它导致组织在处理东西方面变得不那么严格。“他们保留所有东西，因此当发生违规行为时，会有他们10年未与之互动的人的信息，或者他们有本应销毁的敏感信息。”

数据保护和隐私法规的陷阱

当谈到隐私政策的重点时，法规的发展方向与消费者真正想要的东西之间存在分歧。她认为法律正朝着更详细地向个人披露信息和更关注个人选择的方向发展。“我认为消费者并不关心隐私政策中的大部分内容。他们真的不想选择。他们希望自己的信息不被滥用。他们希望自己的信息受到保护，并且不想感到惊讶，”

但是，这些法规的实施方式可能会让消费者不知所措。“更多的组织应该列出与他们共享信息的每一个服务提供商。这对公司来说过于官僚，对消费者完全没有帮助。我们在全球范围内都看到了这一点；这不是任何地区独有的。”

另一个重大挑战是隐私法之间的分歧。“每一项隐私法都基于相同的核心原则：通知、选择、访问和更正、对服务提供商的监督以及数据安全。在很大程度上，可以创建一个隐私计划并构建考虑到这些核心原则的产品，”她说。然而，随着每部法律变得更加详细和官僚化，建立一致性和使用相同的核心原则构建真正保护隐私的程序变得更加困难。

“我们需要回到核心原则，而不是仅仅提高要求或仅仅匹配另一个国家正在做的事情，”。“例如，试图让事情变得越来越严格，不一定有帮助。它可以创建不同制度的拼凑，实际上并不能增强隐私。”

数据本地化，即数据主权——将数据从集中式数据库转移到多个位置，以提供对这些数据的更大本地控制并阻止将其保存在国家范围之外——正在成为一些国家的新要求。100多个国家有这个要求，印度正在考虑。“如果您要转向数据本地化，您将回到在许多不同地方拥有大量服务器的状态。然后问题是，'如何以安全的方式保存这些信息？'”

数据本地化还带来另一个风险：“公司将数据保存在他们的国家，以便监管机构可以访问它。那么这真的是关于隐私还是关于民族主义？隐私法可以被使用和解释以实现其他目标。” 

可能需要关于数据隐私的国际条约

尽管 GDPR 已成为一种全球标准——并且有充分的理由——新南威尔士大学悉尼分校的 Greenleaf 认为，一个更加统一和具有约束力的框架会有所帮助。一项国际条约可以为处理不同国家制度的组织提供一些急需的一致性，并创建一个真正的参考点来衡量各种制度的相对优势和弱点。

Greenleaf 指出 1980 年代最初的欧洲委员会第 108 号公约可以发展和扩展成为全球基准。“这是与数据隐私相关的唯一实际国际条约，而 GDPR 不是条约，”。

通过第 108 号公约，各国自愿签署并承诺遵守其原则，并允许个人数据自由流向其他缔约国。作为一项开放条约，任何法律符合其标准的国家都可以申请成为该条约的缔约方。“欧洲以外有八个国家是它的缔约方，现阶段它们都位于非洲或拉丁美洲，”。

与其从一个没有现有签署者的全新公约开始，不如扩展第 108 号公约，它是 GDPR 的温和版本，已经有 55 个缔约方，其中包括许多世界上最发达的经济体。

什么是 GDPR？

通用数据保护条例 (GDPR) 是针对欧盟境内公民的欧洲数据保护法。GDPR 法规由欧洲议会于 2016 年 4 月制定，支持数据安全、数据处理和个人数据在欧盟以外的传输。

GDPR 法的存在主要是为了让个人控制他们的个人数据，以及通过在欧盟内部制定统一的监管标准来简化国际业务的数据监管。GDPR 标准要求数据控制者（处理数据的组织）采取适当的技术和组织措施来保护个人数据。例如，在处理假名或完全匿名、高度隐私设置和知情同意等数据的业务流程中实施保护措施。

什么是 GDPR 合规性？

任何收集、处理或存储欧盟公民个人数据的公司都必须遵守严格的 GDPR 合规要求，否则将面临 GDPR 的高额罚款。处理欧盟内部交易或欧盟以外数据出口的公司内部的安全团队现在对个人数据的保护和处理寄予厚望。GDPR 数据保护官 (DPO) 是 GDPR 法律要求的企业安全领导角色，负责监督公司的数据保护策略并确保符合 GDPR 要求。

GDPR 文本留下了很多解释，称公司需要对个人数据提供“合理”的保护，但没有具体说明“合理”的确切定义。这为 GDPR 监管机构提供了评估数据泄露和不合规罚款的空间。

如何符合 GDPR

个人数据控制者应通过在日常业务流程中实施严格的隐私保护和透明度来确保其公司遵守 GDPR。对于中小型企业而言，完全遵守 GDPR 要求可能是一项非常艰巨的任务。

为了使这种集成更容易，许多网站都显示了 GDPR 合规性清单，例如数据控制者综合清单。从广义上讲，此列表涵盖数据控制者和 GDPR 数据保护官员的任务，包括：

• 进行信息审计以查看公司中谁参与了数据

• 在数据处理活动和隐私政策通知中创建透明度

• 通过设计在所有组织流程中建立数据保护原则

• 建立数据安全意识、评估和违规的流程

• 指定遵守 GDPR 标准的责任，赋予责任方评估和实施数据保护政策的权力

• 在公司与涉及个人数据的任何第三方之间建立协议

• 确保数据主体对贵公司拥有的所有信息具有完全的透明度、访问权和权利。

不合规的 GDPR 罚款是多少？

违反既定法规的公司或数据控制者可能会受到 GDPR 处罚。个别成员国监管机构遵循 10 项标准来确定不合规公司应缴纳的 GDPR 罚款金额（根据gdpreu.org）：

• 
  

• 侵权性质——受影响的人数、他们遭受的损害、侵权持续时间和处理目的

• 意图——侵权是故意的还是过失的

• 减轻——为减轻对数据主体的损害而采取的措施

• 预防措施——公司之前为防止不合规而实施了多少技术和组织准备

• 历史– 过去的相关侵权行为，可能被解释为包括数据保护指令下的侵权行为，而不仅仅是 GDPR，以及 GDPR 下的过去行政纠正措施，从警告到禁止处理和罚款

• 合作——公司与监管机构在补救侵权行为方面的合作程度

• 数据类型——侵权影响的数据类型

• 通知——侵权行为是由公司本身还是第三方主动报告给监管机构

• 认证——公司是否符合批准的认证或遵守批准的行为准则

• 其他——其他加重或减轻处罚的因素可能包括侵权对公司的财务影响

如果一家公司发生多项违规行为，他们需要根据最严重的违规行为支付罚款，而不是两者的组合。较低级别的 GDPR 罚款相当于公司上一年国际年收入的 1000 万欧元或 2%，以较高者为准。上级 GDPR 罚款最高可达 2000 万欧元或上一年年收入的 4%，以较高者为准。

为什么要引入 GDPR？

关于《通用数据保护条例》的背景，欧盟委员会网站简单地指出，“更严格的数据保护规则意味着 1. 人们对自己的个人数据有更多的控制权；2. 企业受益于公平的竞争环境。”

GDPR 立法旨在通过在欧盟运营的所有企业中创建数据保护标准，为个人提供更大的保护和权利。《通用数据保护条例》取代了之前于 1995 年制定的名为《数据保护指令》的欧盟数据保护法。

GDPR全文中文版

https://kdocs.cn/l/coSSubRhSzrm

原文始发于微信公众号（网络研究院）：GDPR 如何激发全球在隐私法规方面的军备竞赛