到目前为止,权衡了GDPR的影响以及历史性立法如何在美国形成隐私保护措施。
苹果首席执行官蒂姆库克本月早些时候公开参与了数据隐私争议,赞扬了欧盟的通用数据保护条例(GDPR)。在国际数据保护和隐私委员会会议(ICDPPC)上,库克倡导GDPR规则对欧盟以外甚至美国的隐私产生深远影响。
“在许多司法管辖区,监管机构都在提出棘手的问题。现在是时候让世界其他国家,包括我的祖国,跟随你的领导,“他说。
在GDPR通过之前,Facebook,谷歌和微软公开表达了类似的亲隐私立场; 而且有充分的理由。在欧洲开展业务的美国公司无法躲避GDPR规则,并可能因违规而面临巨额罚款 - 高达全球年营业额的4%。隐私倡导者希望这会鼓励美国公司收紧他们自己的国内隐私规则,超越不一致的,有时甚至是弱的州和联邦数据隐私法。
批评人士还认为,在全球范围内实施隐私规则是有道理的,而不是为每个国家采用拼凑的隐私规则。最初,情况似乎如此。今年5月,微软称其GDPR保护将扩展到所有客户,而不仅仅是欧盟国家的客户。
因此,在有史以来**最重要的数据隐私法之一**大约150天后,它对美国公司的隐私措施有何影响?现实情况并非如此。
公共政策高级主管Graham Dufault在ACT表示,“人们普遍缺乏对GDPR合规性究竟是什么的一致意见”。应用协会。“在美国,首席公司法律顾问不确定他们新近重写的隐私政策是否符合GDPR标准。”
关于GDPR合规性缺乏明确性已与1996年颁布的健康保险流通与责任法案(HIPAA)进行了比较.HIPAA 数据隐私和安全指南很广泛,并未指定必须采用的解决方案来保护数据。GDPR同样受到影响; 使用开放式语言和关于公司如何遵守法律的定义,使GDPR可以解释。
“GDPR包含强大的数据安全要求,并将网络安全活动指定为个人信息的合法使用。然而,GDPR也面临挑战,因为其标准并不总是足够清晰,企业可以确定地采取行动,“Rapid7公共政策主管Harley Geiger说。
例如,GDPR声明公司必须为个人数据提供“合理”的保护级别。但是,对于什么构成“合理”保护没有明确的定义。这为GDPR执法机构(称为数据保护机构)和公司提供了关于如何处理和实施合规性的重要余地。
由于缺乏细节,公司可以从无数方向接近GDPR合规工作。5月25日之后,即使在GDPR规则可执行之后,科技公司也未能负责任地保护数据,这进一步加剧了对什么是合规与否的混淆。
在欧洲大学研究所(EUI)进行的一项实验中,研究人员通过名为“Claudette”的人工智能程序运行了大型跨国公司的隐私政策。包括苹果,亚马逊,微软,Facebook和其他科技公司。该计划专门用于检查GDPR隐私政策合规性。
结果发布于2018年7月,结果表明,在所测试的14项GDPR政策中,所有政策均未达标。部分原因是公司政策不清楚第三方如何存储和访问用户信息,以及“…使用含糊不清的语言制定的政策,这使得消费者很难理解其中的实际内容。政策以及他们的数据如何在实践中使用。“
7月,谷歌和Facebook都对EUI研究发表了评论,称他们不断更新其隐私政策,以符合GDPR要求。
这种符合GDPR标准的模糊性正在促使美国公司缺乏紧迫感。从小型企业到大型企业,公司发现很难坚持其当前的安全态势和美国监管要求。例外的是历史上具有强大风险和合规实践(财富50强)的公司,或者以数据为中心并处理欧盟公民数据的公司。总的来说,公司已经衡量了遵守实现罚款的可能性的成本,并且到目前为止采取了观望态度。
“我们过去曾与Sarbanes Oxley或HIPAA见过这种情况,”DAMA International总裁兼首席执行官Loretta Mahon Smith说。“在对公司高管负责之前,公司将在GDPR合规方面落后。”萨班斯 - 奥克斯利法案公司负责公司官员对公司财务报告的准确性和完整性负责。GDPR为公司董事会成员的个人刑事责任敞开了大门,但这一处罚尚未实施。
GDPR在高级管理层内提升了网络安全和数据隐私的形象。首席信息官和首席信息安全官利用GDPR不合规的威胁来加速技术风险控制的采购。它还为资助风险管理举措和隐私政策审查提供了更多的胃口。与过去的HIPAA或萨班斯 - 奥克斯利法案一样,C-Suite的利益将会出现多次激增,这与美国公司对GDPR的执法不谋而合。
为此,到目前为止,GDPR对合规支出的影响远远超过美国公司的实际新隐私保护。根据国际隐私专业人士协会和安永会计师事务所的估计,财富500强公司在2018年5月25日前的合规工作中花费了80多亿美元。
更糟糕的是,ACT的Dufault表示,“GDPR计划也被指责通过转移更多直接安全解决方案的资源来增加水资源。”
在美国州政府层面,一些政客认为GDPR是一个警告,采取积极行动来保护消费者数据隐私。例如,当州长杰里·布朗提出并通过加州消费者隐私法案(CCPA)时,加州受到GDPR的影响。
CCPA和GDPR都有非常相似的框架。CCPA为加州居民提供了如何存储,访问,销售和删除个人数据的某些权利。每个都与GDPR规则相同。
但是,存在一些差异,最重要的是GDPR要求用户选择加入个人数据,而CCPA则为CA居民提供选择退出机制以收集他们的数据。换句话说,CCPA允许网站在用户注册时最初收集您的信息,而GDPR在收集任何信息之前需要明确的用户同意。
其他11个州正在效仿2018年新通过的数据保护和违规通知法,由GDPR和CCPA激励。2018年7月,参议员马克华纳发表了关于这一主题的立场文件。该文件包含的声明称“美国可以采用反映GDPR的规则,具有数据可移植性,被遗忘权,72小时数据泄露通知,第一方同意和其他主要数据保护等关键功能。”
在欧洲,GDPR于5月25日成为法律,已经进行了大量的合规工作,其次是一系列诉讼,可能会使谷歌和Facebook等公司损失数十亿欧元。陪审团仍然不清楚GDPR是否对其最热情的支持者所承诺的用户隐私做出了重大改变。它提高了安全意识,但现在数据保护机构对投诉不堪重负,并且法律存在很大的混乱。
从这个意义上讲,GDPR可以再次与HIPAA进行比较。一些人认为HIPAA伤害了很多人,因为医生现在不愿意与其他医疗服务提供者分享任何患者数据。
截至10月,只有少数公司面临GDPR罚款。加拿大数据分析公司AggregateIQ与剑桥分析公司的丑闻密切相关,是第一家。英国信息专员办公室(ICO)于9月发布了一份GDPR通知,称该公司有30天的时间来遵守,上诉或可能面临高达2000万欧元的罚款。
同样面临GDPR罚款的还有 葡萄牙的Barreiro医院。葡萄牙数据保护局发现医院不允许访问患者记录。该医院目前正在上诉,罚款40万欧元。
那么接下来的150天GDPR会怎样?我们将继续看到欧盟的GDPR执法者不堪重负,欧盟公民提出投诉和要求。对于AggregateIQ和其他人,在上诉和补救措施用尽后,将正式征收罚款。
在美国,数据隐私和安全问题将继续在州一级获得牵引力。专家们表示,许多这些努力,如CCPA,将部分由GDPR建模。
“安全和隐私问题越来越严重,破坏了对技术的信任,并引发了现实世界的后果。出现了隐私和安全法规的拼凑,但这为消费者提供了不稳定的保护,而法律的复杂性为资源有限的企业的合规性带来了障碍。现在是国会介入的时候了,“盖格说。
与此同时,为了应对备受瞩目的数据泄露,消费者不信任和州政府立法,五大科技公司似乎正在加强数据隐私和安全。
9月,谷歌发布了“负责任数据保护法规框架”。该框架是在该公司披露可能已将私人用户数据泄露给数百个第三方网站的500,000个Google+帐户的披露之前发布的。该框架涵盖了公司如何收集和使用其收集的个人数据。它还概述了个人如何控制和删除信息巨头收集的信息。
尽管如此,Facebook试图绕开GDPR规则,4月份将管理位于美国,加拿大和欧盟以外的15亿用户账户的责任从其位于爱尔兰的国际总部转移到其美国办事处。
上个月,在对他的竞争对手的一个薄薄的批评中,苹果公司的库克在ICDPPC活动中谴责了他所谓的“数据工业综合体”。“我们自己的信息,从日常到深刻的个人,都在以军事效率对我们进行武器化。”
然而,在5月份,Apple为其欧洲客户推出了新的数据和隐私工具。这些工具允许欧盟Apple客户下载Apple收集的有关他们及其拥有的设备的数据。但是,在美国,Apple只承诺扩大工具的可用性。