网易首页 > 网易号 > 正文 申请入驻

“史上最严”数据保护法GDPR是如何失败的?

0
分享至

  编译|核子可乐、燕珊

  欧盟通用数据保护条例(General Data Protection Regulation,简称 GDPR)已经四周年了。该条例最初生效于 2018 年 5 月 25 日,其为欧盟公民提供了针对个人信息保护和管理的严格准则,并适用于任何处理欧盟公民数据的公司,且不管该公司在哪里,影响范围非常广。

  自颁布日起,GDPR 就被认为是“史上最严”数据保护法案,《连线》杂志一度形容其“GDPR 为未来十年的全球数据保护定下了基础,它几乎对科技公司用个人数据来赚钱的所有环节进行了规定和限制。”

  四年过去,《连线》最新发布的一篇题为“GDPR 是如何失败的”的文章则直指其困境:这部全球领先的数据法确实改变了企业的运营方式,但它对科技巨头的管理效果仍然相当有限。

  裁决效率低

  从实施情况来看,GDPR 针对全球各大数据公司的总裁决量仍然非常低。

  比如距离非营利性数据权利组织 NOYB 根据 GDPR 发起首次诉讼,已经过去了 1400 多天。这些指控主要针对包括谷歌和 Facebook 在内的知名厂商,理由是其在未经用户适当同意的情况下迫使其放弃个人数据。这纸历史性的诉状出现在 2018 年 5 月 25 日,也就是 GDPR 生效的当天,但四年之后,NOYB 仍没能等来最终判决,而且这也绝非个例。

  根据 GDPR 中的相关规定,在各欧盟国家 / 地区开展运营的企业一旦收到诉讼,案件通常会被移交至其欧洲总部所在的国家 / 地区。这种所谓一站式机制要求由欧洲总部所在国主导调查工作。例如,针对亚马逊的诉讼就落在了卢森堡这个小国身上;荷兰应付的是 Netflix;瑞典有 Spotify;爱尔兰的任务相对较重,需要负责 Meta/Facebook、WhatsApp 和 Instagram,谷歌旗下各项服务,Airbnb、雅虎、Twitter、微软、苹果和 LinkedIn。

  大量复杂的早期 GDPR 诉讼已经给爱尔兰监管机构造成巨大压力,跨国协作则因繁琐的文书工作而被迫放缓。根据监管机构自己发布的统计数据,自 2018 年 5 月以来,爱尔兰监管机构已经完成 65% 的跨境裁决案件,其中未决案件共 400 起。NOYB 针对 Netflix(荷兰)、Spotify(瑞典)和 PimEyes(波兰)发起的各案件则是拖延多年的典型。

  而随着 GDPR 落地时间的延长,罚款数额也在不断增加,目前总计已达 16 亿欧元(约合 17 亿美元)。其中最大一笔,就是卢森堡去年对亚马逊罚款 7.46 亿欧元。另外,爱尔兰也向 WhatsApp 开出了 2.25 亿欧元的罚单。(两家公司均表示将提出进一步上诉。)

  Helen Dixon 是欧洲 GDPR 执法核心、爱尔兰数据保护委员会(DPC)的一员,专门负责管理各类大型科技企业。长期以来,数据保护委员会一直消化不掉职能范围内收到的大量投诉,其无能表现甚至引起了其他监管机构的不满,各界纷纷呼吁对委员会实施改革。但 Dixon 也有自己的苦衷,“如果所有事情同时堆在你的面前,那么要想维护这样一套重要的法律框架,我们只能按优先级处理事务,速度自然不够理想。”她同时提到,数据保护委员会需要从头开始厘清 GDPR 的复杂立法思路,而且与之相关的很多新案例、新流程根本就没有简单的答案。

  Dixon 进一步解释道,“我认为在 GDPR 生效的前四年中,爱尔兰数据保护委员会还是发挥了行之有效的作用。事实上,委员会已经建立起新的法律框架,短短时间就将各项法条联系在了一起,同时也以罚款和纠正措施等形式完成了多项重大制裁行动。”确实如此,这几年间数据保护委员会曾在数千起全国案件中对 Twitter、WhatsApp、Facebook 和 Groupon 采取过措施。

  而且,GDPR 的意义不仅是要做出罚款、命令公司改变,同时也在引发商业活动朝着好的方向发展。专家们认为,如果没有 GDPR 的落地,企业仍会像以前那样肆无忌惮地滥用人们的数据。最近的一项研究估计,自 GDPR 诞生以来,谷歌 Play Store 中的 Android 应用数量下降了三分之一,理由就是这些下架软件无法有效保护用户隐私。

  科技公司难遵守

  但对于那些掌握着海量数据的大型科技巨头,GDPR 合规就完全是另一个量级的工作了。

  从现状来看,Meta(原 Facebook)仍然难以遵守 GDPR。比如由外媒《Motherboard》获得的一份 Facebook 内部文档就暗示,这家公司自己也不太清楚是如何处理用户数据的。

  根据 Facebook 工程师所述,他们正在努力跟踪用户数据在其系统中的去向。然而,欧盟的 GDPR 等法规限制了像 Facebook 这样的平台如何使用他们的用户数据。GDPR 法律规定,个人数据必须“为特定的、明确的和合法的目的而收集,并且不得以与这些目的不相符的方式进一步处理”。

  这意味着每条数据,例如用户的位置或宗教取向,只能被收集并用于特定目的,而不能用于其他目的。Facebook 曾因在其"你可能认识的人"功能中使用其用户的电话号码而受到批评。在被发现后,该公司最终不得不停止这种做法。

  其工程师还用了一个形象的比喻来说明 Facebook 的困境:

想象一下,你手里拿着一瓶墨水。这瓶墨水是各种用户数据(3PD、1PD、SCD、欧洲等)的混合物。你把这瓶墨水倒入一个湖(我们的开放数据系统;我们的开放文化)...... 它就会...... 各处。你如何把墨水放回瓶子里?你如何再次组织它,使它只流向湖中允许的地方?

  (3PD 指第三方数据;1PD 指第一方数据;SCD 指敏感类别数据)。

  不过 Facebook 很快否认了自己不清楚数据如何处理的说法。同样地,2021 年底 WIRED 和 Reveal 网站在联合调查中,发现亚马逊的客户数据处理方式存在严重缺陷。(但亚马逊强调其在保护数据方面一直保持着“优良”的传统。)

  德国联邦数据保护监管机构负责人 Ulrich Kelber 认为,“GDPR 在约束大型科技公司方面仍然步履维艰。毕竟大型科技公司的案件肯定涉及跨境,这就要求通过一站式机制在多家数据保护机构之间开展合作。”对于这类案件,一站式机制允许欧洲各监管机构对于牵头机构的最终决定发表意见、甚至提出质疑。比如在其他监管机构介入后,爱尔兰对 WhatsApp 的罚款也从最初的 3000 万欧元增加到 2.25 亿欧元。

  改变 GDPR 运作方式

  一站式机制以 GDPR 为基础,四年过去,GDPR 本身已经暴露出很多需要改进的部分。挪威数据保护机构国际负责人 Tobias Judin 提到,他们每周都需要在欧洲各数据监管机构间分发好几份裁定草案。Judin 表示,“在大多数情况下,对方都会表示同意。”(但德国提出的反对意见最多。)这些裁定往往需要在各监管机构之间往来多次,期间也受到官僚习气的严重影响。“我们也在考虑,对于那些同时影响欧洲多国的案件当中,目前这种由一国单一数据保护机构负责处理的方式是否有意义、是否具备可行性。”

  法国数据监管机构则更倾向于直接追究企业如何使用 cookie,借此绕开繁琐的跨国 GDPR 流程。虽然看似是一码事,但烦人的 cookie 提示窗口其实并不归 GDPR 管,而是受欧盟单独的《电子隐私法》管辖。法国正好看准了这一点,其监管机构 CNIL 负责人 Marie-Laure Denis 就针对谷歌、亚马逊和 Facebook 的 cookie 政策问题提出巨额罚款。更重要的是,此案让大企业们改变了自己的行为。在本次执法之后,谷歌在整个欧洲范围内更改了其 cookie 提示样式。

  Denis 表示,“我们看到数字生态系统正发生着真切而又具体的演变,这也正是我们希望看到的趋势。”她解释道,CNIL 接下来将研究如何根据《电子隐私法》管理移动应用上的数据收集,并根据 GDPR 管理云数据传输。Denis 认为,以 cookie 为突破口进行执法并不单纯是为了避免 GDPR 的冗长流程,而是想要有效解决问题。“我们仍然相信 GDPR 的执法制度,只是我们需要更好、更快地发挥执法效力。”

  去年,改变 GDPR 运作方式的呼声越来越高。曾在 2012 年提议 GDPR 的政治家 Viviane Redding 在去年 5 月谈到这个话题时,就曾表示“对于大事,执法力度应该更集中一些。”呼声之下,欧洲又相继通过了两大数字法规:《数字服务法》和《数字市场法》。这些法律更侧重于竞争和互联网安全,且执法方式也与 GDPR 有所不同。在某些情况下,欧盟委员会会直接调查大型科技公司。从这个角度看,GDPR 的执法似乎确实已经跟不上时代主流,也坐实了之前政界人士们提出的执行效率低下问题。

  加以完善

  重新设计 GDPR 似乎实在没多大必要,但做一点小小调整也许能有助于改善执法。在欧洲数据保护委员会最近召开的一次数据监管机构会议上,各国同意为部分跨国案件设置固定的期限和时间表,并表示将努力“联手”开展某些调查。

  来自 Access Now 的 Massé表示,对 GDPR 做出一项小小修改,就足以显著改善目前的一系列重大执法难题。应该通过立法保证各数据保护机构以相同的方式处理投诉(包括使用相同的表格),明确规定一站式机制的运作方式,并确保各国家 / 地区的规程间能够无缝对接。简而言之,至少应该阐明各个国家该如何实施 GDPR 执法。

  数据监管机构也基本支持这种观点。来自法国的 Denis 认为,监管机构应该加快跨境案件的信息分享速度,以便各国监管部门都能在相同的认知基础之上建立起非正式性共识。“例如,委员会可以查看提交至数据保护机构的资源,毕竟欧盟各成员国有义务为数据保护机构提供履行职责所必需的充足资源。”而且与大型科技公司相比,监管机构在调查资源和执行人手方面都严重不足,所以打通孤岛就更显得势在必行。

  来自爱尔兰的 Dixon 也强调,“如果能够针对 GDPR 发布特定的法律文书,明确规定某些流程和程序问题,那效果应该会更好。”她还补充道,新规定还应该就调查期间查阅文件、诉讼原告方是否有权参与调查以及翻译方式等问题给出回应。“这些问题一直没有共识性答案,所以导致案件长期延误、各方深感不满。”

  各民间社会团体还警告称,如果不做出一些强有力的执法改变,GDPR 最终可能无法阻止大型科技公司的恶劣行径、更遑论提高人们的隐私意识。Ryan 认为,“最需要解决的直接对象就是大型科技公司。如果我们不能搞定这些科技企业,那人们的隐私和数据权就永远得不到保障。”

  四年过去,Massé说她对 GDPR 的实施效果虽然不满、但仍然抱有希望。“GDPR 没能带来理想中的效果,但我们该做的是不断加以完善,而绝不是急着把它扔进历史的垃圾堆。

  https://www.wired.com/story/gdpr-2022/

  https://venturebeat.com/2022/05/25/gdpr-4th-anniversary/

  https://www.vice.com/en/article/akvmke/facebook-doesnt-know-what-it-does-with-your-data-or-where-it-goes

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
大冷!东北虎绝境爆发6轮首胜,琼斯1人凿穿山东,重燃季后赛希望

大冷!东北虎绝境爆发6轮首胜,琼斯1人凿穿山东,重燃季后赛希望

环太平洋老正太
2024-12-09 22:06:31
宝马突然开始大降价

宝马突然开始大降价

新行情
2024-12-09 15:09:45
童祥苓追悼会低调举行,300余人到场送别,朱总理为老友送上花圈

童祥苓追悼会低调举行,300余人到场送别,朱总理为老友送上花圈

探寻者
2024-12-09 10:24:14
46+29+20!CBA最老外援成广东大腿:朱芳雨最成功一笔签约!

46+29+20!CBA最老外援成广东大腿:朱芳雨最成功一笔签约!

篮球快餐车
2024-12-08 22:46:17
孙铭徽最新伤情!被击中太阳穴,送进医院抢救,确诊为脑震荡

孙铭徽最新伤情!被击中太阳穴,送进医院抢救,确诊为脑震荡

南海浪花
2024-12-09 08:41:14
王菲现身刘嘉玲生日会,红配绿穿出高级感,网友:也只有她能穿!

王菲现身刘嘉玲生日会,红配绿穿出高级感,网友:也只有她能穿!

娱不咸
2024-12-08 21:15:03
解决方案在技术上过于落后 中国企业仍然不愿采用国产芯片

解决方案在技术上过于落后 中国企业仍然不愿采用国产芯片

cnBeta.COM
2024-12-09 14:17:04
中国10大最毒零食排行榜,常吃等于“慢性自杀”

中国10大最毒零食排行榜,常吃等于“慢性自杀”

新兴网评
2024-10-22 00:57:07
用人单位真牛啊,学历都卷上天了!卷不过咱就躲,咋还不挣口饭!

用人单位真牛啊,学历都卷上天了!卷不过咱就躲,咋还不挣口饭!

解说阿洎
2024-12-09 00:05:32
小米新车明年上市 雷军:希望YU7测试车尽早拆除重伪装 更好测试

小米新车明年上市 雷军:希望YU7测试车尽早拆除重伪装 更好测试

雷递
2024-12-09 21:52:51
46岁吴佩慈高调晒全家福,纪晓波近照消瘦不少!4个孩子颜值颇高

46岁吴佩慈高调晒全家福,纪晓波近照消瘦不少!4个孩子颜值颇高

娱乐团长
2024-12-08 16:53:51
新势力大洗牌:小鹏超过问界,排第2了,问界跌至第4,小米第6

新势力大洗牌:小鹏超过问界,排第2了,问界跌至第4,小米第6

互联网.乱侃秀
2024-12-08 12:08:57
少24个篮板还能赢球!CBA险爆大冷,外援绝杀救赎,难掩黑马低迷

少24个篮板还能赢球!CBA险爆大冷,外援绝杀救赎,难掩黑马低迷

环太平洋老正太
2024-12-09 22:17:51
大胆预测!马莱莱接下来大概率会加盟以下三支球队!

大胆预测!马莱莱接下来大概率会加盟以下三支球队!

百里无心
2024-12-09 07:21:05
利好突袭!A50、港股,大爆发!

利好突袭!A50、港股,大爆发!

券商中国
2024-12-09 16:28:32
赵俊民同志不再担任中共四川省委常委

赵俊民同志不再担任中共四川省委常委

金台资讯
2024-12-09 19:08:20
张柏芝罕见现身!消失一年整个人都变了,双腿站姿难看显憔悴!

张柏芝罕见现身!消失一年整个人都变了,双腿站姿难看显憔悴!

花花lo先森
2024-12-09 09:02:13
加盟步大叔亏40万女子已经躺那维权7天,当地最低温度零下12度

加盟步大叔亏40万女子已经躺那维权7天,当地最低温度零下12度

映射生活的身影
2024-12-08 14:18:01
李盈莹领衔,两副攻新星入选,高意无缘,中国女排集训名单预测

李盈莹领衔,两副攻新星入选,高意无缘,中国女排集训名单预测

跑者排球视角
2024-12-09 07:33:03
这也能赢?吉林琼斯末节13分砍29分6板6助 三分9中0&8失误

这也能赢?吉林琼斯末节13分砍29分6板6助 三分9中0&8失误

直播吧
2024-12-09 22:07:15
2024-12-09 22:31:00
InfoQ
InfoQ
有内容的技术社区媒体
10488文章数 50968关注度
往期回顾 全部

科技要闻

马云罕见演讲:AI改变一切 但不能决定一切

头条要闻

琼瑶离世留"10亿巨额版权" 儿媳何琇琼发布10字声明

头条要闻

琼瑶离世留"10亿巨额版权" 儿媳何琇琼发布10字声明

体育要闻

30岁临时工被裁员 NBA的人情与现实

娱乐要闻

尖叫之夜,明星们的小心思全照出来了

财经要闻

半导体新攻防

汽车要闻

保时捷经销商精简背后 是战略升级

态度原创

本地
艺术
亲子
健康
教育

本地新闻

探黔地风情,于山水之间赏不败之花

艺术要闻

故宫珍藏的墨迹《十七帖》,比拓本更精良,这才是地道的魏晋写法

亲子要闻

妹妹趴在哥哥身上玩哥哥脸蛋,发现被拍后 笑得天真烂漫

花18万治疗阿尔茨海默病,值不值?

教育要闻

一场闹剧?孩子花70万中介费上港大,1年后被清退,家长索赔百万

无障碍浏览 进入关怀版