2018年5月25日到今年,通用数据保护条例(GDPR)已实施五年。从2018年5月到2023年,欧盟各国数据保护机构已向违反规定的企业、组织和个人开出了 1600 多笔处罚、罚款总计超过 20 亿欧元。
作为一项世界上最严格的数据保护和隐私法规,GDPR规定了组织和企业在处理个人数据时必须遵守的严格规则和标准,成为适用于欧盟成员国以及欧洲经济区(EEA)内所有企业、组织和个人的法律框架。GDPR无疑改变了企业和政府机构收集、处理和存储消费者数据的方式,其影响超出了欧盟的范围,波及处理和存储欧盟国家数据的各国企业——这与美国各州各自为政的数据隐私法律形成鲜明对比。
在《通用数据保护条例》实施五周年之际,是后退一步审视这项欧盟法规的好时机。五年之后,GDPR仍然是欧盟数字领域的标杆?面对GDPR对全球隐私保护的积极影响,有批评人士认为,GDPR并没有消除广告行业的数据滥用行为等严重问题;国际诉讼系统的臃肿和执法速度令其备受质疑;在生成式人工智能大行其道之际,它是否已经过时?
创纪录的处罚:监管力度持续加强
2023年5月,爱尔兰数据保护委员会因 Meta 的 Facebook 服务“系统、重复和持续”地将欧盟公民数据传输到美国而侵犯数据隐私,对 Meta 处以 13 亿美元的罚款,超过2021 年卢森堡数据保护官员对亚马逊开出的8.77 亿美元罚款。这是欧盟 GDPR实施后迄今为止最大的一笔罚款。欧洲数据保护委员会主席安德里亚·耶利内克(Andrea Jelinek)表示:“史无前例的罚款向各个机构发出了强烈信号,表明严重侵权行为会产生深远的后果。”
实际上,根据DLA Piper 律师事务所涵盖欧盟数据泄露和 GDPR 罚款年度报告,欧洲数据监管机构2022年开出了创纪录的 18 亿美元罚款,较 2021 年增加了 50% 。自2018年GDPR开始实施到2023年1月,处罚总额达到 29.2 亿欧元。
GDPR实施的前三年,欧洲监管机构采取了相对宽松的执法方式。2018 年 7 月开出 GDPR的首张罚单,到 2021 年 6 月,共开出了 713 笔罚款,累计价值约为 294.5 万欧元(359.7 万美元)。
自2022 年 1 月 28 日以来,GDPR罚款额有所增加。2021 年 7 月,亚马逊因数据处理违规行为被罚7.46 亿欧元(8.77 亿美元),掀起了对大型科技公司进行巨额罚款的浪潮。业界普遍将GDPR 罚款增加归因于欧盟法院Schrems Ⅱ案的判决。2020年7月,欧盟法院在“Schrems Ⅱ案”中认为美国的监控立法违反《欧盟基本权利宪章》,因此欧美之间的“隐私盾”协议无效。律师事务所欧华(DLA Piper)的统计显示,2021年开出了超过10亿欧元(11亿美元)的罚款,比2020年同比大幅增长594%。
数据显示,从 GDPR 开始以来,GDPR 罚款多少/严重程度随时间的推移缓慢增加。图1显示出GDPR处罚呈现缓慢增长的趋势,在GDPR启动后的前头几年出现一些小幅增长;在2021年中期后,处罚额度显着增加,随后进入上升性周期。
图1 GDPR处罚额度变化
这显示GDPR的处罚只朝着一个方向发展——监管机构对违反GDPR规则的行为采取了越来越强硬的立场。实际上,GDPR带来的最重要的变化之一是对违反数据隐私规则的公司处以巨额罚款。自GDPR实施以来,发生了许多备受瞩目的数据泄露和违反法规的案件。日益增长的罚款表明,数据保护机构正在认真对待GDPR,并愿意利用其权力来执行GDPR法规。企业不遵守GDPR规定,将会面临严重的经济处罚,以及声誉受损和客户信任的丧失。
根据对GDPR相关处罚原因的统计,不遵守一般数据处理原则和数据处理的法律依据不足是GDPR罚款中损失最大的。下表据显示了迄今为止每种违反GDPR规则的罚款次数和罚款金额总数。
表1 GDPR处罚原因及数量
与GDPR处罚相关的另一个数据是欧盟各国数据保护机构执法方式存在差异,带来处罚的不一致。从2018年到现在,爱尔兰,卢森堡和法国的罚款最高,而西班牙,意大利和德国的罚款数量最多。爱尔兰在欧盟监管机构中处于领先地位,罚款金额略高于 10 亿欧元,其次是卢森堡,罚款金额约为 7.46 亿欧元。这并不令人意外,因为这是科技公司设立欧盟总部的两个主要司法管辖区。法国已成为监管行动的领导者,罚款金额超过 4.28 亿欧元。欧盟内没有其他国家对 GDPR 开出超过 1 亿欧元的罚款,多数罚款金额都在 1000 万欧元以下。
以下统计数据显示了迄今为止对数据控制者处以的最高罚款记录(前十)
表2 GDPR 10大最高罚款记录
Protecht 欧洲、中东和非洲地区客户成功总监 Gary Lynam 建议,机构必须根据 GDPR 执法力度加强隐私保护,并努力建立在线集中管理的存储库来管理所有监管义务,并将隐私数据与风险、控制、事件和违规无缝链接。
对数字隐私保护带来巨大变化
GDPR的实施对个人数据保护和隐私权产生了深远的影响,不仅在欧洲范围内,也对世界其他地区的数据保护法规产生了影响,促使更多的国家和地区采取类似的保护措施。在过去的五年里,GDPR 引入了一系列积极的变化,成为数字隐私领域的游戏规则改变者,其影响已蔓延至全球。
GDPR的影响主要包括如下三个方面:
(1)GDPR成为全球数据保护的重要参考。GDPR是对以往数据保护指令的重大改革,为改善数字隐私权奠定了坚实的基础。它展示了欧洲在数据隐私保护问题上的决心和意愿。作为一项具有全球影响力的法规,GDPR在全球范围内对企业、组织和政府如何收集、处理和存储个人数据制定了严格的规则。
许多国家和地区借鉴GDPR的原则和框架,制定了自己的数据保护法规,以更好地保护公民的个人数据。这导致了全球数据保护方法的协调和一致性,使得跨国数据流动更加安全可靠。企业在面对不同司法管辖区的法规时,必须遵守多项规定,进一步促进了全球数据隐私保护的发展。
(2)GDPR提高了公众对数据保护和隐私问题的认识。GDPR强调个人数据隐私的重要性,并通过确立一系列权利和义务,平衡了个人权益和数据处理实体的利益。个人在GDPR框架下获得了更多的控制权,包括访问个人数据、要求删除个人数据和反对数据处理等权利。这使个人能够更好地掌握自己的个人数据,决定谁可以访问它以及出于何种目的进行处理。负责监督 GDPR 案件的欧洲数据保护主管 Wojciech Wiewiórowski 表示:“如果将今天与10年前对网络安全、数据保护和隐私的认识进行对比,就会发现已是完全不同的世界。”
在GDPR实施后,消费者对数据泄露严重性的认识不断提高,在某些情况下,还会导致集体诉讼。在2018年大规模数据泄露客户数据后,英国信息专员办公室(ICO)最终对英国航空公司处以2000万英镑的罚款后。该航空公司随后同意向数千名受害者支付赔偿金以解决索赔。
(3)GDPR改善了企业的数据处理行为。GDPR监管机构允许对违规组织处以最高2000万欧元或全球年营业额4%的罚款,以较高者为准。GDPR高额罚款显著提高了机构的数据泄露的潜在成本,旨在对违反数据隐私保护的企业起到威慑作用。它迫使企业、组织和政府重新审视和改进其数据处理实践。当然GDPR不仅仅是依靠罚款和命令企业做出改变,还要求企业实施适当的技术和组织措施,以确保个人数据的安全和保密。这推动了数据保护意识的提高,并激励着组织采取更加负责任和可持续的数据处理方式。
同时,GDPR规定了数据泄露事件的通知义务,迫使组织在数据泄露发生时及时向相关监管机构和个人报告,以便采取适当的纠正措施。GDPR要求企业在收集、处理或存储个人数据之前获得个人的明确同意。这引导企业更加关注用户体验和设计,努力使获得同意的过程更加透明和用户友好。这推动了技术行业采用更多以用户为中心的产品,进一步增强了用户对其个人数据的控制。
2018 年之前,企业可以轻松购买、出售、共享和存储客户数据,现在企业必须遵守严格的法规遵从性要求。GDPR增加了机构的责任,要求采取适当的技术和组织措施,保护用户数据的安全性和隐私性,越来越多的企业分配了大量预算用于数据保护合规性。专家表示,企业一直推迟可疑的数据使用方式,而在 GDPR 出台之前,则不会三思而后行。
(4)GDPR为跨境数据传输提供完整规范。它确保在个人数据转移到非欧盟国家时也能获得适当的保护。这包括与非欧盟国家签订适当的数据保护协议或采用认可的数据保护机制。目前,许多国家/地区已采用类似的法律或更新其现有法律以符合GDPR的原则。
DPR实施五周年标志着在个人数据保护和隐私权方面取得了重大进展。该法规在全球范围内加强了个人数据保护,为更安全、更注重隐私的未来铺平了道路。
GDPR缘何备受指责
批评人士认为,GDPR实施五周年也呈现出一些负面影响,在竞争公平性、国际数据传输、执法一致性和技术创新方面仍面临挑战。
批评人士认为, GDPR并没有消除在线广告行业存在的滥用行为等严重问题。数据经纪人仍在储存并出售欧洲居民信息。隐私和民权组织认为GDPR未能达到保护欧洲公民数据的预期目标,特别是在限制大型科技公司的定向广告方面。爱尔兰公民自由委员会(ICCL)最近的一份报告指责欧盟对大型科技公司“几乎没有实质性执法”。虽然对违规行为处以巨额罚款,但数据主体权利的兑现和数据可移植性等问题仍未得到解决。由于包括Meta、微软和苹果在内的许多美国大型科技公司的国际总部设在爱尔兰都柏林,ICCL 等批评者认为,这种灵活性使爱尔兰成为有效实施 GDPR 的“瓶颈”,他们指责爱尔兰 DPC采取了柔性的手段。也有人认为政治议程和个别数据保护机构的偏见,对GDPR的执法行动也产生了负面影响。一些机构在对美国企业处以罚款的同时,对本国企业采取更宽松的态度,导致不公平的对待。这种偏见可能破坏GDPR的一致适用性和协调性。
一些国家监管机构抱怨,处理国际诉讼的系统过于臃肿,放慢了执行速度。GDPR 实施5年后,针对全球最强大数据公司的重大处罚总数仍少得可怜。根据 GDPR 的一系列规则,针对在多个欧盟国家运营的公司的投诉通常会集中到其欧洲主要总部所在的国家。这种所谓的一站式流程要求由不同国家来主导调查。如卢森堡负责处理针对亚马逊的投诉;荷兰与 Netflix 有业务往来;瑞典负责 Spotify;Ireland 负责 Meta 的 Facebook、WhatsApp 和 Instagram,以及谷歌的所有服务、Airbnb、雅虎、Twitter、微软、苹果和 LinkedIn。大量早期且复杂的 GDPR 投诉导致包括爱尔兰机构在内的监管机构积压案件,国际合作也因文书工作而减慢,这意味着监管机构不太可能迅速进行GDPR 罚款和执法。而相比之下,信息经济正以惊人的速度发展。
此外,批评者还认为GDPR影响了技术应用创新。自 2018 年颁布以来,GDPR对 Google Play 应用商店产生了相当大的影响:“导致约三分之一的应用退出。GDPR在实施GDPR后的数个季度,新应用的进入量下降了一半。根据 GDPR,应用开发人员面临的合规成本包括征求允许数据收集、透明数据处理、目的限制、准确性、有限保留、保密性和问责等。研究作者之一的英国东安格利亚大学Michael Kummer表示,“应用市场的创新成本却非常高,吸引力已经大大降低。看到正在开发的新应用数量大大减少。“他警告称:“如果这种情况长期持续下去;并可欧盟或应用市场找不到解决这个问题的方法,七到十年后,应用市场的价值将降低三分之一。”
批评人士认为,打击恶意软件是良好的愿望,更高的开发成本和更少的应用是值得付出的代价,但如此广泛的政府干预可能会产生意想不到的后果,消费者因选择范围减少,而带来巨大的成本;生产者因成本增加、收入减少而付出巨大代价。可以说,立法影响了应用市场的规模和活力,这对消费者和移动应用程序经济造成损害。
另外,有观点认为GDPR阻碍了竞争,使得大型企业在隐私保护方面占据优势。由于大型企业拥有处理复杂性的资源,并能进行更昂贵的隐私优先部署;小型企业只能使用预先构建的工具和免费的替代方案。这种差异可能导致竞争不公平的局面,让大型参与者更加占据主导地位。
一些批评还认为,GDPR在国家安全计划和国际数据传输方面存在薄弱基础。国家安全计划被排除在GDPR的实质范围之外,但该法规及其相关法律却在数据保护框架中扮演了重要角色。这可能导致在欧洲以外地区,特别是美国等国家,数据传输受到限制,影响互联网的正常运作。此外,欧盟成员国在人工智能大规模监控实践中的分歧也揭示了共同价值观的内部裂缝。
此外,GDPR还被批评在帮助公共和私营机构解决隐私问题方面做得很少。GDPR提供了 “足够的框架”来帮助IT和网络安全团队适应技术进步,但大多数机构都面临着跟上技术步伐的挑战。Aleada Consulting 隐私和数据保护高级研究员凯尔西·芬奇(Kelsey Finch)“许多组织面临的挑战仍然只是日常数据治理,包括确保知道数据在哪里,确保有明确的内部沟通、批准和决策渠道,这些事情听起来非常简单,但随着我们周围数据世界的规模和复杂性,这在实践中极具挑战性,确实需要增加资源。”
GAI兴起,能否跟上技术的步伐?
GDPR的相关条款须不断审查和评估,以确保它们与人工智能等新技术保持同步。Commvault 全球数据治理官 Jakub Lewandowski 对GDPR迄今为止在面对技术进步时所表现出的弹性印象深刻。“过去5年里,技术不断发展——面部识别、虚拟现实和人工智能等——GDPR 经受住了时间的考验。”
最近生成式人工智能(GAI)因ChatGPT 的推出而成为人们关注的焦点,带来了新的数据隐私挑战。这包括如何收集数据来训练这些模型的问题。Cordery Compliance 合伙人乔纳森·阿姆斯特朗 (Jonathan Armstrong) 表示,科技行业对新兴人工智能技术的依赖日益增加, OpenAI 广受欢迎的 ChatGPT 聊天机器人,这有可能进一步加剧隐私问题。
Jakub Lewandowski则表示,“生成人工智能和大型语言模型(LLM)的突然兴起,如ChatGPT,导致了关于数据隐私的新讨论。但请放心,作为考虑个人权利的数据保护影响评估框架,GDPR的机制也可以应用于LLM的使用,至少目前是这样。”
欧洲立法者已积极制定全面的人工智能立法,以应对不断发展的技术和潜在风险。2023年6月,欧洲议会投票表决通过了人工智能(AI)法规草案,明确采用基于风险的方法来保护人工智能应用。其中包括禁止在生物监测活动中使用这项技术,以及聊天生成预训练转换器(ChatGPT)等生成式AI系统须披露AI生成内容的规定。
相关专家认为,“欧盟对数据隐私、技术竞争和社交媒体监管的承诺与其雄心勃勃的人工智能法规相一致。这种有凝聚力的框架确保欧洲公司遵守高标准,提升消费者信任和隐私。”
Dasera 首席执行官 Ani Chaudhuri 表示:“这项具有里程碑意义的立法挑战了美国科技巨头的力量,并对人工智能的使用设置了前所未有的限制。它优先考虑数据安全,并保护个人免受未经检查的人工智能系统造成的潜在伤害。要求对此类系统生成的内容进行标记并强制发布用于培训的受版权保护的数据摘要,可以提高透明度并保护知识产权。”
Hazy联合创始人兼首席执行官Harry Keen表示,科技行业必须与监管机构密切合作,以纠正目前创新速度与技术监管能力之间的不平衡,但不能扼杀其创造性发展方式。
结语
总体而言,GDPR 因其雄心勃勃且具有前瞻性的数据保护方法而广受赞誉,并确实对数据隐私产生了积极影响。
未来 GDPR可能需要在平衡隐私保护和促进创新与竞争之间找到更好的方法。通过采取积极主动的方法并优先考虑透明度,机构可帮助与客户和利益相关者建立信任,并展示其对数据隐私的承诺,以确保个人信息在当今的数字时代得到适当的保护。
确保数据保护规则不断发展以应对各种新兴的挑战,同时又不成为创新的障碍,这在未来几年至关重要。Endava 首席信息官 Helena Nimmo 评论认为:“我们正处于技术新时代的风口浪尖,企业和监管机构面临着艰巨的任务,即在隐私和创新之间取得适当的平衡,努力实现允许两者共存的中间立场和谐。”
相关参考链接
1.DLA Piper 律师事务所调查:
https://www.dlapiper.com/en-gb/insights/publications/2023/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2023
https://www.enforcementtracker.com/?insights
2. https://www.enforcementtracker.com/?insights
3. https://www.bankinfosecurity.com/-a-22156
4. https://www.infosecurity-magazine.com/news-features/gdpr-trends-fifth-anniversary/