旧版搜索
  • 新版搜索
  • 旧版搜索

历史搜索 全部删除

    热门搜索

      正在阅读:

      GDPR实施百天后,英国数据官员如何评价?

      扫一扫下载界面新闻APP

      其他途径关注界面…

      GDPR实施百天后,英国数据官员如何评价?

      “政府机构通过新的GDPR立法惩罚公司的强烈愿望”是围绕GDPR的实施形成的一大误解,巨额惩罚不会是ICO想要追求的结果。

      APUS ·

      如果说要阐述一个观点,有种经典的描述手法被称为——点面结合法。在之前的系列文章中,我们通过“个案点”的分析跟各位朋友分享了产品、技术和法律等具体操作层面上的GDPR合规建议。为了“迎接”GDPR实施满100天和提供更为全面的观点分享,我们将尝试从“执行面”来展开话题,分享GDPR在企业和监管机构中的实施效果。同时,我们也将针对GDPR实施效果统计中数据表现最为优异的英国,进行具体分析。

      GDPR实施状况的调查

      在距离5月25日通用数据保护条例(GDPR)实施仅仅还有两周的时候,有一家美国知名的互联网专业社区Spiceworks针对GDPR的实施情况进行了调查。该调查于2018年4月初开展,来自英国、欧盟其他国家以及美国不同机构的625名互联网专业人士参与了调查,调查的结果见以下柱形图。

      下图中X轴表示受访者预期完成GDPR合规的时间;Y轴表示不同时间点下预期能够完成GDPR合规的受访者比例。不同的色柱代表不同的受访者国籍。“黄色”、“绿色”、“蓝色”分别代表来自美国、英国、欧盟其他国家的受访者。

      数据来源于Spiceworks

      根据以上的图表数据,总计有61%的英国公司表示他们在截止日期前已经或即将完全符合GDPR的合规要求;针对欧盟其他国家而言,该比率降至46%。与此同时,受新法规影响的美国公司中,只有25%的机构表示会在GRPR生效前做好合规的准备。在GDPR合规的准备方面,我们发现英国的组织比欧盟其他国家和美国的同行都更充分一些。

      除此之外,可能很多朋友以为,在巨额罚款的“诱惑”之下,欧盟的监管机构会在GDPR实施后迅速展开大规模的调查,而英国路透社一项针对监管机构的调查发现,来自欧盟24个国家和地区的监管机构或数据保护官员中,有17个表示很难在法律生效时履行与GDPR相关的监管职责。

      而导致大量相关机构无法做到合规或者有效监管的原因是什么?

      从被监管的机构来看,在欧洲,超过60%的互联网机构的人员把不合规的借口归咎于缺乏时间或资源。大多数的监管机构却表示,他们缺乏履行其监管职责所需的权力和资金。权力的缺乏是因为,大部分欧盟国家的立法机关尚未依据GDPR的要求更新其法律条款,形成在全欧洲层面上的统一的个人数据权利保障规则。同时针对资金问题,他们也不避讳的表示,目前并没有充足的资金来覆盖执行GDPR所需要投入的成本。考虑到这一点,大多数参与调查的监管机关表示他们可能会根据“价值”来对投诉开展调查。

      英国监管机构的态度

      在GDPR正式实施百天之际,我们恰好捕捉到了英国数据保护监管机构(ICO)的一名官员,在公开场合分享的有关现阶段GDPR执法实践的官方态度。这位叫做James Dipple-Johnstone 的官员是ICO负责运营的副主管,他上周在伦敦举办的主题为“网络安全-商业洞察会议”的公开演讲中透露出了很多有价值的信息。

      第一,“政府机构通过新的GDPR立法惩罚公司的强烈愿望”是围绕GDPR的实施形成的一大误解,巨额惩罚不会是ICO想要追求的结果。

      理由如下,首先,ICO不是一个创收组织。当一家公司被举报有类似网络安全或隐私相关的GDPR违规行为时,ICO不会选择巨额罚款这种形式的惩罚对企业落井下石。其次,ICO作为监管机构并不追求完美。虽然媒体总是拿ICO做出的少量罚款决定作为炒作的热点,但是他想提醒大家注意的是,ICO每年大约会对数千起投诉以提出建议或者给出指导性意见的形式结案,而不是处以任何罚款。

      第二,ICO官员认为大多数企业对于GDPR中的通知义务的解读存在误解,过度履行了数据泄露通知义务。

      按照GDPR第33条的要求,在个人数据泄露的情况下,控制者应当尽快且最迟自知道泄露之时72小时之内,对有可能会对自然人的权利和自由造成风险的事件,根据第55条中规定的管辖权限,向相关的监管机构进行通知。               

      自GDPR实施以来,ICO办公室每周大约会接到500个有关数据泄露相关事件的通知。在这些数据泄露的通知中,大约三分之一的通知事件经ICO内部讨论后被认定为没有达到通知的门槛。另外的一些提交通知的企业则存在将“72小时的通知截止时间”误解为“72小时的工作截止时间”。他们提交给ICO的通知报告要么是不完整的;要么就是超出法定通知内容的要求,报告里面包含着大量的庞杂信息。所以,最终导致的结果是:由于缺乏对实际立法实施和违规报告门槛的正确理解,企业向ICO通知的绝大多数网络安全事件都以没有提交正式报告而告终。

      James指出,GDPR对企业提出的通知义务,并非要求他们必须通知或者报告在企业场所发生的每一个与网络安全相关的小事件。最后,James建议相关企业在致电或打开其数据泄露报告门户网站之前认真阅读ICO的报告指南。

      因此,从以上英国监管机构对GDPR的实施情况来看,无论是巨额罚款,还是具体义务的履行,都存在监管机构、企业和用户的不同理解,需要持续跟踪和解读。

      结语

      有一个很有趣的选择短语叫做:a glass-half-full or glass-half-empty。这句短语假设了这样一个场景:当你看到杯子里有一半的水,你会说这个杯子是半满(half-full)或者是半空(half-empty)呢?据说不同的选择会显示你不同的性格取向和价值观。如果你说杯子是半满的,那么你应该是个乐观主义者;如果你选择杯子是半空的,那你应该是个比较悲观的人。面对缺乏实际案例的GDPR执法,我们如果想对其做出好与坏的价值评价,引用以上的短语其实很合适。GDPR100天后,我们目前对于它实施效果的好坏其实是没有确切答案的。在GDPR舆论热度大幅削减的当下,好与坏的评判似乎完全取决于各位朋友自身是属于乐观(half-full)或是悲观(half-empty)的心态了。

      本文为转载内容,授权事宜请联系原著作权人。
      互联网日常网络安全 大数据 用户隐私
      点赞
      收藏
      看评论
      沉浸模式

      评论

      暂无评论哦,快来评价一下吧!

      下载界面新闻

      微信公众号

      微博

      GDPR实施百天后,英国数据官员如何评价?

      “政府机构通过新的GDPR立法惩罚公司的强烈愿望”是围绕GDPR的实施形成的一大误解,巨额惩罚不会是ICO想要追求的结果。

      APUS · 2018/09/26 14:35

      如果说要阐述一个观点,有种经典的描述手法被称为——点面结合法。在之前的系列文章中,我们通过“个案点”的分析跟各位朋友分享了产品、技术和法律等具体操作层面上的GDPR合规建议。为了“迎接”GDPR实施满100天和提供更为全面的观点分享,我们将尝试从“执行面”来展开话题,分享GDPR在企业和监管机构中的实施效果。同时,我们也将针对GDPR实施效果统计中数据表现最为优异的英国,进行具体分析。

      GDPR实施状况的调查

      在距离5月25日通用数据保护条例(GDPR)实施仅仅还有两周的时候,有一家美国知名的互联网专业社区Spiceworks针对GDPR的实施情况进行了调查。该调查于2018年4月初开展,来自英国、欧盟其他国家以及美国不同机构的625名互联网专业人士参与了调查,调查的结果见以下柱形图。

      下图中X轴表示受访者预期完成GDPR合规的时间;Y轴表示不同时间点下预期能够完成GDPR合规的受访者比例。不同的色柱代表不同的受访者国籍。“黄色”、“绿色”、“蓝色”分别代表来自美国、英国、欧盟其他国家的受访者。

      数据来源于Spiceworks

      根据以上的图表数据,总计有61%的英国公司表示他们在截止日期前已经或即将完全符合GDPR的合规要求;针对欧盟其他国家而言,该比率降至46%。与此同时,受新法规影响的美国公司中,只有25%的机构表示会在GRPR生效前做好合规的准备。在GDPR合规的准备方面,我们发现英国的组织比欧盟其他国家和美国的同行都更充分一些。

      除此之外,可能很多朋友以为,在巨额罚款的“诱惑”之下,欧盟的监管机构会在GDPR实施后迅速展开大规模的调查,而英国路透社一项针对监管机构的调查发现,来自欧盟24个国家和地区的监管机构或数据保护官员中,有17个表示很难在法律生效时履行与GDPR相关的监管职责。

      而导致大量相关机构无法做到合规或者有效监管的原因是什么?

      从被监管的机构来看,在欧洲,超过60%的互联网机构的人员把不合规的借口归咎于缺乏时间或资源。大多数的监管机构却表示,他们缺乏履行其监管职责所需的权力和资金。权力的缺乏是因为,大部分欧盟国家的立法机关尚未依据GDPR的要求更新其法律条款,形成在全欧洲层面上的统一的个人数据权利保障规则。同时针对资金问题,他们也不避讳的表示,目前并没有充足的资金来覆盖执行GDPR所需要投入的成本。考虑到这一点,大多数参与调查的监管机关表示他们可能会根据“价值”来对投诉开展调查。

      英国监管机构的态度

      在GDPR正式实施百天之际,我们恰好捕捉到了英国数据保护监管机构(ICO)的一名官员,在公开场合分享的有关现阶段GDPR执法实践的官方态度。这位叫做James Dipple-Johnstone 的官员是ICO负责运营的副主管,他上周在伦敦举办的主题为“网络安全-商业洞察会议”的公开演讲中透露出了很多有价值的信息。

      第一,“政府机构通过新的GDPR立法惩罚公司的强烈愿望”是围绕GDPR的实施形成的一大误解,巨额惩罚不会是ICO想要追求的结果。

      理由如下,首先,ICO不是一个创收组织。当一家公司被举报有类似网络安全或隐私相关的GDPR违规行为时,ICO不会选择巨额罚款这种形式的惩罚对企业落井下石。其次,ICO作为监管机构并不追求完美。虽然媒体总是拿ICO做出的少量罚款决定作为炒作的热点,但是他想提醒大家注意的是,ICO每年大约会对数千起投诉以提出建议或者给出指导性意见的形式结案,而不是处以任何罚款。

      第二,ICO官员认为大多数企业对于GDPR中的通知义务的解读存在误解,过度履行了数据泄露通知义务。

      按照GDPR第33条的要求,在个人数据泄露的情况下,控制者应当尽快且最迟自知道泄露之时72小时之内,对有可能会对自然人的权利和自由造成风险的事件,根据第55条中规定的管辖权限,向相关的监管机构进行通知。               

      自GDPR实施以来,ICO办公室每周大约会接到500个有关数据泄露相关事件的通知。在这些数据泄露的通知中,大约三分之一的通知事件经ICO内部讨论后被认定为没有达到通知的门槛。另外的一些提交通知的企业则存在将“72小时的通知截止时间”误解为“72小时的工作截止时间”。他们提交给ICO的通知报告要么是不完整的;要么就是超出法定通知内容的要求,报告里面包含着大量的庞杂信息。所以,最终导致的结果是:由于缺乏对实际立法实施和违规报告门槛的正确理解,企业向ICO通知的绝大多数网络安全事件都以没有提交正式报告而告终。

      James指出,GDPR对企业提出的通知义务,并非要求他们必须通知或者报告在企业场所发生的每一个与网络安全相关的小事件。最后,James建议相关企业在致电或打开其数据泄露报告门户网站之前认真阅读ICO的报告指南。

      因此,从以上英国监管机构对GDPR的实施情况来看,无论是巨额罚款,还是具体义务的履行,都存在监管机构、企业和用户的不同理解,需要持续跟踪和解读。

      结语

      有一个很有趣的选择短语叫做:a glass-half-full or glass-half-empty。这句短语假设了这样一个场景:当你看到杯子里有一半的水,你会说这个杯子是半满(half-full)或者是半空(half-empty)呢?据说不同的选择会显示你不同的性格取向和价值观。如果你说杯子是半满的,那么你应该是个乐观主义者;如果你选择杯子是半空的,那你应该是个比较悲观的人。面对缺乏实际案例的GDPR执法,我们如果想对其做出好与坏的价值评价,引用以上的短语其实很合适。GDPR100天后,我们目前对于它实施效果的好坏其实是没有确切答案的。在GDPR舆论热度大幅削减的当下,好与坏的评判似乎完全取决于各位朋友自身是属于乐观(half-full)或是悲观(half-empty)的心态了。

      本文为转载内容,授权事宜请联系原著作权人。