在刚刚过去的2018年,并没有哪家公司因为从2018年2月25日开始生效的欧盟GDPR(General Data Protection Regulation,通用数据保护条例)被征收巨额罚款。这可能让很多在欧盟从事数据相关业务的企业松了一大口气。

不过,这口气恐怕松得还太早,因为专业人士分析说,暴风骤雨可能发生在2019年。不仅如此,由于数据泄露事件频发,美国也有可能推出一款类似GDPR的数据监管法案。

GDPR的前身是欧盟在1995年制定的《计算机数据保护法》,被认为是强化个人数据安全与保护的重要一步。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。

GDPR支持“数据主体”寻求损害赔偿。违反GDPR将被处以高达全球收入的4%或2000万欧元的罚款,以较高者为准。GDPR处罚力度之大也被称为“史上最严数据保护条例”、“大数据时代的最强法规”。

腾讯研究院资深专家王融认为,作为隐私与数据保护领域20年来最引入瞩目的立法变革,GDPR提出了大数据时代个人数据保护的新秩序愿景。

不过,到目前为止已经过去了几个月了,尚无企业因违反GDPR而受到巨额罚款。Mozilla的高级政策经理和欧盟负责人Raegan MacDonald在接受媒体采访时指出,2018年是GDPR的实施年,2019年才是GDPR的执行年。她进一步解释说,目前还有9个欧盟成员国尚未实施GDPR,而监管机构——欧洲数据保护委员会仍在建设之中。

不过不容忽视的是,这一段时间以来,相关发监管机构一直没有闲着。每个成员国的数据保护机构都在增加员工的数量和拓展其专业知识。例如,爱尔兰数据保护委员会(DPC)在2014年从不到30名员工发展到2018年的130名员工,并计划在2019年进一步扩展员工和专业人员。

值得一提的是,爱尔兰DPC在GDPR的实施和执行中发挥着关键作用,因为世界上大多数IT巨头都将其欧盟总部设在爱尔兰。也就是说,对Facebook、Twitter、微软、LinkedIn和谷歌等巨头的投诉都属于DPC的范畴。

不仅如此,欧洲的数据保护机构已经累积了许多引人注目的投诉。比如,5日,隐私维权组织noyb向数据保护执法机构投诉,直指Facebook、Google等公司强制其用户同意其收集和处理个人数据,而用户本应可以使用服务,无需同意放弃个人数据。再比如,最近有报道称,谷歌涉嫌非法追踪其欧盟用户。

不仅在欧洲数据安全保护越来越被重视,在美国由于数据泄露事件频发,推出数据保护相关法规的呼声也越来越高。近日在美国旧金山召开的Aspen网络峰会上,包括德州议会代表兼众议院监督与政府改革委员会主席WillHurd在内的众多与会代表就认为未来美国应该推出一款类似GDPR的数据监管法案。

正因为如此,IT巨头们都不敢怠慢,并以遵从GDPR标准作为其产品、服务的一大优势。亚马逊网络服务(AWS)近日正式宣布其所有产品和服务都完全符合GDPR标准,这意味着任何希望加强其即将进行的法律变更政策的企业如果使用该平台,都会受到保护。该公司表示,它已在“安全和合规专家”中起草,以审核其作为数据处理器的内部工作,并批准其完全符合要求。AWS解释了确保其符合GDPR的方面包括加密个人数据,确保在其平台上处理的任何数据提供持续的机密性,完整性,可用性和弹性,并且在发生物理或技术事件时可以快速恢复数据。它还表示,它会定期测试,评估和评估其运营,以确保其符合安全性。

微软也在努力帮助其用户快速遵从GDPR。微软正在为在公共云平台上运行的Azure,Dynamics 365和Office 365企业和企业用户提供 Compliance Manager(合规管理),这些服务集合被称为Microsoft 365。微软还提供了一些工具以帮助企业适应GDPR。

信息化和软件服务网 - 助力数字中国建设 | 责编:左右