威尼斯手机平台-电子正规官网登录首页

热门关键词: 威尼斯手机平台,威尼斯登录首页,威尼斯正规官网
就是企业正在将大量现金投入到持续的GDPR合规工作中,对个人数据的处理也有更严格的规定
分类:新闻公告

非营利的英国隐私保护组织 Privacy International(PI)上周投诉了包括 Oracle 在内的7家企业违反欧盟通用数据保护条理(EU General Data Protection Regulation,GDPR),并督促法国、英国以及爱尔兰的数据保护组织展开调查。

威尼斯正规官网 1

距离2018年5月25日欧盟《通用数据保护条例》正式生效,已经过去了一年的时间,这一具有里程碑意义的隐私和网络安全监管法规已经在全球范围内产生了深远影响。它不仅提高了董事会层面的隐私和安全意识标准,还推动了未来几年大多数大型企业的安全和合规支出不断增加。

受到投诉的7大企业都掌握了大量用户资料,如,Oracle、Acxiom、Criteo、Quantcast、Tapad、Equifax 以及 Experian。

摘要 从处罚学校用人脸识别记考勤,到给谷歌Google 定向广告开出五千万罚单,“史上最严厉的数据保护法”GDPR实施一年以来,欧洲各国对数据保护的力度正在逐步加大。2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效。

威尼斯正规官网 2

PI 认为,这些企业虽然都掌握数百万名消费者资料,但并非是家喻户晓的品牌,因此极少受到质疑。然而,根据行业披露的营销文件或隐私政策,他们在利用这些个人数据时并未取得用户同意,也没有处理这些个人机密信息的依据,因此,缺乏 GDPR 所列出的透明,合法,目的限制,数据最小化及准确性等要求。

从处罚学校用人脸识别记考勤,到给谷歌Google 定向广告开出五千万罚单,“史上最严厉的数据保护法”GDPR实施一年以来,欧洲各国对数据保护的力度正在逐步加大。

当然,对于该监管法规的实际效果仍然是争议的焦点。针对消费者的调查结果显示,许多欧洲公民仍然对他们迄今为止从GDPR保护条例中所获得的好处持怀疑态度;而针对企业的调查结果显示,合规性仍然是一项正在进行中的工作。

换句话说,PI 挑战的是相关行业处理个人数据的深度,也是 GDPR 对行业的基本要求。

2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效。

以下是一些最新的统计数据,这些数据可以为我们提供有关过去一年GDPR工作成效的直观展示:

PI 指出,GDPR 已上线超过五个月。 法律加强了个人保护自己数据的能力,对个人数据的处理也有更严格的规定,理论上提供了更强的执法权力,但 GDPR 的真正考验是实施,例如,这些企业明明持有大量的用户信息,却未曾遭到质疑。

GDPR不仅针对注册地在欧盟的企业,甚至于非欧盟的企业,只要提供产品或服务的过程中涉及欧盟境内个体数据,便必须遵循GDPR。而一旦企业违法,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款。

一、企业预算大幅增加

GDPR 提出的高额罚款使得许多企业选择退出欧盟市场,也不愿去冒触条例的风险。其最高罚款金额为2000万欧元或企业全球营利的4%,二者取其高。尽管 GDPR 听起来很吓人,但至今还没有企业受到罚款。

根据中兴通讯数据保护合规部与数据法盟联合编制并于近日发布的《GDPR执法案例精选白皮书》(下称《白皮书》),截止至2019年9月24日,22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政处罚决定。

威尼斯正规官网 3

详情请看 Privacy International。

从被罚款金额最大的英国航空50万乘客信息泄露案,到对公民在自家门窗安装过多摄像头的象征性处罚,《白皮书》收录了欧洲经济区(European Economic Area, EEA)22个国家的立法情况和87个典型执法案例,从执法主体、国别、力度、依据等多维度分析研究,是国内首个针对GDPR执法的全方位报告。

有一件事是可以肯定的,就是企业正在将大量现金投入到持续的GDPR合规工作中。《福布斯》的报道甚至称GDPR为“90亿美元的商业整顿”,同时,IAPP和EY等行业消息来源也报告称,每个组织的平均支出将达到约300万美元,其中一半将在今年及以后实现。这些支出主要分布在如下一系列类别中:包括内部人员-时间、外部法律顾问、咨询、员工培训以及新技术解决方案的开发等等。

(文/开源中国)    

“立法层面,GDPR已成为各主要国家采用或计划采用的数据保护法律法规基准,引发全球立法规则进一步融合;执法层面,GDPR执法案例作为体现监管态势的重要参照,为跨国企业的数据保护合规工作提供风向标。”中兴通讯数据保护合规部部长、《GDPR执法案例精选白皮书》编撰组组长高瑞鑫向21世纪经济报道表示。

许多专家预测,这种针对持续性GDPR合规的长期预算影响将继续存在。其中,美国公司的持续支出表现将尤为突出,虽然在美国并没有一部像GDPR一样的法律,但在美国的数据保护以及数据采用等法案中,有关隐私和数据使用的一些基本原则也是始终贯穿的。根据IDC的说法,GDPR计划对美国的“最大支出影响”预计将出现在2020年。与此同时,Thomson Reuters去年年底进行的另一项调查也发现,大约38%的合规预算专门用于GDPR项目。

“经过一段时间的适应期,欧洲数据监管机构处罚力度明显加大,尤其进入2019年7月以来,大额罚单出现的概率明显增加。”数据法盟创始人、上海交大数据法律研究中心执行主任、《白皮书》联合编撰人何渊向21世纪经济报道表示。

二、在GDPR合规性方面花费的时间将保持高水平

数据泄露案件多 最大罚单超过2亿欧元

威尼斯正规官网 4

《白皮书》总结认为,一方面是对数据控制者和数据处理者的规制和问责,另一方面是赋予数据主体更多权利,GDPR从这两方面下手,深深的扼住了数据滥用的出入口。

由于许多隐藏的人力成本,GDPR的持续支出通常很难规划——特别是当组织尚未自动化其所有合规流程和数据流时。根据DataGrail公司本月早些时候发布的一项研究表明,2/3的组织将25名甚至更多的员工用于管理GDPR项目,且80%的人在该法规正式生效前每月至少要碰好几次面进行沟通协作。

从数据控制和数据处理者层面来看,《白皮书》显示,根据执法依据来划分,GDPR包括目的限制、存储限制、最小数据原则等七大数据处理的原则。在这些原则中,触犯频率最高的原则是完整性和保密性原则,即缺乏相应的技术组织措施来保障数据处理安全性,而目前惩罚金额最大的案件也都与此相关,一般表现为多位用户的数据遭泄露。

但是早期的大部分努力可能都是短期的权宜之计而已。根据调查显示,70%的组织表示他们早期的GDPR合规性解决方案可能并不适用于未来的发展,因为监管机构会加大力度,消费者投诉和数据要求也会加剧。有意思的现象是,从GDPR正式生效以来,决策者维持GDPR合规性所花费的时间与准备GDPR的时间相比似乎没有太大变化。

例如,2018年6月,英国航空公司网站爆出数据泄露事件,该事件导致约50万名英航乘客的个人信息被泄露。在该事件中,用户流量被移转到虚假网站,攻击者通过这个虚假网站收集了客户详细信息,包括客户个人信息和银行卡信息, 如姓名、地址、邮箱,以及信用卡的号码、有效期和背面的验证码(CVV)等。

三、阻碍合规性和隐私进展的因素仍然存在

监管机构英国信息专员办公室(ICO)认为,英国航空公司缺乏保障信息安全的技术和组织措施,于今年10月初对其作出1.83亿英镑、约合2亿欧元的罚款决定,同时英国航空还面临着30亿英镑的集体诉讼。

威尼斯正规官网 5

无独有偶,2018年11月,万豪国际集团披露了其旗下喜达屋酒店客房预订系统数据泄露,3.39亿酒店客户信息被黑客窃取,涉及到3000万来自31个欧洲经济区(EEA)国家的居民,其中包括700万英国居民。

即使花费了所有资金,且全世界都在为GDPR合规性投入人力和时间,但一年后,阻碍合规性和隐私进展的因素仍然存在于大多数组织之中。例如,Talend公司进行的一项调查发现,70%的公司无法履行GDPR隐私政策中规定的向其消费者提供的数据访问级别;此外,Thomson Reuters进行的调查也发现,全球48%的组织未能满足GDPR合规性要求。

据ICO调查,喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自2014年7月起便存在,直到2018年才发现此漏洞。针对此次事件,ICO对万豪国际集团作出1.24亿欧元的罚款决定,而万豪也在美国本土面临着125亿美元的集体诉讼索赔。

与此同时,ImmuniWeb研究人员发布的一项研究还发现,在欧洲前100个访问量最大的网站中,甚至是遵守GDPR最简单的网站隐私和安全要求也难以实现。例如,超过一半的这些网站缺少或难以找到隐私政策,且几乎80%的网站使用了不安全的cookie来处理潜在的敏感数据。

何渊认为,在接下来几年,GDPR处罚案例中数据泄露事件较多的情况仍将继续,该类案件主要违反数据泄露通知等响应义务以及违反完整性、保密性等数据处理基本原则。“对此类案件GDPR处罚金额将大幅提高,而数据泄露事件同时将面临着天价的集体诉讼索赔。”何渊表示。

四、注册数据保护官持续增加

数据合法性执法力度最大 英法案件和金额最多

尽管在GDPR的实施过程中还有更多的工作要做,但好消息是组织中数据保护官的数量正在随着GDPR项目的推进而不断增长。根据IAPP本月发布的数据显示,目前在28个欧盟成员国的12个国家中,约有376,306个组织注册了DPO,据此该行业组织推断,整个欧洲的DPO注册总数应该达到了500,000的预估值。

GDPR的另一“明星案件”——法国诉谷歌案则是出于另外的原因。

该组织还报告称,过去一年中所有隐私专业人员的人数都呈现了增长趋势。注册成为DPO的通常是首席隐私官,据IAPP报告,这些首席隐私官的平均薪水为220,000美元。然而,并非所有DPO都出自首席隐私官,据统计,这些隐私决策者的平均工资仅为88,000美元。这个薪资金字塔表明,许多初级DPO仍然需要更多的培训和经验来提升他们自身在组织内的地位和话语权,以便更好地发挥自身作用。

2018年5月,两家欧洲非营利性隐私和数字权利组织相继向法国国家信息与自由委员会投诉称,谷歌在处理个人用户数据方面采用了“强制同意”政策,其收集的数据包含大量用户个人信息,这些信息还在用户不知情的情况下被用于商业广告用途。

IAPP首席执行官Trevor Hughes表示,

据法国国家信息与自由委员会今年1月21日发布公告称,依据《通用数据保护条例》的相关规定,专门小组认为谷歌在处理个人用户数据时存在缺乏透明度、用户获知信息不便、广告订制缺乏有效的自愿原则等问题,法国将对其处以5000万欧元,约合3亿8千万人民币的罚款。

“仅仅是任命一名DPO是远远不够的。组织还需要确保该DPO是经过培训并且有能力解决我们这个时代的技术政策问题之一:保护隐私和个人数据。”

《白皮书》显示,数据处理的合法性基础的缺失(合法性原则)的执法力度最为显著。在搜集的87个案例中,8个案例是依照多类别处罚依据执法(其中7个案例有2个处罚依据,1个有3个处罚依据)。所有的处罚依据中,有30个是因为缺乏数据处理的合法性基础而被罚,占比31%。另外,数据处理的安全性(完整性与保密性)也是执法机构关注的重点,案例处罚依据数量为25个,占比26%。

五、执法行动迅速开展

据此,《白皮书》认为,结合GDPR规定及欧盟地区各个国家监管机构的执法案例,企业应当尤其注意遵守完整性和保密性原则、合法、公平和透明原则以及数据最小范围原则,充分保障数据主体访问权、被遗忘权的实现。

威尼斯正规官网 6

根据GDPR执法力度国别分析,英国、法国、保加利亚、波兰处罚力度大,英国、匈牙利、捷克、德国监管机构处罚动作频繁。企业需要重视在上述国家的数据保护合规治理工作。

与此同时,欧洲数据保护委员会和欧洲监管机构的执法行动也已经全面展开,甚至开出了天价罚单以儆效尤。据悉,在GDPR正式生效的一年中,EDPB已经登记了446起跨境案件。单就欧洲境内而言,SA也已经登记了超过281,000个案例,包括超过144,000个消费者投诉和超过89,000个数据泄露通知。EDPB报告称,在这些案件中,约有63%已被关闭,另外37%仍在进行中。

其中,英国、法国、保加利亚、波兰、荷兰DPA(Data Protection Agency数据监管机构,下同)共开出6件超过50万欧元罚款的行政处罚。

2018年11月份,7个欧洲国家消费者团体集体投诉谷歌公司,指控其违反GDPR规定秘密追踪数百万用户的移动位置。2019年1月21日,谷歌收到了GDPR生效以来开出的第一张欧盟国家罚单,法国数据监管部门以“谷歌个性化广告方面缺乏透明度、充分的告知和有效的同意”为由对其罚款5000万欧元。2019年2月,德国反垄断监管机构认定FaceBook滥用其市场地位收集、融合和利用用户数据,勒令其停止收集一些用户数据,并停止融合旗下不同APP的用户数据。至今为止,包括苹果、谷歌、亚马逊、FaceBook、Netflix、Spotify、Twitter、YouTube、Flimmit等在内的诸多互联网企业均已遭到调查。

人脸识别记考勤被罚近两万欧元

Thomson Reuters报告指出,总体而言,全球约有50%的组织受到了某种执法行动的制约。根据IAPP发布的数据显示,GDPR执法行动已经导致超过56,000,000欧元的罚款。

威尼斯正规官网,《白皮书》显示,惊天大案之外,GDPR实践中也不乏很多金额不大但很有代表意义的小型案件。

六、消费者意识增强,但人们仍持怀疑态度

在瑞典,一个名为 Anderstorps的高中学校使用人脸识别技术来记录学生的上课考勤。该学校董事会在一个实验项目中使用面部识别技术对学生的面部信息进行了登记。该实验项目持续了三周,涉及到22名学生。学生们的面部生物识别数据及全名被相机以照片的形式捕获,这些信息被存储在没有连接互联网的本地计算机中。

威尼斯正规官网 7

今年8月,瑞典监管机构判定,学校违反数据收集目的限制和最小范围原则,罚款近2万欧元。为满足上课出勤统计的目的,学校可以以侵入性较小的方式实现,面部识别软件的使用与目的不成比例。此外,GDPR原则上禁止以识别自然人身份为目的来处理生物特征数据,除非符合例外情形。然而由于学校与学生之间关系的不平等性,监护人同意不能视为自愿,因此该同意存在瑕疵, 不能作为合法性基础。同时,学校对人脸识别的风险缺乏评估和说明。

同时,在GDPR旨在保护的消费者中,有关GDPR隐私保护的意识正在显著增加。欧洲数据保护委员会报告称,在过去四年中,听说过“其国家有公共权力负责保护数据隐私权”的欧盟公民比例增长了20个百分点;有67%的欧盟公民报告称他们至少听说过GDPR。

针对上述案例,《白皮书》发出如下警示:人脸识别等生物特征数据的使用应持谨慎态度。根据数据最小化原则,处理的个人数据应该是充分的、相关的,并且与处理它们的目的相关,而不能过于全面地收集、处理数据。只有在用其他方法无法以令人满意的方式实现处理目的时,才可以考虑使用此类敏感数据,否则将存在较大的合规风险。

但与此同时,这些欧洲公民中仍有许多人对GDPR的好处持怀疑态度。TrustArc和Ipsos公司发布的一份调查报告显示,只有不到一半的英国公民行使了GDPR权力,例如选择取消cookie安装或限制公司使用自己的个人数据。自GDPR于一年前生效以来,只有约36%的人表示他们更信任持有他们个人数据的公司。此外,Ogury进行的一项更广泛的调查发现,在全球超过280,000名消费者中,55%的人表示,即便GDPR的数据透明度规定已经通过,他们仍然无法更好地理解公司如何使用他们的数据。

中企仍以观望为主,应开始积极应对

GDPR实施一年半以来,影响逐渐显现。

根据国际隐私专业人士协会 (International Association of Privacy Professionals,IAPP)2019年7月发布的数据显示,目前在28个欧盟成员国的12个国家中,约有376,306个组织注册了数据保护专员(Data Protection Officer, 简称DPO)。据估计,整个欧洲总共有500,000个DPO实际注册。

同时,随着GDPR执法的深入,公众对数据保护规则及个人的权利的了解度有了很大的提升。向DPA咨询GDPR和提出申诉的人日益增多,来自27个EEA国家DPA的统计数据显示,截至2019年3月共上报了281,088例案件,其中近半数(144,376件) 是投诉。同时,非营利组织代表个人发起的申诉也开始出现。

中企如何应对上述趋势?高瑞鑫接受21世纪经济报道采访表示,包括中国企业在内的全球企业应对GDPR都经历着三个阶段,即“观望期”、“应对期”和“建设期”,尤以具有涉欧业务的跨国企业为典型。虽然GDPR在生效前已空留出两年的预备时间窗口,但由于其开创性法条、威慑性罚责,以及合规成本和影响的不确定性,企业大多选择以观望为主,目前大多数非涉欧或仅有少量涉欧业务的中国企业仍处于这一阶段。而对于航空、金融、跨境电商等特定行业,以及超级互联网公司、大型跨国公司等,则主要处于预防应对期,少数进入了前瞻建设期。具体动作上,直接面向C端用户的隐私政策(Privacy Notice)上线,规制B端的客户、供应商及合作伙伴的数据处理协议的签署,确保数据跨境传输的标准协议条款的签署,履行数据保护官的设置要求,针对欧盟当地员工个人数据处理进行合法性检视等,作为第一批合规治理和整改重点,以优先消减显性风险。

高瑞鑫认为,企业的最高管理层应当从数字经济发展未来的层次去重视和审视GDPR的全球影响力和不可逆性,主动进行规划并搭建数据保护合规体系,控制长远风险。但目前,散点治理模式在很多国内企业实操中仍广泛存在,还有很长的路要走。

本文由威尼斯手机平台发布于新闻公告,转载请注明出处:就是企业正在将大量现金投入到持续的GDPR合规工作中,对个人数据的处理也有更严格的规定

上一篇:威尼斯正规官网你无法在不破坏成千上万个现有测试的情况下更改产品中的单行代码 下一篇:【威尼斯正规官网】Firefox 63 公布不到四个月,图1出示了其安静版本的更新意况
猜你喜欢
热门排行
精彩图文