GDPR要求讓每個(gè)人都撕掉他們的頭發(fā)是數(shù)據(jù)主題訪問(wèn)請(qǐng)求

通用數(shù)據(jù)保護(hù)條例將于5月25日生效，沒(méi)有人準(zhǔn)備好 - 不是公司，甚至不是監(jiān)管機(jī)構(gòu)。

經(jīng)過(guò)四年的審議，歐洲聯(lián)盟于2016年正式通過(guò)了“通用數(shù)據(jù)保護(hù)條例”(GDPR)。該法規(guī)為公司提供了兩年的合規(guī)性，這在理論上是充足的時(shí)間來(lái)實(shí)現(xiàn)船形?，F(xiàn)實(shí)更加混亂。像學(xué)期論文和納稅申報(bào)表一樣，有些人會(huì)盡早完成，然后是我們其他人。在今天與歐洲議會(huì)的會(huì)晤中，馬克扎克伯格表示Facebook將在截止日期前符合GDPR標(biāo)準(zhǔn)，但如果是這樣，該公司將成為少數(shù)。“很少有公司會(huì)在5月25日達(dá)到100%的合規(guī)水平，”聯(lián)合萊克斯公司的律師兼首席隱私官杰森·斯特拉特說(shuō)道，該公司為企業(yè)設(shè)立了GDPR合規(guī)計(jì)劃。“公司，特別是美國(guó)公司，在上個(gè)月肯定會(huì)爭(zhēng)先恐后地做好準(zhǔn)備。”在4月份由Ponemon Institute進(jìn)行的一項(xiàng)對(duì)1,000多家公司的調(diào)查中，有一半的公司表示他們不會(huì)在截止日期前遵守規(guī)定。 。按行業(yè)劃分，60%的科技公司表示尚未做好準(zhǔn)備。

GDPR是一套雄心勃勃的規(guī)則，涵蓋從要求到通知監(jiān)管機(jī)構(gòu)有關(guān)數(shù)據(jù)泄露(在72小時(shí)內(nèi)，不低于)的透明度，以及用戶對(duì)收集的數(shù)據(jù)及其原因的透明度。“多年來(lái)一直如此，'我們可以欺騙人們提供多少數(shù)據(jù)?' 并且'我們將在以后弄清楚如何使用它!' 在GDPR下，這不再是一種可接受的操作方式，“Straight說(shuō)。

“有些公司我們已經(jīng)談過(guò)，他們說(shuō)，'你在開(kāi)玩笑吧?如果我們告訴他們我們?nèi)绾问褂盟麄兊臄?shù)據(jù)，他們從來(lái)沒(méi)有把它給我們，“Straight說(shuō)。“我有點(diǎn)像，'是的，這就是重點(diǎn)。'”

但也許GDPR要求讓每個(gè)人都撕掉他們的頭發(fā)是數(shù)據(jù)主題訪問(wèn)請(qǐng)求。歐盟居民有權(quán)要求查閱公司收集的個(gè)人信息。這些用戶 - 在GDPR用語(yǔ)中稱為“數(shù)據(jù)主體” - 可以要求刪除他們的信息，如果不正確則要更正，甚至以便攜式形式發(fā)送給他們。但是這些數(shù)據(jù)可能在五個(gè)不同的服務(wù)器上，并且上帝知道有多少格式。(這假設(shè)公司甚至知道數(shù)據(jù)首先存在。)成為GDPR兼容的很大一部分是建立內(nèi)部基礎(chǔ)設(shè)施，以便可以響應(yīng)這些請(qǐng)求。

問(wèn)題的一部分是公司是如何建立的，其中一部分是“個(gè)人信息”是一個(gè)愚蠢的類別。姓名，電子郵件地址，電話號(hào)碼，位置數(shù)據(jù) - 這些是顯而易見(jiàn)的。但后來(lái)有更多模糊的數(shù)據(jù)，比如“一個(gè)傾斜的參考，就像生活在東18街的高個(gè)子禿頭男人一樣。如果有人在電子郵件中說(shuō)，這將是您需要向我提供GDPR下的訪問(wèn)權(quán)限的信息，“Straight說(shuō)。

對(duì)于已經(jīng)原則下經(jīng)營(yíng)的公司“提取盡可能多的數(shù)據(jù)可能和后來(lái)弄明白，”下GDPR重組是很像的一個(gè)小插曲囤積者，尤其是那些發(fā)作在囤積者沒(méi)有完成清洗和大家的一個(gè)最后哭了起來(lái)。

在某些方面，這是不可避免的結(jié)果。一年前，61%的公司甚至沒(méi)有開(kāi)始實(shí)施GDPR。Straight表示，總的來(lái)說(shuō)，歐洲公司 - 尤其是德國(guó)和英國(guó)等國(guó)家，那些存在與GDPR重疊的隱私法律的公司 - 已經(jīng)有更好的時(shí)間進(jìn)行調(diào)整。(盡管如此，今年1月的一項(xiàng)調(diào)查發(fā)現(xiàn)，四分之一的倫敦企業(yè)甚至不知道GPDR是什么。)

公平地說(shuō)，GDPR作為一個(gè)整體有點(diǎn)復(fù)雜?？屏_拉多大學(xué)博爾德分校的人類學(xué)和信息科學(xué)教授艾莉森·酷在“ 紐約時(shí)報(bào)”上寫道，法律“非常復(fù)雜”，對(duì)于試圖遵守法律的人來(lái)說(shuō)實(shí)際上是不可理解的。她采訪過(guò)的科學(xué)家和數(shù)據(jù)管理人員“懷疑絕對(duì)合規(guī)是否可能”。

這并不是一個(gè)令人愉快的立場(chǎng)，因?yàn)镚DPR可以允許監(jiān)管機(jī)構(gòu)對(duì)違反GDPR的全球收入高達(dá)4%的公司進(jìn)行罰款。從正確的角度來(lái)看，亞馬遜上4%的罰款將是70億美元。(有趣的是，由于像亞馬遜這樣的公司報(bào)告了巨額收入和相對(duì)較小的利潤(rùn)，因此4%的罰款可能會(huì)使他們損失超過(guò)兩年的利潤(rùn)。)

GDPR的沉重打擊可能促使Peter Thiel指責(zé)歐洲制定了保護(hù)主義法律制度。“歐洲沒(méi)有成功的科技公司，他們嫉妒美國(guó)，所以他們正在懲罰我們，”泰爾在3月份紐約經(jīng)濟(jì)俱樂(lè)部的一次談話中說(shuō)道。

由于GDPR的大部分內(nèi)容都很模糊，它在實(shí)踐中的運(yùn)作方式取決于監(jiān)管機(jī)構(gòu)的做法。最終，規(guī)范將出現(xiàn)：監(jiān)管機(jī)構(gòu)將追究誰(shuí)，他們將對(duì)什么樣的行為征收何種懲罰，以及他們將從違法者中提取的全球收入的4%。

一般的假設(shè)是，當(dāng)最后期限到來(lái)時(shí)，歐洲監(jiān)管機(jī)構(gòu)將把它視為一個(gè)軟開(kāi)放，讓公司在蜜月期間變得容易，而每個(gè)人都會(huì)弄清楚法律是如何運(yùn)作的。但監(jiān)管機(jī)構(gòu)無(wú)法完全控制5月25日將要發(fā)生的事情，因?yàn)椴糠諫DPR是用戶驅(qū)動(dòng)的。

如果歐盟居民提交數(shù)據(jù)主體請(qǐng)求，公司有30天的時(shí)間來(lái)回復(fù)。假設(shè)一家公司獲得了這些請(qǐng)求之一，但它們?nèi)匀徊煌耆螱DPR標(biāo)準(zhǔn)，并且根本無(wú)法響應(yīng)。如果公司沒(méi)有回復(fù)，那么數(shù)據(jù)主體可以向當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)提出投訴。

GDPR要求監(jiān)管機(jī)構(gòu)采取措施來(lái)執(zhí)行法律。這可能不是4%的罰款，但他們不能直接將投訴轉(zhuǎn)發(fā)給廢紙簍。“如果他們?cè)诘谝粋€(gè)月受到10,000次投訴的打擊，他們就會(huì)遇到麻煩，”Straight說(shuō)。本月早些時(shí)候路透社調(diào)查的24家歐洲監(jiān)管機(jī)構(gòu)中有17家表示，他們尚未準(zhǔn)備好通過(guò)新法律生效，因?yàn)樗麄冞€沒(méi)有資金或法律權(quán)力來(lái)履行其職責(zé)。

可能會(huì)對(duì)監(jiān)管資源造成壓力的另一項(xiàng)GDPR規(guī)定是數(shù)據(jù)泄露通知要求。公司必須在發(fā)現(xiàn)后72小時(shí)內(nèi)通知相關(guān)數(shù)據(jù)保護(hù)機(jī)構(gòu)，但監(jiān)管機(jī)構(gòu)之后所做的事情并不完全清楚。監(jiān)管機(jī)構(gòu)可能還沒(méi)有準(zhǔn)備好審計(jì)公司的安全性，或者弄清楚如何做以保護(hù)受違規(guī)行為影響的歐盟居民。但是，他們還是要做點(diǎn)什么。他們可能在如何回應(yīng)方面有一定的靈活性，但GDPR不允許他們什么都不做。

GDPR只適用于歐盟和歐盟居民，但由于許多公司在歐洲開(kāi)展業(yè)務(wù)，美國(guó)科技行業(yè)正在爭(zhēng)先恐后地符合GDPR標(biāo)準(zhǔn)。盡管如此，盡管GDPR的首次亮相必將是混亂的，但該規(guī)則標(biāo)志著全球數(shù)據(jù)處理方式的巨變。歐洲以外的美國(guó)人無(wú)法提供數(shù)據(jù)主題訪問(wèn)請(qǐng)求，他們也不能要求刪除他們的數(shù)據(jù)。但無(wú)論如何，GDPR合規(guī)將對(duì)他們產(chǎn)生溢出效應(yīng)。特別是違規(guī)通知要求比美國(guó)的要求更嚴(yán)格。希望隨著公司和監(jiān)管機(jī)構(gòu)解決問(wèn)題，GDPR的高度隱私保護(hù)將變得像往常一樣。與此同時(shí)，它只是一個(gè)瘋狂的爭(zhēng)奪，以跟上。