×
Outbyte PC Repair
Outbyte Driver Updater

GDPR 如何影響業務以及 2023 年的預期

2023/01/12
GDPR 如何影響業務以及 2023 年的預期
  • GDPR 合規性是一個不斷變化的目標,但監管指南正在澄清法律中的規定。
  • GDPR 的執行一直很緩慢,尤其是對於大型科技公司和大數據公司。
  • 對於所有企業,尤其是小型企業,遵守數據保護法規可以建立品牌忠誠度和客戶信任。
  • 本文適用於想要詳細了解數據隱私法規的小型企業主。

歐盟全面的數據隱私法,即通用數據保護條例 (GDPR),促使許多公司在 2018 年 5 月實施之前爭相遵守。歐盟法律涵蓋世界任何地方的歐盟公民數據,這意味著全球公司擁有遵守規定,否則每次違規將面臨最高 1000 萬歐元或其全球年營業額(或收入)2% 的罰款(以較高者為準)。

現在,在 GDPR 實施四年後,數據隱私的格局發生了巨大變化。雖然針對科技巨頭的大案仍在等待最終裁決,但較小的公司不得不改變他們的行為並改進他們對用戶數據的處理。世界各地還出現了許多其他數據隱私和安​​全措施,包括許多州法規,例如加利福尼亞消費者隱私法 (CCPA) 和弗吉尼亞消費者數據保護法 (VCDPA)。

GDPR 合規性是什麼樣的?

GDPR 是一部長達 88 頁的法律,包含 11 章和 99 條,所有這些都旨在改進和統一有關歐盟公民數據的數據隱私實踐。它不僅限於歐盟邊界;任何收集和/或處理任何歐盟公民數據的公司都必須遵守 GDPR。美國各地與歐盟公民有任何業務往來的公司都包含在該法律的範圍內。

GDPR 為“數據控制者”和“數據處理者”制定的規則包括授予數據主體或每個個人用戶的權利和自由。這些包括道德問題,例如用戶同意數據收集的權利、用戶請求刪除其數據的權利以及用戶訪問其數據的權利。為了對這些權利做出有意義的回應,許多公司不得不建立以前不存在的系統和流程。自 2018 年以來,一直在努力澄清具體的 GDPR 條款,但對於試圖遵守的公司來說,仍然存在一些問題。

Fox Rothschild LLP 合夥人兼 GDPR 合規和國際隱私實踐主席 Odia Kagan 表示,GDPR 合規沒有真正的藍圖。企業必須首先提出的問題是,“基本上,這些規則對我的企業到底意味著什麼?” 卡根說,答案可能因公司而異。

“我們試圖開始並完成基礎知識才能開始,因為每個人都有共同的規則,”她說。“GDPR 不是時間的快照;這是一項持續的交易。您必須繼續前進並不斷重新評估;這是一個持續的合規過程。即使是已經完成了大量工作的公司,也可能還有更多工作要做和維護。”

GDPR 制定了數據處理和收集的標準,制定了全面的規則來管理歐盟公民數據的使用,即使在歐盟以外也是如此。Kagan 說,從本質上講,每家公司在努力實現 GDPR 合規性時都必須首先考慮以下因素:

  • 擴大披露範圍:公司必須清楚地說明他們收集的數據、收集數據的原因以及存儲和處理數據的方式。這包括對與誰共享數據、數據存儲多長時間以及如何保護數據的解釋。
  • 用戶控制:公司必須授予用戶更多對其數據發生的控制權。如有要求,用戶有權獲得其數據的副本。他們還可以要求刪除他們的數據,或者對不正確的數據進行修改。用戶還有權同意是否出於外包處理以外的任何目的與第三方公司共享其數據。
  • 下游合規:任何第三方公司和服務提供商也必須遵守 GDPR;否則,收集數據的公司可能要承擔責任。換句話說,如果您按賬本收集用戶數據,但將處理工作外包給不合規的公司,您可能仍會因違規而被追究責任。這包括考慮第三方 cookie 以及它們如何收集和跟踪一般數據。

“增加的複雜性是歐盟公司已經有了很大的領先優勢,”卡根說。“數據保護指令在 28 個歐盟國家都有國家實施法律;這基本上涵蓋了 GDPR 的 [法規] 的 80%。”

數據保護指令的後續改進,例如 2002 年的電子隱私指令,意味著歐盟在數據保護立法方面領先於美國。在 GDPR 實施期間,美國公司不得不爭先恐後地趕上,許多客戶詢問 Kagan 是否有他們可以遵循的清單。她的回答是,“是的,但是……”這不是一個放之四海而皆準的計劃。相反,Kagan 說,他們從所有企業共有的要求開始。

不遵守 GDPR 的後果

未能遵守 GDPR 的處罰可能非常嚴厲:罰款高達 1000 萬歐元或上一年全球年收入的 2%。對於許多企業來說,這可能是致命的打擊。雖然萬豪、英國航空公司和 H&M 等大公司面臨巨額罰款,但尚不清楚是否有任何小公司因這些規定而倒閉。根據美國國家經濟研究局的一項研究,遵守新準則的成本確實導致大約三分之一的 Android 應用程序退出。對於美國及其他地區的公司而言,保持 GDPR 合規性是當務之急,也是一項持續的挑戰。

在確保遵守 GDPR 等任何全面法律方面,明智的做法是與在該領域具有豐富經驗和專業知識的律師或顧問合作。然而,BrandExtract 軟件工程副總裁多諾萬·巴克 (Donovan Buck) 說,重要的第一步就是簡單地閱讀法律。

“如果你不知道從哪裡開始,法律真的很容易消化,”巴克說。“有點長,但是寫的很清楚,一般人都能看懂。它有一個序言…… [那] 傳達了法律的精神。法律本身並沒有那麼可怕。閱讀法律;沒有那麼糟糕。”

闡明 GDPR 法規

即使對於那些讀過法律的人來說,GDPR 在 2018 年 5 月實施之前(甚至之後)也留下了許多懸而未決的問題。從那時起,負責管理 GDPR 的總體監管機構歐洲數據保護委員會發布了澄清和指導方針,以幫助公司確保他們確實合規,包括以下內容:

  • 清晰透明的披露:獲得數據主體的明確同意,公司必須向用戶披露其收集、使用和共享數據的情況。這不僅僅意味著在條款和條件的某處包含細則;它必須用通俗易懂的語言清楚地拼寫出來。否則,獲得數據主體的明確同意可能不符合 GDPR 的規定。
  • 地域範圍: 2019 年 11 月,歐洲數據保護委員會就 GDPR 適用的公司發布了澄清。該指南有助於闡明什麼是針對歐盟內部用戶的歐盟機構或公司。它還考慮了對歐盟以外的公司執行 GDPR 的國際合作機制的必要性。
  • 處理的法律依據: 2019 年 4 月,歐洲數據保護委員會發布了根據 GDPR處理個人數據的法律依據指南。這些指南闡明了什麼構成必要的數據收集、合同終止以及這些規則的適用性。
  • 在 COVID-19 爆發的背景下使用位置數據和接觸者追踪工具: 2020 年 4 月,歐洲數據保護委員會不得不應對 COVID-19 大流行帶來的一些數據隱私問題。他們的指南強調了 GDPR 的“數據最小化”原則,強調只應收集與 COVID-19 接觸者追踪相關的數據,而不是識別信息或確切位置信息。
  • 訪問權: 2022 年 1 月,歐洲數據保護委員會發布了實施數據主體訪問其個人數據的權利的指南草案。在大多數情況下,控制者應該以最廣泛的術語解釋數據請求,而不是限制訪問。但是,他們無需向數據主體提供包含其數據的完整文件,而是可以提供僅包含用戶個人信息的新文件。

要點:自 2018 年 GDPR 頒布以來,歐洲數據保護委員會發布了無數更新指南、說明和最佳實踐。主要更新包括有關哪些公司受 GDPR 約束、哪些消費者數據被認為有必要收集以及公司應如何收集的信息完成數據請求。

GDPR 執法正在進行,但進展緩慢

雖然 GDPR 確實通過消除一些嚴重的違規行為提高了數據安全性,但總體執行時間比許多人預期的要長。信息在網上快速傳播,而 GDPR 在許多人看來似乎難以跟上,尤其是對於 Meta 和 Google 等影響廣泛的大型科技公司而言。例如,數據隱私非政府組織noyb(代表“與您無關”)在 GDPR 生效當天就針對 Instagram、Facebook、Google 和 WhatsApp 的強制同意提出了投訴。四年多後,一項決議仍在製定中。

然而,法律得到了執行。據隱私事務部報導,GDPR 已處以 1,216 筆罰款,根據Enforcement Tracker的數據,截至 2022 年 12 月,這些罰款加起來超過 25 億美元。這意味著公司需要確保他們遵循監管機構對法律要素的定義,例如“披露”和“同意”,而不是他們自己對這些術語的解釋。

根據 Enforcement Tracker 的數據,最大的三項罰款包括盧森堡官員於 2021 年 7 月對 Amazon Europe Core S.à.rl 處以 7.46 億歐元(約合 7.9 億美元)的罰款,以及 2022 年對 Meta 的兩項巨額罰款。2022 年 9 月,愛爾蘭的數據保護委員會對 Meta Platforms Inc. 處以 4.05 億歐元(約合 4.3 億美元)的罰款,並於 2022 年 11 月對 Meta Platforms Ireland Ltd. 處以 2.65 億歐元(約合 2.8 億美元)的罰款。相同的名字在最高罰款名單中佔據主導地位,亞馬遜、Meta(包括 Facebook 和 WhatsApp)和谷歌獲得了前 10 名最高罰款中的八個。

11 月針對 Meta 的裁決涉及約 5.33 億 Facebook 用戶個人信息的數據洩露,包括電子郵件地址和電話號碼。除了支付罰款外,Facebook 還必須採取措施提高用戶的數據安全並防止進一步的數據抓取。9 月針對 Meta 的裁決稱 Instagram 違反了 GDPR 兒童數據指南,該指南受到特定保護。Instagram 允許 13 至 17 歲的兒童在企業帳戶上共享電子郵件地址和電話號碼。它還默認公開青少年的帳戶。Meta 正在對裁決提出上訴。

Challenger 的聯合創始人兼首席執行官 Chris Slovak 說:“[許多] 法規的很大一部分是你如何收集同意,以及你如何以清晰、透明和明顯的方式告知消費者你正在收集的內容”交互的。

儘管科技巨頭的問責制進展緩慢,但對數據隱私的整體態度正在發生轉變。普通消費者已經更加了解公司收集信息的方式,而隱私問題已成為技術對話的核心。然而,即使是不認為自己是科技公司的企業也應該評估他們的客戶數據實踐,並確保他們的數據管理是安全的。

斯洛伐克說,GDPR 只是全球數據保護法浪潮的“催化劑”,公司應該關注全球類似的發展。

例如,加利福尼亞州、弗吉尼亞州、猶他州、科羅拉多州和康涅狄格州正在製定新的數據隱私法或更新現有法律。韓國和中國等其他國家也正在通過有關數據安全的新法規。

據Thompson Hine律師事務所稱,美國即將出台的數據保護法律法規強調消費者的選擇退出權和隱私偏好。為遵守規定,在線企業必須確保他們的網站為客戶提供經批准的、明確的方式來選擇不共享或出售他們的個人信息。這可能意味著“請勿出售或共享我的個人信息”和/或“限制使用我的敏感個人信息”鏈接。

這些只是旨在為消費者提供更多透明度和控制權的即將出台的指南的一些示例。到 2023 年,您可以期待更多關於與客戶就其數據隱私權進行溝通的指導方針。

“這並非歐盟公民和加州所獨有,”斯洛伐克說。“這是一種將席捲全球的趨勢。通過投資於您今天擁有的數據流來取得成功。”

GDPR 和數據保護合規性提示

遵守像 GDPR 這樣的包羅萬象的法律似乎是不可能的,但如果您一步一步邁出這一步,您的企業將很快走上合規之路。要保持積極性,請記住,完全服從不一定是目標;即使表現出努力也足以讓監管者望而卻步。

“已經走上正軌並與監管機構合作的公司……已經結案或減少了罰款,”卡根說。“你需要一個計劃。進行風險評估,找出處理過程中風險較高的部分,然後開始處理它們。走在路上。”

請按照以下提示開始:

  • 不要恐慌。數據保護法複雜而廣泛。對於公司,尤其是中小型企業來說,管理起來可能會讓人不知所措。但是,將流程分解為可管理的部分非常重要,這樣您就可以一次完成一項小任務。將其視為朝著合規性邁進,而不是一舉將其從列表中劃掉。
  • 進行風險評估。根據 Kagan 的說法,一個很好的起點是進行風險評估。使用此評估來確定您的業務的最大風險區域,您可能在這些區域違反規則或容易受到數據洩露的影響。
  • 從風險最高的組件開始。全面了解數據收集操作的每個元素的風險概況後,您可以確定首先解決哪些部分。始終從公司中風險最高的元素開始。例如,如果您缺乏安全保障,請加強防禦以防止數據洩露。如果您未徵得消費者的同意來捕獲和使用他們的數據,請實施一種方法來獲得該同意。與 GDPR 合規顧問合作可以幫助您更清楚地了解風險。
  • 了解數據以及收集數據的原因。美國 GDPR 和數據隱私立法的一個重要部分是,公司必須全面了解他們收集的數據以及收集數據的原因。根據要求,必須向消費者提供其數據的副本,並且公司必須能夠對其進行編輯或刪除。您的企業必須了解其收集的數據、存儲方式、共享位置以及使用原因。如果不能完全理解,幾乎不可能遵守數據保護法。
  • 建立正式的治理計劃。一旦您制定了遵守(或至少努力遵守)數據保護法的內部流程,建立正式的治理計劃可以幫助您向監管機構展示這些努力。正式的治理計劃可以精確地構建數據的捕獲、存儲、共享和使用方式。Kagan 說,這對大公司尤其重要,但中小型企業也可以從數據治理的正規化中受益。這可能包括任命一名數據保護官來監督日常數據收集和處理,以確保其符合 GDPR 規則。

遵守 GDPR、CCPA 和其他數據隱私法規是一個持續的過程。雖然已通過或提議的每項立法都有不同的要求,但基本目標是相同的。從妥善管理個人數據的處理到防止數據洩露,公司需要做很多事情。卡根說,這意味著你可以在不知道所有細節或監管機構做出所有澄清的情況下開始合規工作。

“現在遵守還為時不晚,”她說。“忽略你的水槽裡裝滿盤子的事實。不要迴避它,把它推遲到明天——開始吧。”

通過實施和遵循最佳實踐,您可以降低違反數據隱私法的風險,並且在最壞的情況下,可以向監管機構證明您已做出善意的努力來保護消費者數據。Slovak 說,除了合規性之外,遵守數據保護法規中規定的最佳實踐還有令人信服的商業理由。

“如果你做對了,你就會獲得可審計性和透明度,”他說。“你可以告訴你的客戶你有什麼數據以及你將數據發送到哪裡。如果你做得對,你將與客戶進行更好的對話,因為在與他們交談的那一刻,你會更好地了解他們想要什麼。”

他補充說,保護消費者數據隱私是一種良好的商業意識,可以幫助您打造值得信賴的品牌。GDPR 準備就緒是開始轉向將消費者數據保護放在首位的好方法。

“歸根結底,數據是委託給你的東西,”斯洛伐克說。“消費者將有關他們自己的信息委託給您,以便您可以為他們創造更好的體驗和服務。這是一個重新評估您如何對待客戶和潛在客戶的機會。它需要一種不同的思維方式,以及對數據和管理數據本身的工具的投資。”

為了在監管曲線上保持領先並開始與客戶建立更好的關係,您可以從投資數據基礎架構和治理開始。

Cailin Potami 對本文的寫作和報導做出了貢獻。對本文的前一版本進行了一些消息來源採訪。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *