有“史上最严格的隐私和数据保护法”之称的欧盟《通用数据保护条例》(GDPR)已正式生效两年有余。
在此期间,欧盟及其各成员国的司法机构加大了对数据和隐私的保护力度,欧盟更是针对谷歌和脸书等互联网巨头屡次开出天价罚单。在欧盟运营的企业是否已经理解如何在GDPR监管下进行合规操作?GDPR是否对互联网初创企业友好?
带着这些问题,第一财经记者专访了德国专注于商业法的律所GGV的两位专门负责数据保护业务的律师坡泽(Mareen Poser)博士和海恩里奇(Annika Heinrich)博士。
这两位专业律师并不认为GDPR的实施对于现代科技的发展是一种潜在障碍,在他们看来,科技进步了,数据保护法和监管机构也必须跟上这种进步的步伐。
坡泽博士对第一财经记者表示:“数据保护法必须满足与技术进步同步发展的法规要求。当然,在使用新技术(例如区块链)的许多细节方面仍是模棱两可的,必须进一步对此澄清,以使企业能够开发完全符合GDPR要求的应用程序。”
第一财经:GDPR被称为世界上最严格的隐私和安全法。你怎么看目前GDPR在欧盟的执行情况?
GGV:大多数公司都很清楚他们需要遵守的GDPR的要求。比如,在GDPR生效前的2018年,各企业都忙于将这些要求落实到企业流程中去。当然,企业想要遵守GDPR的动机主要是来源于GDPR的严厉制裁:罚款可能高达2000万欧元,或者等同于该企业全球年营业额的4%。此外,许多公司也担心,他们可能会因为不遵守GDPR规定的义务,特别是在信息方面的要求,如在网站上提供隐私声明等,而被竞争对手警告或起诉。
我们的经验是,到目前,数据保护机构清楚,对于公司而言,遵守GDPR是一个巨大的挑战。同时,数据保护机构正在忙于处理他们收到的大量投诉。因此,他们不得不增加人手。
德国《商报》的一项调查显示,截至2019年初,德国的数据保护机构在全德国范围对41起案件开出了罚款。比如,德国巴登-符腾堡州的数据保护官员就对一起案件处以了8万欧元罚款,这是一起因内控机制短缺而在互联网上公开健康数据的案件。
法国数据保护局(CNIL)则以违反GDPR为由,对谷歌处以创纪录的5000万欧元罚款。此外,一些数据保护机构已经开始进行合规审计。例如,柏林的数据保护官员正在检查德国境内公司和其他组织的脸书粉丝页面是否符合GDPR的要求。因此,2019年是非常有趣的一年,在不合规问题上,这一年展示了数据保护机构有多严格。
第一财经:在具体实施过程中,企业对GDPR是否适应?不少专家提出,GDPR对于初创企业并不友好,过于严厉的保护制度对创新没有促进作用,你同意这种观点吗?
GGV:实际上,数据保护领域对企业来说并不是一个全新的领域。比如,在德国,目前在GDPR中存在的许多要求,以前一直都在德国相关国家法律之下。同时,GDPR在2016年就发布了,在经过两年的过渡期后于2018年5月25日生效。
这意味着,在GDPR正式生效前,各家企业都已经确定了需要优先落实的最重要问题:隐私政策应用、处理记录的维护、客户和员工关于处理个人数据的信息以及内部流程审核等。
数据保护机构和工作小组也就支持公司和简化实施过程的要求,发布了若干样本和详细信息指南。
而且,根据我们的经验来看,大多数公司都必须委任数据保护专员,这一点对于他们而言还是有利的。数据保护专员是专家,就内部和外部流程方面的数据保护事宜向公司提供建议,公司由此可以避免许多错误,减少因不遵守规定而受到制裁的风险。通常情况下,数据保护专员还扮演了“数据保护机构联络点”的角色,简化了与相关数据保护机构交流与沟通的程序。
综上所述,我们不同意GDPR对初创企业不友好的这种看法。的确,初创公司要遵守许多要求,但对这些初创企业来说,政府发布的各种指导文件都非常有用,且这些指导方针是免费提供给初创公司的。同时,各监管机关还出台了专门针对中小型企业的指导文件。
第一财经:所以,你不认为GDPR对现代技术的发展有潜在的阻碍作用?
GGV:GDPR并没有任何阻止技术进步的意图。GDPR只注意到这样一个事实,即必须始终平衡各方的正当利益。
因此,GDPR规定,处理个人数据需要有法律依据,如消费者的认可、履行合同的必要性或处理数据者的合法利益等。
而在一些情况下,正是数据保护在推动技术发展,比如区块链技术。我们认为,区块链在数据保护问题上有很大潜力,该技术使各方在交易敏感信息时,无需向另一方或公众披露身份。此外,在处理数据隐私方面,完全匿名或使用假名等要求也对技术发展有很高需求。
思考使用区块链或其他新技术的公司因此会经常考虑到GDPR的指导原则之一,即“隐私设计”的原则,以确保他们的数据库和应用程序的设计是适当的,并且是符合GDPR的。从根本上说,技术进步和数据保护监管是齐头并进的,二者缺一不可。在这方面,GDPR也可以被视为当前数据保护法规的“快照”,考虑到未来的技术进步,GDPR也必须进一步发展。
当然,目前,关于新技术使用的许多细节仍然不明确,必须得到进一步澄清。不过,数据保护机构对此非常清楚。举个例子,法国数据保护局就发布了关于区块链和GDPR的第一份指南。我们希望其他数据保护机构,在不久的将来也能跟进并明确解决与新技术使用相关的类似问题。