大约一年前,欧盟通过了全世界最严格的个人隐私保护法律,对全球互联网带来重大影响,如今,欧盟以及各成员国的监管机构开始对互联网公司的相关行为是否符合数据保护法展开调查。据外媒最新消息,爱尔兰数据保护机构已经代表欧盟对美国社交网络巨头脸书(Facebook)展开调查,调查项目一共有11个,也是迄今为止最大规模的个人隐私违规调查。
据国外媒体报道,需要指出的是,包括脸书、谷歌、微软、推特、苹果、LinkedIn、Airbnb和Dropbox在内的大多数美国主要科技公司都在爱尔兰注册机构处理个人数据。因此,监管这些美国公司是否遵守欧盟2018年5月开始的“欧盟通用数据保护法”的责任落在了爱尔兰的数据保护委员会身上。
自从欧盟(EU)新的数据保护规定一年前生效以来,社交媒体巨头脸书及其子公司Instagram和WhatsApp一直是爱尔兰共和国大多数数据调查的对象。爱尔兰数据保护委员会表示,它已经启动了19项合规性调查,其中11项调查的目标是脸书公司旗下的脸书平台、移动聊天工具WhatsApp和图片共享工具Instagram。
推特和LinkedIn也在接受调查,上周,该委员会向谷歌发起了一项调查,调查其使用个人数据提供定向广告的行为。
此前,法国数据监管机构CNIL对谷歌公司处以5000万欧元(合5600万美元)罚款,理由是“在广告个性化方面缺乏透明度、信息披露不足和没有获得用户的有效同意”。
谷歌正在对这一决定提出上诉。
爱尔兰数据保护委员会的九项调查是在个人或企业提出申诉后启动的,十项调查是由该委员会自己发起的。
最常见的问题是处理个人数据的法律依据、公司如何收集个人数据缺乏透明度以及人们获取个人数据的权利。
该机构通信主管格雷厄姆·多伊尔(Graham Doyle)表示:“自欧盟数据保护法问世以来,个人对自己数据权利的认识大幅提高。”
多伊尔表示,这导致投诉数量急剧上升,从2017年的2500起增加到现在的6500多起。
爱尔兰政府旗下这个有27名工作人员的办公室不得不扩充到130多人。多伊尔预计,在未来一年左右的时间里,这一数字最终将升至200多人。
脸书公司的一位发言人说:“我们花了18个多月的时间来确保我们遵守数据保护法。我们使我们的政策更加清晰,我们的隐私设置更易于查找,并为人们提供了更好的工具来访问、下载和删除他们的信息。我们与爱尔兰数据保护监管机构保持密切联系,以确保我们回答他们可能提出的任何问题。”
什么是欧盟通用数据保护法
“通用数据保护法”于2018年5月生效,这一法律在互联网公司如何收集、使用和存储个人数据方面给予欧盟公民更多的权利。
消费者有权要求互联网公司提供所采集个人资料的副本,他们必须在一个月内提供这些信息。
这些数据必须易于理解,而且还应该以机器可读的格式显示,以便客户可以将其所有数据传输给服务提供商的竞争对手。
消费者可以要求更正任何不正确的数据,也可以要求删除整批数据(如果我们想要的话)。
互联网公司有责任保护用户的数据安全。如果有任何数据被盗或在不知情的情况下与未经授权的组织共享,企业必须在72小时内通知所在国家政府数据监管机构。
数据隐私专家、DMH Stallard律师事务所合伙人安东尼·李(Anthony Lee)表示:“在脸书的剑桥分析公司丑闻和其他广为人知的数据泄露事件之后,大型科技公司目前确实成为了聚光灯下的焦点。”
他补充说:“这些大型科技公司中许多都面向消费者提供服务,因此掌握了大量个人数据,但它们来自美国,美国没有欧洲那样严格的个人隐私保护法。”
“如果他们不能很好地适应欧盟数据保护法提出的要求,那么现在肯定必须这样做了。”
根据国际隐私专业人士协会(IAPP)的数据,对欧盟通用数据保护法违规行为的罚款现已高达5600万欧元。针对公司的单次罚款最高可达2000万欧元,相当于年营业额的4%。
“在第一年,我们已经看到数以万计的投诉和数据泄露事件,”IAPP副总裁兼首席知识官OmerTene说,“但我们还没有看到太多证据表明欧盟通用数据保护法改善了相关公司的数据操作。”
IAPP估计,各公司或组织已经任命了50多万名名数据保护工作人员,专门负责处理与欧盟通用数据保护法有关的问题。但是该机构认为,许多公司仍需要做更多的工作,以使自己完全符合法律要求。
Cooley律师事务所合伙人安·贝维特(Ann Bevitt)认为,尽管一些公司“推动了围绕隐私和数据保护的企业文化的大规模改变”,但其他许多公司“在实践中几乎没有或根本没有发生什么变化”。
在欧盟通用数据保护法生效一年后,她警告称,“在某种程度上,尚未感受到影响,因为我们还没有看到重大的执法活动,无论是在数量上还是在数量上”。
随着已完成的调查(以及潜在的政府罚款)数量的增加,这种情况在未来一年可能会发生变化。
需要指出的是,由于有一段时间的滞后期,因为政府机构的调查可能需要几个月的时间。在数据保护监管部门得出结论之前,需要征求各方的意见。然后,该决定必须分发给所有其他欧盟数据保护机构批准。
被调查的公司有权对最终决定提出上诉。
多伊尔预计,爱尔兰数据保护专员海伦·迪克森(Helen Dixon)预计将在7月或8月前公布她对一些案件的裁决,最终裁决将在今年年底做出。
大型科技公司可能会在一段时间内感受到这股让他们煎熬的热浪。(腾讯科技审校/承曦)