GDPR要求讓每個人都撕掉他們的頭發(fā)是數(shù)據(jù)主題訪問請求

通用數(shù)據(jù)保護條例將于5月25日生效，沒有人準備好 - 不是公司，甚至不是監(jiān)管機構(gòu)。

經(jīng)過四年的審議，歐洲聯(lián)盟于2016年正式通過了“通用數(shù)據(jù)保護條例”(GDPR)。該法規(guī)為公司提供了兩年的合規(guī)性，這在理論上是充足的時間來實現(xiàn)船形。現(xiàn)實更加混亂。像學期論文和納稅申報表一樣，有些人會盡早完成，然后是我們其他人。在今天與歐洲議會的會晤中，馬克扎克伯格表示Facebook將在截止日期前符合GDPR標準，但如果是這樣，該公司將成為少數(shù)。“很少有公司會在5月25日達到100%的合規(guī)水平，”聯(lián)合萊克斯公司的律師兼首席隱私官杰森·斯特拉特說道，該公司為企業(yè)設(shè)立了GDPR合規(guī)計劃。“公司，特別是美國公司，在上個月肯定會爭先恐后地做好準備。”在4月份由Ponemon Institute進行的一項對1,000多家公司的調(diào)查中，有一半的公司表示他們不會在截止日期前遵守規(guī)定。 。按行業(yè)劃分，60%的科技公司表示尚未做好準備。

GDPR是一套雄心勃勃的規(guī)則，涵蓋從要求到通知監(jiān)管機構(gòu)有關(guān)數(shù)據(jù)泄露(在72小時內(nèi)，不低于)的透明度，以及用戶對收集的數(shù)據(jù)及其原因的透明度。“多年來一直如此，'我們可以欺騙人們提供多少數(shù)據(jù)?' 并且'我們將在以后弄清楚如何使用它!' 在GDPR下，這不再是一種可接受的操作方式，“Straight說。

“有些公司我們已經(jīng)談過，他們說，'你在開玩笑吧?如果我們告訴他們我們?nèi)绾问褂盟麄兊臄?shù)據(jù)，他們從來沒有把它給我們，“Straight說。“我有點像，'是的，這就是重點。'”

但也許GDPR要求讓每個人都撕掉他們的頭發(fā)是數(shù)據(jù)主題訪問請求。歐盟居民有權(quán)要求查閱公司收集的個人信息。這些用戶 - 在GDPR用語中稱為“數(shù)據(jù)主體” - 可以要求刪除他們的信息，如果不正確則要更正，甚至以便攜式形式發(fā)送給他們。但是這些數(shù)據(jù)可能在五個不同的服務(wù)器上，并且上帝知道有多少格式。(這假設(shè)公司甚至知道數(shù)據(jù)首先存在。)成為GDPR兼容的很大一部分是建立內(nèi)部基礎(chǔ)設(shè)施，以便可以響應(yīng)這些請求。

問題的一部分是公司是如何建立的，其中一部分是“個人信息”是一個愚蠢的類別。姓名，電子郵件地址，電話號碼，位置數(shù)據(jù) - 這些是顯而易見的。但后來有更多模糊的數(shù)據(jù)，比如“一個傾斜的參考，就像生活在東18街的高個子禿頭男人一樣。如果有人在電子郵件中說，這將是您需要向我提供GDPR下的訪問權(quán)限的信息，“Straight說。

對于已經(jīng)原則下經(jīng)營的公司“提取盡可能多的數(shù)據(jù)可能和后來弄明白，”下GDPR重組是很像的一個小插曲囤積者，尤其是那些發(fā)作在囤積者沒有完成清洗和大家的一個最后哭了起來。

在某些方面，這是不可避免的結(jié)果。一年前，61%的公司甚至沒有開始實施GDPR。Straight表示，總的來說，歐洲公司 - 尤其是德國和英國等國家，那些存在與GDPR重疊的隱私法律的公司 - 已經(jīng)有更好的時間進行調(diào)整。(盡管如此，今年1月的一項調(diào)查發(fā)現(xiàn)，四分之一的倫敦企業(yè)甚至不知道GPDR是什么。)

公平地說，GDPR作為一個整體有點復雜?？屏_拉多大學博爾德分校的人類學和信息科學教授艾莉森·酷在“ 紐約時報”上寫道，法律“非常復雜”，對于試圖遵守法律的人來說實際上是不可理解的。她采訪過的科學家和數(shù)據(jù)管理人員“懷疑絕對合規(guī)是否可能”。

這并不是一個令人愉快的立場，因為GDPR可以允許監(jiān)管機構(gòu)對違反GDPR的全球收入高達4%的公司進行罰款。從正確的角度來看，亞馬遜上4%的罰款將是70億美元。(有趣的是，由于像亞馬遜這樣的公司報告了巨額收入和相對較小的利潤，因此4%的罰款可能會使他們損失超過兩年的利潤。)

GDPR的沉重打擊可能促使Peter Thiel指責歐洲制定了保護主義法律制度。“歐洲沒有成功的科技公司，他們嫉妒美國，所以他們正在懲罰我們，”泰爾在3月份紐約經(jīng)濟俱樂部的一次談話中說道。

由于GDPR的大部分內(nèi)容都很模糊，它在實踐中的運作方式取決于監(jiān)管機構(gòu)的做法。最終，規(guī)范將出現(xiàn)：監(jiān)管機構(gòu)將追究誰，他們將對什么樣的行為征收何種懲罰，以及他們將從違法者中提取的全球收入的4%。

一般的假設(shè)是，當最后期限到來時，歐洲監(jiān)管機構(gòu)將把它視為一個軟開放，讓公司在蜜月期間變得容易，而每個人都會弄清楚法律是如何運作的。但監(jiān)管機構(gòu)無法完全控制5月25日將要發(fā)生的事情，因為部分GDPR是用戶驅(qū)動的。

如果歐盟居民提交數(shù)據(jù)主體請求，公司有30天的時間來回復。假設(shè)一家公司獲得了這些請求之一，但它們?nèi)匀徊煌耆螱DPR標準，并且根本無法響應(yīng)。如果公司沒有回復，那么數(shù)據(jù)主體可以向當?shù)乇O(jiān)管機構(gòu)提出投訴。

GDPR要求監(jiān)管機構(gòu)采取措施來執(zhí)行法律。這可能不是4%的罰款，但他們不能直接將投訴轉(zhuǎn)發(fā)給廢紙簍。“如果他們在第一個月受到10,000次投訴的打擊，他們就會遇到麻煩，”Straight說。本月早些時候路透社調(diào)查的24家歐洲監(jiān)管機構(gòu)中有17家表示，他們尚未準備好通過新法律生效，因為他們還沒有資金或法律權(quán)力來履行其職責。

可能會對監(jiān)管資源造成壓力的另一項GDPR規(guī)定是數(shù)據(jù)泄露通知要求。公司必須在發(fā)現(xiàn)后72小時內(nèi)通知相關(guān)數(shù)據(jù)保護機構(gòu)，但監(jiān)管機構(gòu)之后所做的事情并不完全清楚。監(jiān)管機構(gòu)可能還沒有準備好審計公司的安全性，或者弄清楚如何做以保護受違規(guī)行為影響的歐盟居民。但是，他們還是要做點什么。他們可能在如何回應(yīng)方面有一定的靈活性，但GDPR不允許他們什么都不做。

GDPR只適用于歐盟和歐盟居民，但由于許多公司在歐洲開展業(yè)務(wù)，美國科技行業(yè)正在爭先恐后地符合GDPR標準。盡管如此，盡管GDPR的首次亮相必將是混亂的，但該規(guī)則標志著全球數(shù)據(jù)處理方式的巨變。歐洲以外的美國人無法提供數(shù)據(jù)主題訪問請求，他們也不能要求刪除他們的數(shù)據(jù)。但無論如何，GDPR合規(guī)將對他們產(chǎn)生溢出效應(yīng)。特別是違規(guī)通知要求比美國的要求更嚴格。希望隨著公司和監(jiān)管機構(gòu)解決問題，GDPR的高度隱私保護將變得像往常一樣。與此同時，它只是一個瘋狂的爭奪，以跟上。