数据说话:GDPR实施首年产生的影响

距离2018年5月25日欧盟《通用数据保护条例》(GDPR)正式生效,已经过去了一年的时间,这一具有里程碑意义的隐私和网络安全监管法规已经在全球范围内产生了深远影响。它不仅提高了董事会层面的隐私和安全意识标准,还推动了未来几年大多数大型企业的安全和合规支出不断增加。

当然,对于该监管法规的实际效果仍然是争议的焦点。针对消费者的调查结果显示,许多欧洲公民仍然对他们迄今为止从GDPR保护条例中所获得的好处持怀疑态度;而针对企业的调查结果显示,合规性仍然是一项正在进行中的工作。

以下是一些最新的统计数据,这些数据可以为我们提供有关过去一年GDPR工作成效的直观展示:

一、企业预算大幅增加

有一件事是可以肯定的,就是企业正在将大量现金投入到持续的GDPR合规工作中。《福布斯》的报道甚至称GDPR为“90亿美元的商业整顿”,同时,IAPP和EY等行业消息来源也报告称,每个组织的平均支出将达到约300万美元,其中一半将在今年及以后实现。这些支出主要分布在如下一系列类别中:包括内部人员-时间(33%)、外部法律顾问(18%)、咨询(15%)、员工培训(12%)以及新技术解决方案的开发(22%)等等。

许多专家预测,这种针对持续性GDPR合规的长期预算影响将继续存在。其中,美国公司的持续支出表现将尤为突出,虽然在美国并没有一部像GDPR一样的法律,但在美国的数据保护以及数据采用等法案中,有关隐私和数据使用的一些基本原则也是始终贯穿的。根据IDC的说法,GDPR计划对美国的“最大支出影响”预计将出现在2020年。与此同时,Thomson Reuters去年年底进行的另一项调查也发现,大约38%的合规预算专门用于GDPR项目。

二、在GDPR合规性方面花费的时间将保持高水平

由于许多隐藏的人力成本,GDPR的持续支出通常很难规划——特别是当组织尚未自动化其所有合规流程和数据流时。根据DataGrail公司本月早些时候发布的一项研究表明,2/3的组织将25名甚至更多的员工用于管理GDPR项目,且80%的人在该法规正式生效前每月至少要碰好几次面进行沟通协作。

但是早期的大部分努力可能都是短期的权宜之计而已。根据调查显示,70%的组织表示他们早期的GDPR合规性解决方案可能并不适用于未来的发展,因为监管机构会加大力度,消费者投诉和数据要求也会加剧。有意思的现象是,从GDPR正式生效以来,决策者维持GDPR合规性所花费的时间与准备GDPR的时间相比似乎没有太大变化。

三、阻碍合规性和隐私进展的因素仍然存在

即使花费了所有资金,且全世界都在为GDPR合规性投入人力和时间,但一年后,阻碍合规性和隐私进展的因素仍然存在于大多数组织之中。例如,Talend公司进行的一项调查发现,70%的公司无法履行GDPR隐私政策中规定的向其消费者提供的数据访问级别;此外,Thomson Reuters进行的调查也发现,全球48%的组织未能满足GDPR合规性要求。

与此同时,ImmuniWeb研究人员发布的一项研究还发现,在欧洲前100个访问量最大的网站中,甚至是遵守GDPR最简单的网站隐私和安全要求也难以实现。例如,超过一半的这些网站缺少或难以找到隐私政策,且几乎80%的网站使用了不安全的cookie来处理潜在的敏感数据。

四、注册数据保护官(DPO)持续增加

尽管在GDPR的实施过程中还有更多的工作要做,但好消息是组织中数据保护官(DPO)的数量正在随着GDPR项目的推进而不断增长。根据IAPP本月发布的数据显示,目前在28个欧盟成员国的12个国家中,约有376,306个组织注册了DPO,据此该行业组织推断,整个欧洲的DPO注册总数应该达到了500,000的预估值。

该组织还报告称,过去一年中所有隐私专业人员的人数都呈现了增长趋势。注册成为DPO的通常是首席隐私官,据IAPP报告,这些首席隐私官的平均薪水为220,000美元。然而,并非所有DPO都出自首席隐私官,据统计,这些隐私决策者的平均工资仅为88,000美元。这个薪资金字塔表明,许多初级DPO仍然需要更多的培训和经验来提升他们自身在组织内的地位和话语权,以便更好地发挥自身作用。

IAPP首席执行官Trevor Hughes表示,

“仅仅是任命一名DPO是远远不够的。组织还需要确保该DPO是经过培训并且有能力解决我们这个时代的技术政策问题之一:保护隐私和个人数据。”

五、执法行动迅速开展

与此同时,欧洲数据保护委员会(EDPB)和欧洲监管机构(SA)的执法行动也已经全面展开,甚至开出了天价罚单以儆效尤。据悉,在GDPR正式生效的一年中,EDPB已经登记了446起跨境案件。单就欧洲境内而言,SA也已经登记了超过281,000个案例,包括超过144,000个消费者投诉和超过89,000个数据泄露通知。EDPB报告称,在这些案件中,约有63%已被关闭,另外37%仍在进行中。

2018年11月份,7个欧洲国家消费者团体集体投诉谷歌公司,指控其违反GDPR规定秘密追踪数百万用户的移动位置。2019年1月21日,谷歌收到了GDPR生效以来开出的第一张欧盟国家罚单,法国数据监管部门以“谷歌个性化广告方面缺乏透明度、充分的告知和有效的同意”为由对其罚款5000万欧元。2019年2月,德国反垄断监管机构认定FaceBook滥用其市场地位收集、融合和利用用户数据,勒令其停止收集一些用户数据,并停止融合旗下不同APP的用户数据。至今为止,包括苹果、谷歌、亚马逊、FaceBook、Netflix、Spotify、Twitter、YouTube、Flimmit等在内的诸多互联网企业均已遭到调查。

Thomson Reuters报告指出,总体而言,全球约有50%的组织受到了某种执法行动的制约。根据IAPP发布的数据显示,GDPR执法行动已经导致超过56,000,000欧元(6240万美元)的罚款。

六、消费者意识增强,但人们仍持怀疑态度

同时,在GDPR旨在保护的消费者中,有关GDPR隐私保护的意识正在显著增加。欧洲数据保护委员会(EDPB)报告称,在过去四年中,听说过“其国家有公共权力负责保护数据隐私权”的欧盟公民比例增长了20个百分点;有67%的欧盟公民报告称他们至少听说过GDPR。

但与此同时,这些欧洲公民中仍有许多人对GDPR的好处持怀疑态度。TrustArc和Ipsos公司发布的一份调查报告显示,只有不到一半的英国公民行使了GDPR权力,例如选择取消cookie安装或限制公司使用自己的个人数据。自GDPR于一年前生效以来,只有约36%的人表示他们更信任持有他们个人数据的公司。此外,Ogury进行的一项更广泛的调查发现,在全球超过280,000名消费者中,55%的人表示,即便GDPR的数据透明度规定已经通过,他们仍然无法更好地理解公司如何使用他们的数据。

*参考来源:darkreading,米雪儿编译整理

发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注