令各大企业人心惶惶的《一般资料保护规范》(GDPR),上路至今即将届满两周年,这被评为“史上最严格”的隐私规范,过去这段时间来的成果如何?是成功遏止大企业不当取得人们信息,抑或是雷声大雨点小?
GDPR刚推出时可谓风声鹤唳,众多企业出面反对欧盟的严厉法条,甚至有美国媒体为避免受罚,干脆谢绝欧洲用户访问网站,诸如此类的消息显示,GDPR影响的层面非常广。
尽管当时令企业人人自危,但规范究竟只是一张纸,还是能真正约束企业作为的强力法条,终究取决后续监管单位的执法力度。
就在GDPR上线满两周年前夕,浏览器企业Brave发布一份研究报告,披露欧盟旗下多数会员国在实行GDPR方面,大多只是虚应故事,并未真正投入资源维护人民隐私,导致执法力度不高。
Brave是一间以维护隐私为主张的浏览器公司,由JavaScript设计者、前Firefox母公司首席执行官布兰登.艾克所创立,其产品能够阻挡网络广告,并防止网站恣意关注用户的足迹与浏览信息。
两年来仅Google被罚,Brave批欧盟无力监管科技巨头
GDPR限制企业在未经用户许可的情况下,擅自利用及分享其网络数据,并赋给政府裁罚权力,能对企业处以最高全球营收4%的罚款,或强制要求企业改变收集数据的做法,这套规范甚至成为日本、巴西等欧盟外国家的效法对象。
尽管给予会员国政府这么庞大的权力,在Google、微软、亚马逊、Facebook等诸多跨国科技巨头中,上路至今唯有Google被罚过5,000万欧元。尽管看似可观,这却只有Google每天营收的10分之1,当时便有许多观点认为,这些罚金对Google来说根本不痛不痒。
GDPR上路两年来,科技巨头中只有Google被裁罚,同时金额也被批对其不痛不痒。
如果没有公司受罚,是因为企业人人自律,视用户隐私为重,那无疑是最好的结果。但Brave并不认为如此,首席政策官强尼.莱恩(Johnny Ryan)指出,GDPR至今执行力低落,各国也没有分配适当的资源给相关单位,“如果没有强大的执行力与投入,这部法律就只是个空话。”
Brave花费数个星期调查欧盟各国在GDPR方面的人力配置及预算,指出除了英国、德国及意大利外,其余国家划拨给数据保护单位的年度预算都不足2,500万欧元。人力上也有所不足,超过20国为负责单位配置的科技专家都不足10人。
这并非Brave片面的结论,根据《纽约时报》报道,实际今年2月欧盟就曾对30个欧洲国家/地区实施GDPR的情形进行评估,其中21个国家坦承没有足够的资源履行职责。负责监督亚马逊的卢森堡,相关单位去年仅分配到570万欧元预算,这仅仅只是亚马逊10分钟的营业额。
Brave调查显示,除个别国家外,欧洲多国每年分配给数据保护单位的预算相当不足。
为保护数据划拨最多预算的德国,其相关单位负责人凯尔伯(Ulrich Kelber)指出,欧洲各国缺乏执行能力,“绝大多数欧盟国家都没有给数字保护单位分配足够资源。”
例如,被认为是监管科技巨头先锋的爱尔兰,不断削减拨给数字保护单位的预算,人数也逐渐减少,两年来从未替GDPR裁决出任何一个惩处。Google、苹果、Facebook、Twitter、LinkedIn等网络巨头的欧洲根据地,都位于爱尔兰。
《TechCrunch》指出,Brave在报告中下了一个结论:欧洲GDPR的执法人员没有能力调查科技巨头。
除了呼吁各国增加对数据保护单位的预算,以及广纳相关技术人才外,Brave也给予欧盟两点建议,希望他们能成立调查机构协助各国数据保护单位;并创建违规程序,问责未能确实履行GDPR的国家。
罚款不是唯一手段,监管单位有更多方法保护人们隐私
爱尔兰数据保护单位负责人迪克森(Helen Dixon)坦承,政府给予的预算相当不足,但声称爱尔兰对此相当努力,尽管结果可能并不如预期。对科技、数字产业的投诉众多,2018年就有超过1.2万起,负责单位必须对每个投诉进行处理。
爱尔兰监管单位强调,罚款不是对科技巨头做出管制的唯一手段。
虽然至今只有Google一家大型科技公司被裁罚,但并非相关单位没有采取任何行动,针对Twitter、Facebook等科技巨头的诉讼仍在进行其中,并且Twitter很可能是未来几个月内下一个遭受罚款的公司。
迪克森同时强调,监管单位能做的事不是只有开罚,他们也对科技巨头的产品有一定程度的影响力,她举Facebook的约会服务Dating为例,由于他们对这款App的数据收集方式提出质疑,社群巨头也因此延后App的推出。
外界所看到的、新闻报道披露的,或许都是最吸引目光、浅显易懂的“罚款”,但迪克森解释,监管单位于维护人们隐私、创造正面影响上有非常多种办法,罚款绝对不是唯一的手段。