“史上最嚴(yán)”數(shù)據(jù)保護(hù)法GDPR是如何失敗的？

大數(shù)據(jù)文摘轉(zhuǎn)載自AI科技評論

來源：infoq

編譯：核子可樂、燕珊

歐盟通用數(shù)據(jù)保護(hù)條例（General Data Protection Regulation，簡稱 GDPR）已經(jīng)四周年了。該條例最初生效于 2018 年 5 月 25 日，其為歐盟公民提供了針對個人信息保護(hù)和管理的嚴(yán)格準(zhǔn)則，并適用于任何處理歐盟公民數(shù)據(jù)的公司，且不管該公司在哪里，影響范圍非常廣。

自頒布日起，GDPR 就被認(rèn)為是“史上最嚴(yán)”數(shù)據(jù)保護(hù)法案，《連線》雜志一度形容其“GDPR 為未來十年的全球數(shù)據(jù)保護(hù)定下了基礎(chǔ)，它幾乎對科技公司用個人數(shù)據(jù)來賺錢的所有環(huán)節(jié)進(jìn)行了規(guī)定和限制?！?/span>

四年過去，《連線》最新發(fā)布的一篇題為“GDPR 是如何失敗的”的文章則直指其困境：這部全球領(lǐng)先的數(shù)據(jù)法確實改變了企業(yè)的運營方式，但它對科技巨頭的管理效果仍然相當(dāng)有限。

裁決效率低

從實施情況來看，GDPR 針對全球各大數(shù)據(jù)公司的總裁決量仍然非常低。

比如距離非營利性數(shù)據(jù)權(quán)利組織 NOYB 根據(jù) GDPR 發(fā)起首次訴訟，已經(jīng)過去了 1400 多天。這些指控主要針對包括谷歌和 Facebook 在內(nèi)的知名廠商，理由是其在未經(jīng)用戶適當(dāng)同意的情況下迫使其放棄個人數(shù)據(jù)。這紙歷史性的訴狀出現(xiàn)在 2018 年 5 月 25 日，也就是 GDPR 生效的當(dāng)天，但四年之后，NOYB 仍沒能等來最終判決，而且這也絕非個例。

根據(jù) GDPR 中的相關(guān)規(guī)定，在各歐盟國家 / 地區(qū)開展運營的企業(yè)一旦收到訴訟，案件通常會被移交至其歐洲總部所在的國家 / 地區(qū)。這種所謂一站式機(jī)制要求由歐洲總部所在國主導(dǎo)調(diào)查工作。例如，針對亞馬遜的訴訟就落在了盧森堡這個小國身上；荷蘭應(yīng)付的是 Netflix；瑞典有 Spotify；愛爾蘭的任務(wù)相對較重，需要負(fù)責(zé) Meta/Facebook、WhatsApp 和 Instagram，谷歌旗下各項服務(wù)，Airbnb、雅虎、Twitter、微軟、蘋果和 LinkedIn。

大量復(fù)雜的早期 GDPR 訴訟已經(jīng)給愛爾蘭監(jiān)管機(jī)構(gòu)造成巨大壓力，跨國協(xié)作則因繁瑣的文書工作而被迫放緩。根據(jù)監(jiān)管機(jī)構(gòu)自己發(fā)布的統(tǒng)計數(shù)據(jù)，自 2018 年 5 月以來，愛爾蘭監(jiān)管機(jī)構(gòu)已經(jīng)完成 65% 的跨境裁決案件，其中未決案件共 400 起。NOYB 針對 Netflix（荷蘭）、Spotify（瑞典）和 PimEyes（波蘭）發(fā)起的各案件則是拖延多年的典型。

而隨著 GDPR 落地時間的延長，罰款數(shù)額也在不斷增加，目前總計已達(dá) 16 億歐元（約合 17 億美元）。其中最大一筆，就是盧森堡去年對亞馬遜罰款 7.46 億歐元。另外，愛爾蘭也向 WhatsApp 開出了 2.25 億歐元的罰單。（兩家公司均表示將提出進(jìn)一步上訴。）

Helen Dixon 是歐洲 GDPR 執(zhí)法核心、愛爾蘭數(shù)據(jù)保護(hù)委員會（DPC）的一員，專門負(fù)責(zé)管理各類大型科技企業(yè)。長期以來，數(shù)據(jù)保護(hù)委員會一直消化不掉職能范圍內(nèi)收到的大量投訴，其無能表現(xiàn)甚至引起了其他監(jiān)管機(jī)構(gòu)的不滿，各界紛紛呼吁對委員會實施改革。但 Dixon 也有自己的苦衷，“如果所有事情同時堆在你的面前，那么要想維護(hù)這樣一套重要的法律框架，我們只能按優(yōu)先級處理事務(wù)，速度自然不夠理想?！彼瑫r提到，數(shù)據(jù)保護(hù)委員會需要從頭開始厘清 GDPR 的復(fù)雜立法思路，而且與之相關(guān)的很多新案例、新流程根本就沒有簡單的答案。

Dixon 進(jìn)一步解釋道，“我認(rèn)為在 GDPR 生效的前四年中，愛爾蘭數(shù)據(jù)保護(hù)委員會還是發(fā)揮了行之有效的作用。事實上，委員會已經(jīng)建立起新的法律框架，短短時間就將各項法條聯(lián)系在了一起，同時也以罰款和糾正措施等形式完成了多項重大制裁行動?！贝_實如此，這幾年間數(shù)據(jù)保護(hù)委員會曾在數(shù)千起全國案件中對 Twitter、WhatsApp、Facebook 和 Groupon 采取過措施。

而且，GDPR 的意義不僅是要做出罰款、命令公司改變，同時也在引發(fā)商業(yè)活動朝著好的方向發(fā)展。專家們認(rèn)為，如果沒有 GDPR 的落地，企業(yè)仍會像以前那樣肆無忌憚地濫用人們的數(shù)據(jù)。最近的一項研究估計，自 GDPR 誕生以來，谷歌 Play Store 中的 Android 應(yīng)用數(shù)量下降了三分之一，理由就是這些下架軟件無法有效保護(hù)用戶隱私。

但對于那些掌握著海量數(shù)據(jù)的大型科技巨頭，GDPR 合規(guī)就完全是另一個量級的工作了。

從現(xiàn)狀來看，Meta（原 Facebook）仍然難以遵守 GDPR。比如由外媒《Motherboard》獲得的一份 Facebook 內(nèi)部文檔就暗示，這家公司自己也不太清楚是如何處理用戶數(shù)據(jù)的。

根據(jù) Facebook 工程師所述，他們正在努力跟蹤用戶數(shù)據(jù)在其系統(tǒng)中的去向。然而，歐盟的 GDPR 等法規(guī)限制了像 Facebook 這樣的平臺如何使用他們的用戶數(shù)據(jù)。GDPR 法律規(guī)定，個人數(shù)據(jù)必須“為特定的、明確的和合法的目的而收集，并且不得以與這些目的不相符的方式進(jìn)一步處理”。

這意味著每條數(shù)據(jù)，例如用戶的位置或宗教取向，只能被收集并用于特定目的，而不能用于其他目的。Facebook 曾因在其"你可能認(rèn)識的人"功能中使用其用戶的電話號碼而受到批評。在被發(fā)現(xiàn)后，該公司最終不得不停止這種做法。

其工程師還用了一個形象的比喻來說明 Facebook 的困境：

想象一下，你手里拿著一瓶墨水。這瓶墨水是各種用戶數(shù)據(jù)（3PD、1PD、SCD、歐洲等）的混合物。你把這瓶墨水倒入一個湖（我們的開放數(shù)據(jù)系統(tǒng)；我們的開放文化）...... 它就會...... 各處。你如何把墨水放回瓶子里？你如何再次組織它，使它只流向湖中允許的地方？(3PD 指第三方數(shù)據(jù)；1PD 指第一方數(shù)據(jù)；SCD 指敏感類別數(shù)據(jù)）。

不過 Facebook 很快否認(rèn)了自己不清楚數(shù)據(jù)如何處理的說法。同樣地，2021 年底 WIRED 和 Reveal 網(wǎng)站在聯(lián)合調(diào)查中，發(fā)現(xiàn)亞馬遜的客戶數(shù)據(jù)處理方式存在嚴(yán)重缺陷。（但亞馬遜強(qiáng)調(diào)其在保護(hù)數(shù)據(jù)方面一直保持著“優(yōu)良”的傳統(tǒng)。）

德國聯(lián)邦數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)負(fù)責(zé)人 Ulrich Kelber 認(rèn)為，“GDPR 在約束大型科技公司方面仍然步履維艱。畢竟大型科技公司的案件肯定涉及跨境，這就要求通過一站式機(jī)制在多家數(shù)據(jù)保護(hù)機(jī)構(gòu)之間開展合作?！睂τ谶@類案件，一站式機(jī)制允許歐洲各監(jiān)管機(jī)構(gòu)對于牽頭機(jī)構(gòu)的最終決定發(fā)表意見、甚至提出質(zhì)疑。比如在其他監(jiān)管機(jī)構(gòu)介入后，愛爾蘭對 WhatsApp 的罰款也從最初的 3000 萬歐元增加到 2.25 億歐元。

一站式機(jī)制以 GDPR 為基礎(chǔ)，四年過去，GDPR 本身已經(jīng)暴露出很多需要改進(jìn)的部分。挪威數(shù)據(jù)保護(hù)機(jī)構(gòu)國際負(fù)責(zé)人 Tobias Judin 提到，他們每周都需要在歐洲各數(shù)據(jù)監(jiān)管機(jī)構(gòu)間分發(fā)好幾份裁定草案。Judin 表示，“在大多數(shù)情況下，對方都會表示同意。”（但德國提出的反對意見最多。）這些裁定往往需要在各監(jiān)管機(jī)構(gòu)之間往來多次，期間也受到官僚習(xí)氣的嚴(yán)重影響?！拔覀円苍诳紤]，對于那些同時影響歐洲多國的案件當(dāng)中，目前這種由一國單一數(shù)據(jù)保護(hù)機(jī)構(gòu)負(fù)責(zé)處理的方式是否有意義、是否具備可行性。”

法國數(shù)據(jù)監(jiān)管機(jī)構(gòu)則更傾向于直接追究企業(yè)如何使用 cookie，借此繞開繁瑣的跨國 GDPR 流程。雖然看似是一碼事，但煩人的 cookie 提示窗口其實并不歸 GDPR 管，而是受歐盟單獨的《電子隱私法》管轄。法國正好看準(zhǔn)了這一點，其監(jiān)管機(jī)構(gòu) CNIL 負(fù)責(zé)人 Marie-Laure Denis 就針對谷歌、亞馬遜和 Facebook 的 cookie 政策問題提出巨額罰款。更重要的是，此案讓大企業(yè)們改變了自己的行為。在本次執(zhí)法之后，谷歌在整個歐洲范圍內(nèi)更改了其 cookie 提示樣式。

Denis 表示，“我們看到數(shù)字生態(tài)系統(tǒng)正發(fā)生著真切而又具體的演變，這也正是我們希望看到的趨勢?！彼忉尩?，CNIL 接下來將研究如何根據(jù)《電子隱私法》管理移動應(yīng)用上的數(shù)據(jù)收集，并根據(jù) GDPR 管理云數(shù)據(jù)傳輸。Denis 認(rèn)為，以 cookie 為突破口進(jìn)行執(zhí)法并不單純是為了避免 GDPR 的冗長流程，而是想要有效解決問題?！拔覀?nèi)匀幌嘈?GDPR 的執(zhí)法制度，只是我們需要更好、更快地發(fā)揮執(zhí)法效力?！?/span>

去年，改變 GDPR 運作方式的呼聲越來越高。曾在 2012 年提議 GDPR 的政治家 Viviane Redding 在去年 5 月談到這個話題時，就曾表示“對于大事，執(zhí)法力度應(yīng)該更集中一些?！焙袈曋?，歐洲又相繼通過了兩大數(shù)字法規(guī)：《數(shù)字服務(wù)法》和《數(shù)字市場法》。這些法律更側(cè)重于競爭和互聯(lián)網(wǎng)安全，且執(zhí)法方式也與 GDPR 有所不同。在某些情況下，歐盟委員會會直接調(diào)查大型科技公司。從這個角度看，GDPR 的執(zhí)法似乎確實已經(jīng)跟不上時代主流，也坐實了之前政界人士們提出的執(zhí)行效率低下問題。

重新設(shè)計 GDPR 似乎實在沒多大必要，但做一點小小調(diào)整也許能有助于改善執(zhí)法。在歐洲數(shù)據(jù)保護(hù)委員會最近召開的一次數(shù)據(jù)監(jiān)管機(jī)構(gòu)會議上，各國同意為部分跨國案件設(shè)置固定的期限和時間表，并表示將努力“聯(lián)手”開展某些調(diào)查。

來自 Access Now 的 Massé表示，對 GDPR 做出一項小小修改，就足以顯著改善目前的一系列重大執(zhí)法難題。應(yīng)該通過立法保證各數(shù)據(jù)保護(hù)機(jī)構(gòu)以相同的方式處理投訴（包括使用相同的表格），明確規(guī)定一站式機(jī)制的運作方式，并確保各國家 / 地區(qū)的規(guī)程間能夠無縫對接。簡而言之，至少應(yīng)該闡明各個國家該如何實施 GDPR 執(zhí)法。

數(shù)據(jù)監(jiān)管機(jī)構(gòu)也基本支持這種觀點。來自法國的 Denis 認(rèn)為，監(jiān)管機(jī)構(gòu)應(yīng)該加快跨境案件的信息分享速度，以便各國監(jiān)管部門都能在相同的認(rèn)知基礎(chǔ)之上建立起非正式性共識?！袄?，委員會可以查看提交至數(shù)據(jù)保護(hù)機(jī)構(gòu)的資源，畢竟歐盟各成員國有義務(wù)為數(shù)據(jù)保護(hù)機(jī)構(gòu)提供履行職責(zé)所必需的充足資源。”而且與大型科技公司相比，監(jiān)管機(jī)構(gòu)在調(diào)查資源和執(zhí)行人手方面都嚴(yán)重不足，所以打通孤島就更顯得勢在必行。

來自愛爾蘭的 Dixon 也強(qiáng)調(diào)，“如果能夠針對 GDPR 發(fā)布特定的法律文書，明確規(guī)定某些流程和程序問題，那效果應(yīng)該會更好?！彼€補(bǔ)充道，新規(guī)定還應(yīng)該就調(diào)查期間查閱文件、訴訟原告方是否有權(quán)參與調(diào)查以及翻譯方式等問題給出回應(yīng)?！斑@些問題一直沒有共識性答案，所以導(dǎo)致案件長期延誤、各方深感不滿?！?/span>

各民間社會團(tuán)體還警告稱，如果不做出一些強(qiáng)有力的執(zhí)法改變，GDPR 最終可能無法阻止大型科技公司的惡劣行徑、更遑論提高人們的隱私意識。Ryan 認(rèn)為，“最需要解決的直接對象就是大型科技公司。如果我們不能搞定這些科技企業(yè)，那人們的隱私和數(shù)據(jù)權(quán)就永遠(yuǎn)得不到保障。”

四年過去，Massé說她對 GDPR 的實施效果雖然不滿、但仍然抱有希望?！癎DPR 沒能帶來理想中的效果，但我們該做的是不斷加以完善，而絕不是急著把它扔進(jìn)歷史的垃圾堆?！?/span>

參考鏈接：