GDPR已满5岁,但仍然存在缺陷:我们该怎么办?
欧盟GDPR五周年,仍存在问题:该如何解决?
发布于2023年5月18日,作者:Glyn Moody
欧盟的隐私旗舰法规《一般资料保护条例》GDPR已经满五年。它毫无疑问地对隐私界产生了深远的影响,这在PIA博客上的许多报导中都有所证明。
尽管取得了一定的成就,GDPR仍面临不少批评。例如,许多人将在访问新网站时弹出的隐私通知责怪于GDPR。事实上,这些弹出窗口并不必要,它们的存在只是因为网站希望以此打扰您,以促使您接受较少的隐私保护来摆脱这些干扰信息。
更严重的批评是,即使五年过去,GDPR对科技巨头的罚款仍不够多,而这些公司依然在大规模地进行网路监控,主要是为了满足以广告为基础的商业模式。有观点指出,欧盟资料保护机构DPA资金不足,无法进行必要的工作,来推动成功的大型案例。
GDPR是否只是对科技巨头的麻烦?
在讨论GDPR缺陷时,隐私专家Max Schrems的名字经常被提到。他的组织noybeu为庆祝GDPR的五周年制作了一些有用的新资源。这些资源包括有关noybeu工作的统计数据以及欧盟资料保护机构的情况。
noyb提供了有关GDPR真正问题的宝贵见解。例如,尽管noybeu已经对多家公司提起了惊人的800起GDPR案件,但绝大多数案件仍然待决:
249起待决6到12个月492起待决18到24个月133起待决2到3年33起待决3年或更久称GDPR“失败”尚为时尚早,因为有数百起案件仍在进行中。然而,数年后仍未解决的案件显示出一个明显的问题需要解决。
关于每个欧盟国家的noybeu资源也揭示了资金和人力资源的问题。例如,德国有1155名员工在资料保护机构工作,2022年的总预算为114亿欧元。意大利则只有131名在“个人资料保护监管机构”工作的职员,2021年的预算为3560万欧元。
或许最重要的国家报告是关于爱尔兰,因为在GDPR世界中,爱尔兰占有特殊地位。每个GDPR案件都有一个“主导”机构,这取决于相关公司的所在地。从这点上看,便不难理解GDPR存在缺陷的原因。
爱尔兰以吸引和依附世界顶尖互联网公司而闻名,如Google包括YouTube、Meta包括Facebook、Instagram、WhatsApp、Apple、TikTok、Twitter和Microsoft包括Linkedin、Xbox。因此,当这些公司的资料保护问题出现时,投诉需要由爱尔兰资料保护委员会DPC处理,该机构在PIA博客上多次被提及。
海豚加速器官方GDPR的缺陷:爱尔兰偏向大型科技公司
noybeu对爱尔兰的检讨非常尖锐。该文件声称,自GDPR实施以来,DPC收到的投诉总数达到19581,但在五年内仅做出37项正式决定,其中只有八项是基于投诉,这意味著“只有004的投诉导致了DPC的正式决定”。它指出,DPC仅进行“纯粹的文件审查”:
与许多其他DPA一样,DPC通常不会对事件进行调查,而只是依赖公司的陈述。没有传唤证人,也没有现场调查,这使得公司容易逃避GDPR违规。
Noybeu还指责爱尔兰DPC“程序管理不善”,写道:
DPC经常会生产“草案报告”、“最终报告”、“初步草案决定”或“草案决定”,并附带额外的“附表”和无数信件在单一程序中均可能出现。这种方法即便对简单的法律问题,也可能导致超过5000页的资料。
其他有关DPC的问题在爱尔兰公民自由委员会ICCL的一份新报告中包含,其中题为“五年:GDPR的危机时刻”。例如,ICCL指出,爱尔兰DPC根据爱尔兰法律的自由裁量权,选择以“和解方式”处理其中83的跨境投诉。ICCL还指出:
爱尔兰资料保护委员会在EU案件中的75的GDPR调查决定被其欧洲同行在欧洲资料保护委员会以多数票驳回,后者要求更严格的执法行动。只有另一个国家,在一个单独的案件中,曾以相同方式被驳回过。
这些来自noybeu和ICCL的统计数据显示,DPC在处理GDPR投诉方面确实存在严重问题。
在制定GDPR时,并未考虑到大多数顶尖互联网公司的欧洲总部位于爱尔兰。爱尔兰经济对这些数字平台税收的高度依赖,无疑导致了DPC难以对它们进行严格执法的氛围。
或许是时候考虑采用一种集中的、全欧盟的方式来处理投诉,这样GDPR才能真正实现其保护隐私的潜力。在此期间,noybeu已经制定了一份草拟程序规则,旨在帮助DPA更好地合作,并更加严格地执行EU法律。
购买PIA VPN
特别感谢Petr Kratochvil提供的图片。
