欧洲隐私监管机构加强对商业数据处理的审查

欧洲隐私监管机构的工作不再仅限于调查数据泄露等未遵守《通用数据保护条例》的普通违规行为,现在正关注公司的商业模式,仔细审查它们的合同,以及考虑这项已有近五年历史的法律更微妙的用途。

欧洲隐私监管机构加强对商业数据处理的审查

欧洲隐私监管机构的工作不再仅限于调查数据泄露等未遵守《通用数据保护条例》(General Data Protection Regulation, 简称GDPR)的普通违规行为,现在正关注公司的商业模式,仔细审查它们的合同,以及考虑这项已有近五年历史的法律更微妙的用途。

隐私罚款范围已覆盖网络安全失误和滥用人工智能,监管机构还会处罚那些不要求长且复杂的密码来保护数据的公司。

律师事务所Fox Rothschild LLP的合伙人Odia Kagan表示,对技术细节的日益关注,加之企业对新技术的采用,意味着企业隐私管理人士需要不断重新评估他们如何满足GDPR的要求。

她说,遵守GDPR不是一次性事件。

在多年来一直抱怨缺乏适当执行GDPR的资金和人员后,监管机构如今正逐步获得更多预算。由监管机构组成的欧洲数据保护委员会(European Data Protection Board)去年9月公布的一项调查显示,87%的监管机构表示,没有足够的工作人员。一些办公室去年获得了更多预算并计划雇用更多专家,从而加强执法力度。

爱尔兰政府去年表示,该国监管部门的工作人员从2018年的110名增加到2022年底的估计258名。该监管部门负责监督许多大型跨国公司的欧洲业务,包括Alphabet Inc. (GOOGL)的谷歌(Google)和Meta Platforms Inc. (META)。爱尔兰司法部去年7月表示,为雇用两名专员和其他雇员,并应对“调查的复杂性”,该办公室2023年的预算增加到2,600万欧元(约合2,800万美元)。

瑞典监管部门的一名发言人说,计划在今年上半年招聘50名员工,其中包括法律、技术和网络安全专家。该国监管部门获得的用于2022年-2024年的资金有所增加。

企业做出调整

为遵守这项法律,许多企业已调整了部分数据方面的做法;在2018年生效时,许多企业高管认为,这项法律很繁琐,并带有高额罚款威胁。与不同行业跨国公司合作的独立数据保护顾问Barry Cook说,GDPR已逐渐迫使大家做出改变,比如,为遵守数据最小化规则,许多人力资源部门减少了保留求职者信息的时间。

他表示,由于法律要求在产品中建立隐私保护功能,而不是在产品上市之前才由隐私保护团队首次评估这些功能,企业现在也会更早和更加经常地让隐私保护团队和产品团队展开协作。

Cook说,过去,公司往往不甚清楚自己持有哪些数据,由此带来了隐私方面的风险且往往导致IT成本升高。他说:“这已经变得更容易了,因为公司看到了正面的附带效应。”

例如,在德国车企保时捷(Porsche),专门从事隐私相关工作的工程师会参与开发软件和设计内置隐私功能的产品。

瑞典的Embracer Group AB是多家电子游戏开发工作室的母公司,其隐私主管Tomas Hedman说,四年前,许多公司评估一些基本问题时会感到困惑,比如如何证明收集一些惯常做法所需要的个人信息是合理的,这些惯常做法包括监控公司网络以发现安全问题。

监控公司网络要取得员工的数据,但这些疑问现在得到了澄清,他说,一个原因是监管机构已经发布决定指引来解释具体议题。Hedman说,公司隐私事务负责人最初急于遵守GDPR的具体规定,随着时间的推移已经制定了把数据保护相关讨论纳入业务的程序。他说:“这已经从完全是法律层面的工作,变成一件与业务更紧密相关、更像是变革管理的事情。”

巨额罚单

去年11月,法国监管机构将Discord Inc.的网络安全惯例与其违反数据隐私规定的行为联系起来,对该聊天服务处以80万欧元的罚款,部分因为该公司接受仅含六个字符的密码。该监管机构认为这种密码保护能力太弱。为了满足该监管机构的建议,Discord调整了政策,要求密码至少含八个字符,其中至少含四种字符(小写字母、大写字母、数字和特殊字符)中的三种。如果用户尝试登录10次未果,则必须用验证码这种验证工具登录。

在今年1月初对Facebook母公司Meta Platforms的裁决中,爱尔兰的隐私监管机构深入调查了该公司的核心业务流程之一。该监管机构对Meta处以4.14亿美元的罚款,并做出了可能使该公司收集数据的难度大大增加的裁决。该监管机构说,Meta不能再凭借与用户签订的合同,声称如果用户接受合同条款,就表示他们同意分享自己的数据。

Meta对这一裁决提出异议,称裁决并不是要阻止定向广告,而是要消除围绕该公司如何证明数据收集的合理性的担忧。该公司表示,正在评估各种选择,以继续提供个性化的广告。

律师事务所Goodwin Procter LLP的合伙人Omer Tene说:“整个商业模式都半途而废了。”

欧洲隐私监管机构还将审查范围扩大到更多的科技领域,仔细审查影响隐私数据的技术细节。例如,匈牙利监管机构去年对Budapest Bank Zrt.处以2.5亿福林(约合68.2万美元)罚款,理由是该银行在与客户通话时使用人工智能软件来分析客户的情绪,但没有适当告知客户银行使用了该工具。

该监管机构在其裁决中称,人工智能需要特别关注,因为它会带来新的隐私风险,该银行需要获得消费者的明确同意,才能分析他们的声音。然而,该公司在隐私通知中告诉消费者,通话将被录音,却没有向消费者解释该银行所使用的人工智能分析工具。

Budapest Bank没有回应记者的置评请求。

华盛顿智库Future of Privacy Forum全球隐私事务副总裁Gabriela Zanfir-Fortuna说,随着监管机构在GDPR工作方面越来越有经验,它们更频繁地关注企业行为在多大程度上与GDPR的原则保持一致,而不是花费更多精力去关注企业是否遵守了某些要求,比如执行风险评估。

她说,一些监管机构正在涉足更复杂的调查类型,研究如何将这套隐私法应用到算法领域。

“这涉及到非常复杂的个人数据处理,”她说。

Leave a Reply