国际要闻 欧盟新隐私法GDPR将上路...

欧盟新隐私法GDPR将上路 美企业多未备妥

分享

【新三才编译首发】欧盟将于5月25日实施了一项前所未有的新数据隐私和安​​全法规,这引发了每一家处理欧盟公民数据的美国公司的需求,并引发决策者对美国企业面对此一即将出台规则准备程度的担忧。

这种担忧看起来很合适:信息技术贸易协会CompTIA最近进行的一项调查发现,美国公司很大程度上不熟悉他们在欧盟的「通用数据保护条例」(GDPR)下可能面临的要求。

新法规规定了处理和保护消费者数据的规则,并最高可以处罚相当于公司收入4%的潜在罚款。但是,CompTIA调查的近三分之二美国公司却还没有意识到如果违反该法规的可怕后果。

新法规还要求公司在违规行为发生后72小时内得通知消费者,这是比美国50个州的违规通知法规定的要求更严格的时间表。美国没有联邦统一的违规通知标准。

负责网络安全事件罚款承担的美国保险业一位消息人士称,「我们收到了很多来自客户的问题」。「这些问题提出的时机已经很迟了。我们将看到在欧洲披露的更多违规行为以及基于罚款和监管措施的更多保险索赔。」

欧盟比美国先行了几步,因此数据隐私要求尚未得到全面阐述。联邦贸易委员会(FTC)是美国隐私标准的执行者,根据具体情况确定公司是否采取「合理」措施保护消费者数据。

德州安全公司Forcepoint的首席科学家福特(Richard Ford)说:「现在对隐私权的政策有如一辆破损的火车,我们需要有一个被完整告知,且缓慢的对话来讨论这个总体原则。」

福特补充说,「我是GDPR的忠实支持者。对于我们来说,这是一个很好的机会,让我们能够有秩序地进行自己的活动,并就我是否应该收集并保存所有这些数据进行对话。」

美国商务部官员已经出现在美国商业团体之前,来提高美国公司对欧盟规则的认识,并提供一些保证,即现有被称为「隐私保护」(Privacy Shield)的跨大西洋数据交换架构,将有助于美国公司符合欧盟法规。

Privacy Shield是一种机制,用于确保美国公司遵守在国内与欧盟标准的隐私标准。目前已有2,800多家美国公司获得了Privacy Shield认证, 不过Privacy Shield认证是否可确保美国公司符合GDPR规定仍然有争论和猜测。

Forcepoint的总法律顾问霍姆斯(John Holmes)说:「讲Privacy Shield等于GDPR合规性是过于乐观了。如果你获得Privacy Shield认证,那会让你走在趋势前面,但你还没有到达那里(指符合GDPR)。」

FTC也指出,Privacy Shield并不意味着公司就符合GDPR。不过,美国官员强调川普政府对Privacy Shield的承诺是以其当成解决美国与欧盟隐私和数据安全问题的基础。

一名隐私律师指出,Privacy Shield与GDPR这两份文件都没有提供很多细节,因此给公司带来「灵活性和不确定性」,并留下了诸如什么构成「合理」安全措施等问题。

「也许美国政府可以发挥的最有效的作用是专注于Privacy Shield,帮助公司遵守隐私监督委员会等事情,这些事情在我们的控制之下。」律师说。「这对确定GDPR的含义并不确实有帮助,但它保持了Privacy Shield过程和与欧盟的对话,这很重要。」

Forcepoint的霍姆斯表示,遵守GDPR会有「重要的成本因素」,需要「额外的工具和手段」。

(编译:王明真)

(责任编辑:姜启明)

(文章来源:新三才编译首发)

留下一个答复

Please enter your comment!
Please enter your name here