原标题:GDPR生效一年后的影响

欧盟新的隐私法《通用数据保护条例》(GDPR)于2018年5月25日生效。一年后,越来越多的证据表明,法律没有产生预期的结果;此外,不明确的后果也比较严重和普遍。

具体来说,证据表明GDPR:

1、对欧盟的经济和企业产生负面影响

2、消耗公司资源

3、伤害欧洲的科技创业公司

4、削弱数字广告行业的竞争

5、企业实施起来过于复杂

6、无法增加用户之间的信任

7、对用户的在线访问产生负面影响

8、过于复杂以至消费者难以理解

9、并没有在成员国之间得到一致的实施

10、使监管机构的资源紧张

GDPR对欧盟经济产生负面影响

在2018年7月接受调查的539名来自欧洲、非洲和中东的并购(M&A)专业人士中,有55%的人表示,由于担心公司违反GDPR合规要求,他们从事的交易没有完成(Merrill Corporation,2018年)。

德国最大的贸易协会Bitkom的一项调查中,四分之三(74%)的受访者表示,数据保护要求是新技术发展的主要障碍——相比之下,2018年的障碍为63%,2017年的障碍为45%(Bitkom,2019)。

GDPR消耗公司的资源

超过40%的公司,包括在欧盟有数据业务的美国公司,在合规工作上花费了1010万美元(900万欧元)( PriceWaterhouseCoopers,2017年)。公司报告称,2017年在GDPR合规性方面平均支出130万美元(120万欧元),预计2018年将再支出180万美元(160万欧元)(IAPP and Ernst & Young,2018年)。

《全球财富》500强可能已经为GDPR花费了约70亿欧元的合规成本(Forbes,2018)。根据2018年10月的一项调查,大多数任命了数据保护官的公司(52%)表示,他们设立数据保护官只是出于合规原因,而该角色并没有提供有价值的业务功能(IAPP and Ernst & Young,2018年)。

已经创建了在线工具来使GDPR武器化,以对付公司,例如让企业承受GDPR授权的数据请求过载,这些请求必须在30天内得到处理,目的是“浪费公司的时间”(ShipYour Enemies GDPR,2019)。

GDPR对欧洲科技创新企业的伤害

在2018年5月至2019年4月期间,欧盟科技公司的风险投资总额平均每月每个成员国减少了1,410万美元(1,250万欧元)(Jia,Jin and Wagman,2019年5月)。在2018年5月至2019年4月期间,欧盟科技公司的月度风险投资额减少了26.1%,他们筹集到的资金平均减少了33.8%(Jia,Jin and Wagman,2019年5月)。

2018年5月至2019年4月期间,对于年轻的欧盟企业(即3至6岁的企业),每月风险投资额减少了20.5%,每个成员国每月投资额减少了440万美元(390万欧元)(Jia,Jin and Wagman,2019年5月)。

在2018年5月至2019年4月期间,欧盟新兴企业(即三年或更短时间)的月度风投额下降了30.3%,每个欧盟成员国的月度投资额下降了520万美元(460万欧元)(Jia,Jin and Wagman,2019年5月)。

对业务活动“与数据相关度更高”的欧盟企业,2018年5月至2019年4月期间,风险投资额减少了30.7%,每个成员国每月投资额减少了430万美元(380万欧元);而对于“与数据相关度较低”的企业,风险投资额减少了15.5%,对其每月总美元金额没有显著影响(Jia,Jinand Wagman,2019年5月)。

在2018年5月至2019年4月期间,医疗保健部门的交易数额下降了26.1%,金融部门下降了21.3%,信息技术部门下降了32.4%(Jia,Jin and Wagman,2019年5月)。

2018年5月至2019年4月期间,每个成员国市场对医疗保健部门的每月投资额减少了790万美元(700万欧元),对金融部门的每月投资额减少了680万美元(600万欧元),对信息技术部门的每月投资额减少了820万美元(730万欧元)( Jia,Jin and Wagman,2019年5月)。

由GDPR引起的对初创企业投资额的减少,可能导致欧盟每年失去约30000个工作岗位(Jia,Jin and Wagman,2019年1月)。

GDPR削弱了数字广告行业的竞争

广告供应商已经失去了在欧盟的市场份额,尤其是小企业——它们在2018年4月至7月间损失了18%至31% (WhoTracks.Me,2018)。在欧盟后GDPR时代,所有类型网站的广告供应商数量总体下降了3.4%,相比之下,美国的广告供应商数量增加了8.3%。(WhoTracks.Me,2018)。

从2018年5月到2018年7月,用以跟踪记录广告转化率的代码指标显示,“谷歌更多地被使用,Facebook的广告转化率下降了7%,而最小的公司下降了32%”(Wall Street Journal,2018年)。

GDPR对企业而言实施起来过于复杂

在2018年10月对数据保护专业人员进行的一项调查中,超过一半(56%)的受GDPR影响组织的受访者表示,他们的组织远未达到合规的标准,或者永远不会合规(IAPP and Ernst & Young,2018年)。

在2018年10月对数据保护专业人员的一项调查中,五分之一(19%)的受GDPR影响的组织受访者表示,完全遵守GDPR法规是不可能的(IAPP and Ernst & Young,2018年)。

在2018年10月对数据保护专业人员进行的一项调查中,在受GDPR管辖的组织中,三分之一(32%)的受访者表示要么没有建立主要的数据监管机构,要么不知道自己的公司是否已经建立了类似的监管机构(IAPP and Ernst & Young,2018年10月)。

2018年9月,英国ICO披露,在它每周收到的500个报告数据泄露的公司的电话中,有三分之一没有达到其报告阈值(ICO,2018)。在2018年10月对数据保护专业人员进行的一项调查中,受GDPR管辖的组织中的大多数受访者(55%)担心GDPR法律与其他国家法律之间会产生冲突。其中46%的受访者位于欧盟,68%的受访者位于美国(IAPP and Ernst & Young,2018年)。

GDPR无法增加信任

被欧盟奉为数据保护规则黄金标准的GDPR实际上对数字经济中的消费者信任没有影响:在它生效六个月后,消费者对互联网的信任达到十年来的最低点(European Commission,2018)。

五分之四(81%)在网上提供个人信息的欧洲人认为他们无法控制或部分控制这些信息(European Commission,2019年6月)。

与2015年相比,现在有9个欧洲国家的互联网用户认为他们不太可能对自己的个人信息进行控制,5个国家的互联网用户认为他们可能对自己的个人信息有部分控制,其余国家没有变化(European Commission,2019年6月)。

欧洲委员会发现,“在国家一级,对GDPR的认识和受访者对他们在网上发布的个人信息的控制程度之间没有一致的关系”(European Commission,2019年6月)。

GDPR对用户的在线访问产生负面影响

GDPR条约生效两个月后,三分之一的美国最大的新闻网站不得不封锁进入欧盟的渠道,因为它们还没有做好合规的准备(Nieman Lab,2018年)。

截至2019年3月,仍有1129个美国新闻网站被封锁,其中包括普利策奖获奖出版商,例如《芝加哥论坛报》(O’Connor,2019年)。

公司已经中断了他们在欧盟的一些在线服务,因为担心违反GDPR的合规要求:其中包括不得不关闭学生社交网络的捷克平台Seznam,以及阻止欧洲用户访问其游戏和服务的在线游戏公司GravityInteractive(CNN Business,2018)。

2018年8月,芬兰最高法院之一裁定,GDPR的“被遗忘权”可以赋予被定罪的杀人犯从谷歌搜索列表中删除其犯罪公开信息的权利,这一规定取代了该国和欧盟自己有关保护言论自由和获取信息权利的法律(CenterforData Innovation,2018年)。

GDPR过于复杂以至消费者难以理解

将近三分之二的欧洲人(63%)从未听说过GDPR(31%)或者不知道它到底是什么(32%)(European Commission,2019年6月)。

在爱沙尼亚,这个数字化能力很高的国家,71%的人从未听说过GDPR,或者不知道它到底是什么(European Commission,2019年6月)。

大多数西班牙人(57%)、罗马尼亚人(52%)和匈牙利人(52%)不知道数据保护机构的存在;对于那些知道的人来说,大多数荷兰人(57%)和瑞典人(54%)不知道向谁提起隐私投诉(European Commission,2019年6月)。

在法国、意大利和比利时,分别有55%、50%和47%的受访人士从未听说过GDPR(European Commission,2019年6月)。

GDPR并没有在成员国间得到一致的实施

截至2019年5月,希腊、葡萄牙和斯洛文尼亚仍未完全通过符合GDPR的国家立法(European Commission,2019年5月)。

GDPR使监管机构的资源紧张

英国信息专员办公室(ICO)表示,其员工和服务被公司“过度报告”潜在的数据泄露所压垮,原因是他们担心如果未能在GDPR的72小时的严格报告期限内通知数据保护局(DPA),将受到严厉处罚(ICO,2018)。

法国数据保护局下CNIL的发言人称“CNIL的资源不够,不足以来支撑执行GDPR法案”(Wall Street Journal,2019年)。

来源:美国智库数据创新中心

编译:京东数字科技研究院研究员张夏明

声明:本文来自京东数字科技研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。