首份GDPR评估审查报告：实施两年，欧盟的数据保护变好了吗？

近日，欧盟委员会发布《通用数据保护条例》（GDPR）实施两年以来首份评估审查报告。报告指出，作为欧盟居民的权益支柱和欧盟的数字化转型手段，GDPR成功实现了加强个人数据保护权和确保个人数据在欧盟内部自由流动的目标。

但同时也要看到，与收到的投诉量相比，依据GDPR开出的罚单仍然很少；在罚款金额上，即使是目前最高的英国航空数据泄露事件，也远远不及该公司全年营收的4%。此外，人手和预算的匮乏则削弱了数据保护机构对居民权益的保护力度。

文|蒋琳

编辑|石莹

近七成欧盟居民听说过GDPR，德国投诉最多

根据GDPR第97条，在2020年5月25日以及之后每四年，欧盟委员会应就对GDPR的评估和审查，向欧洲议会和欧盟理事会提交报告并予以公布。

此次发布的首份报告提到，在进行评估和审查时，欧盟委员会综合考虑了欧盟理事会、欧洲议会、欧洲数据保护委员会（EDPB）、独立数据保护机构以及各利益相关方作出的贡献，还将基于未来规划收到的反馈也纳入其中。

一项由基本权利机构发起的调查显示，欧盟16岁以上的人口中有69％听说过GDPR，71％听说过数据保护机构（DPA）；60%知道自己有权向公共行政机构要求访问其个人数据，但只有51%知道也可以向私人企业提出同样的要求。

与此同时，越来越多人通过个人或者代表的名义向DPA提起诉讼，捍卫自己的权利。

报告数据显示，2018年5月至2019年11月，EDPB共收到约27500个投诉，且各成员国之间的投诉量差距较大。值得注意的是，鉴于各国DPA对投诉的定义不同，这一数字仅能作为参考。

其中收到投诉最多的是德国，约6.7万个；其次是荷兰，约3.7万个；投诉量最低的是爱沙尼亚、比利时、马耳他和冰岛；三分之二DPA收到的投诉量都在600到8000之间。

为了响应GDPR的要求，很多机构和企业都采取了各种措施来促进数据主体行使自己的权利，包括建立关于个人审查和数据控制者回复的流程，拓展邮件、网站等多个反馈途径，更新及时处理请求的内部机制以及开展员工培训。

需要看到的是，在保障个人对数据的控制权方面，无论是公共机构还是私人企业，都在给予用户访问权、可携带权上还存在不足；在儿童数据保护和告知的充分性、透明性方面，也亟待加强。

与DPA收到的投诉相比，罚款次数很少

据悉，自从GDPR生效以来，DPA依据GDPR行使了诸如行政罚款、警告和谴责、命令等执法手段。其中在2018年5月25日至2019年11月30日期间，22个欧盟/欧洲经济区的DPA共开出约785张罚单。

其中大多数罚单都与违反GDPR的合法性原则、有效同意、敏感数据保护和数据泄露有关。在最近法国国务委员会刚刚宣布的一起处罚案例中，谷歌因未向安卓用户提供足够清晰、透明的告知，将支付高达五千万欧元的罚款。

根据enforcementtracker网站统计，2018年7月至2020年6月期间，可以公开查到的GDPR罚款共有264笔，罚款的数量和规模呈指数型增长。

依据GDPR开出的罚单金额和次数。数据来自www.enforcementtracker.com

但NGO组织Access Now指出，与各DPA收到的投诉量相比，罚款次数仍然很少，这意味着“大量的投诉没有得到解决”。

在罚款金额方面，到目前为止，英国实施的罚款总额最高，超过3.15亿欧元。但是，其中两项最大罚单——英国航空的2.04亿欧元罚款和万豪国际的1.1亿欧元已经数次延期，至今未最终裁定。

不过，报告强调，GDPR成功与否不应以罚款的次数来衡量，因为除此之外，GDPR其实还提供了其他纠正措施。在某些情况下，禁止数据处理或中止数据流动的处罚威慑作用可能会更强。

比如英国数据保护部门调查发现，政府的税务办公室未经适当同意便收集了数百万公民的生物识别数据，因此对其发布了强制执行通知，要求税务办公室删除所有包含非法收集信息的数据库。

人手和预算不足或削弱DPA的执法力度

报告显示，截至2019年底，EDPB共通过了67份文件，包括10份新准则和43份意见。利益相关方对这些文件表示欢迎，并希望就GDPR的关键概念出台更多指导方针，但他们同时指出，EDPB和各国自己出台的指导方针存在不一致的地方。

他们还强调，他们一方面需要更多实用的建议，尤其是更具体的案例，另一方面也需要数据保护机构（DPA）配备必要的人力，技术和财务资源以便有效地执行工作任务。

根据欧盟委员会今年一月从境内所有DPA处回收的问卷，在GDPR出台的2016年至生效一年后的2019年期间，大多数DPA的雇员和预算有所增加，但其中很多都表示对资源配置不满，而且成员国之间的情况并不平衡。

比如爱尔兰、荷兰、冰岛、卢森堡和芬兰的DPA雇员增长最多。报告指出，这是因为大型跨国技术公司的总部往往设立在爱尔兰和卢森堡，这些国家的DPA需要在许多重要的跨境案件中充当牵头机构，导致对雇员需求量更大。

此外，尽管与2016年相比，DPA的雇员总人数增长42%，预算增长49%，但自2019年以来，各国DPA的雇员和预算大多陷入了停滞状态。

各成员国DPA的雇员数量和预算。

Access Now指出，即使是目前公认资源最为充足的英国DPA，也在诸如Facebook剑桥分析事件的调查中，为了减少冗长诉讼所花费的成本，最终选择与Facebook达成和解。

Access Now认为，这进一步说明，资源不足很可能削弱DPA对居民权益的保护力度，因为企业可以利用DPA的资源匮乏绕过或推迟GDPR带来的影响。爱尔兰DPA就曾提到，来自公司的“程序性询问”令他们开出的罚单迟迟无法落实。

对此，报告提出，成员国应向DPA分配合理的资源，使其足以完成相关的工作任务。欧洲议会也在致欧盟委员会的一封信中呼吁，应针对各国政府未能为DPA提供适当资源的情形启动侵权诉讼。

声明：本文来自隐私护卫队，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。