被稱作「史上最嚴」數據保護法的GDPR，已陷入重重困境

1466 天。

數據權利非營利組織 NOYB，在歐洲 GDPR 頒布後發起首次投訴，距今已經 1466 天。

GDPR 指的是通用數據保護條例，英文全稱為 General Data Protection Regulation)，它是歐洲聯盟的條例，前身是歐盟在1995年制定的《計算機數據保護法》，保障著 7.4 億歐洲人的隱私權。

而 NOYB 則是一家總部位於奧地利的非盈利組織，目標是保護歐盟公民的數據安全。

2018 年 5 月 25 日，是 GDPR 生效的第一天，NOYB 便發起了投訴，涉及谷歌、 WhatsApp、 Facebook 和 Instagram 強迫人們在沒有得到適當許可的情況下交出自己的數據。

如今，四年過去了，NOYB 仍在等待關於那些投訴的最終決定。

自 GDPR 生效以來，除了 NOYB，懸而未決的投訴還有很多。

儘管被大家稱作「史上最嚴」數據保護法，但無論是投訴處理效率，企業的遵守情況，還是 GDPR 的實際運行，表現都令人失望。

1、投訴裁決效率低下

從愛爾蘭監管機構的統計數據來看，自 2018 年 5 月以來，涉及跨境決定的投訴中，有 400 起仍在辦理中，至於其他由 NOYB 對 Netflix (荷蘭)、 Spotify (瑞典) 和 PimEyes (波蘭)發起的投訴，也都拖了好幾年。

除了辦理時間緩慢，從全局來看，GDPR 並沒有消除最嚴重的問題: 數據中介仍然在儲存用戶信息並將其出售，網路廣告行業也充斥著濫用風險。

早在 2012 年初，GDPR 的立法者們就首次提出了改革歐洲數據規則的建議，並在2016年通過了最終的法律，給公司和組織兩年的時間作為緩衝。

在以前的數據法規的基礎上，GDPR 要求企業改變處理用戶數據的方法，並設立7條核心原則，在處理、儲存和使用方面給出了指導。

然而，GDPR 將這些原則武器化了。

GDPR 的條例，授權每個歐洲國家的數據監管機構，可以對企業進行高達全球營業額 4% 的罰款，並命令企業停止違反 GDPR 原則的行為。

命令一家公司停止處理人們的數據，可以說比罰款更有影響力。

然而，在 GDPR 生效四年後，針對全球最強大的數據公司的處理數，低得令人苦惱。

依據 GDPR 的一系列密集規定，針對一家在多個歐盟國家運營的公司的投訴，通常會轉移到該公司主要歐洲總部所在國。

這種所謂的一站式處理流程，要求由該國牽頭進行調查。比如，盧森堡負責處理對亞馬遜的投訴，荷蘭負責 Netflix，瑞典負責 Spotify，愛爾蘭負責 Meta 的 Facebook、 WhatsApp 和 Instagram，以及所有谷歌的服務---- Airbnb、雅虎、 Twitter、微軟、蘋果和 LinkedIn。

正是由於這樣複雜的處理流程，導致監管機構的工作大量積壓，處理速度自然大受影響。

2、執行效果不理想

手握海量數據的科技巨頭企業，按照 GDPR 的要求，應當嚴格遵守條例規定。

但是，從實際情況來看，巨頭企業的執行力度並不夠。比如 Facebook，也就是現在的 Meta，仍然難以遵守 GDPR。

由外媒《Motherboard》獲得的一份 Facebook 內部文檔就暗示，這家公司自己也不太清楚是如何處理用戶數據的。

根據 Facebook 工程師所述，他們正在努力跟蹤用戶數據在其系統中的去向。然而，歐盟的 GDPR 等法規限制了像 Facebook 這樣的平台如何使用他們的用戶數據。GDPR 法律規定，個人數據必須「為特定的、明確的和合法的目的而收集，並且不得以與這些目的不相符的方式進一步處理」。

這意味著每條數據，例如用戶的位置或宗教取向，只能被收集並用於特定目的，而不能用於其他目的。Facebook 曾因在其「你可能認識的人」功能中使用其用戶的電話號碼而受到批評。在被發現後，該公司最終不得不停止這種做法。

在描述 Facebook 的困境時，其工程師用了一個形象的比喻來說明：

想像一下，你手裡拿著一瓶墨水。

這瓶墨水是各種用戶數據（3PD、1PD、SCD、歐洲等）的混合物。

當你把這瓶墨水倒入一個湖（開放數據系統、開放文化）時，它就會...不可避免的... 流向各處。

你如何把墨水放回瓶子里？

你如何再次組織它，使它只流向湖中允許的地方？

在這個比喻中，3PD 指第三方數據，1PD 指第一方數據，SCD 指敏感類別數據。

但隨後，Facebook 否認了這一說法。

3、改進與完善

一站式機制以 GDPR 為基礎，四年過去，GDPR 本身已經暴露出很多需要改進的部分。

去年，改變 GDPR 運作方式的呼聲越來越高。

曾在 2012 年提議 GDPR 的政治家 Viviane Redding 在去年 5 月談到這個話題時，就曾表示「對於大事，執法力度應該更集中一些。」

呼聲之下，歐洲又相繼通過了兩大數字法規：《數字服務法》和《數字市場法》。

這些法律更側重於競爭和互聯網安全，且執法方式也與 GDPR 有所不同。在某些情況下，歐盟委員會會直接調查大型科技公司。

從這個角度看，GDPR 的執法似乎確實已經跟不上時代主流，也坐實了之前政界人士們提出的執行效率低下問題。

各民間社會團體還警告稱，如果不做出一些強有力的執法改變，GDPR 最終可能無法阻止大型科技公司的惡劣行徑、更遑論提高人們的隱私意識。

有負責人認為：「最需要解決的直接對象就是大型科技公司。如果我們不能搞定這些科技企業，那人們的隱私和數據權就永遠得不到保障。」

也許 GDPR 並沒給人帶來預想的驚喜，而國內也在 GDPR 的影響下，設立了一系列數據保護制度。

或許失望總是難免的，但我們要做的，絕非否認它的一切，不斷完善和創新，才有可能遇見理想中的那束光。

參考資料：

1、How GDPR Is Failing？

2、The state of the GDPR in 2022: why so many orgs are still struggling

文 | 木子Yanni

嗨，這裡是淺黑科技，在未來面前，我們都是孩子。

想看更多科技故事，歡迎戳→微信公眾號：淺黑科技。