最近几天,您曾经使用过的公司,应用程序,服务和站点或您开设帐户的位置的信件经常会落入邮件中。 这些字母大致相同-它们报告隐私政策的变化并解释公司如何处理个人数据。
我们
已经写了关于大型IT公司(WhatsApp,Facebook,Instagram和Twitter)的数据处理政策正在发生的变化。 现在我们了解到,为什么在正式的GDPR截止日期之后,许多服务的几十封信才开始到现在,为什么不是所有公司都能及时为过渡做准备,以及他们遇到了什么问题。
/摄影Dennis van der Heijden CC BY发生了什么事
5月25日,GDPR(通用数据保护条例)生效。 它规范了欧盟国家/地区居民的个人数据保护,并取代了1995年发布的数据保护指令。
GDPR影响到每个人,因为它不仅适用于在欧盟注册的公司,而且适用于存储,处理和使用欧盟公民违约金的所有人。
公司开始提前进行准备,其业务模式高度依赖于与PD的合作-例如,甚至在GDPR出台之前,Facebook就
表示将采取何种措施以遵守新法规:将要求所有用户查看其隐私设置。 他们还可以自行选择是否准备好针对有针对性的广告目的共享信息,如果愿意,则选择哪一个。 此外,该社交网络
计划返回人脸识别,但由于法院裁定该社交网络工具包违反个人数据法而被禁用。
但是,并非所有公司都对新法规做出了同样的高度重视。 4月,Ponemon研究所对数千家公司进行了调查,其中一半公司
承认他们还没有为截止日期做好准备。 在IT公司中,有60%。
结果,许多人确实不能按时满足法规的要求-尽管截止日期早已为人所知(GDPR的最终版本已于2年前发布)。 根据欧洲公司TrustArc一年前进行的一项调查,来自不同国家和行业的200家企业中,当时有61%的公司甚至没有
开始为GDPR做准备。
为什么这么难配对
许多公司没有时间按时完成任务,这不仅是因为他们决定将一切推迟到最后。 有几个相对客观的原因。
法律很复杂
有时它与有关个人数据处理的当地法律行为相交。 律师说,要
真正了解监管机构的要求
确实很困难,甚至更难于重建您的业务以使其与之匹配。
例如,有关法律要点的
一些表述引起了激烈的辩论:同意使用普通个人数据应该是“明确的”(即明确,可理解,明确),同意使用“敏感的”个人数据应该是“明确的”(明确指出)详尽)。
但是,这两个定义之间是否有区别,因此,这两个“同意”之间是否存在区别;如果是,那么在实践申请中应表达什么以及该表达什么? 这个问题并不是完全闲着的-它取决于正确的答案(从法律的角度来看),例如,如何可能以及如何不可能在界面上为标记用户同意PD处理的复选框绘制签名。
/图片Giulia Forsythe PD此外,法律没有考虑当地的具体情况:例如,不同的国家对个人数据有不同的态度。 这就是为什么故意简化法律的许多部分的原因-这为各种解释提供
了空间。
GDPR的某些要点是
矛盾的 ,例如,俄罗斯的152-FZ“关于个人数据”,这也给以某种方式收集和使用欧洲公民PD的俄罗斯公司带来了困难。
流程检修
不仅从技术角度,而且从业务角度。 一些公司担心,如果他们准确告知用户他们如何使用其个人数据,人们将永远不会将其提供给他们。
因此,Facebook引入的获得用户许可的方法最终
遭到批评 :整个用户的路径促使他迅速同意新规则,并继续与服务共享他的信息。
“同意并继续”按钮是最漂亮,最引人注目的按钮,在这里相反的解决方案看起来已经很困难:“管理数据设置”。 如果您单击它,Facebook将首先尝试说服用户将所有内容保持原样。 此外,Facebook剥夺了用户在其页面上共享某些个人信息的机会,但同时不允许社交网络将这些信息用于广告目的。
此外,中小型企业通常根本
没有技术和人力资源来理解法律要求并进行所有必要的准备工作-因此,对于他们来说,根据GDPR要求将所有系统引入的过程变得非常昂贵。
法律不再考虑新技术
该法规已制定并采用了数年,因此有关该技术当前状态的许多想法已经过时:例如,不清楚如何处理大数据和机器学习。
因此,GDPR
要求机器学习算法
具有透明度-开发人员应能够解释该算法为何做出此决定或该决定。 换句话说,法律规定,用户可以随时接收使用其个人信息以做出知情决定的机制的详细说明-是否同意。
就机器学习算法而言,这
并不是一件容易的事 -为什么AI系统在那一刻做出这个特别的决定,即使它的工程师有时也无法解释。 这不受GDPR规范。 这样的事情将越来越多-法律必须不断更新,但实际上法律总是落后于技术的发展。
最难的事情是开发智能助手的公司-Google Assistant,Alexa和Siri。
这些服务始终(尽管在后台)始终监听它们周围发生的一切-为了在适当的时间“唤醒”并使用代码字执行命令。 该技术仍然不完善-例如,不久前,亚马逊遇到了一个意料之外的
问题 :Alexa定期开始大笑,因为她可以在周围的讲话中理解“ Alex,大笑”一词。
这听起来很荒谬,但是在GDPR的框架内,这种情况是一个灰色地带,目前尚不清楚如何控制。 正式地,智能助手不会录制声音并且不会在任何地方传输声音-但是最近发生的一起Alexa案例,由于技术漏洞,它将房屋居民的私人谈话录音记录
传输到电话簿中的一位联系人,这表明情况可能有所不同。
在这种情况下,一切都将取决于用户是否因此而遭受痛苦:例如,是否未使用该信息并且该服务迅速“反应”并删除了该信息。 Alexa开发人员自己已
承诺改善语音识别算法,以使这种不太可能发生的事件不再发生。
/图片Oliver Henze CC BY-ND目前尚不清楚如何根据GDPR法规对此类服务的运营进行监管。 专家和记者同意:此类服务可能必须征得用户的同意,即智能助手始终在监听,始终记录并
有可能将信息传输给第三方。
会是什么
尚无时间使业务流程与法律相符或违反法律的公司在等待什么呢? 一些人认为5月25日是“软启动”,并且监管机构不会追赶那些未能按时完成的公司(尤其是如果有客观原因的公司)。 尽管已经表明了对不遵守法规的处罚,而且罚款金额非常高-高达公司年收入的4%。
但是,这是有困难的-并非现在所有控制都完全由调节器来控制。 用户本身也具有权力:例如,他们可能要求服务接收,修改或删除其所有PD。 如果未建立这些流程,并且服务在技术上无法满足用户的要求,则存在诉讼风险,用户很可能会赢得诉讼。
许多专家仍然认为,市场将无法完全符合GDPR的要求,至少是因为该领域尚未高度开发-法律虽然意图正确,但不会影响许多重要的案例和使用和存储个人数据的方式。 但是,如果出现这样的研究(详细和详细),它们将成为最终确定法律的良好基础。
但是,GPDR的出现是优先级转移的重要指标。 如果早期的个人数据管理是几乎所有业务的“影子组件”,并且公司可以按自己的意愿进行管理,那么现在,用户终于至少可以使用一些工具来控制自己在Web上的数据。
PS:关于第一个公司IaaS博客,我们还要写些什么:
PPS我们在哈布雷(Habré)博客上发布的有关该主题的一些材料: