【新三才編譯首發】歐盟將於5月25日實施了一項前所未有的新數據隱私和安全法規,這引發了每一家處理歐盟公民數據的美國公司的需求,並引發決策者對美國企業面對此一即將出台規則準備程度的擔憂。
這種擔憂看起來很合適:信息技術貿易協會CompTIA最近進行的一項調查發現,美國公司很大程度上不熟悉他們在歐盟的「通用數據保護條例」(GDPR)下可能面臨的要求。
新法規規定了處理和保護消費者數據的規則,並最高可以處罰相當於公司收入4%的潛在罰款。但是,CompTIA調查的近三分之二美國公司卻還沒有意識到如果違反該法規的可怕後果。
新法規還要求公司在違規行為發生後72小時內得通知消費者,這是比美國50個州的違規通知法規定的要求更嚴格的時間表。美國沒有聯邦統一的違規通知標準。
負責網絡安全事件罰款承擔的美國保險業一位消息人士稱,「我們收到了很多來自客戶的問題」。「這些問題提出的時機已經很遲了。我們將看到在歐洲披露的更多違規行為以及基於罰款和監管措施的更多保險索賠。」
歐盟比美國先行了幾步,因此數據隱私要求尚未得到全面闡述。聯邦貿易委員會(FTC)是美國隱私標準的執行者,根據具體情況確定公司是否採取「合理」措施保護消費者數據。
德州安全公司Forcepoint的首席科學家福特(Richard Ford)說:「現在對隱私權的政策有如一輛破損的火車,我們需要有一個被完整告知,且緩慢的對話來討論這個總體原則。」
福特補充說,「我是GDPR的忠實支持者。對於我們來說,這是一個很好的機會,讓我們能夠有秩序地進行自己的活動,並就我是否應該收集並保存所有這些數據進行對話。」
美國商務部官員已經出現在美國商業團體之前,來提高美國公司對歐盟規則的認識,並提供一些保證,即現有被稱為「隱私保護」(Privacy Shield)的跨大西洋數據交換架構,將有助於美國公司符合歐盟法規。
Privacy Shield是一種機制,用於確保美國公司遵守在國內與歐盟標准的隱私標準。目前已有2,800多家美國公司獲得了Privacy Shield認證, 不過Privacy Shield認證是否可確保美國公司符合GDPR規定仍然有爭論和猜測。
Forcepoint的總法律顧問霍姆斯(John Holmes)說:「講Privacy Shield等於GDPR合規性是過於樂觀了。如果你獲得Privacy Shield認證,那會讓你走在趨勢前面,但你還沒有到達那裡(指符合GDPR)。」
FTC也指出,Privacy Shield並不意味著公司就符合GDPR。不過,美國官員強調川普政府對Privacy Shield的承諾是以其當成解決美國與歐盟隱私和數據安全問題的基礎。
一名隱私律師指出,Privacy Shield與GDPR這兩份文件都沒有提供很多細節,因此給公司帶來「靈活性和不確定性」,並留下了諸如什麼構成「合理」安全措施等問題。
「也許美國政府可以發揮的最有效的作用是專注於Privacy Shield,幫助公司遵守隱私監督委員會等事情,這些事情在我們的控制之下。」律師說。「這對確定GDPR的含義並不確實有幫助,但它保持了Privacy Shield過程和與歐盟的對話,這很重要。」
Forcepoint的霍姆斯表示,遵守GDPR會有「重要的成本因素」,需要「額外的工具和手段」。
(編譯:王明真)
(責任編輯:姜啟明)
(文章來源:新三才編譯首發)