GDPR实施百天后，英国数据官员如何评价？

小提示：您能找到这篇{GDPR实施百天后，英国数据官员如何评价？}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的GDPR实施百天后，英国数据官员如何评价？内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

作者：APUS 研究院（ID：apusapps）

出海注：本文是 APUS 研究院发布在出海 APUS 专栏中 GDPR 的系列文章第十六篇。转载须保留本段文字，并注明作者和来源。商业转载/使用请前往 ，联系寻求作者授权。

如果说要阐述一个观点，有种经典的描述手法被称为——点面结合法。在之前的系列文章中，我们通过“个案点”分析跟各位朋友分享了产品、技术和法律等具体操作层面上的 GDPR 合规建议。为了“迎接”GDPR 实施满 100天 和提供更为全面的观点分享，我们将尝试从“执行面”来展开，分享 GDPR 在企业和监管机构中的实施效果。同时，我们也将针对 GDPR 实施效果统计中数据表现最为优异的英国，进行具体分析。

GDPR 实施状况的调查

在距离 5 月 25 日通用数据保护条例（GDPR）实施仅仅机械制造还有两周的时候，有一家美国知名的互联网专业社区 Spiceworks 对 GDPR 的实施情况进行了调查。该调查于 2018 年 4 月初开展，来自英国、欧盟其他国家以及美国不同机构的 625 名互联网专业人士参与了调查，调查的结果见下柱形图。

下图中 X 轴表示受访者预期完成 GDPR 合规的时间；Y 轴表示不同时间点下预期能够完成 GDPR 合规的受访者比例。不同的色柱代表不同的受访者国籍。“黄色”、“绿色”、“蓝色”分别代表来自美国、英国、欧盟其他国家的受访者。

数据来源于 Spiceworks

根据该图表数据，总计有 61％ 的英国公司表示，他们在截止日期前已经或即将完全符合 GDPR 的合规要求；针对欧盟其他国家而言，该比率降至 46％。与此同时，受新法规影响的美国公司中，只有 25% 的机构表示，会在 GRPR 生效前做好公共危机中的政府网络公关合规的准备。在 GDPR 合规的准备方面，我们发现英国的组织比欧盟其他国家和美国的同行都更充分一些。

除此之外，可能很多朋友以为，在巨额罚款的“诱惑”之下，欧盟的监管机构会在 GDPR 实施后迅速展开大规模的调查，而英国路透社一项针对监管机构的调查发现，来自欧盟 24 个国家和地区的监管机构或数据保护官员中，有 17 个表示很难在法律生效时履行与 GDPR 相关的监管职责。

而导致大量相关机构无法做到合规或者有效监管的原因是什么？

从被监管的机构来看，在欧洲，超过 60％ 的互联网机构的人员，把不合规的借口归咎于缺乏时间或资源。大多数的监管机构却表示，他们缺乏履行其监管职责所需的权力和资金。权力的缺乏是因为，大部分欧盟国家的立法机关尚未依据 GDPR 的要求更新其法律条款，形成在全欧洲层面上的统一的个人数据权利保障规则。同时针对资金问题，他们也不避讳的表示，目前并没有充足的资金来执行 GDPR 所需要投入的成本。考虑到这一点，大多数参与调查的监管机关表示，他们可能会根据“价值”来对投诉开展调查。

英国监管机构的态度

在 GDPR 正式实施百天之际，我们恰好捕捉到了英国数据保护监管机构（ICO）的一名官员，在公开场合分享的有关现阶段 GDPR 执法实践的官方态度。这位叫做 James Dipple-Johnstone 的官员是 ICO 负责运营的副主管，他上周在伦敦举办的主题为“网络安全-商业洞察会议”的公开演讲中透露出了很多有价值的信息。

第一，“政府机构通过新的 GDPR 立法惩罚公司的强烈愿望”是围绕 GDPR 的实施形成的一大误解，巨额惩罚不会是 ICO 想要追求的结果。

理由如下，首先，ICO 不是一个创收组织。当一家公司被举报有类似网络安全或隐私相关的 GDPR 违规行为时，ICO不 会选择巨额罚款这种形式的惩罚对企业落井下石。其次，ICO 作为监管机构并不追求完美。虽然媒体总是拿 ICO 做出的少量罚款决定作为炒作的热点，但是他想提醒大家注意的是，ICO 每年大约会对数千起投诉以提出建议或者给出指导性意见的形式结案，而不是处以任何罚款。

第二，ICO 官员认为大多数企业对于 GDPR 中的通知义务的解读存在误解，过度履行了数据泄露通知义务。

按照 GDPR 第 33 条的要求，在个人数据泄露的情况下，控制者应当尽快且最迟自知道泄露之时 72 小 时之内，对有可能会对自然人的权利和自由造成风险的事件，根据第 55 条中规定的管辖权限，向相关的监管机构进行通知。    

自 GDPR 实施以来，ICO 办公室每周大约会接到 500 个有关数据泄露相关事件的通知。在这些数据泄露的通知中，大约三分之一的通知事件经 ICO 内部讨论后被认定为没有达到通知的门槛。另外的一些提交通知的企业则存在将“72 小时的通知截止时间”误解为“72 小时湛江舆情的工作截止时间”。他们提交给 ICO 的通知报告要么是不完整的；要么就是超出法定通知内容要求的，报告里面包含着大量的庞杂信息。所以，最终导致的结果是：由于缺乏对实际立法实施和违规报告门槛的正确理解，企业向 ICO 通知的绝大多数网络安全事件，都以没有提交正式报告而告终。

James 指出，GDPR 对企业提出的通知义务，并非要求他们必须通知或者报告在企业场所发生的每一个与网络安全相关的小事件。最后，James 建议相关企业在致电或打开其数据泄露报告门户网站之前认真阅读 ICO 的报告指南。

因此，从以上英国监管机构对 GDPR 的实施情况来看，无论是巨额罚款，还是具体义务的履行，都存在监管机构、企业和用户的不同理解，需要持续跟踪和解读。

结语

来源于 BBC China

有一个很有趣的选择短语叫做：a glass-half-full or glass-half-empty。这句短语假设了这样一个场景：当你看到杯子里有一半的水，你会说这个杯子是半满（half-full）或者是半空（half-empty）呢？据说不同的选择会显示你不同的性格取向和价值观。如果你说杯子是半满的，那么你应该是个乐观主义者；如果你选择杯子是半空的，那你应该是个比较悲观的人。面对缺乏实际案例的 GDPR 执法，我们如果想对其做出好与坏的价值评价，引用以上的短语其实很合适。GDPR100 天后，我们目前对于它实施效果的好坏其实是没有确切答案的。在 GDPR 舆论热度大幅削减的当下，好与坏的评判似乎完全取决于各位朋友自身是属于乐观（half-full）或是悲观（half-empty）的心态了。