很难相信欧盟实施《通用数据保护条例》(GDPR)已经五年了，这是当时影响最深远的数据隐私保护法。数据表明，随着时间的推移，消费者已经越来越喜欢这项法律。然而，科技公司仍有一些工作要做，Meta公司最近因违反GDPR被罚款13亿美元就是证明。

在GDPR于2018年5月25日生效之前，没有一个覆盖欧洲的总体数据隐私法。不同的国家有不同的法律，使公司难以驾驭监管环境。GDPR改变了这一切，明确规定了公司(和其他组织)在收集和使用人们的私人数据之前必须遵循的要求。

首先，公司必须获得用户的同意来收集和使用他们的数据。GDPR要求安全地存储数据，并在安全受到破坏时通知用户。用户(即欧洲居民)也获得了要求公司提供关于他们的数据如何被使用等信息的权利。他们还获得了一些权利来阻止公司使用他们的数据，即所谓的“被遗忘权 ”条款。

根据GDPR，公司被要求迅速回应用户的诉求。对数据的跨境流动也有新的限制(尽管欧洲之间的转移仍被允许)。未能遵守GDPR规则的公司面临相当于其年收入4%的罚款。

大家觉得条例结束了一些滥用大数据的行为。剑桥分析公司(Cambridge Analytica)丑闻等事件使人们对汹涌的数据收集囤积持怀疑态度。随着大数据的粗放时代结束(至少在欧洲)，对数据治理的投资有所增加。GDPR鼓励公司展示良好的数据管理，以及对分析和人工智能更深思熟虑地应用，而不是利用人们的私人数据来赚快钱。

这部新法律很快成为其他司法管辖区类似数据隐私法的典范，包括加利福尼亚州，该州的《加州消费者隐私法》(CCPA)于2020年1月开始生效。尽管美国仍未在国家层面上颁布数据隐私法，其他地区和州以及其他国家也实施了与GDPR类似的法律。

在GDPR规定的五年之后，事情似乎已经尘埃落定，数据专业人员正在寻找合规之路。根据Piwik PRO对300名营销主管和决策者的调查，整个欧洲对GDPR的理解在不断上升。调查发现，超过80%的欧盟公司认为有效的营销和隐私合规之间的平衡是可能实现的，这个数字比去年多了近20%。

根据Piwik PRO的调查，超过70%的研究参与者说他们认为GDPR很容易理解，而近80%的人说GDPR等法律很重要，比一年前增加了5%。调查显示，近60%的公司正在使用服务器设在欧洲的营销软件，约75%的公司正在考虑用欧洲的替代品取代他们的大型技术工具。

GDPR最近让Facebook的母公司Meta陷入困境。上周一，Meta被爱尔兰数据保护委员会罚款12亿欧元(13亿美元)，因为它将欧洲居民的数据转移到了美国的服务器上。这是迄今为止最大的GDPR罚款，是在卢森堡对亚马逊评估的8.87亿美元罚款和对Meta的WhatsApp财产(也在爱尔兰)的2.67亿美元罚款之上。

爱尔兰监管机构还表示，根据隐私保护框架的规定，Meta公司将不再被允许与美国的商业客户共享欧洲人的数据。欧盟和美国官员正在制定该数据共享框架的替代方案，称为欧洲数据隐私框架，但官员们尚未敲定该协议，它尚未生效。

隐私专家、PrivacyHawk的首席执行官兼联合创始人Aaron Mendes表示，虽然GDPR整体上 “改变了世界，变得更好”，但GDPR的数据共享条款几乎是不可操作的。

“国际公司不得不在欧洲范围内建立专门的云计算架构，这就要求他们有重复的产品，并维护两个版本来遵守法规，”Mendes说。“虽然GDPR这一组成部分的精神是保护人们的数据不至于流向海外，在没有欧盟监督的情况下被使用，但事实证明这不是一个现实的规定。”

虽然Meta的数据共享活动可能符合新的框架，但Mendes指责这家社交媒体巨头未能遵守法律条文。

“为了追求利润，他们似乎故意违反了这项规定，没有遵守或离开欧盟。所以他们罪有应得。而且他们可以轻松地负担得起，”他说。“另外，人们普遍认为，在过去20年中，Meta公司是历史上侵犯消费者隐私最严重的公司之一。他们很少顾及消费者的隐私，通常只做法律或公众要求的最低限度。”

虽然科技巨头得到了最大的罚款，但并非所有违反GDPR的人都有深厚的财力。许多小公司，包括牙医、餐馆和美容院，都触犯了数据隐私法。而且欧洲数据监管机构可能只是在热身，根据DLA Piper的调查，他们去年开出了创纪录的16.5亿欧元的罚单，比2021年增加了50%。

原文链接：https://www.datanami.com/2023/05/25/gdpr-celebrates-fifth-birthday-meta-fined-1-3-billion/

原作者：Alex Woodie