雖然晚間新聞公報已經報道了新冠肺炎 (COVID-19) 對人類造成的悲慘後果,但歐洲各地的監管機構卻在爭先恐後地調整其方法,以盡量減少其直接和長期的經濟後果。早些時候,英國資訊專員(ICO) 宣佈其在面對衛生緊急情況時的合理性和實用主義,並於4 月15 日在一份出版物中充實了這一點,闡述了其在冠狀病毒大流行期間的監管方法。
ICO 的文件是資料監管機構最近幾週發布的一系列文件之一,在巨大壓力下將受到資料控制者和處理者的歡迎。然而,此時尋求免除資料安全義務的人將徒勞無功,而且對於粗心的人來說,風險仍然存在。
疫情期間ICO採取臨時監管方式背後有三個因素:受監管組織面臨人員和營運短缺、公共當局全神貫注於滿足第一線服務需求、嚴重的財務約束限制了財務和現金流。正如監管機構所承認的那樣,這些因素可能會影響資料控制者遵守資料立法的能力。與歐洲資料保護監管機構和歐洲國家資料監管機構一樣,ICO 並沒有顯得“鐵耳無聞”,而是選擇強調歐盟通用資料保護規範(GDPR) 中內建的靈活性,並透過以下方式安撫監管者:指導如何在這種特殊情況下應用資料規則。
ICO 在衛生緊急情況下的做法
ICO 文件中列出的高層指示包括,監管機構將暫停資料審計工作,轉而關注公眾面臨的最嚴重挑戰,利用其正式權力謹慎要求資訊並留出更多時間做出回應,並將減少調查,集中精力處理嚴重違規的情況。事實上,4 月 1 日,負責審理 ICO 通知上訴的一級法庭已經批准了資訊專員的請求,即因疫情大流行而將所有訴訟程序暫停 28 天。雖然 ICO 的中止申請是出於技術原因,但這是 ICO 修改監管方法的明顯例子。其實際效果將是,對資訊、評估、執行和處罰通知的遵守也將被擱置,為接收者提供暫時的「喘息空間」。
作為大流行期間 ICO 方法的一部分,如果資訊自由法和資料主體存取請求未在正常時間內滿足,則不太可能採取執法行動。 GDPR 第 33 條規定的違規通知仍應在規定的 72 小時內通知監理機關。然而,即使在這裡,監管機構也暗示了報告期限受到當前危機影響的靈活性。也就是說,任何違反資料保護法並利用這種情況的組織都可能面臨嚴重後果。
就COVID-19 對GDPR 處罰的影響而言,許多媒體的注意力都集中在ICO 與英國航空公司和萬豪酒店達成的協議上,該協議延長了針對涉及數千名客戶個人和財務數據的重大數據洩漏的紀律程序,這些資料外洩事件在2018 年,直到夏天晚些時候。這種延遲引發了人們的猜測,認為疫情是原因。事實上,較早的延期是在一月份宣布的,即宣布大流行的幾週前就已經批准的,這表明其他因素也在影響這些調查的解決。
儘管如此,ICO 既定的監管行動政策始終將支付能力作為確定罰款金額的因素,而資料監管機構現在公開承認目前的情況可能會減少罰款。考慮到自疫情爆發以來航空和酒店業遭受的財務“打擊”,如果在確定這兩家遭受重創的企業巨頭最終支付的金額時這不是一個關鍵考慮因素,那確實令人驚訝。
虛假的安全感?
儘管 COVID-19 的傳播速度讓立法者和監管者別無選擇,只能放鬆監管,但這也帶來了巨大的合規風險。
如果監管試圖過快地適應新的、快速發展的環境,就會存在過於簡化的風險。例如,在對疫情期間成長起來的眾多社區支持團體的善意指導中,ICO 表面上將數據處理合法利益基礎的 GDPR 精細平衡的三部分測試簡化為一句話。這表明,大流行後發布的緊急監管指導可能會導致粗心者犯下無意的錯誤。
同樣,隨著傳統的辦公室工作模式突然被顛覆,犯罪分子利用網路釣魚技術、劫持線上會議以及利用桌面虛擬化技術中的漏洞來抓住家庭工作基礎設施提供的機會。在閱讀 ICO 在大流行期間的做法時,最初可能會對資料外洩採取「寬容」的態度。事實上,ICO 在其他地方明確表示,負責資料安全的人員應考慮與正常情況下考慮的家庭作業相同的措施。鬆懈的安全措施使資料主體面臨重大風險——特別是在國家網路安全中心、國家犯罪局和ICO 本身發出有關高度危險的一般性警告之後——可能仍會引發代價高昂且損害聲譽的監管調查,即使不是現在,也可能會在以後進行。
雖然資料控制者和處理者目前歡迎 ICO 提供的保證,但監管方法仍以原則為基礎;所需內容的確定性仍然難以捉摸。在當前的衛生緊急情況下,企業和組織可能會從 ICO 的立場中得到一些安慰,但明智的做法是盡可能維持資料保護標準,而不是將監管機構的做法視為「免費通行證」。
____________
您是您所在領域公認的專家嗎?在歐洲新聞台,我們相信所有觀點都很重要。聯絡我們:查看@euronews.com發送推介或意見並參與對話。
