Google和被遺忘權:對 GDPR合規性的深入了解

距離歐盟通用資料保護法規(GDPR)上路愈來愈近了。跟歐盟其他的資料法規相比,它所帶來更廣泛及明確的範圍預計會影響更多組織。一個例子是其前身,個人資料保護綱領95/46 / EC,這是2014年法律承認歐盟公民“被遺忘權(right to be forgtten)”的基礎。該法規主要影響在歐洲運作的搜尋引擎。

被遺忘權被認為是只在歐盟的問題。但現在,作為即將到來GDPR法規遵循的一部分,全球各組織都將面臨相同的挑戰,而不像從前只有少數會遇上。但最近一項由大數據應用服務商所進行的調查顯示,有三分之二的組織仍然沒有準備好接受GDPR的這方面,而且組織對它實際該如何運作感到困惑。

搜尋引擎因為已經有了超過三年的經驗,可以提供“被遺忘權”法規遵循的第一手資料。特別是Google受到此法規的影響很大,因為該公司所面對的一個案例是該權利在法律上得到確認的原因之一。自2014年以來,Google已經收到超過655,000次請求(代表了超過240萬條連結)來移除搜尋結果。

在上個禮拜,Google發布了一份研究報告草案,該報告提供對自歐盟裁決後所收到請求之身份和性質的深入了解。該報告顯示Google已經移除43.3%所請求的連結。在考慮其他解決方案、技術原因、重複連結和公眾利益後,Google選擇保留剩下的56.7%。

Google的資料顯示這些請求主要來自私人,佔總數的85%,其中有5%來自未成年人。非政府公眾人物(如明星)要求取消41,213條連結,而政界人士和政府官員要求取消33,937條連結。

在區域性方面,Google發現這些請求在法國、德國和英國略有偏差,這三個國家占請求總數的51%。多數請求來自律師事務所和信譽管理服務。

不同地方對資料隱私的態度差異也很明顯。來自法國和德國的請求會針對社群媒體和目錄網頁,而來自義大利和英國的請求則更多針對新聞網站。請求者通常針對的是本地內容:超過77%帶有國碼的網域連結移除請求來自同一個地區的人。

Google會定期更新合規報告。這份報告揭示了人們希望哪些個人資料被遺忘或刪除,這對那些很快就要加入Google收到這類請求的組織來說很有參考價值。Google還是會繼續受到被遺忘權的影響,再次地面對因拒絕請求而產生的訴訟

從Google的合規努力可以看出GDPR實施後帶給其他組織的挑戰,特別是在大數據調查中,只有43%的組織定義了刪除記錄和確認檢查的程序。GDPR旨在保護個人資料隱私和保護權利,並且不管處理資料的組織來自何處。根據GDPR,“被遺忘權(right to be forgotten)”被正式更名為“刪除權(right to erasure)”,規定了個人可以從組織獲得刪除其個人資料的權利。

不過GDPR也給了組織檢視和進一步開發自身資料處理作業的機會。儘管GDPR採取更加強硬和廣泛的作法,但是它也取代了現今多頭馬車的狀況,提供組織單一的資料隱私和保護條例來簡化法規遵循。

GDPR從一開始公佈就提供了協助遵守的資訊建議。現在只剩下數週的時間讓準備作業變得更加緊迫。根據GDPR,組織有責任採取適當的流程和技術來預防入侵外洩事件並且做好網路安全分析。這可以被理解為必須採用最先進優良的技術,這不僅是為了法規遵循,也是為了要去應對不斷變化的網路威脅世界。

不管GDPR帶來什麼影響,法規遵循是去了解客戶以及組織業務相關人員的好機會。透過符合GDPR標準並使用適當的技術,組織可以更加有效率地收集和處理資料,同時符合客戶的資料權利(不僅僅是被遺忘權)。

 

@原文出處:Google and the Right to be Forgotten: Insights for GDPR Compliance