GDPR生效三周年来对全球隐私格局的影响

作为第一部全面的隐私法，GDPR 对世界各地的立法具有启示意义。GDPR已经实施三年，不过隐私专业人士表示，欧盟成员国之间缺乏协调统一，持续不断地更新指南也是一个艰难的过程。

全球影响

作为第一部全面的隐私法，GDPR 对世界各地的立法具有启示性，比如巴西的《个人数据保护法》、中国拟议的《个人信息保护法》和印度拟议的《个人数据保护法案》等。在美国，加利福尼亚州和弗吉尼亚州的相关立法都从 GPDR 中汲取了灵感，而其他州（例如华盛顿）仍在继续研究提案。

印度 J Sagar Associates 合伙人 Sajai Singh 表示，GDPR 是拟议《个人数据保护法案》的模板，该法案最终草案有望很快提交国会。印度正在寻求扩大监管范围，比如印度未收集敏感个人数据，但这些数据若在印度进行处理，则也需要遵守相关法律。严格的数据隐私法规是当今的规范，而 GDPR 无疑为世界各国提供了指导和前进的方向。

揭开私密性

对于隐私专业人士，纽约梅隆银行全球首席隐私官 Kirsten Mycroft 表示，GDPR 在扩大隐私机会、职业路径和岗位的同时，还创建了更强大、更多样化的隐私人才库。从更广泛的角度来看，GDPR 成为所有行业“执行议程中进一步提高隐私权的催化剂”。GDPR 将组织内部的数据隐私配置提升为“C-Suite 优先”，并促进许多隐私计划，从采用“打勾”式合规到通过设计和问责制创建隐私文化。

Montgomery 表示，IBM 不仅仅从法律合规性，而是通过更广泛的视角来考察 GDPR。技术投资与集中治理和企业范围内的整合相结合，正在将公司的首席隐私官从被动式领导转变为主动式领导。其首席隐私团队已不仅是纯粹的法律职能，而是嵌入业务中，与首席数据官、安全业务部门、政策团队以及 AI 道德委员会携手，使 IBM 能够在隐私和技术道德两个维度上发展。

展望未来

尽管 GDPR 作为全面的数据保护框架在全球范围内处于领先地位，但诺斯罗普·格鲁曼公司隐私执行官 Kropf 表示，其与现有国际法原则有待进行更好地保持同步。在过去三年中，“Schrems I”和“Schrems II”案一直存在不确定性，而充分性程序并不透明。确定一个国家是否符合欧盟标准的过程很复杂，可以通过寻求跨境合作的其他现有的国际贸易原则来加强该法规，例如税收、海关、航空公司、电信等领域。

在继续执行 GDPR 的过程中，各组织还应密切关注欧盟即将颁布的《电子隐私条例》（ePrivacy Regulation），该法规将取代《电子隐私权指令》（ePrivacy Directive），以创建电子通信规则以及有关人工智能法规的提案。隐私权专家表示，相关提案与 GDPR 保持一致非常重要。Mycroft 认为，GDPR 的原则，包括问责制、透明度和公平性，可以作为即将制定的法规的蓝图。即将出台的法规应“力求与 GDPR 规则保持高度一致”，以“避免欧盟内部数据治理规则的分散化”。

Montgomery 认为，《电子隐私条例》应具有针对性的范围和更宽泛的法律依据，并拥有相关机制来确保与 GDPR 规则更加契合。这将有助于减轻公司的行政负担，同时提高透明度，并保护所有欧盟成员国中数据主体的权利。GDPR 中包含的许多原则也与将来的 AI 法规息息相关。