通用數據保護條例將于5月25日生效，沒有人準備好 - 不是公司，甚至不是監管機構。

經過四年的審議，歐洲聯盟于2016年正式通過了“通用數據保護條例”(GDPR)。該法規為公司提供了兩年的合規性，這在理論上是充足的時間來實現船形?，F實更加混亂。像學期論文和納稅申報表一樣，有些人會盡早完成，然后是我們其他人。在今天與歐洲議會的會晤中，馬克扎克伯格表示Facebook將在截止日期前符合GDPR標準，但如果是這樣，該公司將成為少數。“很少有公司會在5月25日達到100%的合規水平，”聯合萊克斯公司的律師兼首席隱私官杰森·斯特拉特說道，該公司為企業設立了GDPR合規計劃。“公司，特別是美國公司，在上個月肯定會爭先恐后地做好準備。”在4月份由Ponemon Institute進行的一項對1,000多家公司的調查中，有一半的公司表示他們不會在截止日期前遵守規定。 。按行業劃分，60%的科技公司表示尚未做好準備。

GDPR是一套雄心勃勃的規則，涵蓋從要求到通知監管機構有關數據泄露(在72小時內，不低于)的透明度，以及用戶對收集的數據及其原因的透明度。“多年來一直如此，'我們可以欺騙人們提供多少數據?' 并且'我們將在以后弄清楚如何使用它!' 在GDPR下，這不再是一種可接受的操作方式，“Straight說。

“有些公司我們已經談過，他們說，'你在開玩笑吧?如果我們告訴他們我們如何使用他們的數據，他們從來沒有把它給我們，“Straight說。“我有點像，'是的，這就是重點。'”

但也許GDPR要求讓每個人都撕掉他們的頭發是數據主題訪問請求。歐盟居民有權要求查閱公司收集的個人信息。這些用戶 - 在GDPR用語中稱為“數據主體” - 可以要求刪除他們的信息，如果不正確則要更正，甚至以便攜式形式發送給他們。但是這些數據可能在五個不同的服務器上，并且上帝知道有多少格式。(這假設公司甚至知道數據首先存在。)成為GDPR兼容的很大一部分是建立內部基礎設施，以便可以響應這些請求。

問題的一部分是公司是如何建立的，其中一部分是“個人信息”是一個愚蠢的類別。姓名，電子郵件地址，電話號碼，位置數據 - 這些是顯而易見的。但后來有更多模糊的數據，比如“一個傾斜的參考，就像生活在東18街的高個子禿頭男人一樣。如果有人在電子郵件中說，這將是您需要向我提供GDPR下的訪問權限的信息，“Straight說。

對于已經原則下經營的公司“提取盡可能多的數據可能和后來弄明白，”下GDPR重組是很像的一個小插曲囤積者，尤其是那些發作在囤積者沒有完成清洗和大家的一個最后哭了起來。

在某些方面，這是不可避免的結果。一年前，61%的公司甚至沒有開始實施GDPR。Straight表示，總的來說，歐洲公司 - 尤其是德國和英國等國家，那些存在與GDPR重疊的隱私法律的公司 - 已經有更好的時間進行調整。(盡管如此，今年1月的一項調查發現，四分之一的倫敦企業甚至不知道GPDR是什么。)

公平地說，GDPR作為一個整體有點復雜?？屏_拉多大學博爾德分校的人類學和信息科學教授艾莉森·酷在“ 紐約時報”上寫道，法律“非常復雜”，對于試圖遵守法律的人來說實際上是不可理解的。她采訪過的科學家和數據管理人員“懷疑絕對合規是否可能”。

這并不是一個令人愉快的立場，因為GDPR可以允許監管機構對違反GDPR的全球收入高達4%的公司進行罰款。從正確的角度來看，亞馬遜上4%的罰款將是70億美元。(有趣的是，由于像亞馬遜這樣的公司報告了巨額收入和相對較小的利潤，因此4%的罰款可能會使他們損失超過兩年的利潤。)

GDPR的沉重打擊可能促使Peter Thiel指責歐洲制定了保護主義法律制度。“歐洲沒有成功的科技公司，他們嫉妒美國，所以他們正在懲罰我們，”泰爾在3月份紐約經濟俱樂部的一次談話中說道。

由于GDPR的大部分內容都很模糊，它在實踐中的運作方式取決于監管機構的做法。最終，規范將出現：監管機構將追究誰，他們將對什么樣的行為征收何種懲罰，以及他們將從違法者中提取的全球收入的4%。

一般的假設是，當最后期限到來時，歐洲監管機構將把它視為一個軟開放，讓公司在蜜月期間變得容易，而每個人都會弄清楚法律是如何運作的。但監管機構無法完全控制5月25日將要發生的事情，因為部分GDPR是用戶驅動的。

如果歐盟居民提交數據主體請求，公司有30天的時間來回復。假設一家公司獲得了這些請求之一，但它們仍然不完全符合GDPR標準，并且根本無法響應。如果公司沒有回復，那么數據主體可以向當地監管機構提出投訴。

GDPR要求監管機構采取措施來執行法律。這可能不是4%的罰款，但他們不能直接將投訴轉發給廢紙簍。“如果他們在第一個月受到10,000次投訴的打擊，他們就會遇到麻煩，”Straight說。本月早些時候路透社調查的24家歐洲監管機構中有17家表示，他們尚未準備好通過新法律生效，因為他們還沒有資金或法律權力來履行其職責。

可能會對監管資源造成壓力的另一項GDPR規定是數據泄露通知要求。公司必須在發現后72小時內通知相關數據保護機構，但監管機構之后所做的事情并不完全清楚。監管機構可能還沒有準備好審計公司的安全性，或者弄清楚如何做以保護受違規行為影響的歐盟居民。但是，他們還是要做點什么。他們可能在如何回應方面有一定的靈活性，但GDPR不允許他們什么都不做。

GDPR只適用于歐盟和歐盟居民，但由于許多公司在歐洲開展業務，美國科技行業正在爭先恐后地符合GDPR標準。盡管如此，盡管GDPR的首次亮相必將是混亂的，但該規則標志著全球數據處理方式的巨變。歐洲以外的美國人無法提供數據主題訪問請求，他們也不能要求刪除他們的數據。但無論如何，GDPR合規將對他們產生溢出效應。特別是違規通知要求比美國的要求更嚴格。希望隨著公司和監管機構解決問題，GDPR的高度隱私保護將變得像往常一樣。與此同時，它只是一個瘋狂的爭奪，以跟上。