從處罰學校用人臉識別記考勤，到給谷歌Google定向廣告開出五千萬罰單，史上最嚴厲的數(shù)據保護法GDPR實施一年以來，歐洲各國對數(shù)據保護的力度

從處罰學校用人臉識別記考勤，到給谷歌Google定向廣告開出五千萬罰單，“史上最嚴厲的數(shù)據保護法”GDPR實施一年以來，歐洲各國對數(shù)據保護的力度正在逐步加大。

從處罰學校用人臉識別記考勤，到給谷歌Google 定向廣告開出五千萬罰單，“史上最嚴厲的數(shù)據保護法”GDPR實施一年以來，歐洲各國對數(shù)據保護的力度正在逐步加大。

2018年5月25日，歐盟《通用數(shù)據保護條例》(General Data Protection Regulation,GDPR)正式生效。

GDPR不僅針對注冊地在歐盟的企業(yè)，甚至于非歐盟的企業(yè)，只要提供產品或服務的過程中涉及歐盟境內個體數(shù)據，便必須遵循GDPR。而一旦企業(yè)違法，輕者處以1000萬歐元或者上一年度全球營收的2%(兩者取其高)的罰款;重者處以2000萬歐元或者企業(yè)上一年度全球營收的4%(兩者取其高)的罰款。

根據中興通訊數(shù)據保護合規(guī)部與數(shù)據法盟聯(lián)合編制并于近日發(fā)布的《GDPR執(zhí)法案例精選白皮書》(下稱《白皮書》)，截止至2019年9月24日，22家歐洲數(shù)據監(jiān)管機構對共87件案件作出了總計3.7億歐元的行政處罰決定。

從被罰款金額最大的英國航空50萬乘客信息泄露案，到對公民在自家門窗安裝過多攝像頭的象征性處罰，《白皮書》收錄了歐洲經濟區(qū)(European Economic Area, EEA)22個國家的立法情況和87個典型執(zhí)法案例，從執(zhí)法主體、國別、力度、依據等多維度分析研究，是國內首個針對GDPR執(zhí)法的全方位報告。

“立法層面，GDPR已成為各主要國家采用或計劃采用的數(shù)據保護法律法規(guī)基準，引發(fā)全球立法規(guī)則進一步融合;執(zhí)法層面，GDPR執(zhí)法案例作為體現(xiàn)監(jiān)管態(tài)勢的重要參照，為跨國企業(yè)的數(shù)據保護合規(guī)工作提供風向標。”中興通訊數(shù)據保護合規(guī)部部長、《GDPR執(zhí)法案例精選白皮書》編撰組組長高瑞鑫向21世紀經濟報道表示。

“經過一段時間的適應期，歐洲數(shù)據監(jiān)管機構處罰力度明顯加大，尤其進入2019年7月以來，大額罰單出現(xiàn)的概率明顯增加。”數(shù)據法盟創(chuàng)始人、上海交大數(shù)據法律研究中心執(zhí)行主任、《白皮書》聯(lián)合編撰人何淵向21世紀經濟報道表示。

數(shù)據泄露案件多 最大罰單超過2億歐元

《白皮書》總結認為，一方面是對數(shù)據控制者和數(shù)據處理者的規(guī)制和問責，另一方面是賦予數(shù)據主體更多權利，GDPR從這兩方面下手，深深的扼住了數(shù)據濫用的出入口。

從數(shù)據控制和數(shù)據處理者層面來看，《白皮書》顯示，根據執(zhí)法依據來劃分，GDPR包括目的限制、存儲限制、最小數(shù)據原則等七大數(shù)據處理的原則。在這些原則中，觸犯頻率最高的原則是完整性和保密性原則，即缺乏相應的技術組織措施來保障數(shù)據處理安全性，而目前懲罰金額最大的案件也都與此相關，一般表現(xiàn)為多位用戶的數(shù)據遭泄露。

例如，2018年6月，英國航空公司網站爆出數(shù)據泄露事件，該事件導致約50萬名英航乘客的個人信息被泄露。在該事件中，用戶流量被移轉到虛假網站，攻擊者通過這個虛假網站收集了客戶詳細信息，包括客戶個人信息和銀行卡信息， 如姓名、地址、郵箱，以及信用卡的號碼、有效期和背面的驗證碼(CVV)等。

監(jiān)管機構英國信息專員辦公室(ICO)認為，英國航空公司缺乏保障信息安全的技術和組織措施，于今年10月初對其作出1.83億英鎊、約合2億歐元的罰款決定，同時英國航空還面臨著30億英鎊的集體訴訟。

無獨有偶，2018年11月，萬豪國際集團披露了其旗下喜達屋酒店客房預訂系統(tǒng)數(shù)據泄露，3.39億酒店客戶信息被黑客竊取，涉及到3000萬來自31個歐洲經濟區(qū)(EEA)國家的居民，其中包括700萬英國居民。

據ICO調查，喜達屋酒店客房預訂系統(tǒng)因黑客攻擊導致的數(shù)據漏洞自2014年7月起便存在，直到2018年才發(fā)現(xiàn)此漏洞。針對此次事件，ICO對萬豪國際集團作出1.24億歐元的罰款決定，而萬豪也在美國本土面臨著125億美元的集體訴訟索賠。

何淵認為，在接下來幾年，GDPR處罰案例中數(shù)據泄露事件較多的情況仍將繼續(xù)，該類案件主要違反數(shù)據泄露通知等響應義務以及違反完整性、保密性等數(shù)據處理基本原則。“對此類案件GDPR處罰金額將大幅提高，而數(shù)據泄露事件同時將面臨著天價的集體訴訟索賠。”何淵表示。

數(shù)據合法性執(zhí)法力度最大 英法案件和金額最多

GDPR的另一“明星案件”——法國訴谷歌案則是出于另外的原因。

2018年5月，兩家歐洲非營利性隱私和數(shù)字權利組織相繼向法國國家信息與自由委員會投訴稱，谷歌在處理個人用戶數(shù)據方面采用了“強制同意”政策，其收集的數(shù)據包含大量用戶個人信息，這些信息還在用戶不知情的情況下被用于商業(yè)廣告用途。

據法國國家信息與自由委員會今年1月21日發(fā)布公告稱，依據《通用數(shù)據保護條例》的相關規(guī)定，專門小組認為谷歌在處理個人用戶數(shù)據時存在缺乏透明度、用戶獲知信息不便、廣告訂制缺乏有效的自愿原則等問題，法國將對其處以5000萬歐元，約合3億8千萬人民幣的罰款。

《白皮書》顯示，數(shù)據處理的合法性基礎的缺失(合法性原則)的執(zhí)法力度最為顯著。在搜集的87個案例中，8個案例是依照多類別處罰依據執(zhí)法(其中7個案例有2個處罰依據，1個有3個處罰依據)。所有的處罰依據中，有30個是因為缺乏數(shù)據處理的合法性基礎而被罰，占比31%。另外，數(shù)據處理的安全性(完整性與保密性)也是執(zhí)法機構關注的重點，案例處罰依據數(shù)量為25個，占比26%。

據此，《白皮書》認為，結合GDPR規(guī)定及歐盟地區(qū)各個國家監(jiān)管機構的執(zhí)法案例，企業(yè)應當尤其注意遵守完整性和保密性原則、合法、公平和透明原則以及數(shù)據最小范圍原則，充分保障數(shù)據主體訪問權、被遺忘權的實現(xiàn)。

根據GDPR執(zhí)法力度國別分析，英國、法國、保加利亞、波蘭處罰力度大，英國、匈牙利、捷克、德國監(jiān)管機構處罰動作頻繁。企業(yè)需要重視在上述國家的數(shù)據保護合規(guī)治理工作。

其中，英國、法國、保加利亞、波蘭、荷蘭DPA(Data Protection Agency數(shù)據監(jiān)管機構，下同)共開出6件超過50萬歐元罰款的行政處罰。

人臉識別記考勤 被罰近兩萬歐元

《白皮書》顯示，驚天大案之外，GDPR實踐中也不乏很多金額不大但很有代表意義的小型案件。

在瑞典，一個名為 Anderstorps的高中學校使用人臉識別技術來記錄學生的上課考勤。該學校董事會在一個實驗項目中使用面部識別技術對學生的面部信息進行了登記。該實驗項目持續(xù)了三周，涉及到22名學生。學生們的面部生物識別數(shù)據及全名被相機以照片的形式捕獲，這些信息被存儲在沒有連接互聯(lián)網的本地計算機中。

今年8月，瑞典監(jiān)管機構判定，學校違反數(shù)據收集目的限制和最小范圍原則，罰款近2萬歐元。為滿足上課出勤統(tǒng)計的目的，學?？梢砸郧秩胄暂^小的方式實現(xiàn)，面部識別軟件的使用與目的不成比例。此外，GDPR原則上禁止以識別自然人身份為目的來處理生物特征數(shù)據，除非符合例外情形。然而由于學校與學生之間關系的不平等性，監(jiān)護人同意不能視為自愿，因此該同意存在瑕疵， 不能作為合法性基礎。同時，學校對人臉識別的風險缺乏評估和說明。

針對上述案例，《白皮書》發(fā)出如下警示：人臉識別等生物特征數(shù)據的使用應持謹慎態(tài)度。根據數(shù)據最小化原則，處理的個人數(shù)據應該是充分的、相關的，并且與處理它們的目的相關，而不能過于全面地收集、處理數(shù)據。只有在用其他方法無法以令人滿意的方式實現(xiàn)處理目的時，才可以考慮使用此類敏感數(shù)據，否則將存在較大的合規(guī)風險。

中企仍以觀望為主，應開始積極應對

GDPR實施一年半以來，影響逐漸顯現(xiàn)。

根據國際隱私專業(yè)人士協(xié)會 (International Association of Privacy Professionals,IAPP)2019年7月發(fā)布的數(shù)據顯示，目前在28個歐盟成員國的12個國家中，約有376,306個組織注冊了數(shù)據保護專員(Data Protection Officer, 簡稱DPO)。據估計，整個歐洲總共有500,000個DPO實際注冊。

同時，隨著GDPR執(zhí)法的深入，公眾對數(shù)據保護規(guī)則及個人權利的了解度有了很大的提升。向DPA咨詢GDPR和提出申訴的人日益增多，來自27個EEA國家DPA的統(tǒng)計數(shù)據顯示，截至2019年3月共上報了281,088例案件，其中近半數(shù)(144,376件) 是投訴。同時，非營利組織代表個人發(fā)起的申訴也開始出現(xiàn)。

中企如何應對上述趨勢?高瑞鑫接受21世紀經濟報道采訪表示，包括中國企業(yè)在內的全球企業(yè)應對GDPR都經歷著三個階段，即“觀望期”、“應對期”和“建設期”，尤以具有涉歐業(yè)務的跨國企業(yè)為典型。雖然GDPR在生效前已空留出兩年的預備時間窗口，但由于其開創(chuàng)性法條、威懾性罰責，以及合規(guī)成本和影響的不確定性，企業(yè)大多選擇以觀望為主，目前大多數(shù)非涉歐或僅有少量涉歐業(yè)務的中國企業(yè)仍處于這一階段。

而對于航空、金融、跨境電商等特定行業(yè)，以及超級互聯(lián)網公司、大型跨國公司等，則主要處于預防應對期，少數(shù)進入了前瞻建設期。具體動作上，直接面向C端用戶的隱私政策(Privacy Notice)上線，規(guī)制B端的客戶、供應商及合作伙伴的數(shù)據處理協(xié)議的簽署，確保數(shù)據跨境傳輸?shù)臉藴蕝f(xié)議條款的簽署，履行數(shù)據保護官的設置要求，針對歐盟當?shù)貑T工個人數(shù)據處理進行合法性檢視等，作為第一批合規(guī)治理和整改重點，以優(yōu)先消減顯性風險。

高瑞鑫認為，企業(yè)的最高管理層應當從數(shù)字經濟發(fā)展未來的層次去重視和審視GDPR的全球影響力和不可逆性，主動進行規(guī)劃并搭建數(shù)據保護合規(guī)體系，控制長遠風險。但目前，散點治理模式在很多國內企業(yè)實操中仍廣泛存在，還有很長的路要走。

關鍵詞： 歐洲數(shù)據監(jiān)管機構 罰單 GDPR