史上最严数据保护法GDPR生效17个月,欧洲开出3.7亿欧元罚单
[摘要]从处罚学校用人脸识别记考勤,到给谷歌Google定向广告开出五千万罚单,“史上最严厉的数据保护法”GDPR实施一年以来,欧洲各国对数据保护的力度正在逐步加大。
21世纪经济报道 张涵 北京报道
从处罚学校用人脸识别记考勤,到给谷歌Google 定向广告开出五千万罚单,“史上最严厉的数据保护法”GDPR实施一年以来,欧洲各国对数据保护的力度正在逐步加大。
2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效。
GDPR不仅针对注册地在欧盟的企业,甚至于非欧盟的企业,只要提供产品或服务的过程中涉及欧盟境内个体数据,便必须遵循GDPR。而一旦企业违法,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款。
根据中兴通讯数据保护合规部与数据法盟联合编制并于近日发布的《GDPR执法案例精选白皮书》(下称《白皮书》),截止至2019年9月24日,22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政处罚决定。
从被罚款金额最大的英国航空50万乘客信息泄露案,到对公民在自家门窗安装过多摄像头的象征性处罚,《白皮书》收录了欧洲经济区(European Economic Area, EEA)22个国家的立法情况和87个典型执法案例,从执法主体、国别、力度、依据等多维度分析研究,是国内首个针对GDPR执法的全方位报告。
“立法层面,GDPR已成为各主要国家采用或计划采用的数据保护法律法规基准,引发全球立法规则进一步融合;执法层面,GDPR执法案例作为体现监管态势的重要参照,为跨国企业的数据保护合规工作提供风向标。”中兴通讯数据保护合规部部长、《GDPR执法案例精选白皮书》编撰组组长高瑞鑫向21世纪经济报道表示。
“经过一段时间的适应期,欧洲数据监管机构处罚力度明显加大,尤其进入2019年7月以来,大额罚单出现的概率明显增加。”数据法盟创始人、上海交大数据法律研究中心执行主任、《白皮书》联合编撰人何渊向21世纪经济报道表示。
数据泄露案件多 最大罚单超过2亿欧元
《白皮书》总结认为,一方面是对数据控制者和数据处理者的规制和问责,另一方面是赋予数据主体更多权利,GDPR从这两方面下手,深深的扼住了数据滥用的出入口。
从数据控制和数据处理者层面来看,《白皮书》显示,根据执法依据来划分,GDPR包括目的限制、存储限制、最小数据原则等七大数据处理的原则。在这些原则中,触犯频率最高的原则是完整性和保密性原则,即缺乏相应的技术组织措施来保障数据处理安全性,而目前惩罚金额最大的案件也都与此相关,一般表现为多位用户的数据遭泄露。
例如,2018年6月,英国航空公司网站爆出数据泄露事件,该事件导致约50万名英航乘客的个人信息被泄露。在该事件中,用户流量被移转到虚假网站,攻击者通过这个虚假网站收集了客户详细信息,包括客户个人信息和银行卡信息, 如姓名、地址、邮箱,以及信用卡的号码、有效期和背面的验证码(CVV)等。
监管机构英国信息专员办公室(ICO)认为,英国航空公司缺乏保障信息安全的技术和组织措施,于今年10月初对其作出1.83亿英镑、约合2亿欧元的罚款决定,同时英国航空还面临着30亿英镑的集体诉讼。
无独有偶,2018年11月,万豪国际集团披露了其旗下喜达屋酒店客房预订系统数据泄露,3.39亿酒店客户信息被黑客窃取,涉及到3000万来自31个欧洲经济区(EEA)国家的居民,其中包括700万英国居民。
据ICO调查,喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自2014年7月起便存在,直到2018年才发现此漏洞。针对此次事件,ICO对万豪国际集团作出1.24亿欧元的罚款决定,而万豪也在美国本土面临着125亿美元的集体诉讼索赔。
何渊认为,在接下来几年,GDPR处罚案例中数据泄露事件较多的情况仍将继续,该类案件主要违反数据泄露通知等响应义务以及违反完整性、保密性等数据处理基本原则。“对此类案件GDPR处罚金额将大幅提高,而数据泄露事件同时将面临着天价的集体诉讼索赔。”何渊表示。
数据合法性执法力度最大 英法案件和金额最多
GDPR的另一“明星案件”——法国诉谷歌案则是出于另外的原因。
2018年5月,两家欧洲非营利性隐私和数字权利组织相继向法国国家信息与自由委员会投诉称,谷歌在处理个人用户数据方面采用了“强制同意”政策,其收集的数据包含大量用户个人信息,这些信息还在用户不知情的情况下被用于商业广告用途。
据法国国家信息与自由委员会今年1月21日发布公告称,依据《通用数据保护条例》的相关规定,专门小组认为谷歌在处理个人用户数据时存在缺乏透明度、用户获知信息不便、广告订制缺乏有效的自愿原则等问题,法国将对其处以5000万欧元,约合3亿8千万人民币的罚款。
《白皮书》显示,数据处理的合法性基础的缺失(合法性原则)的执法力度最为显著。在搜集的87个案例中,8个案例是依照多类别处罚依据执法(其中7个案例有2个处罚依据,1个有3个处罚依据)。所有的处罚依据中,有30个是因为缺乏数据处理的合法性基础而被罚,占比31%。另外,数据处理的安全性(完整性与保密性)也是执法机构关注的重点,案例处罚依据数量为25个,占比26%。
据此,《白皮书》认为,结合GDPR规定及欧盟地区各个国家监管机构的执法案例,企业应当尤其注意遵守完整性和保密性原则、合法、公平和透明原则以及数据最小范围原则,充分保障数据主体访问权、被遗忘权的实现。
根据GDPR执法力度国别分析,英国、法国、保加利亚、波兰处罚力度大,英国、匈牙利、捷克、德国监管机构处罚动作频繁。企业需要重视在上述国家的数据保护合规治理工作。
其中,英国、法国、保加利亚、波兰、荷兰DPA(Data Protection Agency数据监管机构,下同)共开出6件超过50万欧元罚款的行政处罚。
人脸识别记考勤 被罚近两万欧元
《白皮书》显示,惊天大案之外,GDPR实践中也不乏很多金额不大但很有代表意义的小型案件。
在瑞典,一个名为 Anderstorps的高中学校使用人脸识别技术来记录学生的上课考勤。该学校董事会在一个实验项目中使用面部识别技术对学生的面部信息进行了登记。该实验项目持续了三周,涉及到22名学生。学生们的面部生物识别数据及全名被相机以照片的形式捕获,这些信息被存储在没有连接互联网的本地计算机中。
今年8月,瑞典监管机构判定,学校违反数据收集目的限制和最小范围原则,罚款近2万欧元。为满足上课出勤统计的目的,学校可以以侵入性较小的方式实现,面部识别软件的使用与目的不成比例。此外,GDPR原则上禁止以识别自然人身份为目的来处理生物特征数据,除非符合例外情形。然而由于学校与学生之间关系的不平等性,监护人同意不能视为自愿,因此该同意存在瑕疵, 不能作为合法性基础。同时,学校对人脸识别的风险缺乏评估和说明。
针对上述案例,《白皮书》发出如下警示:人脸识别等生物特征数据的使用应持谨慎态度。根据数据最小化原则,处理的个人数据应该是充分的、相关的,并且与处理它们的目的相关,而不能过于全面地收集、处理数据。只有在用其他方法无法以令人满意的方式实现处理目的时,才可以考虑使用此类敏感数据,否则将存在较大的合规风险。
中企仍以观望为主,应开始积极应对
GDPR实施一年半以来,影响逐渐显现。
根据国际隐私专业人士协会 (International Association of Privacy Professionals,IAPP)2019年7月发布的数据显示,目前在28个欧盟成员国的12个国家中,约有376,306个组织注册了数据保护专员(Data Protection Officer, 简称DPO)。据估计,整个欧洲总共有500,000个DPO实际注册。
同时,随着GDPR执法的深入,公众对数据保护规则及个人权利的了解度有了很大的提升。向DPA咨询GDPR和提出申诉的人日益增多,来自27个EEA国家DPA的统计数据显示,截至2019年3月共上报了281,088例案件,其中近半数(144,376件) 是投诉。同时,非营利组织代表个人发起的申诉也开始出现。
中企如何应对上述趋势?高瑞鑫接受21世纪经济报道采访表示,包括中国企业在内的全球企业应对GDPR都经历着三个阶段,即“观望期”、“应对期”和“建设期”,尤以具有涉欧业务的跨国企业为典型。虽然GDPR在生效前已空留出两年的预备时间窗口,但由于其开创性法条、威慑性罚责,以及合规成本和影响的不确定性,企业大多选择以观望为主,目前大多数非涉欧或仅有少量涉欧业务的中国企业仍处于这一阶段。而对于航空、金融、跨境电商等特定行业,以及超级互联网公司、大型跨国公司等,则主要处于预防应对期,少数进入了前瞻建设期。具体动作上,直接面向C端用户的隐私政策(Privacy Notice)上线,规制B端的客户、供应商及合作伙伴的数据处理协议的签署,确保数据跨境传输的标准协议条款的签署,履行数据保护官的设置要求,针对欧盟当地员工个人数据处理进行合法性检视等,作为第一批合规治理和整改重点,以优先消减显性风险。
高瑞鑫认为,企业的最高管理层应当从数字经济发展未来的层次去重视和审视GDPR的全球影响力和不可逆性,主动进行规划并搭建数据保护合规体系,控制长远风险。但目前,散点治理模式在很多国内企业实操中仍广泛存在,还有很长的路要走。