從處罰學(xué)校用人臉識別記考勤，到給谷歌Google定向廣告開出五千萬罰單，史上最嚴厲的數(shù)據(jù)保護法GDPR實施一年以來，歐洲各國對數(shù)據(jù)保護的力度

從處罰學(xué)校用人臉識別記考勤，到給谷歌Google定向廣告開出五千萬罰單，“史上最嚴厲的數(shù)據(jù)保護法”GDPR實施一年以來，歐洲各國對數(shù)據(jù)保護的力度正在逐步加大。

從處罰學(xué)校用人臉識別記考勤，到給谷歌Google 定向廣告開出五千萬罰單，“史上最嚴厲的數(shù)據(jù)保護法”GDPR實施一年以來，歐洲各國對數(shù)據(jù)保護的力度正在逐步加大。

2018年5月25日，歐盟《通用數(shù)據(jù)保護條例》(General Data Protection Regulation,GDPR)正式生效。

GDPR不僅針對注冊地在歐盟的企業(yè)，甚至于非歐盟的企業(yè)，只要提供產(chǎn)品或服務(wù)的過程中涉及歐盟境內(nèi)個體數(shù)據(jù)，便必須遵循GDPR。而一旦企業(yè)違法，輕者處以1000萬歐元或者上一年度全球營收的2%(兩者取其高)的罰款;重者處以2000萬歐元或者企業(yè)上一年度全球營收的4%(兩者取其高)的罰款。

根據(jù)中興通訊數(shù)據(jù)保護合規(guī)部與數(shù)據(jù)法盟聯(lián)合編制并于近日發(fā)布的《GDPR執(zhí)法案例精選白皮書》(下稱《白皮書》)，截止至2019年9月24日，22家歐洲數(shù)據(jù)監(jiān)管機構(gòu)對共87件案件作出了總計3.7億歐元的行政處罰決定。

從被罰款金額最大的英國航空50萬乘客信息泄露案，到對公民在自家門窗安裝過多攝像頭的象征性處罰，《白皮書》收錄了歐洲經(jīng)濟區(qū)(European Economic Area, EEA)22個國家的立法情況和87個典型執(zhí)法案例，從執(zhí)法主體、國別、力度、依據(jù)等多維度分析研究，是國內(nèi)首個針對GDPR執(zhí)法的全方位報告。

“立法層面，GDPR已成為各主要國家采用或計劃采用的數(shù)據(jù)保護法律法規(guī)基準，引發(fā)全球立法規(guī)則進一步融合;執(zhí)法層面，GDPR執(zhí)法案例作為體現(xiàn)監(jiān)管態(tài)勢的重要參照，為跨國企業(yè)的數(shù)據(jù)保護合規(guī)工作提供風(fēng)向標。”中興通訊數(shù)據(jù)保護合規(guī)部部長、《GDPR執(zhí)法案例精選白皮書》編撰組組長高瑞鑫向21世紀經(jīng)濟報道表示。

“經(jīng)過一段時間的適應(yīng)期，歐洲數(shù)據(jù)監(jiān)管機構(gòu)處罰力度明顯加大，尤其進入2019年7月以來，大額罰單出現(xiàn)的概率明顯增加。”數(shù)據(jù)法盟創(chuàng)始人、上海交大數(shù)據(jù)法律研究中心執(zhí)行主任、《白皮書》聯(lián)合編撰人何淵向21世紀經(jīng)濟報道表示。

數(shù)據(jù)泄露案件多 最大罰單超過2億歐元

《白皮書》總結(jié)認為，一方面是對數(shù)據(jù)控制者和數(shù)據(jù)處理者的規(guī)制和問責(zé)，另一方面是賦予數(shù)據(jù)主體更多權(quán)利，GDPR從這兩方面下手，深深的扼住了數(shù)據(jù)濫用的出入口。

從數(shù)據(jù)控制和數(shù)據(jù)處理者層面來看，《白皮書》顯示，根據(jù)執(zhí)法依據(jù)來劃分，GDPR包括目的限制、存儲限制、最小數(shù)據(jù)原則等七大數(shù)據(jù)處理的原則。在這些原則中，觸犯頻率最高的原則是完整性和保密性原則，即缺乏相應(yīng)的技術(shù)組織措施來保障數(shù)據(jù)處理安全性，而目前懲罰金額最大的案件也都與此相關(guān)，一般表現(xiàn)為多位用戶的數(shù)據(jù)遭泄露。

例如，2018年6月，英國航空公司網(wǎng)站爆出數(shù)據(jù)泄露事件，該事件導(dǎo)致約50萬名英航乘客的個人信息被泄露。在該事件中，用戶流量被移轉(zhuǎn)到虛假網(wǎng)站，攻擊者通過這個虛假網(wǎng)站收集了客戶詳細信息，包括客戶個人信息和銀行卡信息， 如姓名、地址、郵箱，以及信用卡的號碼、有效期和背面的驗證碼(CVV)等。

監(jiān)管機構(gòu)英國信息專員辦公室(ICO)認為，英國航空公司缺乏保障信息安全的技術(shù)和組織措施，于今年10月初對其作出1.83億英鎊、約合2億歐元的罰款決定，同時英國航空還面臨著30億英鎊的集體訴訟。

無獨有偶，2018年11月，萬豪國際集團披露了其旗下喜達屋酒店客房預(yù)訂系統(tǒng)數(shù)據(jù)泄露，3.39億酒店客戶信息被黑客竊取，涉及到3000萬來自31個歐洲經(jīng)濟區(qū)(EEA)國家的居民，其中包括700萬英國居民。

據(jù)ICO調(diào)查，喜達屋酒店客房預(yù)訂系統(tǒng)因黑客攻擊導(dǎo)致的數(shù)據(jù)漏洞自2014年7月起便存在，直到2018年才發(fā)現(xiàn)此漏洞。針對此次事件，ICO對萬豪國際集團作出1.24億歐元的罰款決定，而萬豪也在美國本土面臨著125億美元的集體訴訟索賠。

何淵認為，在接下來幾年，GDPR處罰案例中數(shù)據(jù)泄露事件較多的情況仍將繼續(xù)，該類案件主要違反數(shù)據(jù)泄露通知等響應(yīng)義務(wù)以及違反完整性、保密性等數(shù)據(jù)處理基本原則。“對此類案件GDPR處罰金額將大幅提高，而數(shù)據(jù)泄露事件同時將面臨著天價的集體訴訟索賠。”何淵表示。

數(shù)據(jù)合法性執(zhí)法力度最大 英法案件和金額最多

GDPR的另一“明星案件”——法國訴谷歌案則是出于另外的原因。

2018年5月，兩家歐洲非營利性隱私和數(shù)字權(quán)利組織相繼向法國國家信息與自由委員會投訴稱，谷歌在處理個人用戶數(shù)據(jù)方面采用了“強制同意”政策，其收集的數(shù)據(jù)包含大量用戶個人信息，這些信息還在用戶不知情的情況下被用于商業(yè)廣告用途。

據(jù)法國國家信息與自由委員會今年1月21日發(fā)布公告稱，依據(jù)《通用數(shù)據(jù)保護條例》的相關(guān)規(guī)定，專門小組認為谷歌在處理個人用戶數(shù)據(jù)時存在缺乏透明度、用戶獲知信息不便、廣告訂制缺乏有效的自愿原則等問題，法國將對其處以5000萬歐元，約合3億8千萬人民幣的罰款。

《白皮書》顯示，數(shù)據(jù)處理的合法性基礎(chǔ)的缺失(合法性原則)的執(zhí)法力度最為顯著。在搜集的87個案例中，8個案例是依照多類別處罰依據(jù)執(zhí)法(其中7個案例有2個處罰依據(jù)，1個有3個處罰依據(jù))。所有的處罰依據(jù)中，有30個是因為缺乏數(shù)據(jù)處理的合法性基礎(chǔ)而被罰，占比31%。另外，數(shù)據(jù)處理的安全性(完整性與保密性)也是執(zhí)法機構(gòu)關(guān)注的重點，案例處罰依據(jù)數(shù)量為25個，占比26%。

據(jù)此，《白皮書》認為，結(jié)合GDPR規(guī)定及歐盟地區(qū)各個國家監(jiān)管機構(gòu)的執(zhí)法案例，企業(yè)應(yīng)當尤其注意遵守完整性和保密性原則、合法、公平和透明原則以及數(shù)據(jù)最小范圍原則，充分保障數(shù)據(jù)主體訪問權(quán)、被遺忘權(quán)的實現(xiàn)。

根據(jù)GDPR執(zhí)法力度國別分析，英國、法國、保加利亞、波蘭處罰力度大，英國、匈牙利、捷克、德國監(jiān)管機構(gòu)處罰動作頻繁。企業(yè)需要重視在上述國家的數(shù)據(jù)保護合規(guī)治理工作。

其中，英國、法國、保加利亞、波蘭、荷蘭DPA(Data Protection Agency數(shù)據(jù)監(jiān)管機構(gòu)，下同)共開出6件超過50萬歐元罰款的行政處罰。

人臉識別記考勤 被罰近兩萬歐元

《白皮書》顯示，驚天大案之外，GDPR實踐中也不乏很多金額不大但很有代表意義的小型案件。

在瑞典，一個名為 Anderstorps的高中學(xué)校使用人臉識別技術(shù)來記錄學(xué)生的上課考勤。該學(xué)校董事會在一個實驗項目中使用面部識別技術(shù)對學(xué)生的面部信息進行了登記。該實驗項目持續(xù)了三周，涉及到22名學(xué)生。學(xué)生們的面部生物識別數(shù)據(jù)及全名被相機以照片的形式捕獲，這些信息被存儲在沒有連接互聯(lián)網(wǎng)的本地計算機中。

今年8月，瑞典監(jiān)管機構(gòu)判定，學(xué)校違反數(shù)據(jù)收集目的限制和最小范圍原則，罰款近2萬歐元。為滿足上課出勤統(tǒng)計的目的，學(xué)校可以以侵入性較小的方式實現(xiàn)，面部識別軟件的使用與目的不成比例。此外，GDPR原則上禁止以識別自然人身份為目的來處理生物特征數(shù)據(jù)，除非符合例外情形。然而由于學(xué)校與學(xué)生之間關(guān)系的不平等性，監(jiān)護人同意不能視為自愿，因此該同意存在瑕疵， 不能作為合法性基礎(chǔ)。同時，學(xué)校對人臉識別的風(fēng)險缺乏評估和說明。

針對上述案例，《白皮書》發(fā)出如下警示：人臉識別等生物特征數(shù)據(jù)的使用應(yīng)持謹慎態(tài)度。根據(jù)數(shù)據(jù)最小化原則，處理的個人數(shù)據(jù)應(yīng)該是充分的、相關(guān)的，并且與處理它們的目的相關(guān)，而不能過于全面地收集、處理數(shù)據(jù)。只有在用其他方法無法以令人滿意的方式實現(xiàn)處理目的時，才可以考慮使用此類敏感數(shù)據(jù)，否則將存在較大的合規(guī)風(fēng)險。

中企仍以觀望為主，應(yīng)開始積極應(yīng)對

GDPR實施一年半以來，影響逐漸顯現(xiàn)。

根據(jù)國際隱私專業(yè)人士協(xié)會 (International Association of Privacy Professionals,IAPP)2019年7月發(fā)布的數(shù)據(jù)顯示，目前在28個歐盟成員國的12個國家中，約有376,306個組織注冊了數(shù)據(jù)保護專員(Data Protection Officer, 簡稱DPO)。據(jù)估計，整個歐洲總共有500,000個DPO實際注冊。

同時，隨著GDPR執(zhí)法的深入，公眾對數(shù)據(jù)保護規(guī)則及個人權(quán)利的了解度有了很大的提升。向DPA咨詢GDPR和提出申訴的人日益增多，來自27個EEA國家DPA的統(tǒng)計數(shù)據(jù)顯示，截至2019年3月共上報了281,088例案件，其中近半數(shù)(144,376件) 是投訴。同時，非營利組織代表個人發(fā)起的申訴也開始出現(xiàn)。

中企如何應(yīng)對上述趨勢?高瑞鑫接受21世紀經(jīng)濟報道采訪表示，包括中國企業(yè)在內(nèi)的全球企業(yè)應(yīng)對GDPR都經(jīng)歷著三個階段，即“觀望期”、“應(yīng)對期”和“建設(shè)期”，尤以具有涉歐業(yè)務(wù)的跨國企業(yè)為典型。雖然GDPR在生效前已空留出兩年的預(yù)備時間窗口，但由于其開創(chuàng)性法條、威懾性罰責(zé)，以及合規(guī)成本和影響的不確定性，企業(yè)大多選擇以觀望為主，目前大多數(shù)非涉歐或僅有少量涉歐業(yè)務(wù)的中國企業(yè)仍處于這一階段。

而對于航空、金融、跨境電商等特定行業(yè)，以及超級互聯(lián)網(wǎng)公司、大型跨國公司等，則主要處于預(yù)防應(yīng)對期，少數(shù)進入了前瞻建設(shè)期。具體動作上，直接面向C端用戶的隱私政策(Privacy Notice)上線，規(guī)制B端的客戶、供應(yīng)商及合作伙伴的數(shù)據(jù)處理協(xié)議的簽署，確保數(shù)據(jù)跨境傳輸?shù)臉藴蕝f(xié)議條款的簽署，履行數(shù)據(jù)保護官的設(shè)置要求，針對歐盟當?shù)貑T工個人數(shù)據(jù)處理進行合法性檢視等，作為第一批合規(guī)治理和整改重點，以優(yōu)先消減顯性風(fēng)險。

高瑞鑫認為，企業(yè)的最高管理層應(yīng)當從數(shù)字經(jīng)濟發(fā)展未來的層次去重視和審視GDPR的全球影響力和不可逆性，主動進行規(guī)劃并搭建數(shù)據(jù)保護合規(guī)體系，控制長遠風(fēng)險。但目前，散點治理模式在很多國內(nèi)企業(yè)實操中仍廣泛存在，還有很長的路要走。

關(guān)鍵詞： 歐洲數(shù)據(jù)監(jiān)管機構(gòu) 罰單 GDPR