Details

全球数据合规与个人信息保护2021年总结与2022年展望(中篇)

全球数据及隐私保护执法情况及展望



刚刚过去的2021年,对于中国的数字产业来说是重要的一年。年内先后生效的《数据安全法》和《个人信息保护法》,与2017年生效的《网络安全法》共同构成了数据合规的重要法律基础,呈三足鼎立之势。随着数字经济的日益活跃,我们有理由相信2022年全球各国监管机构的数据及隐私保护执法活动会更加频繁严厉。本系列上篇文章从立法层面对全球数据及隐私保护进行了总结及展望,本篇将聚焦数据及隐私保护的执法情况及展望。


2021年,全球各国监管机构的数据及隐私保护执法活动更加频繁,罚金数额屡攀新高。


以GDPR为例,截止2021年5月25日,该条例生效届满三年,在生效的头三年,只有一家大型科技公司因违规而被罚款。


然而,在过去的六个月里,两家科技巨头因违规行为被处以创纪录的高昂罚款。


2021年 7 月,亚马逊受到了迄今为止最大的 GDPR 罚款——7.46亿欧元,这也超过了之前所有 GDPR 罚款的总和,卢森堡的监管机构认为这家科技巨头未获得用户对其使用个人数据的适当同意。


当月,中国企业迎来了GDPR的首张罚单,字节跳动旗下短视频社交平台TikTok因侵犯儿童隐私被荷兰数据监管部门处以75万欧元罚款。9月,消息服务商WhatsApp因未充分获得用户同意且未满足数据透明度要求而被爱尔兰数据监管机构罚款2.66亿美元。谷歌在2019年因与公司广告个性化技术相关的违规行为被罚款5700万美元,在当时是破纪录的罚款,但与2021年的亚马逊和 WhatsApp 罚款相比只能算是零头。


不过,大公司并不是唯一违法的公司,拥有超过 250 名员工的中小型企业也必须遵守 GDPR 的要求。


虽然大型组织面临更高的罚款,但自该法规生效以来,众多的中小型企业也受到了处罚。据欧洲CMS.LawGDPR执法跟踪者网站统计数据显示,因违反GDPR相关规定而被欧盟各国监管部门处以罚款的数额逐年攀升,在刚刚过去的2021年出现了井喷式上升。


下图[1]展示了截止2022年1月,每个月累积的所有罚款,从中可以看出明显的上升趋势,由此可以看出各国监管部门在2021年纷纷加大了处罚力度。


同时,我们有理由相信,2022年欧盟各国的监管机构将继续更加严格的执行GDPR,如果不足够的重视,或许更多更高的处罚将会刷新纪录。


按照国别和罚款金额统计,截止2022年1月,卢森堡以罚款总额7.4亿欧元位居榜首,紧随其后的是法国、爱尔兰、意大利等国。如下图:



按照国别和罚款次数统计,截止2022年1月,西班牙以罚款352次位居榜首,紧随其后的是意大利、罗马尼亚、匈牙利、挪威等国。如下图:



按照行业划分,截止2022年1月被处以的罚款数量和罚款金额如下图所示:



由上图可见,“工业及商业”、“媒体、电信和广播”以及“公共部门和教育”是欧洲数据违法的重灾区,被监管部门处罚的次数最多,这提示中国企业在欧洲开展业务时,如果从事上述行业,应当在数据合规方面给予特别的重视。


按照违规类型统计,截止2022年1月被处以的罚款数量最多违规类型是“数据处理的法律依据不足”,其他的违规类型依次是“不符合一般数据处理原则”、“确保信息安全的技术和组织措施不足”、“数据主体权利履行不足”、“信息义务履行不足”、“与监管部门合作不足”、“未充分履行数据泄露通知义务”、“数据保护官参与不足”、“数据处理协议不足”等,如下图所示。相关企业在开展数据合规业务时,应当特别注意。


————————
[1]本文有关GDPR执法数据均来自欧洲CMS.Law GDPR执法跟踪者网站:https://www.enforcementtracker.com/