GDPR执法统计盘点、重点案例分析及应对方案(上篇)
到今年的5月25日,欧盟的《通用数据保护条例》(GDPR)即将生效满四周年。该条例的出台为欧盟的数字市场建立了统一的法律规范,各国监管机构也正以深入的监管力度、严厉的执法手段和高昂的罚款金额对各领域进行全面的数据合规监管。GDPR因此在全球范围内产生了巨大的影响力,各国纷纷仿效立法保护个人数据,各相关企业也日益重视数据风险防控。
本文通过对GDPR自2018年生效以来的执法情况追踪梳理,分析了GDPR的执法态势和关注焦点,重点解读了具有典型代表意义的高处罚额案例,以期为各领域企业在理解适用GDPR时提供实践性引导。其中,上篇将结合数据对GDPR执法情况进行总体分析,下篇将针对GDPR的处罚依据等相关法律问题进行深入、系统、实务性的分析。
本篇将主要介绍GDPR生效四年来的主要执法情况。总体而言GDPR执法情况呈现出以下特征:
一、GDPR执法总体呈现次数增长、罚款金额增多的趋势 ///
从GDPR生效以来的罚款次数累积过程(见图1)来看,目前处罚次数累计已有1037次,且罚款次数呈现稳步增长的趋势,故可以认为GDPR执法将会是一个长期的持续存在的状态,而不是暂时的运动性执法。且随着执法次数的不断增加,执法对象势必进一步扩展。随着执法次数的增加,罚款总额也在屡创新高,巨额罚单不断更新(见表1),根据GDPR的罚款数额累积过程(见图2),截至目前GDPR罚款总额已达16.1亿欧元,平均每次罚金高达155万欧元,尤其是刚刚过去的2021年,仅一年的罚金总额就高达12.7亿欧元,呈现井喷态势。
图1 GDPR罚款总次数累积过程
图2 GDPR罚款总额累积过程
同时依据GDPR单月统计情况,单月的罚款次数变化趋势(见图3)和单月的罚款数额(见图4)幅度同样起伏较大,其中罚款数额的峰值受到各笔巨额罚单影响。例如最低单月罚款额仅有300欧元,而最高单月罚款数额则高至7亿欧元以上,这是由于该月卢森堡对亚马逊开出了7亿元的巨额罚单。总体从趋势线来看,随着执法过程的推进,单月罚款次数和总额均在明显增加。
图3 单月罚款次数
图4 单月罚款总额
时间 | 数据处理者 | 处罚金额 (欧元) | 处罚依据 | 所在领域 | |
1 | 2021年7月16日 | 亚马逊 | 7.46亿 | 不符合数据处理基本原则 | 工商 |
2 | 2021年9月2日 | WhatsApp(爱尔兰) | 2.25亿 | 信息义务履行不足 | 信息义务履行不足 |
3 | 2021年12月31日 | 谷歌 | 9千万 | 数据处理法律依据不足 | 媒体、电信和广播 |
4 | 2021年12月31日 | Facebook(爱尔兰 | 6千万 | 数据处理法律依据不足 | 媒体、电信和广播 |
5 | 2021年12月31日 | 谷歌 (爱尔兰) | 6千万 | 数据处理法律依据不足 | 媒体、电信和广播 |
6 | 2019年1月21日 | 谷歌 | 5千万 | 数据处理法律依据不足 | 媒体、电信和广播 |
7 | 2020年10月1日 | H&M | 3526万 | 数据处理法律依据不足 | 就业 |
8 | 2020年1月15日 | TIM(电信运营商) | 2780万 | 数据处理法律依据不足 | 媒体、电信和广播 |
9 | 2021年12月16日 | Enel能源公司 | 2650万 | 数据处理法律依据不足 | 交通与能源 |
10 | 2020年10月16日 | 英国航空 | 2205万 | 确保信息安全保障措施不足 | 交通与能源 |
表1 GDPR十笔最高罚款
二、欧盟各成员国间对GDPR的执法存在较大差距 ///
根据对各国家/地区的统计结果,尽管欧洲立法者打算通过GDPR全面协调监管框架,但欧盟成员国在针对GDPR展开监管时似乎存在很大差异,具体体现在机构设置及对法律的理解等各个方面,故在不同的国家基于GDPR受到罚款的风险水平也有所不同。目前罚款总额最高的十个国家依次是卢森堡、法国、爱尔兰、意大利、德国、西班牙、英国、奥地利、瑞典、荷兰(见图5);罚款次数最多的十个国家依次是西班牙、意大利、罗马尼亚、德国、匈牙利、挪威、希腊、波兰、比利时、瑞典(见图6)。可见有的国家是“不罚则已,一罚惊人”,如卢森堡、法国、爱尔兰等,有的则是罚款次数较多,总体金额相对不高,如罗马尼亚、匈牙利、挪威、希腊等国。所以企业在欧盟开展数据处理活动时可以提前了解所在国家的执法特点,以更好的把握企业展开数据合规工作时的尺度和重点。
图5 罚款总额最高的国家
图6 罚款次数最多的国家
三、GDPR执法领域广 ///
GDPR的执法领域较广,涉及工商、媒体、交通等十余个行业,各行业的罚款次数、罚款力度以及执法侧重点均有所不同。
就罚款总额而言(见图7),仅工商行业一个领域就占比近半数,媒体、电信和广播行业占比约五分之二,剩余全部领域仅占比约10%;就罚款次数而言(见图8),各行业差距没有罚款总额的差距明显,但工商、媒体行业仍是前两位,公共部门和教育、金融、卫生保健等领域处罚次数也较多。
综合两图可知,工商行业和媒体电信广播行业的执法力度较大,尤其应当引起重视;交通能源领域虽然执法次数较少,但单次处罚金额较高。
图7 各领域罚款总额占比
图8 各领域罚款次数占比
1.工商行业
根据统计结果,工商行业从罚款总额和罚款次数两个维度统计均列第一位。该行业主体通常因不遵守一般的数据保护原则和数据安全措施不足而受到严厉的罚款,尤其是在大量个人数据暴露给公众的情况下。
2.媒体、电信和广播行业
媒体、电信和广播行业在罚款总额和罚款次数两个维度统计均列第二。该行业的罚款理由大多是因为公司没有合法性基础而处理个人数据。特别是,意大利和西班牙的数据保护机构最近强调,他们正在处理电信运营商为了吸引客户所采取的未经同意的营销等违法行为,要求媒体、电信和广播行业的公司必须在通过电话或电子邮件营销产品或业务之前获得数据主体的同意。此处的“同意”只有在自由给出、具体、知情和明确的情况下才有效。
除了缺乏合法性基础这一原因,未能实施足够的数据安全措施也会被处以巨额罚款。值得注意的是,媒体和电信公司所开展的大规模处理业务更需要强有力的安全措施以加强数据主体的数据机密性和完整性。
3.交通与能源行业
交通和能源行业的罚款总额目前居于第3位,与其他行业相同,这类公司亦必须确保足够的安全保障措施,尤其是在处理大量客户数据和/或敏感信息时。尽管因安全保障措施不足而处以的罚款大多不超过10,000欧元,但英国航空公司因数据泄露被罚款2000万欧元的例子表明,仍有引发巨额罚款的巨大风险。
值得一提的是,考虑到该行业中的大部分公司受到了新冠肺炎疫情危机影响,监管机构最终对部分企业(例如英国航空)的罚款数额较之前有较大幅度的减少。
4.公共部门与教育行业
公共部门和教育行业的处罚次数位列第3,通常对于数据主体而言,公共部门以及涉及未成年人信息的教育行业,相较其他行业具有特殊的信任地位,更需要严格进行数据保护。自2020以来,特别是Covid-19大流行期间技术使用,如数字疫苗接种卡和冠状病毒追踪等,使得欧盟各国数据管理机构似乎加强了对公共和教育部门的审查,而且按照疫情的发展趋势,这种审查在未来几年应该会持续下去。
5.金融、保险和咨询
2021年金融、保险和咨询行业的罚款大幅增加,且有几笔罚款金额高达数百万,其中最高的三项罚款都是由于未获得客户的有效同意,导致企业处理客户数据缺乏充分的法律依据。目前,监管机构似乎正在更密切地关注如何获得同意以及数据主体是否被充分告知。另外,随着越来越多的金融和保险服务以数字方式执行,例如网上银行、支付应用程序等,数据安全也将变得更加重要,该行业应当加强数据安全保障措施,否则不仅会面临巨额罚款,还可能造成相当大的声誉损失。
6.医疗保健行业
医疗保健部门数据保护的关键且普遍的问题涉及数据保护的技术方面,特别是访问管理系统的不适当设置(或缺乏)。尤其是在医院,用于处理患者数据的 IT 系统常常会向全体员工开放。但医院全部开放系统权限的原因,主要是为了避免访问限制(例如忘记密码或丢失安全令牌)阻碍对相关患者数据的快速访问,从而损害患者的利益。所以,如何平衡数据保护与医疗保健行业的工作效率,可能是医疗保健行业完善数据保护系统时要考虑的重点问题。
四、处罚依据较为集中 ///
根据统计数据,针对GDPR的处罚依据较为集中。
从罚款总额角度出发(见图9),仅因“不符合数据处理的基本原则”一项处以的罚款数额已近罚款总额的半数;因“数据处理的法律依据不足”作为依据的罚款数额近罚款总额的四分之一;因“信息义务履行不足”和“确保信息安全的保障措施不足”两项占比也相对不小,其余的处罚依据还包括:数据主体权利履行不足、未充分履行数据泄露通知义务、数据处理协议不足、数据保护官参与不足、与监管部门合作不足等,这些罚款总额占比较小。
从罚款数量而言(见图10),除了“不符合数据处理的基本原则”、“数据处理的法律依据不足”“信息义务履行不足”“确保信息安全的保障措施不足”四类罚款总额较大的在数量上仍占比较大以外,“数据主体权利履行不足”的数量占比远大于其总额占比,排名第4,可见对数据主体权利的保障执法还是较为频繁,但罚款情况相对其他几项而言稍显宽松。
根据各处罚依据的平均处罚金额(见图11)可知,整体而言,针对“不符合数据处理基本规则”“信息义务履行不足”“数据处理的法律依据不足”“确保信息安全的保障措施不足”四项执法较为严格。
由于每一项处罚依据所对应的GDPR条文内涵相当丰富,故本篇第二部分将会通过典型案例进一步分析各处罚依据下的常见违规行为类型。
图9 各处罚依据罚款金额占比
图10 各处罚依据罚款次数占比
图11 各处罚依据平均处罚金额