從處罰學校用人臉識別記考勤，到給谷歌Google 定向廣告開出五千萬罰單，“史上最嚴厲的數據保護法”GDPR實施一年以來，歐洲各國對數據保護的力度正在逐步加大。

2018年5月25日，歐盟《通用數據保護條例》(General Data Protection Regulation,GDPR)正式生效。

GDPR不僅針對注冊地在歐盟的企業，甚至于非歐盟的企業，只要提供產品或服務的過程中涉及歐盟境內個體數據，便必須遵循GDPR。而一旦企業違法，輕者處以1000萬歐元或者上一年度全球營收的2%（兩者取其高）的罰款；重者處以2000萬歐元或者企業上一年度全球營收的4%（兩者取其高）的罰款。

根據中興通訊數據保護合規部與數據法盟聯合編制并于近日發布的《GDPR執法案例精選白皮書》（下稱《白皮書》），截止至2019年9月24日，22家歐洲數據監管機構對共87件案件作出了總計3.7億歐元的行政處罰決定。

從被罰款金額最大的英國航空50萬乘客信息泄露案，到對公民在自家門窗安裝過多攝像頭的象征性處罰，《白皮書》收錄了歐洲經濟區（European Economic Area, EEA）22個國家的立法情況和87個典型執法案例，從執法主體、國別、力度、依據等多維度分析研究，是國內首個針對GDPR執法的全方位報告。

“立法層面，GDPR已成為各主要國家采用或計劃采用的數據保護法律法規基準，引發全球立法規則進一步融合;執法層面，GDPR執法案例作為體現監管態勢的重要參照，為跨國企業的數據保護合規工作提供風向標?！敝信d通訊數據保護合規部部長、《GDPR執法案例精選白皮書》編撰組組長高瑞鑫向21世紀經濟報道表示。

“經過一段時間的適應期，歐洲數據監管機構處罰力度明顯加大，尤其進入2019年7月以來，大額罰單出現的概率明顯增加?！睌祿藙撌既?、上海交大數據法律研究中心執行主任、《白皮書》聯合編撰人何淵向21世紀經濟報道表示。

數據泄露案件多最大罰單超過2億歐元

《白皮書》總結認為，一方面是對數據控制者和數據處理者的規制和問責，另一方面是賦予數據主體更多權利，GDPR從這兩方面下手，深深的扼住了數據濫用的出入口。

從數據控制和數據處理者層面來看，《白皮書》顯示，根據執法依據來劃分，GDPR包括目的限制、存儲限制、最小數據原則等七大數據處理的原則。在這些原則中，觸犯頻率最高的原則是完整性和保密性原則，即缺乏相應的技術組織措施來保障數據處理安全性，而目前懲罰金額最大的案件也都與此相關，一般表現為多位用戶的數據遭泄露。

例如，2018年6月，英國航空公司網站爆出數據泄露事件，該事件導致約50萬名英航乘客的個人信息被泄露。在該事件中，用戶流量被移轉到虛假網站，攻擊者通過這個虛假網站收集了客戶詳細信息，包括客戶個人信息和銀行卡信息， 如姓名、地址、郵箱，以及信用卡的號碼、有效期和背面的驗證碼(CVV)等。

監管機構英國信息專員辦公室(ICO)認為，英國航空公司缺乏保障信息安全的技術和組織措施，于今年10月初對其作出1.83億英鎊、約合2億歐元的罰款決定，同時英國航空還面臨著30億英鎊的集體訴訟。

無獨有偶，2018年11月，萬豪國際集團披露了其旗下喜達屋酒店客房預訂系統數據泄露，3.39億酒店客戶信息被黑客竊取，涉及到3000萬來自31個歐洲經濟區(EEA)國家的居民，其中包括700萬英國居民。

據ICO調查，喜達屋酒店客房預訂系統因黑客攻擊導致的數據漏洞自2014年7月起便存在，直到2018年才發現此漏洞。針對此次事件，ICO對萬豪國際集團作出1.24億歐元的罰款決定，而萬豪也在美國本土面臨著125億美元的集體訴訟索賠。

何淵認為，在接下來幾年，GDPR處罰案例中數據泄露事件較多的情況仍將繼續，該類案件主要違反數據泄露通知等響應義務以及違反完整性、保密性等數據處理基本原則?！皩Υ祟惏讣礼DPR處罰金額將大幅提高，而數據泄露事件同時將面臨著天價的集體訴訟索賠?！焙螠Y表示。

數據合法性執法力度最大英法案件和金額最多

GDPR的另一“明星案件”——法國訴谷歌案則是出于另外的原因。

2018年5月，兩家歐洲非營利性隱私和數字權利組織相繼向法國國家信息與自由委員會投訴稱，谷歌在處理個人用戶數據方面采用了“強制同意”政策，其收集的數據包含大量用戶個人信息，這些信息還在用戶不知情的情況下被用于商業廣告用途。

據法國國家信息與自由委員會今年1月21日發布公告稱，依據《通用數據保護條例》的相關規定，專門小組認為谷歌在處理個人用戶數據時存在缺乏透明度、用戶獲知信息不便、廣告訂制缺乏有效的自愿原則等問題，法國將對其處以5000萬歐元，約合3億8千萬人民幣的罰款。

《白皮書》顯示，數據處理的合法性基礎的缺失(合法性原則)的執法力度最為顯著。在搜集的87個案例中，8個案例是依照多類別處罰依據執法(其中7個案例有2個處罰依據，1個有3個處罰依據)。所有的處罰依據中，有30個是因為缺乏數據處理的合法性基礎而被罰，占比31%。另外，數據處理的安全性(完整性與保密性)也是執法機構關注的重點，案例處罰依據數量為25個，占比26%。

據此，《白皮書》認為，結合GDPR規定及歐盟地區各個國家監管機構的執法案例，企業應當尤其注意遵守完整性和保密性原則、合法、公平和透明原則以及數據最小范圍原則，充分保障數據主體訪問權、被遺忘權的實現。

根據GDPR執法力度國別分析，英國、法國、保加利亞、波蘭處罰力度大，英國、匈牙利、捷克、德國監管機構處罰動作頻繁。企業需要重視在上述國家的數據保護合規治理工作。

其中，英國、法國、保加利亞、波蘭、荷蘭DPA（Data Protection Agency數據監管機構，下同）共開出6件超過50萬歐元罰款的行政處罰。

人臉識別記考勤被罰近兩萬歐元

《白皮書》顯示，驚天大案之外，GDPR實踐中也不乏很多金額不大但很有代表意義的小型案件。

在瑞典，一個名為 Anderstorps的高中學校使用人臉識別技術來記錄學生的上課考勤。該學校董事會在一個實驗項目中使用面部識別技術對學生的面部信息進行了登記。該實驗項目持續了三周，涉及到22名學生。學生們的面部生物識別數據及全名被相機以照片的形式捕獲，這些信息被存儲在沒有連接互聯網的本地計算機中。

今年8月，瑞典監管機構判定，學校違反數據收集目的限制和最小范圍原則，罰款近2萬歐元。為滿足上課出勤統計的目的，學?？梢砸郧秩胄暂^小的方式實現，面部識別軟件的使用與目的不成比例。此外，GDPR原則上禁止以識別自然人身份為目的來處理生物特征數據，除非符合例外情形。然而由于學校與學生之間關系的不平等性，監護人同意不能視為自愿，因此該同意存在瑕疵， 不能作為合法性基礎。同時，學校對人臉識別的風險缺乏評估和說明。

針對上述案例，《白皮書》發出如下警示：人臉識別等生物特征數據的使用應持謹慎態度。根據數據最小化原則，處理的個人數據應該是充分的、相關的，并且與處理它們的目的相關，而不能過于全面地收集、處理數據。只有在用其他方法無法以令人滿意的方式實現處理目的時，才可以考慮使用此類敏感數據，否則將存在較大的合規風險。

中企仍以觀望為主，應開始積極應對

GDPR實施一年半以來，影響逐漸顯現。

根據國際隱私專業人士協會 (International Association of Privacy Professionals,IAPP)2019年7月發布的數據顯示，目前在28個歐盟成員國的12個國家中，約有376,306個組織注冊了數據保護專員(Data Protection Officer, 簡稱DPO)。據估計，整個歐洲總共有500,000個DPO實際注冊。

同時，隨著GDPR執法的深入，公眾對數據保護規則及個人權利的了解度有了很大的提升。向DPA咨詢GDPR和提出申訴的人日益增多，來自27個EEA國家DPA的統計數據顯示，截至2019年3月共上報了281,088例案件，其中近半數(144,376件) 是投訴。同時，非營利組織代表個人發起的申訴也開始出現。

中企如何應對上述趨勢？高瑞鑫接受21世紀經濟報道采訪表示，包括中國企業在內的全球企業應對GDPR都經歷著三個階段，即“觀望期”、“應對期”和“建設期”，尤以具有涉歐業務的跨國企業為典型。雖然GDPR在生效前已空留出兩年的預備時間窗口，但由于其開創性法條、威懾性罰責，以及合規成本和影響的不確定性，企業大多選擇以觀望為主，目前大多數非涉歐或僅有少量涉歐業務的中國企業仍處于這一階段。而對于航空、金融、跨境電商等特定行業，以及超級互聯網公司、大型跨國公司等，則主要處于預防應對期，少數進入了前瞻建設期。具體動作上，直接面向C端用戶的隱私政策（Privacy Notice）上線，規制B端的客戶、供應商及合作伙伴的數據處理協議的簽署，確保數據跨境傳輸的標準協議條款的簽署，履行數據保護官的設置要求，針對歐盟當地員工個人數據處理進行合法性檢視等，作為第一批合規治理和整改重點，以優先消減顯性風險。

高瑞鑫認為，企業的最高管理層應當從數字經濟發展未來的層次去重視和審視GDPR的全球影響力和不可逆性，主動進行規劃并搭建數據保護合規體系，控制長遠風險。但目前，散點治理模式在很多國內企業實操中仍廣泛存在，還有很長的路要走。

責任編輯：韓希宇