首页>最新资讯>商会新闻

《周·知》| 亚马逊创下罚款“新纪录”,7个案例读懂欧盟GDPR

来源:欧盟中国商会| 发布时间:2021-08-07
分享        

编者按

亚马逊近期被卢森堡监管机构罚款7.46亿欧元,再次引起人们对“史上最严”欧盟通用数据保护条例GDPR的关注;欧盟中国商会梳理发现,自2018年5月生效以来,违反GDPR案件已近800起,亚马逊案罚款金额最高。数据违规事件频发,中国企业如何依法数据采集和处理?本期欧盟中国商会《周·知》结合GDPR六项基本原则来梳理经典案例供读者参考。感谢阅读,订阅双语版请致信info@ccceu.eu。祝周末愉快!

本文不代表欧盟中国商会立场

天价罚单降临亚马逊

微信图片_20210809161815_副本.png

图片来自:netsmartz.com

据彭博社报道,亚马逊公司因违反欧盟严格的数据保护规定,被欧盟主要监管机构处以7.46亿欧元(约合8.88亿美元,57.29亿元人民币)的罚款,这是欧盟有史以来最大的数据隐私泄露罚款。而在此之前的“纪录保持者”同样是美国科技巨头公司—谷歌,2019年1月,法国国家信息与自由委员会(CNIL)发布公告称,由于谷歌未经用户许可存储用户个人信息,该机构常委会决定向谷歌开出5000万欧元的罚单。反观中国,7月初中国网信办同样以“存在严重违法违规收集使用个人信息问题”要求“滴滴出行”系列的25个app下架整改。在大数据时代,数据是科技企业”富矿”,GDPR也催生了全球对收紧数据监管的热潮。

GDPR六项基本原则

GDPR全称General Data Protection Regulation-欧盟《通用数据保护条例》(下称“GDPR”),是欧盟在数据安全领域的全面改革,旨在深度规范个人数据保护。根据GDPR的规定,不论是设在欧盟的机构还是欧盟以外的机构,只要在经营、生产或服务过程中处理了欧盟境内个体的数据,都需遵守GDPR。

GDPR第二章第五条明确规定了六项基本原则,基本原则可以作为行政处罚的直接依据,并属于严重违法行为,可面临高额罚金。在解释六项基本原则前,请先了解GDPR中存在的三个角色:

数据主体(Data Subject):自然人,一般指被收集数据的目标。例如用户、客户、商业联系人、雇员等。

数据控制者(Controller):决定处理数据的目的和方式,有义务确保它跟数据处理者之间的合同遵从GDPR要求。

数据处理者(Processor):代表控制者处理个人数据,只能根据数据控制者的指令(数据处理协议)处理个人数据,有维护数据处理记录的义务。

1.    合法、公正、透明

【案例一】2019年1月,法国国家信息与自由委员会(CNIL)发布公告称,由于谷歌未经用户许可存储用户个人信息,该机构决定向谷歌开出5000万欧元的罚单。在用户建立谷歌账户时,谷歌向用户提供的个人数据协议过于“模糊”,没有充分告知用户个人数据的具体用途,广告的个性化显示被隐藏在“更多选项”中,且被预先选中。

 GDPR第5条(a):对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理。

谷歌公司在向用户提供个人数据协议时,带有“隐瞒”和“不具体性”,且"预先选中勾选方框”的行为违背了GDPR第4条(11)规定“数据主体需通过一个明确行为进行同意”。企业在制定个人数据协议时,应充分解释数据使用目的,并设置一个明确的步骤来获取数据主体的同意,例如设置一个非预先勾选的方框,用户通过勾选以表示同意,或以书面形式告知,签字表示同意。在接受相关监管机构调查时,这些文件将成为违规与否的有力证据。

GDPR的透明性不仅仅要求对成年用户做充分解释,在儿童领域,企业更应注意相关规定。

 【案例二】2021年4月,荷兰DPA对Tiktok开出75万欧元罚款,根据GDPR规定,Tiktok对荷兰儿童具有隐私侵犯行为,原因在于荷兰的Tiktok用户大部分为儿童,但在该应用程序中,荷兰用户接收的信息为英文,而Tiktok没有提供荷兰语版的隐私政策,也没有充分解释该应用如何收集、处理和再利用个人数据。这也是中国企业目前唯一一个受到GDPR罚款的案例。

 此案不仅违背上述的第五条(a)规定,还触犯了两条关于儿童领域的重要规定:

GDPR第8条1.规定:当儿童年满16周岁,对儿童个人数据的处理是合法的。当儿童不满16周岁,只有当对儿童具有父母监护责任的主体同意或授权,此类处理才是合法的。GDPR第12条1.规定:对于个人信息相关的所有规定,数据控制者应当以一种简洁、透明、易懂和容易获取的形式,以清晰和平白的语言来提供;对于针对儿童的所有信息,尤其应当如此。

由于儿童对共享数据的风险和后果以及他们的权利认识不足,因此对儿童的个人数据需要给予额外的保护。任何专门针对儿童的信息都应进行调整,以使其易于获取,并使用清晰和通俗的语言。对于大多数在线服务,例如社交网站或需要充值购买的游戏平台,需要得到父母或监护人的同意才可处理儿童的个人数据。获得父母同意的年龄界限由每个欧盟成员国确定,可以是13至16岁。具体情况应向所在国家数据保护局查询。

公司必须确认所给予的同意是否真正符合法律规定。目前普遍的措施为实施年龄验证,如问一个普通儿童无法回答的问题,或要求未成年人提供其父母的电子邮件,以实现书面同意,其中也不乏一些企业实行强制性实名认证。(引自欧盟委员会对“能否收集儿童个人数据”问题的解答)

2.限定目的

同样是在2019年谷歌案例,法国国家信息与自由委员会(CNIL)发现,在创建谷歌账户之前,用户被要求勾选"我同意谷歌的服务条款 "和 "我同意按照上述和隐私政策进一步解释的方式处理我的信息",以便创建账户。因此,用户完全同意谷歌基于此同意进行的所有处理操作目的(广告个性化、语音识别等)。

 GDPR第5条(b)规定,个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。

 此案例中,谷歌并没有对个人数据处理目的做充分的解释,且用户一旦同意,即代表其个人数据将被运用在谷歌旗下约20项服务当中,显然不符合GDPR“个人数据的收集应当具有具体的、清晰的和正当的目的”。在数据主体的同意协定中,应明确标明数据处理的各项目的,并给予数据主体个性化选择,确保数据主体的合法权利,保证不违反数据处理的初始目的。

3.数据最小化

【案例三】2021年7月26日,因涉嫌违反GDPR规定,西班牙DPA对大型连锁超市Mercadona开出了252万欧元的罚款。Mercadona商店安装了面部识别系统,目的是追踪有刑事定罪或限制令的个人。该系统捕获了所有进入商店的人,包括未成年人和Mercadona员工。DPA认为,该系统违反了数据最小化原则、必要性原则和相称性原则,因为控制者可以处理多种人群识别数据--超出了该系统的目的。

 【案例四】2021年6月21日,瑞典DPA对斯德哥尔摩地方运输公司处以160万欧元的罚款。运输公司为防止在对无票行为的检查中出现威胁情况,并确保对无票行为的罚款,对每位检票员配备了随身携带的摄像头,同时进行录像和录音。而DPA认为,大量合法乘车人员的数据也被记录在内,且录音无助于识别没有有效车票的人,因此音频记录违反了合法性、透明性以及数据最小化原则。

 GDPR第5条(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的。

此类事件多发生在企业或业主协会安装的监控录像,拍摄到了场所的公共空间,或记录了与处理目的无关的数据主体,从而被视为违反GDPR的规定。因此数据控制者在实行类似行为时,应严格把握合理范围,仅收集必要的数据。尤其在网络会议的录制中,应参考所在国的法律规定进行合法录制,并且要将录制视频的处理目的合法性考虑在内,例如未经会议在场人员同意便将会议视频上传至公共网站并不设置访问权限。

4.准确

【案例五】2021年6月4日,挪威数据保局(Datatilsynet)对莫斯市的个人数据安全保护不力作出了49,200欧元的罚款。今年1月,瑞吉市(Rygee)被并入莫斯(Moss)。为此,两个城市的几个IT系统被合并。由于安全措施不足,该市卫生服务部门使用的一个生产系统出现了数据泄露,约有2000人可能受到影响。由于数据泄露,疫苗登记中出现了错误。因此,数据主体有可能接受错误的疫苗。他们的免疫数据也有可能被错误地归入国家免疫登记册。此外,在对孕妇的随访中也发生了错误,包括关于怀孕周数或母亲使用药物的信息。

 GDPR第5条(d)规定,个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正。

数据控制者应当确保个人数据的准确性,并尽到及时更新的义务。但在更新个人数据的同时,也需要再次征得数据主体的同意。例如,在一场案例中,数据主体在2018年从驾校获得了驾照,2019年在交通管理局对其地址进行了更改,但此更改信息并未通知驾校。由于驾校数据库的更新来源于交通管理局,于是2020年,驾校向数据主体的新地址发送了驾照更新提醒信件,因此数据主体向驾照发起了诉讼,认为驾校作为数据控制者获取了她新的数据却未经她的同意。

5.留存期限限制

【案例六】2020年11月,法国国家信息与自由委员会(CNIL)对家乐福发出指控,经过调查后,家乐福保存大量的四年以上不活跃的会员信息,其中5-10年不活跃会员超过2800万名。

 GDPR第5条 (e)规定,对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间。

数据控制者向数据主体提供的协定中,应根据所在国的相关法律明确规定数据保留期限,并特别注意不同数据的不同规定,以避免接受相关机构调查时产生不必要的分歧。以法国为例,数据类型分为三种:

(1)在活动数据库中的保存(期限内删除)

活动数据库一般情况下存储着主要的数据,例如案例中的家乐福对会员信息的保存。对于这类数据的留存期限可参考各欧盟成员国家负责行使监察GDPR的相关机构给出的参考。例如,在一家公司,未被录取的申请人的资料将由人力资源部门最多保存2年(除非申请人要求删除)。

(2)中间存储(必须保留超过一定期限)

个人数据不再用于实现处理目的,但对组织仍有行政利益,或必须保留以履行法律义务时,必须按照相关法律规定将其存储超过一定的时间。例如,法国《劳动法》第L3243-4条要求雇主将雇员的工资单副本保留5年,《商典法》规定,发票数据必须保留十年,即使数据主体不再是客户。如没有达到法律规定的期限,则可能面临处罚。

(3)永久归档

一些被明确标为“有价值”的信息,可以被永久存档。

6.完整性和保密性

【案例七】2018年6月,英国航空公司网站遭到黑客攻击,约50万名用户的个人资料,包括登录、支付卡和旅行预订的细节以及姓名和地址信息遭到泄漏,最终英国航空公司被处以2200万欧元的罚款。 

GDPR第5条(f)规定: 处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。

不论是数据控制者还是数据处理者,都有义务确保个人数据的安全,在发生数据泄漏时,应参照以下步骤进行紧急处理:

首先,对于所泄露的个人数据的性质进行描述,包括数据主体的分类和数量,以及受到影响的个人数据记录;

其次,组织数据防护专家对个人数据泄露可能造成的后果进行评估;

然后,组织数据防护人员对数据泄露事件进行处置,以减轻可能造成的负面影响;

最后,如果数据处理者经历了个人数据泄露,建议尽快通知数据控制者;

问责制

数据控制者应当负责落实上述事项,并有能力证明落实情况。

包括隐私保护政策文件、实施的技术与组织措施、处理个人数据的记录、任命数据保护官(DPO)、隐私保护设计(Privacy by Design)、PIA(隐私影响评估报告)、通过隐私保护认证、遵守已批准的行为准则等,在必要时提供给监管机构。

案例统计

根据Enforcementtracker提供的不完全统计,自GDPR生效以来,违规类型主要分为以下9类(以案件数量排列先后次序):

1.数据处理的法律依据不充分(269例,罚款总额1.76亿欧元,违规案例数量最多)

2.确保信息安全的技术和组织措施不充分(157例,罚款总额6735万欧元)

3.不遵守一般的数据处理原则(154例,罚款总额7.8亿欧元,罚款总额最高,其中7.6亿来自对亚马逊的处罚)

4.对数据主体权利的履行不够充分(71例,罚款总额1616万欧元)

5.对信息义务的履行不充分(49例,罚款总额992万欧元)

6.与监管机构的合作不足(32例,罚款总额20万欧元)

7.未充分履行数据泄露通知义务(20例,罚款总额128万欧元)

8.没有任命数据保护官员(7例,罚款总额21万欧元)

9.数据处理协议不充分(4例,罚款总额9万欧元)

微信图片_20210809161822_副本.png

来源:enforcementtracker.com, provided by CMS Law.Tax

 工商业146例,媒体、通信、广播行业132例,金融保险和咨询行业106例。

另外,开出罚款数量最多的国家为西班牙259例,其次是意大利(86),罗马尼亚(61)等。