GDPR执法案例汇总,六方面分析GDPR框架下我国企业的数据合规要点
2018年5月25日正式生效的欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)目前已实施将近一年,其多起执法案例无一不引起业界的广泛关注。作为当今数据和隐私保护领域最具影响力且最为严厉的法案,GDPR进一步明确了处理个人数据的要求、数据主体的权利、数据控制者的责任,尤其是对数据控制者和处理者在个人数据隐私保护方面的管理能力提出了更加严格的要求。本文旨在以表格形式归纳总结GDPR实施近一年以来的相关执法案例,并在此基础上,提出相应合规要点,为业务涉及欧盟市场或者计划在欧盟开拓市场的中国企业开展数据合规工作提供参考。
一、 GDPR的管辖范围
由于GDPR管辖范围之广前所未有,该条例的实施与我国企业涉及欧盟市场的业务息息相关。依据GDPR第3条第1款规定,GDPR适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行;第2款还规定即使数据控制者或处理者不在欧盟设立,只要存在为欧盟内的数据主体提供商品或服务,或对发生在欧洲范围内的数据主体的活动进行监控行为的,也须适用GDPR。
可见,在GDPR管辖范围上,不仅采用属人管辖和属地管辖,还适用长臂管辖原则。因此,中国企业在欧盟市场上提供的产品或服务涉及对数据收集、使用、处理等行为的,不论是否在欧盟设立,只要是为欧盟内的数据主体提供商品或服务,或服务或对发生在欧洲范围内的数据主体的活动进行监控的,都须受到GDPR的管辖。
二、 GDPR现有执法案例汇总(截止至2019年3月27日)
GDPR自2018年5月正式实施以来,正式发布的执法案例有限,但都呈现出涉案公司规模较大,涉案行为典型,处理结果严格的特点。因此,研究分析现有的GDPR执法案例对总结GDPR框架下的数据合规要点有着重要意义。
公布时间 | 类型 | 监管机构 | 涉案公司/行为 | 处理结果 |
2018.6.23 | 监管机构调查 | 英国信息专员办公室(ICO) | Ticketmaster Ticketmaster UK 官方公告称:其第三方供应商托管的Inbenta产品中发现了恶意软件,黑客可能窃取了部分客户的姓名、地址、电子邮件地址、电话号码、付款详细信息和Ticketmaster登录详细信息。 | ICO表示正处于证据收集阶段,会通过评估事件和时间点来判断是否适用GDPR进行处罚。 |
2018.7.13 | 诉讼 | 德国波恩州法院 | ICANN与EPAG 2014年初,ICANN要求EPAG在内的德国域名注册服务机构签署新的《2013注册商授权协议(RAA)》,注册商需要对某些WHOIS数据进行验证与核实,协议要求被告EPAG履行收集注册人个人信息的义务。 | 被告在GDPR实施后拒绝根据合同继续收集个人信息,甚至意图提供数据删除服务。被告提出,原告行为违反了GDPR第5条第1(c)个人数据收集的最小化原则;第25条要求服务和产品按照“隐私默认”和PbD原则设计等,上述理由被初审法院认可。 |
2018.7.20 | 监管机构执法 | 荷兰数据保护机关 | 抽样检查10个私营行业30家大型企业,行业包括工业和金属、餐饮、通讯、金融服务等。 | (未检索到检查结果) |
2018.9.25 | 监管机构执法 | 英国信息专员办公室(ICO) | AggregateIQ(AIQ),留存英国公民数据的行为违反了GDPR第5条和第6条。 | ICO于7月份公布了向AIQ发出的GDPR执行通知,要求其30天内进行整改,若逾期未合规,将面临2000万欧元罚款,AIQ对此执行通知提起申诉。 |
2018.10.17 | 监管机构调查 | 爱尔兰数据保护委员会 | Facebook 约有300万欧洲用户受到9月份Facebook安全漏洞影响,用户的个人信息存在被窃取风险。 | 对该数据泄露事件进行调查,并继续对Facebook是否遵守GDPR规定进行调查。 |
2018.11.02 | 监管机构执法 | 英国信息专员办公室(ICO) | Facebook与“剑桥分析”公司(已取缔) 未经Facebook用户同意收集其个人信息,至少100万英国用户的数据被收集,处于进一步误用的风险之下;Facebook在其发现API被误用情况和信息泄露的严重程度之后,未采取有效补救措施。 | 依照《1998年数据保护法案》,罚款50万英镑。 |
2018.11.23 | 监管机构执法 | 德国数据保护局 | Knuddels.de 在线聊天平台Knuddels.de站遭到黑客攻击,泄露了约808,000个电子邮件地址和180多万个用户名和密码。后来证实,该网站此前并未对密码等敏感信息采取任何形式的保护,而是以纯文本形式将敏感信息存储在网站上。 | Knuddels.de未能遵守GDPR第32条a款规定的关于数据脱敏和用户个人数据加密的数据安全规范,被巴登-符腾堡州数据保护管理局处以2万欧元的罚款。 |
三、GDPR框架下我国企业的数据合规要点
(一)数据泄露72小时报告义务
GDPR第32条规定控制者和处理者在考虑了现有技术、实施成本、处理的性质、范围、语境与目的及对自然人权利及自由带来的伤害可能性之后,应当采取适当技术与组织措施,以便保证和风险相称的数据安全水平。Knuddels.de因违反GDPR第32条第1款规定的数据安全义务,未对用户的密码采取加密措施,而遭到德国数据保护局的处罚。因此,企业应当对其收集的个人数据采取匿名化和加密处理,并且应当保证在遭受黑客攻击等技术性事件后有能力恢复对个人数据管理控制,切实履行数据安全保护义务。
同时,数据泄露的报告也是个人信息控制者数据安全保护义务的重要内容。依GDPR第33条规定,在个人数据泄露情况下,控制者不得不当延误,而且应当至少在知道发生泄露之时起 72 小时内,根据第 55 条向监管机构进行通知,个人数据的泄露不会导致自然人权利和自由的风险的情况除外。如果通知迟于 72 小时,需要对迟延原因进行解释。
个人数据泄露可能对自然人权利和自由形成较大影响时,控制者应当毫不延误地向个人信息主体报告泄露事件。英国Ticketmaster数据泄露事件中,个人信息控制者Ticketmaster存在延迟向客户和监管机构通知、报告数据泄露事件,正是英国信息专员办公室 (ICO)适用GDPR对其进出处罚的重要事实依据。
因此,当企业发生个人信息泄露的安全事件时,应当及时响应应急预警措施,并在72小时内向有关监管机构通知,同时,建议企业一旦发生个人信息泄露事件,不论该影响是否会导致自然人权利和自由遭受严重侵害的风险,都立即采取以网络公告、邮件、短信、APP通知推送等多种方式通知个人数据泄露主体的措施,避免因初步评估结果与网络安全事件客观发展事态出现偏差,而使个人信息主体因不知情而遭受损失。
在进行数据泄露报告时,还应注意数据泄露报告中至少应当包含以下内容:(1)关于数据泄露事件的性质与描述、涉及的数据主体的总量、类型以及数据记录的总量;(2)数据保护官的姓名和联系方式,泄露可能造成个人信息侵害的结果,企业已经采取的或预计采取的止损措施。而且,企业还应注意记录所有对个人数据的泄露,包括泄露个人数据相关的事实、影响与已经采取的救济行动。该记录是监管机构核实数据控制者是否遵守GDPR的重要依据。
(二)数据间接获取
GDPR第26条规定了联合控制者的合规责任,当个人信息控制者与其他控制者基于合作协议约定共同决定对数据的处理目的和手段时,应当注意在合作协议中明确各自的责任划分,当中国企业作为第三方接入时,还应要求个人信息控制者在其用户协议和隐私条款中向其用户说明第三方的地位、作用以及接受数据的目的和范围。企业还可以参照Facebook与剑桥公司的事件发生后隐私政策的修改方向进行合规。如要求欧盟合作方在其用户协议或隐私条款中明确告知信息主体数据共享的范围,披露第三方(企业)的保留时长、存储地点、安全机制等。同时,还在用户协议中明示企业和合作方的合作协议中关于接收方和提供方的责任划分。
(三)个人数据收集的最小化原则
GDPR对个人数据的定义是,某一自然人提供的可用于识别其身份的任何信息,即该信息只要是能够直接或间接识别到特定个人的,如浏览痕迹、cookie等间接数据也能属于GDPR所认定的个人数据。在ICANN与EPAG全球首例GDPR诉讼案中,德国波恩州法院支持了被告EPAG依据GDPR第5条第1(c)个人数据收集的最小化原则,主张拒绝根据合同继续收集个人信息,甚至意图提供数据删除服务的行为。
我们可以从本案中得到提示是,企业在使用或提供网络服务或技术支持过程中不可避免会对个人信息进行收集使用,但为了降低企业的数据管理责任和合规注意义务,可以定期清理此类数据,或者可以采用匿名化的技术处理方式将此类数据进行匿名化处理,使其无法识别到特定个人,并同时采用有效的加密措施对此类数据进行保护。值得关注的是,GDPR第30条要求对数据处理活动进行记录并以书面形式保存,因此企业对数据进行匿名化处理或删除的时候都应当注意对数据处理活动进行记录,可以采取多种记录方式进行记录备份,如电子记录、纸质记录等。
(四)数据的跨境处理
ICO向加拿大公司 AggregateIQ (AIQ) 发出了英国首张GDPR执行通知,原因是AIQ在GDPR实施后仍持有英国公民的个人数据,ICO认为这种留存英国公民数据的行为似乎对受影响公民造成了伤害,该公司违反了GDPR第5和第6条。在此案例中,可以发现GDPR对数据留存和数据跨境传输的严格要求。
GDPR第五章规定对个人数据向第三国或国际组织传输的要求。GDPR第45条规定了两种“官方”处理模式:(1)以特定国家、地区、国际组织是否对个人数据提供了“充分保护”为标准,设立了充分保护的主体白名单,对于此类主体,相关的数据传输则不需要特别的授权。(2)另一种是由特定的国家、地区直接与欧盟相关机构进行磋商并订立具有法律约束力与可执行性的隐私保护协议。
但我国并未在提供充分保护的“白名单”之内,也暂未与欧盟之间签订有类似的官方合作协议。因此,中国企业对欧盟公司或在欧盟境内提供数据云端存储服务时,若其服务器在中国境内的,因业务需要须对欧盟数据进行跨境传输的,应当注意跨境传输过程中的数据合规要点。可采取的合规措施有:
(1)使用标准合同,选择欧盟委员会(European Commission)提供的两种类型的合规范本——标准合同条款(Standard Contractual Clauses简称SCC),按协议规定采取对数据的安全保障措施,实现GDPR对“足够保护水平”的规定。
(2)尝试建立约束性公司规则(GDPR第47条)(Binding Corporate Rules简称BCRs)。BCRs是一种内部的数据传输规则,即只有在特定的企业集团、国际组织范围内是自由、安全的。BCRs必须对企业集团以及每个成员都得到有效适用。根据GDPR第47条第2款, BCRs的内容必须包括:
a) 企业集团与成员之间的内部结构和联系详情 b)数据传输相关内容,包括处理类型、目的,受影响主体; c)GDPR基本原则适用,如目的限制、最小化使用、限期储存等; d)对法律约束力的明确,包括能够对此进行证明的方法; e)主体权利以及实现的具体手段 f)报告与记录机制 g)相关培训机制 (五)数据授权撤销程序 Facebook在剑桥公司的事件后,在其官网上公布了一系列有关用户隐私保护的新措施,旨在让用户更容易地查看和访问Facebook所拥有的个人数据,并在需要时做出调整,并对数据的授权撤销渠道进行重新设置,以方便用户轻松地找到并执行操作。依据GDPR第7条第3款,数据主体应当有权随时撤回其同意权,可被认定为GDPR项下数据主体的企业在产品设计或服务提供时,应当注意给予用户便捷、自由的数据撤销权,以保护数据主体对其信息数据的控制权,还应注意的是给予用户的撤销渠道应当与获取授权时一样自由,不得要求发送邮件或书面寄件通知的方式,增加用户对数据授权进行撤销的阻碍。 (六)未成年信息数据保护 GDPR第8条体现了对未成年人信息特殊保护要求。对不满16周岁的儿童,只有当儿童具有父母监护责任的主体同意或授权,此类处理才是合法的;对于年满13周岁的情形,成员国的法律可以降低年龄要求。在欧盟进行经营的企业所开展的业务涉及对未成年信息收集的,应注意开展业务国家年龄线的具体规定,如果年龄线较高,可能会加重合规成本,如果年龄线较低,可能会导致在某些国家不合规。因此,若企业提供的产品或服务销往欧盟成员国中多个国家,在设定机制时可以采取各国家年龄界线均值作为标准,或者在隐私政策中对未成年信息的收集处理条款区分国家设计,单独取得明确授权。例如,可以通过产品设计,要求触发未成年人保护条款的用户在提交同意隐私政策时,要求该用户同时上传监护人手持身份证件与未成年人的合照,通过人脸识别技术进行对比进行审核认证,以完成监护人对未成年人信息收集使用的同意。 |
四、小结
综上所述,目前GDPR实施以来的相关执法案例体现出的企业数据合规风险主要集中在数据泄露处理、数据间接获取、个人数据收集的最小化原则、数据跨境处理、数据授权撤销、未成年信息保护等六个方面。已经或计划在欧盟开展业务的中国企业,在应对欧盟网络安全保护合规义务时,有必要从这六个方面审视自己的数据合规工作是否达到了GDPR要求的水平。
本文仅为我们对相关法律、法规及政策的一般解读,不能作为正式的法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com