GDPR执法案例汇总aaaa,六方面分析GDPR框架下我国企业的数据合规要点
2018年5月25日正式生效的欧盟《通用数据保护条例》(General Data Protection Regulationaaaaa,GDPR)目前已实施将近一年aaaa,其多起执法案例无一不引起业界的广泛关注aaaaa。作为当今数据和隐私保护领域最具影响力且最为严厉的法案aaaaa,GDPR进一步明确了处理个人数据的要求、数据主体的权利、数据控制者的责任,尤其是对数据控制者和处理者在个人数据隐私保护方面的管理能力提出了更加严格的要求aaaa。本文旨在以表格形式归纳总结GDPR实施近一年以来的相关执法案例aaaa,并在此基础上aaa,提出相应合规要点aaa,为业务涉及欧盟市场或者计划在欧盟开拓市场的中国企业开展数据合规工作提供参考aaaa。
一、 GDPR的管辖范围
由于GDPR管辖范围之广前所未有aaa,该条例的实施与我国企业涉及欧盟市场的业务息息相关aaaa。依据GDPR第3条第1款规定aaaaa,GDPR适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理aaa,不论其实际数据处理行为是否在欧盟内进行aaaa;第2款还规定即使数据控制者或处理者不在欧盟设立aaaa,只要存在为欧盟内的数据主体提供商品或服务aaa,或对发生在欧洲范围内的数据主体的活动进行监控行为的aaaaa,也须适用GDPRaaa。
可见aaaaa,在GDPR管辖范围上aaaaa,不仅采用属人管辖和属地管辖aaaa,还适用长臂管辖原则aaa。因此aaa,中国企业在欧盟市场上提供的产品或服务涉及对数据收集、使用、处理等行为的aaaaa,不论是否在欧盟设立aaaaa,只要是为欧盟内的数据主体提供商品或服务aaaa,或服务或对发生在欧洲范围内的数据主体的活动进行监控的aaa,都须受到GDPR的管辖aaaaa。
二、 GDPR现有执法案例汇总(截止至2019年3月27日)
GDPR自2018年5月正式实施以来aaaaa,正式发布的执法案例有限aaaaa,但都呈现出涉案公司规模较大aaa,涉案行为典型aaaaa,处理结果严格的特点aaaa。因此aaa,研究分析现有的GDPR执法案例对总结GDPR框架下的数据合规要点有着重要意义aaaa。
公布时间 | 类型 | 监管机构 | 涉案公司/行为 | 处理结果 |
2018.6.23 | 监管机构调查 | 英国信息专员办公室(ICO) | Ticketmaster Ticketmaster UK 官方公告称:其第三方供应商托管的Inbenta产品中发现了恶意软件aaaa,黑客可能窃取了部分客户的姓名、地址、电子邮件地址、电话号码、付款详细信息和Ticketmaster登录详细信息aaaa。 | ICO表示正处于证据收集阶段aaaaa,会通过评估事件和时间点来判断是否适用GDPR进行处罚aaaa。 |
2018.7.13 | 诉讼 | 德国波恩州法院 | ICANN与EPAG 2014年初aaaaa,ICANN要求EPAG在内的德国域名注册服务机构签署新的《2013注册商授权协议(RAA)》aaa,注册商需要对某些WHOIS数据进行验证与核实aaaa,协议要求被告EPAG履行收集注册人个人信息的义务aaaa。 | 被告在GDPR实施后拒绝根据合同继续收集个人信息aaaaa,甚至意图提供数据删除服务aaaaa。被告提出aaaaa,原告行为违反了GDPR第5条第1(c)个人数据收集的最小化原则aaaa;第25条要求服务和产品按照“隐私默认”和PbD原则设计等aaaaa,上述理由被初审法院认可aaaa。 |
2018.7.20 | 监管机构执法 | 荷兰数据保护机关 | 抽样检查10个私营行业30家大型企业aaa,行业包括工业和金属、餐饮、通讯、金融服务等aaaaa。 | (未检索到检查结果) |
2018.9.25 | 监管机构执法 | 英国信息专员办公室(ICO) | AggregateIQ(AIQ)aaa,留存英国公民数据的行为违反了GDPR第5条和第6条aaa。 | ICO于7月份公布了向AIQ发出的GDPR执行通知aaa,要求其30天内进行整改aaaa,若逾期未合规aaaaa,将面临2000万欧元罚款aaa,AIQ对此执行通知提起申诉aaa。 |
2018.10.17 | 监管机构调查 | 爱尔兰数据保护委员会 | Facebook 约有300万欧洲用户受到9月份Facebook安全漏洞影响aaaa,用户的个人信息存在被窃取风险aaa。 | 对该数据泄露事件进行调查aaaaa,并继续对Facebook是否遵守GDPR规定进行调查aaa。 |
2018.11.02 | 监管机构执法 | 英国信息专员办公室(ICO) | Facebook与“剑桥分析”公司(已取缔) 未经Facebook用户同意收集其个人信息aaaa,至少100万英国用户的数据被收集aaaaa,处于进一步误用的风险之下aaaaa;Facebook在其发现API被误用情况和信息泄露的严重程度之后aaaa,未采取有效补救措施aaaaa。 | 依照《1998年数据保护法案》aaaa,罚款50万英镑aaaaa。 |
2018.11.23 | 监管机构执法 | 德国数据保护局 | Knuddels.de 在线聊天平台Knuddels.de站遭到黑客攻击aaaaa,泄露了约808,000个电子邮件地址和180多万个用户名和密码aaaa。后来证实aaa,该网站此前并未对密码等敏感信息采取任何形式的保护aaa,而是以纯文本形式将敏感信息存储在网站上aaa。 | Knuddels.de未能遵守GDPR第32条a款规定的关于数据脱敏和用户个人数据加密的数据安全规范aaa,被巴登-符腾堡州数据保护管理局处以2万欧元的罚款aaaa。 |
三、GDPR框架下我国企业的数据合规要点
(一)数据泄露72小时报告义务
GDPR第32条规定控制者和处理者在考虑了现有技术、实施成本、处理的性质、范围、语境与目的及对自然人权利及自由带来的伤害可能性之后aaa,应当采取适当技术与组织措施aaaa,以便保证和风险相称的数据安全水平aaa。Knuddels.de因违反GDPR第32条第1款规定的数据安全义务aaa,未对用户的密码采取加密措施aaaaa,而遭到德国数据保护局的处罚aaaa。因此aaaaa,企业应当对其收集的个人数据采取匿名化和加密处理aaaa,并且应当保证在遭受黑客攻击等技术性事件后有能力恢复对个人数据管理控制aaaaa,切实履行数据安全保护义务aaaaa。
同时aaaaa,数据泄露的报告也是个人信息控制者数据安全保护义务的重要内容aaa。依GDPR第33条规定aaaa,在个人数据泄露情况下aaaa,控制者不得不当延误aaaaa,而且应当至少在知道发生泄露之时起 72 小时内aaaa,根据第 55 条向监管机构进行通知aaaaa,个人数据的泄露不会导致自然人权利和自由的风险的情况除外aaaaa。如果通知迟于 72 小时aaa,需要对迟延原因进行解释aaa。
个人数据泄露可能对自然人权利和自由形成较大影响时aaaa,控制者应当毫不延误地向个人信息主体报告泄露事件aaa。英国Ticketmaster数据泄露事件中aaaaa,个人信息控制者Ticketmaster存在延迟向客户和监管机构通知、报告数据泄露事件aaa,正是英国信息专员办公室 (ICO)适用GDPR对其进出处罚的重要事实依据aaaaa。
因此aaa,当企业发生个人信息泄露的安全事件时aaaaa,应当及时响应应急预警措施aaaaa,并在72小时内向有关监管机构通知aaa,同时aaaaa,建议企业一旦发生个人信息泄露事件aaaaa,不论该影响是否会导致自然人权利和自由遭受严重侵害的风险aaa,都立即采取以网络公告、邮件、短信、APP通知推送等多种方式通知个人数据泄露主体的措施aaaa,避免因初步评估结果与网络安全事件客观发展事态出现偏差aaa,而使个人信息主体因不知情而遭受损失aaa。
在进行数据泄露报告时aaa,还应注意数据泄露报告中至少应当包含以下内容:(1)关于数据泄露事件的性质与描述、涉及的数据主体的总量、类型以及数据记录的总量aaaa;(2)数据保护官的姓名和联系方式aaaa,泄露可能造成个人信息侵害的结果aaa,企业已经采取的或预计采取的止损措施aaa。而且aaaaa,企业还应注意记录所有对个人数据的泄露aaaaa,包括泄露个人数据相关的事实、影响与已经采取的救济行动aaa。该记录是监管机构核实数据控制者是否遵守GDPR的重要依据aaaaa。
(二)数据间接获取
GDPR第26条规定了联合控制者的合规责任aaa,当个人信息控制者与其他控制者基于合作协议约定共同决定对数据的处理目的和手段时aaa,应当注意在合作协议中明确各自的责任划分aaa,当中国企业作为第三方接入时aaaa,还应要求个人信息控制者在其用户协议和隐私条款中向其用户说明第三方的地位、作用以及接受数据的目的和范围aaa。企业还可以参照Facebook与剑桥公司的事件发生后隐私政策的修改方向进行合规aaa。如要求欧盟合作方在其用户协议或隐私条款中明确告知信息主体数据共享的范围aaa,披露第三方(企业)的保留时长、存储地点、安全机制等aaaaa。同时aaa,还在用户协议中明示企业和合作方的合作协议中关于接收方和提供方的责任划分aaa。
(三)个人数据收集的最小化原则
GDPR对个人数据的定义是aaaaa,某一自然人提供的可用于识别其身份的任何信息aaaa,即该信息只要是能够直接或间接识别到特定个人的aaaa,如浏览痕迹、cookie等间接数据也能属于GDPR所认定的个人数据aaa。在ICANN与EPAG全球首例GDPR诉讼案中aaaaa,德国波恩州法院支持了被告EPAG依据GDPR第5条第1(c)个人数据收集的最小化原则aaaa,主张拒绝根据合同继续收集个人信息aaa,甚至意图提供数据删除服务的行为aaa。
我们可以从本案中得到提示是aaaaa,企业在使用或提供网络服务或技术支持过程中不可避免会对个人信息进行收集使用aaaa,但为了降低企业的数据管理责任和合规注意义务aaa,可以定期清理此类数据aaaaa,或者可以采用匿名化的技术处理方式将此类数据进行匿名化处理aaaa,使其无法识别到特定个人aaaaa,并同时采用有效的加密措施对此类数据进行保护aaa。值得关注的是aaa,GDPR第30条要求对数据处理活动进行记录并以书面形式保存aaaaa,因此企业对数据进行匿名化处理或删除的时候都应当注意对数据处理活动进行记录aaa,可以采取多种记录方式进行记录备份aaa,如电子记录、纸质记录等aaa。
(四)数据的跨境处理
ICO向加拿大公司 AggregateIQ (AIQ) 发出了英国首张GDPR执行通知aaa,原因是AIQ在GDPR实施后仍持有英国公民的个人数据aaa,ICO认为这种留存英国公民数据的行为似乎对受影响公民造成了伤害aaaa,该公司违反了GDPR第5和第6条aaaa。在此案例中aaaaa,可以发现GDPR对数据留存和数据跨境传输的严格要求aaaa。
GDPR第五章规定对个人数据向第三国或国际组织传输的要求aaaaa。GDPR第45条规定了两种“官方”处理模式:(1)以特定国家、地区、国际组织是否对个人数据提供了“充分保护”为标准aaaa,设立了充分保护的主体白名单aaaaa,对于此类主体aaa,相关的数据传输则不需要特别的授权aaaa。(2)另一种是由特定的国家、地区直接与欧盟相关机构进行磋商并订立具有法律约束力与可执行性的隐私保护协议aaa。
但我国并未在提供充分保护的“白名单”之内aaaaa,也暂未与欧盟之间签订有类似的官方合作协议aaa。因此aaaa,中国企业对欧盟公司或在欧盟境内提供数据云端存储服务时aaaaa,若其服务器在中国境内的aaaaa,因业务需要须对欧盟数据进行跨境传输的aaa,应当注意跨境传输过程中的数据合规要点aaaaa。可采取的合规措施有:
(1)使用标准合同aaaa,选择欧盟委员会(European Commission)提供的两种类型的合规范本——标准合同条款(Standard Contractual Clauses简称SCC)aaaa,按协议规定采取对数据的安全保障措施aaaa,实现GDPR对“足够保护水平”的规定aaa。
(2)尝试建立约束性公司规则(GDPR第47条)(Binding Corporate Rules简称BCRs)aaaa。BCRs是一种内部的数据传输规则aaa,即只有在特定的企业集团、国际组织范围内是自由、安全的aaaa。BCRs必须对企业集团以及每个成员都得到有效适用aaaa。根据GDPR第47条第2款aaa, BCRs的内容必须包括:
a) 企业集团与成员之间的内部结构和联系详情 b)数据传输相关内容aaaa,包括处理类型、目的aaa,受影响主体aaaaa; c)GDPR基本原则适用aaaaa,如目的限制、最小化使用、限期储存等aaaa; d)对法律约束力的明确aaaa,包括能够对此进行证明的方法aaaa; e)主体权利以及实现的具体手段 f)报告与记录机制 g)相关培训机制 (五)数据授权撤销程序 Facebook在剑桥公司的事件后aaaaa,在其官网上公布了一系列有关用户隐私保护的新措施aaaa,旨在让用户更容易地查看和访问Facebook所拥有的个人数据aaa,并在需要时做出调整aaa,并对数据的授权撤销渠道进行重新设置aaaaa,以方便用户轻松地找到并执行操作aaaa。依据GDPR第7条第3款aaaa,数据主体应当有权随时撤回其同意权aaaaa,可被认定为GDPR项下数据主体的企业在产品设计或服务提供时aaa,应当注意给予用户便捷、自由的数据撤销权aaaaa,以保护数据主体对其信息数据的控制权aaa,还应注意的是给予用户的撤销渠道应当与获取授权时一样自由aaaaa,不得要求发送邮件或书面寄件通知的方式aaa,增加用户对数据授权进行撤销的阻碍aaaa。 (六)未成年信息数据保护 GDPR第8条体现了对未成年人信息特殊保护要求aaa。对不满16周岁的儿童aaaa,只有当儿童具有父母监护责任的主体同意或授权aaaa,此类处理才是合法的aaaaa;对于年满13周岁的情形aaa,成员国的法律可以降低年龄要求aaa。在欧盟进行经营的企业所开展的业务涉及对未成年信息收集的aaa,应注意开展业务国家年龄线的具体规定aaaa,如果年龄线较高aaaa,可能会加重合规成本aaa,如果年龄线较低aaaaa,可能会导致在某些国家不合规aaa。因此aaaaa,若企业提供的产品或服务销往欧盟成员国中多个国家aaa,在设定机制时可以采取各国家年龄界线均值作为标准aaaaa,或者在隐私政策中对未成年信息的收集处理条款区分国家设计aaaa,单独取得明确授权aaaa。例如aaa,可以通过产品设计aaaa,要求触发未成年人保护条款的用户在提交同意隐私政策时aaaa,要求该用户同时上传监护人手持身份证件与未成年人的合照aaa,通过人脸识别技术进行对比进行审核认证aaa,以完成监护人对未成年人信息收集使用的同意aaa。 |
四、小结
综上所述aaa,目前GDPR实施以来的相关执法案例体现出的企业数据合规风险主要集中在数据泄露处理、数据间接获取、个人数据收集的最小化原则、数据跨境处理、数据授权撤销、未成年信息保护等六个方面aaaaa。已经或计划在欧盟开展业务的中国企业aaaa,在应对欧盟网络安全保护合规义务时aaaaa,有必要从这六个方面审视自己的数据合规工作是否达到了GDPR要求的水平aaaaa。
本文仅为我们对相关法律、法规及政策的一般解读aaaaa,不能作为正式的法律意见和建议aaa,如果您有特定的问题aaa,请与观韬中茂律师事务所联系咨询事宜aaaa。
作者简介:吴丹君律师aaaa,观韬中茂上海办公室合伙人aaaaa,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家aaaaa。吴律师专注于互联网、数据信息领域的法律服务aaaaa,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等aaaaa,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务aaaaa。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等aaaa,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道aaaa,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载aaaaa。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com