罰款35億,我們分析了GDPR 2年近300起罰款事件

2018年5月25日,歐盟《通用數據保護條例》(簡稱GDPR)正式實施。它旨在保護歐盟公民的個人數據,並對企業的數據處理提出嚴格要求。這部“大法”不僅取代了1995年的《計算機數據保護法》和歐盟成員國各自制定的相關法規,而且在個人隱私方面邁出一大步。

本週,GDPR實施迎來2週年。過去2年,一方面,數據泄露事件層出不窮,非法獲取個人數據的行爲日益猖獗,人們對隱私的擔憂與日俱增;另一方面,歐洲各國加大處罰力度,受罰企業不斷增多,個人隱私保護狀況有所改善。並且,全球多個國家或地區也以《通用數據保護條例》GDPR爲參考,制定或補充了不同的數據保護細則,比如美國加州的《CCPA》。

我們先簡要回顧一下GDPR的關鍵信息。

GDPR影響企業

  • 設立在歐盟境內的企業(控制者、處理者)
  • 未在歐盟境內設立,但向歐盟境內的數據主體(自然人)提供產品和服務的企業(控制者、處理者)
  • 未在歐盟境內設立,但涉及監控歐盟境內數據主體(自然人)行爲的企業(控制者、處理者)
  • 未在歐盟境內設立,但在歐洲成員國法律適用的地方設立的企業(控制者、處理者)

簡而言之,GDPR不僅適用於歐盟境內企業組織機構,而且適用於歐盟以外的企業組織機構。

數據主體的權利

  • 知情權
  • 訪問權
  • 反對權
  • 可攜帶權
  • 糾正權
  • 刪除權/被遺忘權
  • 限制處理權
  • 免受數據畫像影響

GDPR關於執法和處罰的規定

對於一般性的違法,罰款上限是1000萬歐元,或者在承諾的情況下,最高爲上一個財政年度全球全年營業收入的2%(兩者中取數額大者);

對於嚴重的違法,罰款上限是2000萬歐元,或者在承諾的情況下,最高爲上一個財政年度全球全年營業收入的4%(兩者中取數額大者)。

GDPR實施後,情況怎麼樣。有人認爲,世界變好了,人們對個人數據的控制加強,而企業也小心翼翼的對待和處理用戶數據。還有些人則持相反觀點,認爲世界變得越來越糟糕,雖然名義上人們對個人數據擁有許多權利,但是非法收集和利用個人數據的行爲不斷增多,並且數據泄露事件只增不減,狀況看似更加嚴重!

近300起罰款

爲找到一些結論,我們統計了GDPR實施兩年來近300起罰款。數據或許能告知我們一二。

從罰款數額來看,GDPR罰款金額有高有低,最低的一起罰款90歐元,而最高的則罰款2.04億歐元。2019年11月8日,匈牙利一所醫院因違反GDPR被罰90歐元。同樣這一年,英國航空公司由於泄露50萬名乘客個人信息被重罰近2.04億歐元。

圖1——罰款總額的累計過程

圖2——罰款總數的累計過程

圖1和圖2分別以月爲單位統計了罰款總額和罰款總數的累計過程。從圖1,我們看到,罰款總額所佔區域從2019年6月後急劇增加,可視爲分水嶺。具體說來,2019年之前,罰款總額(累計)不超過100萬歐元,而2019年1月罰款總額(累計)達到5000萬歐元,短短時間增長50倍。2019年6月,罰款總額(累計)爲5200萬歐元,沒有跨過億級,但是2019年7月,罰款總額(累計)高達3.6億歐元。並且,從罰款的次數來看,2019年後,罰款次數(累計)快速增加。

圖3-單月罰款總額

從單月罰款總額來看,2019年7月達到最高峯,一個月的GDPR罰款總額爲3.15億歐元,這主要源於英國航空和萬豪被罰。2019年7月8日,英國數據安全監管部門——信息專員辦公室(ICO)宣佈,將對英國航空公司2018年客戶數據遭泄露事件開出1.83億英鎊鉅額罰單。僅僅一天後,英國信息專員辦公室(ICO)則對萬豪處以1.24億美元的罰款,原因是萬豪2018年發生客戶數據泄露事件。

圖4-單月罰款數

從單月罰款次數來看,總體呈上升次數,有兩個時間節點比較重要。2018月12月前後,罰款次數差異較大,此前單月的罰款基本只有1次,而之後,單月罰款上升至8次。從2019年9月開始,又有一次變化,單月罰款迅速增加至10次以上。

由此可見,GDPR的罰款趨嚴,各國監管機構對此愈加重視。

GDPR在2018年剛開始實施時,政府監管機構的罰款力度並不大。到2019年,GDPR罰款金額不斷升高,越來越多的企業組織開始收到罰單,同時監管機構行動力度加大。根據統計,GDPR罰款總額在2019年創紀錄地達到4.175億歐元,幾乎是2018年罰款金額的1000倍。僅僅這一年,就有750家公司收到GDPR罰款,平均罰款金額爲50萬歐元,相當於389萬元人民幣。

圖5-罰款總額最高的TOP10國家

從國家來看,我們統計出罰款總額最高的TOP 10國家,其中英國以3.15億歐元遙遙領先,其次是法國、意大利、德國、奧地利、瑞典、荷蘭、西班牙和波蘭。

圖6-罰款次數最多的TOP 10國家

從罰款次數來看,西班牙排名第一,罰款累計80次,其次是羅馬尼亞、德國、匈牙利和保加利亞等。

綜合圖5和圖6來看,我們看到有的國家“不出手則已,一出手驚人”,比如英國、法國,它們罰款次數雖然少,但是單筆罰款數額巨大。而有的國家罰款金額不多,但是罰款次數較多,比如西班牙、羅馬尼亞。

圖7-罰款原因分析

從罰款原因上看,有超過三分之一的罰款事件源於數據處理的法律依據不當,還有接近三分之一的罰款是因爲未充分採取技術和管理措施確保信息安全,比如發生數據泄露事件。

最後,我們統計GDPR中的十大罰款事件

GDPR實施後,有些公司爲繼續開展全球化業務,開始謀求合規,而有些公司爲避免處罰,撤出在歐盟的業務。

在愛加密技術副總裁兼研究院院長程智力看來,GDPR實施其最大的意義是在數字化轉型中,它對個人信息以及數據做了確權,每個個人是數據的主體和相應權利的擁有者。“在數字世界裏,個人數據是我們擁有的財產,以前這個數據被無限收集和肆意利用,這種做法侵犯了我們的權利。同時,另一個結果是,互聯網公司快速發展,迅速壯大。而現在,運營商或服務提供者在收集我們每個人的信息或數據時,它怎麼處理、怎麼使用,首先需要讓每個人知道。而且,它在進行操作時需要獲得個人授權。”他說。

簡而言之,GDPR定義了個人在數字世界中擁有數據的權利,保護了網民隱私,並降低了數據的安全風險和減少了個人隱私相關的問題。

而對國內的出海企業來說,如果想在歐洲開展業務,它必須遵守《GDPR》,去做合規,“這是一個底線”。企業首先需要研究《GDPR》的相關條款,並且引入第三方有經驗的諮詢公司,做相關的諮詢評估,“給企業定義出相關的政策上的要求”。例如,從管理架構層面,需要設置什麼崗位、流程是什麼、職責是什麼,“這些都要定義清楚”。在技術層面,企業需要有相應的產品、技術和解決方案去支撐運行。

程智力表示,“這些都需要一整套完整的體系去做。體系的建立需要內部有對應的崗位、對應職責和對應的管理架構,還有外部的諮詢公司提供專業的意見、專業建議,並要持續進行這樣的合規檢查。”

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章