欧盟一般数据保护条例（GDPR）的2019年盘点

英国数据监管机构信息专员办公室决定，对非法出售个人隐私信息的母婴产品企业Bounty处以40万英镑（约合52.3万美元）罚款。据报道，在10个月时间里，Bounty向39个信用调查机构和市场营销机构分享大量高度敏感信息，包括新生儿出生日期、性别、家庭住址，以及新晋父母或准父母的个人信息。

立陶宛的数据保护部门首开罚单，对金融科技公司MisterTango处以6.15万欧元罚款，因其违反了GDPR的三项规定。理由是：不恰当处理数据处理、泄露个人数据以及未及时向监管机构报告数据泄露事件。

比利时数据保护局对比利时市长因滥用个人数据作选举用途开出自GDPR生效以来首张罚单，计2000欧元。监管机构表示，数据控制者必须承担自己的责任，尤其是当他们作为公权力的执行人时，例如市长。

因涉及处理年轻用户个人数据的安全和隐私，英国启动对抖音海外版TikTok的调查。英国信息专员2019年7月2日告诉议会委员会，该短视频应用程序可能违反了GDPR，因TikTok在未经父母同意的情况下收集13岁以下用户的个人信息，还将这些个人信息公之于众。

英国航空公司的所属的国际航空集团（IAG）表示，因该公司网站和App去年发生的客户数据遭窃事件，英国数据监管机构信息专员办公室计划对该公司处以1.834亿英镑的罚款。该等罚款相当于该公司2017年全球收入营业额的1.5%。

国际酒店集团万豪因其于 2016 年收购的喜达屋酒店的数据泄露，面临英国信息委员会办公室开出的 9920万英镑的罚单，此次事件影响了3.39 亿用户，涉及敏感个人信息，包括护照复印件、出生日期以及酒店预订日期等等。

德国黑森州的数据保护和信息自由专员宣称，被许多学校所使用的Windows 10和Office 365应用程序，并未遵守GDPR规则，原因是应用程序会将包括用户个人数据在内的遥测数据发挥美国。2019年7月德国黑森州数据保护专员做出裁决，禁止学校使用微软的 Office 365。两周后，因为同样原因荷兰政府建议各机构部门暂时避免使用离线版和移动版Office应用程序。

欧盟最高法院表示，如果外部公司在其网站上嵌入Facebook的点赞按钮，并且允许用户的个人数据被转移到这家美国社交网站，那么这些公司将需要为收集这些消费者隐私数据承担法律责任。不过法院指出，该公司无需对Facebook随后处理个人隐私数据的方式负责。

普华永道（PwC）因在处理员工个人数据时缺少合法依据而被认定违反欧盟《通用数据保护条例》（GDPR）。对此，希腊数据保护执法机构对其处以了15万欧元的罚款。这也是欧盟第一次针对涉及员工数据违规行为的处罚。

美国、欧盟和英国的最高数据保护机构今日发表联合声明，对Facebook数字加密货币Libra提案中涉及到的对个人数据和金融信息的“海量储存”表示担忧。这些监管机构表示，他们对Facebook及其子公司Calibra在保护用户数据时没有提供足够的信息而感到“惊讶和担忧”。

保加利亚个人数据保护委员会对因保加利亚历史上最大的数据泄露事件（涉及保加利亚700万人口中几乎所有成年劳动者）而臭名昭著的保加利亚国家税务局处以的约300万欧元的罚款 。保加利亚的公共机构被认为在网络安全方面投入不足，攻击中使用的技术相对较基础，并表明缺乏足够的数据保护。

柏林数据保护和信息自由专员（Berlin DPA）向房地产公司Deutsche Wohnen SE开出约1,450万欧元的罚单，因后者在2018年5月至2019年3月期间处理租户数据违反《通用数据保护条例》，将个人数据保存在一个无法将不再需要的数据进行删除的数据存储系统，该公司未审查数据存储是否合理和必要就将租户的个人数据进行保存。其中涉及了租户的个人和财务状况信息，包括收入证明、自我披露表、劳动和职业培训合同、税收、社会和保险信息以及账户流水等。

Facebook与英国数据保护机构达成和解，同意支付50万英镑的赔偿金。此前意大利官方数据保护机构Garante Privacy也因此对该社交媒体巨头处以100万欧元的罚款。

欧盟数据保护监管局（EDPS）采取强制措施反对欧洲议会使用美国数字广告公司NationBuilder的产品，通过一个名为thistimeimvoting.eu的网站运行，该网站从对欧盟大选感兴趣的329000多人中收集了个人数据，被用于在春季选举之前处理选民数据，因数据控制者和处理者未签署有效控制的合同且未进行审计，违反了欧盟通用数据保护条例就数据控制者如何选择数据处理服务提供商的规定。

爱尔兰数据保护委员会对多个欧洲总部在爱尔兰的跨国科技公司展开调查， 包括苹果、Facebook及其加旗下子公司Whatsapp和Instagram、推特（Twitter），谷歌、微软旗下领英（Linkedin），以及美国数字广告公司Quantcast等。

以上案例只是GDPR实施公布的典型案例，根据GDPR一周年报告，31家监管机构截至GDPR实施一周年报告案件总数达20逾万起，除罚款处罚外，监管机构的行政措施还包括违规警告、开展审查、限期纠正、命令删除数据、限制传输等。从以上公布的案例中我们可以看出，GDPR重点关注的企业类型已经不再局限，重点着眼主要在于数据的敏感度（例如特殊类型、特殊人群、大规模数据等）以及数据安全失控危险度（例如数据传输交互、跨境、大规模泄露），处罚的对象除一般监管的商业企业外，政府以及政府代表人也被涵盖。政府的动力也从发生事件的被动执法正在向预防型的主动执法转变。同时在GDPR实施不到两年的时间，欧盟的监管机关对前沿的问题包括员工数据、数据合理保存期限、加密货币的数据安全等也进行了开创性的裁断和探讨。

欧盟委员会通过关于日本的充分性认定，允许个人数据在强有力的保障的基础上在两个经济体之间自由流动。同日，日本也通过了相同决定，并于当日开始正式适用。

EDPB（欧盟数据保护委员会）发布关于欧盟经济区域非欧盟经济区财务监管当局个人数据转移的监管安排。

EDPB发布关于ePrivacy指令与GDPR之间相互作用的意见5/2019，尤其是关于数据保护机构的权限，任务和权力。

2019年5月EDPB发布GDPR实施一周年报告。报告发现，GDPR实施头一年里，EEA各监管机构共上报了20多万例案件，近半数是投诉；6万多件涉及数据泄露通知。一年时间里，监管机构了结了超过一半的案子 (52%)。                         

EDPB发布根据条例2016/679制定的行为准则和监督机构准则1/2019。          

EDPB发布依据《一般数据保护条例》（GDPR）第42条以及第43条进行认证及确定认证标准的1/2018指南。                    

EDPB发布关于数据保护影响评估要求下的处理操作的欧洲数据保护主管名单草案中的建议01/2019。       

EDPB发布关于通过视频设备处理个人数据的准则3/2019（公众咨询意见稿）。      

据报道，欧盟和美国2019年9月25日开始非正式对话，寻求在犯罪调查中加快跨境合作，即当犯罪嫌疑人及其社交媒体信息等电子数据不在同一国家时，可经由国家之间合作从对方数据库调取所需信息。      

EDPB发布在向数据主体提供在线服务的背景下，根据GDPR第6（1）（b）条处理个人数据的准则2/2019。   

EDPB针对《一般数据保护条例》（GDPR）第三条进行统一解释，并发布了 GDPR 地域适用的最终指南。

EDPB发布关于第25条按设计和默认方式进行数据保护的准则4/2019（公众咨询意见稿）。          

EDPB 发布关于GDPR规定的搜索引擎案件中被遗忘权标准的准则5/2019（公众咨询意见稿）。          

2019年以欧盟数据保护委员会为首的监管机构发布多项 GDPR配套准则和指南（包括公众征求意见部分），夯实了GDPR 99个法条的实施落地以及查处依据，内容主要涵盖了普遍问题较突出的线上类场景、GDPR域外适用、数据保护影响评估（DPIA，目盟个成员国也在陆续向EDPB登记针对DPIA的涵盖以及排除事项清单）、隐私设计以及默认设计等。据悉欧盟当局2020年也会进一步推进数据出境标准合同更新等工作。高额处罚、长臂管辖不应成为跨境企业对欧盟市场进军的桎梏，权衡的立法+合理的执法才应是善法所为，全球目光都在期待着围绕这部网红法的全面法律体系的早日完善。

据2019年5月报道,英国首例警用人脸识别案开庭。案件当事人Ed Bridges其诉称南威尔士地区警局使用人脸识别技术侵犯了他的隐私。2017年在欧冠总决赛时期，威尔士警局首次使用了人脸识别技术。Bridges声称他至少被扫描了两次——第一次是在一项平和的反枪支抗议活动中，另一次是在圣诞节购物中。

据英国《金融时报》报道，微软已经悄然删除其最大的公开人脸识别数据库——MS Celeb。MS Celeb数据库2016年建立，是世界上最大的公开面部识别数据集，拥有超过1000万张图像，将近10万人的面部信息。据了解，数据库中的面孔来自公众人物，但许多人并没有授权微软使用自己的面部照片。据统计，此前已经有多个商业组织在使用MS Celeb数据库，包括IBM、松下电气、阿里巴巴、辉达、日立、商汤科技、旷视科技等。

欧盟委员会成立高级别专家组考虑在跟踪和剖析（包括面部识别）方面需要新的监管。

瑞典国家数据保护局对一所试图使用该技术监控学生每日出勤率的学校处以近20万瑞典克朗（约合人民币14.6万元）的罚款。

欧盟基本权利局发布了《面部识别技术：执法中的基本权利考虑》报告，着眼于实时面部识别技术中涉及的基本权利的含义，重点在于将面部识别技术用于执法和边境管理目的。

人脸识别数据属于GDPR的规定“特殊类别数据” --- 生物特征数据。除非“数据主体已明确表示同意”，不得处理该等数据。GDPR原则上禁止以识别自然人身份为目的使用生物特征数据。人脸识别技术在美国也饱受争议。2019年5月旧金山城市监督委员会（Board of Supervisors） 的官员以8票对1票通过一项法令，禁止城市工作人员购买和使用人脸识别技术，2019年11月，欧盟基本权利局发布的《面部识别技术：执法中的基本权利考虑》报告，提出考虑到面部识别技术的新颖性以及现实中缺乏经验和足够详细的研究，面部识别技术利益相关方应当在将该技术应用于现实生活之前考虑处理目的限制、基本权利影响评估、是否有足够清晰和详细的法律框架、技术水平、面部识别技术的算法准确率等多个方面的问题。

荷兰数据保护机构Autoriteit Persoonsgegevens（以下简称为AP）宣布，那些要求网站访客必须同意自己的互联网浏览行为被追踪才能浏览该网站，以便发布定向广告的cookie墙不符合欧盟数据保护法GDPR的规定。因此，AP采取了措施发布了关于使用追踪cookie和cookie墙的指导意见。        

同样关于Cookie的应用，欧盟法院（CJEU）就一家德国公司通过预先勾选的复选框形式存储用户Cookies案作出裁决：欧盟法院裁定，网站用户必须对其设备上cookie的存储和访问具有足够的控制力，网站采取“预先勾选”的复选框征得用户对于存储cookies的同意是无效的，同意必须是具体的，网站通过预先勾选的复选框并不能有效地构成“用户的同意”。欧盟法院还指出，服务提供商必须向用户提供包括cookies操作的期限，以及第三方是否可以访问这些cookies的相关信息。

彭博社报道Facebook采用外部承包商转写音频片段之后，这家社交媒体巨头又招致了新一轮的抨击，并引发爱尔兰数据保护委员会的调查。随后苹果宣布“就像苹果和谷歌一样，我们在一周多前也叫停了人工审核音频。”，对产品运营模式进行了改良。

谷歌宣布开始推出位置历史自动删除功能，该功能是在今年5月份首次发布的。此前，谷歌和苹果等公司都表示，他们将开始推出专门的工具，让用户对自己与这些公司或第三方应用程序共享的数据拥有更多控制权。

据外媒报道，欧盟法院（CJEU）于当地时间周二作出裁决，谷歌只需在欧盟执行“被遗忘权”，不需要在全球范围内删除指向个人敏感数据的链接，推翻了法国数据保护机构国家信息与自由委员会早先提出的谷歌将“被遗忘权”的执行范围扩大到其搜索引擎在世界各地的所有版本的要求。这被视为在言论自由与隐私权界限之间取得平衡的里程碑式裁决。

谷歌母公司Alphabet在一篇博客文章中宣布，从2020年2月开始，在谷歌发送给广告买家的投标邀请书中，为了防止某些广告商将用户资料与敏感内容类别联系起来，将不再包含广告出现的语境的内容类别的信息。谷歌通过追踪得来的数据，给用户加注标签，并向数千家第三方企业分享，帮助他们投放广告，因为涉及高度敏感的个人隐私信息，曾一直遭受多次投诉与政府调查。

由于美国FTC对Tiktok的罚款，该公司采取了行动，正在建立一个限制数据收集的系统，并阻止12岁以下的用户发布或分享视频 ，只能剪辑和关注用户。

隐私设计（Privacy by Design）、隐私默认（Privacy by Default）是GDPR 法定要求， 鼓励数据控制者采取加密或变形措施处理增强信息保护级别。建设“隐私默认”机制，要求产品或服务的整个生命周期都贯穿隐私和数据保护。信息服务开发阶段就应当具备隐私保护功能，在信息服务运行阶段应当将个人信息默认设置为不公开。PbD在欧美的提倡早于GDPR，但GDPR的强普法性绝对加剧了各企业在合规创新上的动力。2019年，EDPB发布了隐私设计（Privacy by Design）、隐私默认（Privacy by Default）的指导性配套文件，远方的中国信安标委发布了《个人信息安全工程指南（草案）》遥相呼应。产品合规的时代到来的气息已经铺面而来。

享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部，依托于北京德和衡律师事务所，享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今，我们已为近百家公司提供了多样化服务。

享法围绕数据安全，电子商务，网络游戏，视频直播，互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规，融资并购以及新三板挂牌等法律服务，同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。

享法2019年度盘点系列

金融领域数据合规和个人信息保护大事记（2020.01.13）

「数据合规」2019年度国内新发布的主要规定通览（2020.01.14）

2019年医疗领域数据合规和个人信息保护大事记（2020.01.15）

让我们为您保驾护航

微信：享法互联网JoyLegal

微博：享法互联网法律

电话：010-81050766

邮箱：info@joy-legal.com

24小时内答复咨询

关注和分享，总有一个在路上~