GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)
本报告对近半年以来,中国企业因违反GDPR和其他国别数据保护法律被罚案例,以及外国企业/个人因违反GDPR被罚的案例进行了检索。现总结如下:
未检索到中国企业因违反GDPR被罚的案例
检索到一例中国企业因违反其他国别数据保护法被罚的案例
检索到七例外国企业/个人因违反GDPR被罚的案例。
中国企业因违反外国数据保护法被处罚的案例
2019年1月,抖音因违反美国《儿童在线隐私保护法》被FTC处罚570万美元。具体情况如下:
FTC发布了一项重要裁决,短视频应用抖音国际版(TikTok)因违反美国《儿童在线隐私保护法》,将被处以570万美元(逾3800万人民币)罚款,并将影响该应用在13岁以下儿童中的使用方式。
FTC称,TikTok要求用户提供电子邮件地址、电话号码、用户名、姓名、个人简介和头像等资料。该应用还允许用户通过评论视频和发送直接信息与他人互动。此外,用户帐号默认是公开的,这意味着孩子的个人资料、用户名、照片和视频可以被其他用户看到。FTC认为,TikTok知晓用户中有儿童,但未在收集用户数据前征询父母同意。这显然违反了《儿童在线隐私保护法》中要求面向儿童用户的网站在收集13岁以下儿童的个人信息之前获取父母同意的规定。
链接:
https://www.ftc.gov/news-events/press-releases/2019/02/video-social-networking-app-musically-agrees-settle-ftc(FTC官方网站)
外国企业/个人因违反GDPR被处罚的案例(2019年1月至6月)
自GDPR生效以来,欧盟中已有企业因违反GDPR被处罚的情况。本报告中选取各国较为典型的处罚案例予以展示。
西班牙
2019年6月,西班牙西甲联赛因违反GDPR被西班牙数据保护局处罚。
西甲联赛使用一款官方应用程序,这款应用程序是为了收集用户的音频和位置数据以识别盗版转播行为。当现场比赛正在进行时,应用程序秘密地开始收集数据。该应用程序将从用户手机的麦克风中收集音频数据,然后将这些音频数据与西甲联赛持有的“控制数据”进行比较。如果这两个数据源产生了一场比赛,西甲联赛就会知道是否有人在观看一场比赛。然后,西甲可以使用手机的GPS功能来确定比赛地点,并确定该酒吧或场地是否有权转播现场比赛。
西班牙数据保护局认为,该程序秘密收集用户的音频和位置数据。尽管该应用程序获得用户使用麦克风和GPS的许可,但它并未告知用户收集数据的目的。如果用户不知道为什么要收集他们的数据,那么用户的同意就不够具体。换言之,西甲联赛没有获得用户关于数据收集和使用的有效同意,因而违反了GDPR第7条。
链接:
https://www.eldiario.es/tecnologia/Agencia-Proteccion-Datos-Liga-microfono_0_908859408.html(西班牙当地媒体报道)
丹麦
2019年5月,丹麦数据保护机构对出租车公司“Taxa 4 X 35”(Taxa)违反GDPR的行为进行了处罚。
丹麦数据保护机构调查发现,Taxa没有遵守GDPR中规定的数据最小化原则。该企业虽然在合法保留客户的姓名和地址两年后将其予以删除,但随后在长达三年的时间里违法保留了900多万名客户的电话号码。对此,Taxa认为,客户的电话号码是该企业IT数据库的重要组成部分,因此不能在同一时间段内删除。根据上述调查结果,丹麦数据保护机构建议对Taxa处以120万克朗的罚金(约160,754欧元)。
此外,丹麦数据保护机构的此份处罚通知还开启了一个先例,即企业IT系统的限制可能不会被视为过度保留个人数据的合法理由。因此,IT系统中存在同类限制的企业,应明智地探索其他解决方案,以降低GDPR违法风险。例如,企业可以用随机标识符替换此类电话号码和信息,以有效地对较旧的个人数据进行匿名化处理。
链接:
https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/mar/tilsyn-med-taxa-4x35s-behandling-af-personoplysninger/(丹麦数据保护机构官方网站)
法国
2019年1月,CNIL以违反GDPR的同意规则为由,处罚谷歌5000万欧元。
谷歌的主要违法行为是,未向用户提供透明和清晰的处理个人数据的方式,针对个性化广告未获得合法同意。CNIL表示,谷歌的用户无法完全理解该公司如何使用数据,因为其披露的信息过于“笼统和含糊”,并分散在许多不同页面和文件中。
CNIL还主张本案所涉的收集的同意既不“具体”也不“明确”,GDPR所要求的同意只有当用户针对诸多特定目的分别给予认可(而不是打包式认可)时才是“具体的”,并且GDPR所要求的同意只有当用户做出清晰的确认动作(例如勾选并未预置勾选的空格)时才是“明确的”。
链接:
https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc(法国数据保护机构官方网站)
德国
德国聊天社交平台Knuddels.de被德国数据保护机构作出处罚。
案件的起源是,Knuddels.de网站于2018年7月受到黑客袭击,导致约330,000位用户的电子邮件地址和密码泄露。后经LfDI调查发现,Knuddels.de平台以纯文本形式存储用户密码,没有采取任何加密措施。据此,德国数据保护机构认为Knuddels.de违反了GDPR第32条规定的数据安全义务,并在此基础上依据GDPR第83条第4款对其处以罚款。
德国数据保护机构对Knuddels.de作出处罚决定的依据是,该网站未对用户的密码采取加密措施,因而违反GDPR第32条第1款,即,数据控制者及处理者应考虑现有技术、执行成本、处理的本质、范围、背景及目的与对自然人权利及自由所存在的诸多且严重的风险,采取适当的技术及组织措施,以确保合理应对风险的安全水平,尤其需考虑个人数据的化名化及加密。因此,虽然GDPR并未将加密列为强制性义务,但是没有对数据进行加密却可以招致实在的罚款。企业应当自行谨慎评估其是否需要加密所收集的个人数据。
链接:
https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/(德国数据保护机构官方网站)
立陶宛
2019年5月16日,立陶宛数据保护监管机构对MisterTango公司进行处罚。MisterTango此次受处罚的原因有不恰当处理数据、泄露个人信息以及未向监管机构报告数据泄露事件。
2018年7月,MisterTango公司用户的个人信息以及9000张网络支付交易截图被非法披露在互联网上,该数据泄露事件发生后72小时内公司亦未向监管机构报告,违反了GDPR的规定。此外,MisterTango提供支付服务时,超出必要限度读取并收集用户的个人信息,与GDPR的最小限度原则不符。
链接:
https://www.ada.lt/go.php/lit/Imones-atsakomybes-neisvengs--lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenu-apsaugos-reglamento-pazeidimus-/1(立陶宛数据保护监管机构官方网站)
波兰
2019年3月26日,波兰数据保护执法机构处罚了当地一家公司。
受处罚的公司自公共来源处获得涉及600万人的个人信息,主要来源包括中央电子登记簿和经济活动中的信息。该公司处理此类公共来源的信息的目的是商业用途。但是该公司作为数据控制者,并未告知相关数据主体其正在对数据主体的个人数据进行的数据处理活动,因此数据主体无法获知这些处理活动,也就无法提出反对处理权、更正或者删除权,事实上剥夺了这些数据主体的的数据保护权利。波兰数据保护执法机关认为这是非常严重的违法行为,影响到了数据主体的权利和自由。
经查,该公司作为控制者,仅对其已经掌握的电子邮箱的数据主体通过电子邮件告知了GDPR第14条1-3款要求的信息告知义务。其余的涉及到的数据主体,该公司称因成本过高而未对该等数据主体进行告知,而只在其官方网站上展示了其相关信息的条款,以此完成告知。
而经波兰数据保护执法机关查明,该公司已经掌握了所有涉案数据主体的邮寄地址和电话号码。波兰数据保护执法机关认为:该公司所述的“成本过高”只是其不履行法定义务的借口,公司应当通过这些邮寄地址等所掌握的涉案个人联系方式对所有的数据主体履行其信息告知义务。
链接:
https://uodo.gov.pl/decyzje/ZSPR.421.3.2018(波兰数据保护执法机关官方网站)
比利时
2019年5月28日,比利时数据保护局(GBA)对比利时市长滥用个人数据,违反了GDPR的行为进行了处罚。本次处罚是一次针对自然人滥用数据行为的处罚。
在比利时市选举前一天,比利时市长通过房地产交易咨询事项中建筑师所附的个人电子邮箱向数据主体发送了竞选选举信息。随后,该上述数据主体向GBA投诉,举报市长滥用投诉人的个人邮箱向其发送了竞选选举信息进行拉票。
GBA认为,比利时市市长使用数据主体个人电子邮件地址并发送竞选信息的行为,已经超出数据主体当时提交个人邮件地址的目的,违反了GDPR中目的限制原则。
链接:
https://www.gegevensbeschermingsautoriteit.be/nieuws/de-gegevensbeschermingsautoriteit-legt-een-sanctie-op-het-kader-van-een-verkiezingscampagne(比利时数据保护局官方网站)
本文作者为环球律师事务所的孟洁律师和梁锐律师
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点