2018年5月25日，《欧盟数据保护通用条例》(General Data Protection Regulation，简称“GDPR”)正式生效。但条例生效后的1年多，欧洲各国监管机构尚未对违规企业作出巨额罚款。终于，在2019年7月8日与9日，英国信息监管局（Information Commissioner’s Office，简称“ICO”）先后对英国航空和万豪国际开出1.83亿英镑和9920万英镑的巨额罚单，拉开GDPR强硬执法的序幕。

一、案件解读

（一）英国航空数据泄露事件

ICO对英国航空作出的1.83亿英镑的罚款是ICO至今所作出的最大一笔罚款，也是GDPR生效后在欧盟境内首笔大额的罚款，达到英国航空2018年全年营业额的1.5%。

该罚款针对的是2018年9月英国航空网站发生的数据泄露事件。在该事件中，用户被移转到虚假网站，攻击者通过这个虚假网站收集了客户详细信息，包括客户个人信息和银行卡信息，如姓名、地址、邮箱，以及信用卡的号码、有效期和背面的验证码（CVV）等。英国航空最初表示只有38万份客户资料外泄。在经过ICO详细调查后，确定信息泄露人数扩大到50万。

就此事件以及做出的处罚，ICO负责人Elizabeth Denham表示，“公民个人信息数据是极其私密的。当受委托的组织未能保护其客户数据免受损失、损坏或者被盗时，客户的潜在损失已经远远超过了给他们带来的不便。”

（二）万豪国际数据泄露事件

ICO对万豪国际作出的9920万英镑的罚款是有关数据泄露的第二笔巨额罚单，占万豪国际2018全年营业额的3%。

该罚款针对的的是万豪国际因其旗下喜达屋酒店的客房预订数据库被黑客攻击，泄露了全球约3.39亿条住户记录，其中包括3000万欧洲经济区（EEA）居民，700万英国居民。

据ICO调查，喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自2014年便存在。万豪国际在2016年收购了喜达屋酒店，但在2018年才发现此漏洞。ICO认为万豪国际在收购喜达屋酒店时未作充分的尽职调查，并且在保证酒店系统安全方面，万豪国际也未采取更多的保护措施。

数据漏洞在2014年喜达屋酒店集团系统遭到入侵后便开始出现。万豪随后于2016年收购了喜达屋，但直至2018年才发现该漏洞。ICO认为，万豪在收购喜达屋时未做充分的尽职调查，并且在保证实现酒店系统的安全性方面，万豪也未采取更多的保护措施。

就此事件以及做出的处罚，ICO负责人Elizabeth Denham表示“GDPR明确规定，组织应对其持有的个人数据负责。组织在收购时应当进行足够的尽职调查，不仅应采取适当的措施评估已取得的个人数据，还应当评估如何保护这些数据。”

Denham还表示，“个人数据具有真正的价值，因此组织有法律义务确保其安全，就像处理任何其他资产一样。如果组织没有这样做，ICO则会毫不犹豫地采取强有力的行动，以保护公众的权利。”

目前ICO对英国航空和万豪国际的处罚并非终局性处罚，两公司均表示会对ICO做出的处罚进行上诉。

二、对中国执法部门的建议

英国航空事件涉及约50万人的极度私密信息，万豪国际事件更是关系到全球3.83亿人的数据安全，其他大型数据泄露事件也屡见不鲜。安全情报提供商Risk Based Security的报告显示，2018年全球公开披露数据泄露事件超过6500起，有12起数据泄露事件涉及人数超过1亿。

我国虽在2019年3月全国人大的发布会上表示将制定数据安全法，但截止目前尚未明晰有关数据泄露的《数据安全法》的草案或者细节。我国《网络安全法》第42条第2款虽然规定了数据泄露的通知，但仅限于个人信息泄露，且缺乏必要的程序实施细则与处罚要求。这些均需要《数据安全法》进行补充加强，从而尽量降低泄露带来的损失。

参考GDPR以及欧盟数据保护委员会（European Data Protection Supervisor, 简称“EDPS”）发布的《个人数据泄露报告指引》，数据泄露通知制度应当包括或明确以下内容：

• 数据泄露通知的主体。在GDPR规定下，数据控制者承担通知义务。我国现行的《网络安全法》适用对象分类为“网络所有者、管理者和网络服务提供者”。这种分类过于宽泛，且在实践中可能出现互相推诿责任的情形。故新的《数据安全法》应当明确通知的主体。
  

  
  

• 引发数据泄露通知的条件。在中国境内发生的泄露事件是一种情况，如果在中国境外发生泄露，也可能会对我国公民的个人信息产生实质性的影响，相关主体也应当负有通知义务。

  
  

• 数据泄露通知的程序。在数据泄露发生后，负有通知义务的主体应当向相关监管机构、受影响的主体及时发出通知，告知事件的性质、范围、数据类型、被影响的数据主体的数量以及损害程度、严重性与持续时间，并应当采取适当的补救措施。

  
  

三、对中国企业的启示

1. 欧盟各国数据保护机构对GDPR的执法力度增强。

在欧盟对英国航空开出1.83亿英镑罚款之前，ICO对外数据安全漏洞做出的罚款最高额仅为50万英镑（GDPR体系前的法定最高额）。对英国航空和万豪国际拟处的罚款标志着GDPR体系下对于安全漏洞事故的处罚金标准。

组织在处理数据安全问题时，除了要考虑GDPR第32-34条规定的个人数据安全以及数据泄露对应的处罚金额外（最高额1000万欧元或全球年度营业额2%），还必须考虑GDPR第5条个人数据处理基本原则中(1)(f)项规定的数据完整性与保密性原则。如果发生未经授权或非法处理数据事项，监管机构可以科处最高额2000万欧元或全球年营业额4%的罚款（以较高者为准）。

目前尚不确定ICO计算罚款的标准，例如在英国航空案中是其全年营业额的1.5%，万豪国际案是其全年营业额的3%，但ICO在其发布的《监管行动政策》中对罚款金额的考虑要素共有三个方面，包括：（i）组织违规行为的性质、严重程度以及持续时间；（ii）受影响的个人信息的类型；（iii）处以罚金的有效性、程度相称性和劝阻性。

ICO称，对外公布处罚的目的是确保有关组织遵守法律，并对于组织的侵权行为起到有效的震慑作用。通过对英国航空和万豪酒店的执法行动，并对比GDPR体系前的处罚金额，可以看出ICO试图重新定义处罚金与违约行为之间“程度相称”的标准，以达到GDPR所要求的对数据的高水平保护。

2.GDPR执法机构对于设立在欧盟境外组织亦积极执法，中国企业应敲响合规警钟

根据GDPR第3条的规定以及EDPS发布的《关于GDPR地域管辖的指引》，只要该组织向欧盟境内的个人提供商品或服务（不管是否付费），均要受到GDPR的规制。例如，在万豪国际事件中，虽然万豪国际设立在美国，其泄露的3.83亿人数据也并不全是欧盟人，但只要其向欧盟境内的个人提供了商品或服务，则万豪国际就要受到GDPR的管辖。

这一要求为中国在全球范围内提供服务的企业敲响了警钟，特别是我国某些已经在欧洲积累了较大的用户的企业，例如国内极为火热的手游国际版在欧洲、北美地区上线后，注册用户已经超过两亿，每日活跃用户高达8000万。如此大规模的用户除了带来可观的收入之外，也为企业数据合规带来极大风险。

然而，与前述中国企业全球服务趋势相矛盾的是，我国企业对于用户数据保护的自觉意识仍十分缺乏，整体合规程度低。南都大数据研究院对企业隐私政策的测评更显示样本中50%的APP存在越限获取用户信息的情形，整体上不合规企业所占比例高达80%。这样的情况下，如果欧盟各国GDPR监管机构对有出海业务的国内企业进行严格检查，可能导致严重的结果。

3. 企业在日常经营活动需重视对数据的保护

在英国航空事件中是因网站系统不安全而招致的数据隐患，同样在万豪国际事件中的酒店预订系统数据自2014年便存在。如果企业在日常的经营活动中便重视并做定期的合规性检查，不仅可以降低企业不履行法律义务和违反法律的可能性，且相较事件爆发后收到执法机构的处罚，提前发现问题通常解决起来更简单，所消耗的金钱成本更低。

目前国内发布的《信息安全技术、个人信息去标识化指南（征求意见稿）》、《信息安全技术数据出境安全评估指南（征求意见稿）》、《信息安全技术个人信息安全规范（征求意见稿）》、《信息安全技术个人信息安全影响评估指南（征求意见稿）》等国家标准为企业合规提供了相对具体的指引。其中与企业日常数据合规最为相关的是《信息安全技术个人信息安全影响评估指南（征求意见稿）》（简称“PIA指南”）。该指南编制说明，该指南不仅适用于“各类组织自行开展个人信息安全影响评估工作”，也适用于“为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据”。

通过定期个人信息安全影响评估不仅帮助检查组织内部的合规性，还可以帮助组织在持续合规性审计或调查中证明其遵守了相关个人信息与数据保护法律法规和相关国家标准要求。一旦发生个人信息安全风险或违规事件，个人信息安全影响评估报告作为证据证明组织已经采取适当措施试图阻止上述情况发生，这可以有助于减轻、甚至免除相关责任和名誉损失。

此外，通过个人信息安全影响评估，组织还可以对员工进行个人信息保护教育，使之警惕可能给组织带来损失的个人信息安全问题。

4.须重视资本市场投并购项目中的数据合规尽职调查

在万豪国际事件中，ICO认定万豪国际在收购喜达屋酒店时未作充分的尽职调查发现系统漏洞，并且在保证酒店系统安全方面，万豪国际也未采取更多的保护措施。这一巨额处罚本可以在16年收购时的尽职调查过程中予以避免，但因为当时对数据调查未施以过多的重视，没有进行的足够深入，16年埋下的隐患于18年爆发。这一教训也提醒了在资本市场的投资、并购项目中，数据合规以及尽职调查的重要性。只要标的公司的业务涉及数据，则应当把数据合规尽职调查放到与公司其他资产尽职调查同等重要的地位，从而避免此类数据漏洞日后给企业带来的巨额损失。（作者为环球律师事务所律师）

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）

19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

11. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南

12. 第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益

13. 第十三期DPO沙龙纪实：厘清《数据安全管理办法》中的重点条款

14. 第十四期DPO沙龙纪实：梳理《个人信息出境安全评估办法（征求意见稿）》的评估流程
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察

31. 使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）

32. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

33. “惟危惟微，允执厥中”：对《数据安全管理办法》中“定向推送”部分的思考

34. 《儿童个人信息网络保护规定（征求意见稿）》评析：与美国COPPA对比的视角

35. 网安法中的“范围”如何理解和落地：从头条案说起

36. 《数据安全管理办法》的监管诉求及文本改进建议：DPO社群的现场讨论

37. 数据安全的内部和外部视角初探
    

38. 《个人信息出境安全评估办法》的流程改进建议：DPO社群的现场讨论

39. 评价GDPR一周年：一些正负面观点

40. GDPR与相关数据保护法律处罚案例调研（DPO社群成员观点）