以终为始| 2023全球数据执法动态盘点

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

文/ 王捷律师团队

W&W国际法律团队

专注互联网出海法律实务：

W&W国际法律团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

互联网前沿领域法律服务：

W&W国际法律团队深耕出海法律实务的同时，也紧跟互联网前沿动态，可以为互联网企业提供前沿领域的法律服务，为企业开拓新的业务领域保驾护航，比如AIGC产品全链路合规法律服务，包括AI与数据合规， AIGC与知识产权布局、侵权风险防范，内容审核标准制定等。

覆盖以下行业领域：

物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。

（此处仅展示部分内容，如有任何需求，请尽管与我们联系。）

引言

垦丁W&W国际法律团队对2023年有关数据保护的执法情况进行了全面梳理。在数据保护方面，监管机构对数据安全和个人信息保护的执法力度持续加强，处罚标准也相应提高，罚款金额创下历史新高，表明监管部门对违规行为采取了更为严厉的态度。

GDPR执法分析

执法趋势概况

下两图分别以月为单位统计了罚款总额和罚款案件总量的累计过程，从金额来看，自GDPR实施以来，针对数据保护方面执法罚款总额已突破44亿欧元。从图中可以看出2021年7月，卢森堡针对Amazon Europe Core S.à.r.l.的罚款高达7.46亿欧元，该案件也成为罚款金额的分水岭。

具体来说，2021年7月之前，欧盟地区单次罚款金额一般不超过3亿欧元，自2021年7月之后罚款金额激增。2023年5月，备受全球关注的Meta数据跨境传输12亿欧元罚款案是GDPR施行5年以来开出的最高罚款。从案件数量来看，目前仅欧盟地区依据GDPR进行执法的案件近2000起。

图1 罚款总额图片来源于Enforcement Tracker

图2 罚款案件总量图片来源于Enforcement Tracker

从单月罚款数据来看，存在两个分水岭。第一个位于2019年9月，执法案件从月均个位数突破至月均20件。第二个分水岭位于2020年12月，月均案件突破40件。

由此可见，GDPR刚开始实施时，政府监管机构的罚款力度相对较小。然而，随着时间的推移，GDPR罚款金额不断攀升，并呈现逐年增长的趋势。据统计数据显示，到2023年，GDPR罚款总额已经创纪录地达到20亿欧元，这一数字几乎是2020年罚款金额的10倍。此外，仅在2023年一年内，就有420家公司收到了GDPR罚款处罚，平均罚款金额为400万欧元，相当于3133万元人民币。这些数据表明，政府监管机构在GDPR实施过程中逐渐加大了行动力度，并对违规企业组织施加了更为严厉的罚款措施。

罚款金额概况

图3与图4分别为罚款总额及罚款次数最高的前10位国家。从罚款金额来看爱尔兰以20亿位居罚款金额榜首，主要来源于Meta 12亿罚款。卢森堡、法国的罚款总金额紧追其后。

从罚款次数来看，西班牙展开罚款的次数最多，共计罚款791次，相较于2020年的80次大幅提高，另外，意大利、罗马尼亚的罚款次数相对也比较多。综合图4与图5来看，一方面存在部分国家罚款动作较为频繁、但罚款金额较低的情形，如西班牙（平均案件罚款金额8万欧元）、意大利（平均案件罚款金额4.5万欧元）、德国（平均案件罚款金额3.4万欧元）。另一方面，也出现单笔罚款金额巨大的情况，如爱尔兰、卢森堡，罚款次数虽然少，但是单笔罚款数额巨大。

图3 By total sum of fines 图片来源于Enforcement Tracker

图4 By total number of fines图片来源于Enforcement Tracker

罚款原因分析

图5是W&W国际法律团队依据2023年各官方机构公布的新闻、案例，就各个国家有关数据保护执法案例因素的归纳和总结，包括罚款金额高昂及罚款频率较高的因素。

欧盟成员国依据GDPR中有关“针对处理数据的合法性依据不足”及“未遵守数据处理原则”、“未实施足够的数据安全措施”作为执法依据的频率较高。前述对应的GDPR条款一般为第 5、6、8、13 和 25 条。

罚款金额方面，违反数据处理原则的546个案件共计开出了20亿欧元的罚单，平均每个案件罚款金额为137万欧元。除此之外，监管机构也非常关注数据主体权利响应、数据泄露通知义务等方面，有关前述归纳具体可参考图5。

另外，W&W国际法律团队梳理了近三年（2021年-2023年）数据执法案例金额前十案件，详情请见下表。

图5 罚款因素归纳

表1 近三年罚款金额前十案例

数据泄露执法

除了从GDPR执法维度进行分析，根据2023年W&W国际法律团队发出的全年周刊统计情况来看，大部分数据执法调查的起因是发生了数据泄漏事件，从而引发了数据监管机构的关注。根据GoUpSec针对2023年数据泄露事件统计，我们也针对数据泄露原因进行了可视化处理，详见下图6

图6 数据来源于GoUpSec

依据上图分析，引起2023年全球重大数据泄漏事件的因素包括：黑客攻击、勒索软件攻击、企业内部员工数据操作不当以及第三方导致的数据泄漏问题。对于企业而言，需要重点关注以及评估自身有关网络防御措施、数据备份和恢复预案、内部权限管控、员工数据安全意识培养以及第三方权限管控等方面的制度措施以及实际落地情况。根据对2023年数据泄露事件的观察和梳理，发生数据泄漏的行业领域较广，既包括互联网领域，也包括健康医疗、金融以及制造业等传统领域。

纵观2023年数据合规执法趋势，可以发现全球各地监管机构执法力度持续加大，处罚标准也在提高。一方面罚款金额创历史新高，显示出监管部门对违规行为采取了更为严厉的态度。另一方面，监管领域也在不断扩大，各国家和地区监管机构更加重视个人数据安全管理和隐私保护。同时，监管机构也展现出全面合作的态势，通过组建协调机制来提高跨区域执法的效率。除此之外，在技术领域方面，监管部门对人工智能产品的隐私影响评估和持续监督也给予了更多关注。

其他执法重点

除了表现出对数据泄漏事件的重视以外，全球监管机构的另一监管和执法重点集中在数据主体基本权利方面。

欧美数据保护机构重点关注企业是否充分保障数据主体的访问权、删除权等基本权利。例如英国Snap案例（参考欧洲其他地区执法动态盘点：ICO对Snap发布初步执法通知，称其可能未适当评估隐私风险）。此外，涉及青少年和儿童数据保护的案件也备受关注，2023年的许多案例中，处罚依据涉及企业在处理青少年或儿童个人数据时未充分执行年龄认证和保护措施的比例不低，例如爱尔兰数据保护委员会就TikTok未能保护儿童隐私进行处罚的案例。

此外，第三方数据处理也逐渐成为监管部门关注的重点领域，2023年的部分案例表现出对于企业第三方管控的重视，包括企业是否在与第三方合作时，对个人数据责任进行明确约定划分，例如，意大利Sportitalia案例（参考欧洲其他地区执法动态盘点：Garante对Sportitalia多次违反GDPR的行为罚款20,000欧元）。

总结

纵览2023年数据合规事件，全球各国及地区在人工智能监管、未成年儿童隐私保护、数据跨境传输取得了重要进展。一方面，面对极速涌现的新兴人工智能技术，许多国家开始认识到人工智能的潜在风险和挑战，并加强了对其监管框架的建设，以确保人工智能的公平、透明和可解释性。另一方面，全球有关数据保护的规定日趋成熟，逐渐由建立数据保护框架转向更为细节、明晰的规定，包括针对未成年人保护、数据跨境传输机制等。

除立法动向外，2023年数据合规执法动态也成为全球关注的重点。许多国家和地区加强了对数据保护和隐私违规行为的执法力度，这体现在处罚次数以及罚款金额的增加。此外，一些国家、国际组织也在积极发布数据合规标准和最佳实践，旨在加强对数据和个人信息的保护力度，促进全球数据流动。

更多详细内容可以参考W&W国际法律团队

《全球数据合规2023图鉴》‍

后台回复“2023”获取完整报告！

主编介绍

王捷 律师

垦丁律师事务所合伙人、广州联合创始人、执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

业务领域：

个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全

王律师持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学常务理事，荷兰RuG国际经济法与商法硕士。

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验，具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务，行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。

王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地，包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局，已为各类涉互联网企业拓展全球市场提供法律支持，尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。

同时，王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

新年贺礼| 《全球数据合规2023图鉴》重磅发布，要做年终总结吗，我们帮你梳理好了

法务转型律师，并非拍脑袋

让我们继续以文会友，以笔聚力|盘点2023&共迎2024

访谈实录（下）：公众号上“专业”的法律文章=主题拆分+易读性+引起讨论

开辟万象，OPEN你的AI｜垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》（附下载）

冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》

企业出海实务分享 | 2024年，如何布局AIGC出海？

W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列