案例采撷 | 以案释法：GDPR第65条争议解决机制

导读

2022年8月17日，欧洲数据保护委员会（European Data Protection Board，EDPB）根据《通用数据保护条例》（General Data Protection Regulation，GDPR）第65条规定的争议解决机制，就法国国家信息和自由委员会（Commission nationale de l'informatique et des libertes，CNIL）与波兰数据保护机构（Urząd Ochrony Danych Osobowych， PL SA）针对某知名酒店集团因违法GDPR的罚款数额争议作出具有约束力的决定。EDPB认为，该酒店集团未经同意向客户发送营销信息，涉嫌“重大”侵权，CNIL此前所作的罚款60万欧元的处罚决定不具有惩戒性，须重新评估计算罚款金额。此外，EDPB还强调，CNIL在确定罚款金额时，一方面应当考虑当事人上一年度（2021年）的营业额；另一方面营业额已经构成公司财务状况指标，不应再将营业额的下降作为减轻处罚的因素。

案件事实

涉案企业是一家在法国成立的酒店集团公司，旗下拥有多个知名酒店品牌。2018-2019年，法国、英国、德国、西班牙和波兰的数据保护机构陆续收到个人数据主体对涉案企业的投诉，原因是当客户预订该酒店集团下任一酒店时，涉案企业会默认该客户同意接受其集团全系列酒店品牌的营销邮件。

2019年12月，作为主数据保护机构（Lead DPA），CNIL启动了对该酒店集团的调查，并于2021年5月向英国、德国、西班牙和波兰的数据保护机构发送了其初步决定。在初步决定中，CNIL决定对酒店集团处以60万欧元的罚款。这一决定遭到了PL SA的反对，其表示这一罚款金额过低。由于CNIL和PL SA无法就此达成合意，2022年2月18日，CNIL启动争议解决机制要求EDPB介入此案。EDPB后于2022年6月15日做出具有约束性的决定。

EDPB争议解决机制

当涉案企业的行为影响多个成员国及成员国公民时，各成员国数据保护机构均有权受理案件。为了避免管辖纠纷，欧盟遵循one-stop shop原则，即数据控制者/处理者的主营业地数据保护机构作为主导DPA邀请其他受影响成员国的DPA参与联合行动，再由主导DPA作出处罚决定，其他DPA有权对此表示接受或反对。这就是所谓的联合执法，以确保GDPR在各成员国适用的一致性。本案中，该酒店集团的总部位于法国，因此CNIL为主导DPA。法国、英国、德国、西班牙和波兰的DPA 参与联合执法。

而当主导DPA与其他DPA不能就决定达成合意时，争议解决机制启动，EDPB介入。此外，如果成员国对于主导DPA的认定存在争议，或者DPA不遵循EDPB就GDPR第64条所列事项发表的意见时，争议解决机制也会被启动。通常EDPB将在一个月内以EDPB成员三分之二通过为前提，对这些事项做出具有约束力的决定。如案件复杂，该期限可延长一个月。

本案中，EDPB在其决定中分析认为：

• 企业的营业额不仅与根据 GDPR 第 83(4)-(6) 条确定罚款金额上限相关，确定实际罚款数额时也应纳入考量；

• 由于确定实际罚款数额时已经考虑了企业的营业额，因此酒店集团2020年营业额大幅下降不能再作为减轻处罚的理由；

• 罚款数额应当达到劝阻违法行为的效果，60万欧元的罚款数额相较于该酒店集团的经济规模和其重大侵权的不法程度而言远不能达到劝阻违法行为的效果。

  
  

另外，EDPB仅会对存在争议的事项作出判断。如果主导DPA和其他DPA并没有案件的任一事实或认定要点存在争议，则EDPB也不会对该点作出回应。例如，关于营业额的统计口径是以集团层面（约16亿欧元）还是以公司层面（约5亿欧元）为准，由于PL SA在其反对意见中并没有对受处罚主体提出质疑，因此EDPB没有对此做出判定。

案件点评

GDPR 要求欧洲经济区内的个人数据保护机构能够密切合作，以确保GDPR在各成员国应用的一致性，最终实现整个欧洲经济区对内统一、对外一致的个人数据保护体系。但在实践中，不同成员国因其历史、语言和法治观念的影响，对GDPR具体条款的适用可能作出不同解读。当案件涉及多个国家时，这种法律适用的缝隙与差距就愈发明显。为了防止这一问题撕裂GDPR在欧洲经济区的统一战线，EDPB被赋予介入成员国个人数据保护争议的权利和义务。到目前为止， EDPB履行争议解决机构职能的案件数量很少，且直到2020年底EDPB才做出首例决定。这一方面是因为程序启动前已经为成员国DPA提供了充分沟通、达成合意的机会，另一方面是因为EDPB争议解决机制往往需要在短期内调用大量的资源，并非易事。本案为我们展示了EDPB争议解决机制的程序全貌，是学习EDPB争议解决机制的绝佳案例。

可以说，EDPB作为超国家行政机构的角色为欧盟特色，EDPB争议解决机制也是欧盟所独有。但同时，我们应当认识到，不同机构对法律的解读能力、立场不同势必会造成执法不一的潜在风险，这一点不因这些机构的法属不同而有所区别。随着中国个人信息保护的行政力量从中央逐渐铺排至地方层面，未来中国也可能面临类似的问题。除了通过指南、规则等事前指导的方式尽量减少该类问题的发生，当争议已经产生，中国是否有类似的争议解决机制能够有效协调干预，维持法律适用的一致性，也是值得持续关注的问题。

往 期 精 彩

解读文章

• 简评与关注：国家网信办发布互联网信息服务算法备案清单

• 新法速递 |《盲盒经营活动规范指引（试行）》（征求意见稿）

• Core Issues When Processing Employees’ Personal Information（Q&A）

• 谋定后动、知止有得——三法齐出，企业如何有效选择数据跨境方案

• Landmark Rules on Certification for Cross-Border Data Processing

• 新法速评|《个人信息出境标准合同规定（征求意见稿）

• 跨国公司员工管理数据合规十问十答

• 网络安全审查的前世今生

• 简评与比对 | TC260发布《个人信息跨境处理活动安全认证规范》

• 新旧对比 | 全国人民代表大会常务委员会通过《中华人民共和国反垄断法》修订案

• 当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示（上）

• 当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示（下）

• 新法速览|《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》

• 新法速评|《移动互联网应用程序信息服务管理规定》（含合规要点）

• 新旧对比 | 国家市场监督管理总局发布《明码标价和禁止价格欺诈规定》

• “6.18”即将到来，网络交易经营者如何避开价格“雷区”？

• 对“北京通管局2022年网络和数据安全检查”的解读与合规应对

• 聚焦数据治理 | 中国、欧盟政策立法的最新动态及跟进分析

• 统一大市场下如何破除数据壁垒——以欧盟《数据治理法案》为视角

• 新国标|《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》

• 互联网315 | 资深律师提供了一份网络消费避坑指引，覆盖主要消费场景

• 强调公平，均衡权益——解读《关于审理网络消费纠纷案件适用法律若干问题的规定（一）》

• 算法推荐服务提供者须依法备案

• 合规清单 | 商业广告代言，平台企业如何应对？

• 数字经济时代科技企业上市数据合规指南——基于2021年度最新（申报）上市案例的分析

• 利剑出鞘——《互联网信息服务算法推荐管理规定》对比解读

• 上海VS深圳，数据立法有何不同？

• 简评与对比|《互联网广告管理办法（公开征求意见稿）》出台

• 监管快讯|上海出台网络营销活动算法应用指引，划出七大底线

• 天将降大任：从互联网平台合规角度解读《网络数据安全管理条例（征求意见稿）》

• 众里寻他，数据跨境规则即将落地——速评《数据出境安全评估办法（征求意见稿）》

  
  

案例分享

• 合法利益之辩，前顾客也可以被营销?

• 主播违法，直播服务机构与直播平台如何独善其身？

• CCPA下如何有效选择Opt-Out ——以Brooks 案为例

• 欧盟法院关于特殊数据类型的最新判例

• 平台促销须谨慎，主体责任应承担

• Cookies无小事，合规需谨慎

• 美国法院解释中国《个保法》，引起法律适用争议

• Twitter被罚1.5亿美元，出海企业值得关注

• 法国CNIL就软件供应商数据泄露事件开出高额罚单

• 数据抓取的典型案例：“微信” 诉 “极致了网”

★

长按二维码一键关注