自《通用数据保护条例》（General Data Protection Regulation，简称GDPR）于2018年5月生效以来，企业合规治理层面，全球大型跨国企业均在应对该部法律带来的经营与合规挑战；公众意识层面，人们对数据保护问题的认识普遍提升；执法层面，欧盟给予了企业较长的宽限期，但进入2020年后，宽限期和指导期已经结束，“GDPR强执行时代”业已来临。执法案件数量呈急剧上升趋势，欧盟各国陆续开出巨额罚单，为企业（尤其是大型跨国企业）的数据保护合规建设带来更大压力。同时，欧盟成员国罚款实施细则的出台以及执法经验的积累，给各成员国监管机构判断具体执法金额提供了更明确的指导和标准，也为企业提供了合规建设的参考依据。

本报告旨在研究部分欧洲重点国家针对数据保护违法事件实施行政处罚的法律规定，并对重大、典型执法案例进行罚则适用的实证分析，从而了解监管机构的执法倾向和处罚逻辑，并针对监管机构重点关注的风险项设计风险管控措施。

（一）欧盟GDPR执法现状

近一年来欧盟国家陆续开出巨额数据保护执法罚单，这些国家包括英国、法国、意大利、奥地利、德国、瑞典等。前十大巨额罚款案例中，处罚金额占被执法企业上一年度收入的比例较低。根据这些案例，可以确定两个主要的被罚款事件类型：一是数据泄露案件；二是营销类案件，包括电话营销与定向广告推送。

（二）欧盟GDPR执法趋势

上述案例一定程度上反映了欧盟GDPR执法趋势 -- 数据保护领域的处罚力度和金额持续增加。在当前阶段，数据保护监管机构力图通过对违法行为处以高额罚款来加强数据保护执法。同时，围绕此类罚款的诉讼也越来越多，这有可能会抑制数据保护监管机构对高额罚款措施的偏好。尽管如此，在2020年至2021年期间，“执法浪潮”和高额罚款仍将继续。

（一）GDPR行政罚款规则概述

1、欧盟适用的统一规则

行政罚款作为惩罚措施之一，是监管机构严惩违法行为﹑强化数据保护法律要求的重要工具之一。欧盟法律中关于行政罚款的条款采用抽象原则性规定的立法模式，对罚款金额设置上限，通过罚款相关因素分析判断得出最终处罚金额。第29条工作组（The Article 29 Working Party，以下简称WP29） 发布《GDPR行政罚款适用和设定指引》(Guidelines on the Application and Setting of Administrative fines for the Purposes of the Regulation 2016/679)，提供罚款考虑因素指导建议。欧盟数据保护委员会（European Data Protection Board，以下简称EDPB）已批准通过该指引。

GDPR第83条规定了对企业处以行政罚款的一般条件，并划分了两类处罚标准，分别是：①Ⅰ类标准：对违法企业处以最高10,000,000欧元或上一财经年度全球营业总额2%的行政罚款（以较高者为准）；②Ⅱ类标准：对违法企业处以最高20,000,000欧元或上一财经年度全球营业总额4%的行政罚款（以较高者为准）。

具体处罚标准与处罚依据的对应情况如下：

表1 处罚标准-法律义务映射表

2、重点国家适用的规则

根据中兴通讯数据保护合规部于2019年12月进行的欧洲经济区GDPR国别风险等级评估结果，本节特选取德国、英国、奥地利、意大利、荷兰、西班牙及匈牙利的罚则规定进行重点分析。

（1）德国相关法律规定

德国主要适用GDPR和《德国联邦和州独立数据保护机构关于确定企业罚款数额的指南》（Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen）。德国遵从GDPR的原则性规定，对罚款金额设置上限，并且德国数据保护监管机构就罚款金额计算方式发布了统一标准的实施细则，提出了基于营业额的线性计算模型，但是该模型似乎没有考虑到不同业务类型的具体适用。

新的罚款金额计算模型将导致德国当局未来在GDPR领域中做出的罚款金额远高于迄今为止的罚款金额。以营业额为基础的线性计算方法很大程度上会导致严重的罚款风险。鉴于跨国企业将面临高额罚款，被处罚的相关企业很可能在诉讼中对这种新模式提出质疑并申诉到包括欧洲法院在内的高等法院。所以这种新的计算模型很可能在将来受到一定冲击。

（2）英国相关法律规定

英国主要适用《2018年数据保护法》（Data Protection Act 2018）、《数据保护、隐私和电子通信条例》（Data Protection, Privacy and Electronic Communications Regulations）、《2010年数据保护（罚金）（最高罚款额及通知）条例》（Data Protection (Monetary Penalties) (Maximum Penalty and Notices) Regulations 2010）、《1998年数据保护法》（Data Protection Act 1998）来规范数据保护相关的处罚措施。英国关于罚款金额的一般规定与GDPR相同，采用两种处罚等级。此外根据行为发生的时间，还有可能适用旧法规定，根据旧法规定，民事案件在数据保护方面的最高罚款为500,000英镑。

表2 英国处罚措施一览

（3）奥地利相关法律规定

奥地利主要适用GDPR、《联邦个人数据保护法》（Datenschutzgesetz，DSG）、《电信法》（Telecommunications Act 2003）。

在遵守GDPR罚款规定的前提下，奥地利对于特定违法行为的处罚分为两类：①依据《联邦个人数据保护法》对于5类特定违法行为，处以最高50,000欧元罚款，除非符合GDPR第83条的规定，或根据其他行政法律规定受到更严厉的惩罚；②依据《电信法》对于11类违法行为，处以最高37,000欧元罚款；对于1类违法行为——为营销目的进行广告推送，处以最高58,000欧元罚款。

表3 奥地利法处罚措施一览

（4）意大利相关法律规定

意大利主要适用GDPR、《意大利隐私法》（Italian Personal Data Protection Code ）（2003年6月30日）。意大利对于罚款金额的一般规定与GDPR相同。在遵守GDPR罚款规定的前提下，《意大利隐私法》对五类数据处理违法行为明确规定了罚款金额的范围：

《意大利隐私法》第13条规定，未向数据主体提供数据收集规则或提供信息不足，将被处以3,000至18,000欧元的罚款；涉及到敏感个人数据的，处以5,000至30,000欧元的罚款。根据违法者的经济实力，如果罚款无法达到惩戒效果的，则罚款金额可以增加至三倍；

违反《意大利隐私法》第16条第1款b项规定，违法传播个人数据的，处以5,000至30,000欧元的罚款；

违反《意大利隐私法》第84条第1款规定，非法披露健康状况数据的，处以500至3,000欧元的罚款；

违反职责，未能及时提交《意大利隐私法》第37条和第38条要求提供的信息或提供信息不完整的，处以10,000至60,000欧元的罚款；

未能提供信息或未出示意大利数据保护监管机构根据第150条第（2）款和157条要求的文件的，处以4,000至24,000欧元的罚款。

（5）荷兰相关法律规定

EDPB尚未与荷兰数据保护监管机构 (Autoriteit Persoonsgegevens，以下简称 AP) 建立联合执法机制。因此，出于监管目的，荷兰数据保护监管机构目前自行制定并实施一套计算罚款金额的政策。荷兰主要适用《GDPR实施法案》（Dutch GDPR Implementation Act，以下简称UAVG）。此外，对于违反《警察数据法》、《司法和犯罪记录信息法》的行为以及某些违反《电信法》、《eIDAS 法规》和《总行政法》的行为，AP也可以处以罚款。

1. 基础罚款：在违法事项所对应罚款金额范围内取中间值。这是确定罚款额时的“起点值”，为最终罚款金额的基础；

2. 累犯：在5年以内再次发生相同或相似的违法行为，针对累犯的罚款起点值将在基础罚款的数额上提高50%；

3. 多种违法行为的处罚：如果数据处理活动违反多个规定，罚款总额不得超过最高罚款金额；

4. 偿付能力：在确定罚款数额时，AP将视情况考虑违法行为人的经济状况。如果行为人偿付能力下降或不足，AP会在较低一档罚款范围内设定罚款数额。

AP制定的罚款政策中最高罚款金额为1,000,000欧元。然而，如果监管机构认为这种罚款力度不能够体现惩罚的相称性，可超出原罚款范围，最高罚款为GDPR规定的20,000,000欧元或者是全球年营业额的4%（以较高者为准）。

（6）西班牙相关法律规定

西班牙主要依据的法律为第3/2018号《关于数据保护和数字权利保障的组织法》（Spanish Fundamental Law on Data Protection and Digital Rights Guarantee，以下简称NLOPD）。西班牙采用抽象的原则性规定，在具体实施层面将数据保护侵权行为划分为三个等级，将不同的违法行为纳入不同的侵权等级中，分别处以相应额度的罚款。

西班牙对于罚款金额的一般规定与GDPR相同，NLOPD将数据侵权行为进一步分为轻微、严重和非常严重，根据不同的等级划定了不同的罚款额度范围，并分别规定了1年、2年和3年的诉讼时效。NLOPD还规定责任主体不仅包括数据控制者、处理者及其代表，还包括负责监督和认证行为守则的认证机构。

不遵守一般数据保护义务、无保障的数据跨境传输、未遵守NLOPD下个人数据封存义务 等属于非常严重的侵权行为，罚款金额在300,001欧元以上；妨碍或未能响应数据主体的权利请求、处理者未经控制者授权而由其他子处理者参与处理等属于严重侵权行为，罚款金额在40,001至300,000欧元之间；未履行向西班牙数据保护监管机构报告数据泄露事件的义务、未公布DPO的详细联系方式等属于轻微侵权行为，罚款金额在40,000欧元及以下。

（7）匈牙利相关法律规定

匈牙利主要适用2011年颁布的第CXII 号法案《信息自决权和信息自由权法》(Act CXII of 2011 on the Right of Informational Self-Determination and on Freedom of Information) （以下简称《隐私法案》）。匈牙利没有规定罚款的具体实施细则，直接采用GDPR第83条。

相较来说，匈牙利数据保护执法态势没有西欧国家严格。《隐私法案》第 75条A部分明确规定，针对数据控制者或处理者的初次违法行为，数据保护监管机构应当给予警告而非直接处以罚款。并且，针对数据控制者或处理者的侵权行为造成的损害、侵权行为引发的损害赔偿及行政申诉费用也受一定程度限制。

从法律规定本身来说，匈牙利数据保护法是相对宽松的。从具体执法态势上观察，自GDPR生效后，其执法案例的罚款数额在100欧元至100,000欧元不等，大部分在10,000欧元以下，特别是3,000欧元以下居多。

（二）GDPR处罚标准的具体适用

1、GDPR行政罚款金额考量因素

GDPR第83条第（2）款列出了在具体个案中，确定是否处以行政罚款及具体的罚款数额时应当考虑的因素。同时欧盟法规进一步解释了如何在具体个案中应用以下因素：

1）违法行为的性质、持续时间以及对数据主体带来的风险及损害

第一，考虑违法行为的性质。GDPR引入了“轻微侵权”(Minor Infringement)的概念。如果监管机构根据第83条第2款评估标准认为，违法行为不会对数据主体的权利构成重大风险，那么罚款可以（但并非总是）被警告、谴责所代替。如果评判认为需要采取罚款作为纠正措施，则将适用第83条第4-6款的分级制度。

第二，考虑违法行为的持续时间。违法行为的后果一般具有难以控制的特点，因此在计算违法行为截止时间时需要评判是否符合以下三种情形：数据控制者的故意行为、未采取适当的预防措施以及未采取必要的技术和组织措施。如果符合上述任何一个情形，则可认定违法行为还在持续。

第三，考虑违法行为对数据主体带来的风险及损害。根据GDPR第75条，因处理个人数据而对自然人权利和自由产生的风险，按可能性和严重性的不同，可能在以下情况下对数据主体造成人身、重大或非重大的损害：歧视、身份盗用或诈骗、财产损失、名誉损失、具有职业保密性的个人数据被公开、未经授权移除假名化处理；数据主体丧失对其个人数据的权利和自由，无法对其个人数据行使控制权；处理特殊类型个人数据；为创建个人数据画像而分析个人数据，特别是对工作表现、经济状况、健康状况、个人偏好或兴趣、信用评价或行为、地点及活动进行分析和预测；对儿童数据的处理；处理行为涉及的个人数据和影响的数据主体数量较大的情况。

2）违法行为是否出于故意或过失

出于故意的违法行为比过失更具有苛责性，因此更有可能被处以行政罚款。在个案处理中，故意的表现行为可能有以下几种情形：数据控制者的最高管理层明确授权的非法处理、不顾数据保护官的建议或者无视现有政策违规处理个人数据、对个人数据进行恶意修改企图达到误导性效果。过失的表现行为可能有以下几种情形：未能阅读和遵守现行政策、人为错误、未检查所发布信息中的个人数据、未及时更新应用技术、未制定政策（而不仅仅是不执行政策）。

数据控制者和处理者有义务采用适合其业务性质和复杂性的技术和组织措施。资源短缺不能作为违法行为合法化的借口。

3）控制者或处理者为减轻数据主体遭受的损害而采取的补救措施

当发生违法行为并且对数据主体带来损害时，责任方应尽一切可能降低对数据主体的不利影响。监管机构在进行处罚考量时，很大程度上会考虑责任方是否采取了补救措施，作为决定采用何种制裁手段亦或是加重/减轻处罚程度的重要衡量要素。各成员国监管案例表明，监管机构对于那些承认其违法并负责地纠正其行为影响的数据控制者或处理者更有可能从宽处罚。

4）数据控制者或处理者的责任程度，应基于其实施的数据安全保障技术和组织措施来考量。

GDPR引入了问责制，要求控制者遵守个人数据处理的基本原则，并能够自我证明。根据GDPR第24、25、32条规定，评估控制者或处理者的责任程度可以从以下几个方面入手：①控制者是否实施了特殊设计和默认数据保护设计的技术措施（第25条）；②控制者是否在组织所有级别中采取了特殊设计和默认数据保护设计的组织措施（第25条）；③控制者/处理者是否实施了合适的安全保障（第32条）；④相关的数据保护日常工作/政策是否被组织的适当管理级别所知晓和应用（第24条）。

5）控制者或处理者以前的相关违法行为

该标准旨在评估实施侵权的实体的历史行为记录。评估以前的相关违法行为，意味着监管部门应评估的范围相当广泛，涉及到责任主体可能存在与目前监管部门正在调查的违法行为不同性质的其他违法行为，以此来审查责任主体是否在总体上对数据保护规则了解不足或无视。

监管机构可能会从两个维度对责任主体的历史行为进行评估：①控制者/处理者之前是否也实施了相同的违法行为？②控制者/处理者是否以同样的方式违反了数据保护法的其他规定？例如，由于不适当的风险评估导致无法及时响应数据主体的请求、无正当理由延迟响应请求等。

6）与监管机构配合的程度

监管机构在决定是否处以行政罚款和决定罚款数额时，会对责任主体与监管机构的配合程度给予适当考虑。配合监管机构的执法需求本身就是一项应尽的义务，但并非所有的配合都能成为“从宽处理”的理由。只有在调查阶段对监管机构的请求作出积极响应并尽量减少对个人权利的影响，才可能被给予“适当考虑”的机会。

7）受违法行为影响的个人数据的类别

该标准表明根据受影响的个人数据类别，监管机构将给予不同程度的处罚等级。针对敏感、特殊、安全性差、可直接识别的或具有较大风险的个人数据，需要更高的保护要求。在进行评估时，应考虑以下关键问题：

① 侵权是否涉及处理特殊类型个人数据以及有关刑事定罪和犯罪的个人数据；

② 数据是否可以直接识别/间接识别特定自然人；

③ 数据处理是否对个人造成直接损害/损失（除第一种情况外的其他数据）；

④ 数据是否直接可获取而没有技术保护，或是否采取了加密措施。

8）监管机构获知违法行为的方式

监管部门可能会因为调查、投诉、报刊新闻、匿名举报或数据控制者的通知而了解到侵权情况。控制者有义务将个人数据泄露情况通知监管机构。但当控制者仅仅履行这一义务时，对该义务的遵守不能作为减轻责任的理由。

9）相关控制者或处理者对制裁措施的遵守情况

监管机构依据GDPR第58条第2款作出制裁后，相关控制者或处理者可能被置于监管机构的监测范围中，以便监督对制裁措施的遵守情况。此评估标准旨在提醒监管机构注意此前针对同一控制者或处理者“同一违法事由”发布的制裁措施，以保证制裁的一致性。

10）对批准的行为准则或认证机制的遵守情况

如果控制者或处理者遵守了经批准的行为守则，负责监督行为准则遵守情况的机构可对其成员的不合规行为采取监督措施。此时，该机构的监督措施是可以受到监管机构认可的，即认为这些措施是有效的、相称的或劝阻性的，而无需由监管机构采取额外制裁措施。然而，该机构的监督权力不影响监管机构的权力，这意味着监管机构如认为有必要，可独立作出制裁手段，无需考虑依据行为准则已采取的监督措施。

11）其他加重或减轻因素

该标准旨在考虑其他加重或减轻因素，以便对个案作出更为合适的处罚措施。可以考虑的其他因素范围较广，除上述标准外的所有其他因素都包含在内，例如责任主体面临破产等特殊情形。其中关于因违法行为直接或间接获得的经济利益或避免的损失，对监管机构尤为重要，可作为处以罚款的重要考量因素。

除此之外，GDPR允许各监管机构就是否对成员国境内的政府机关或机构实施行政罚款以及罚款的范围制定细则。

2、重点国家行政罚款金额计算模型

（1）德国计算模型

《德国联邦和州独立数据保护机构关于确定企业罚款数额的指南》是由德国联邦和州独立数据保护机构会议（DSK）发布的关于GDPR适用的指导性文件，用于确定企业违反GDPR的罚款金额。该指南进一步细化了GDPR第83条的内容，目的在于为数据保护监管机构提供一种统一的方法，以系统、透明和可理解的方式评估、确定罚款数额。该指南遵循GDPR立法本意，即通过与受罚企业营业额相关联来确保罚款的有效性、相称性和劝阻作用。该指南不具有法律约束力，但基于DSK及其成员机构的权威地位，其发布的文件实际上会对数据保护的实践产生一定影响。

该指南提出了提出了“五步法”来确定企业罚款数额：

1）根据企业规模进行分类

对于集团型企业，一个关键问题是罚款金额是根据单个企业的营业额还是整个集团的营业额进行计算。GDPR第83条规定对“企业”处以罚款，DSK指出，该术语的含义与反托拉斯法中使用的含义相同，其结果是母企业和子企业被视为一个经济单位（“企业”），因此企业集团的总营业额将被用作计算罚款的基础。

根据企业（集团）上一年度全球营业总额，以“2,000,000欧元、10,000,000欧元、50,000,000欧元”为分界线，可将企业分为微型企业（A类）、小型企业（B类）、中型企业（C类）和大型企业（D类）四类。每种类别下又可细分三到七个小类。

2）确定企业平均年度营业额

对企业所属的规模类别对应的上一年度全球营业总额区间范围，采区间中位数得出其平均年度营业额（与企业自身的具体年度营业额无关）。如果企业上一年度的年营业额少于50,000,000欧元，则DSK根据在步骤1中分类的子组，为企业分配固定的“平均年度营业额”。

3）核定经济基本值（每日罚款金额）

平均年度营业额除以360（天）得到的四舍五入整数，相当于每日罚款金额，即经济基本值。

* 上一年度全球营业额500,000,000以上的企业，罚款根据各企业的实际营业额计算，对其进行的罚款的最高限额为其上一年度全球营业额的2%或4%。

表4 德国核定经济基本值（每日罚款金额）方法一览

4）依据违法行为严重程度得出初步处罚金额

违法行为风险系数是指在具体个案中，违法行为对数据主体带来的可能不利影响的数值化体现。违法行为风险系数会根据违法行为对应的处罚标准和本身严重程度发生变化。将违法行为风险系数与经济基本值相乘得出的数值，将作为初步处罚金额。

根据GDPR第83条第2款规定，违法行为的严重程度分为四类：轻度、中度、严重和非常严重。根据以上因素评判违法行为的严重程度，得出下列违法行为风险系数区间。在个案中，监管部门拥有自由裁量权，可根据个案的具体情况确定违法行为风险系数。

表5 风险系数确定方法一览

严重程度将根据具体情况确定。例如，发送未经请求的电子邮件广告可能被视为轻度侵权，而未经授权监视员工则被视为严重侵权，但是在此阶段没有进一步的指导。

严重程度评估方法是将“每日罚款金额”乘以与相关严重程度级别对应的乘数范围来确定。

5）考虑其他情形确定最终处罚金额

结合在以上步骤中未考虑到的其他情形（可能对违法主体有利或不利），对初步处罚金额进行进一步调整。最后阶段需要考虑的情形包括违法行为的整体情形（参见GDPR第83条第2款），以及其他特殊情形，例如程序期限较长、企业面临破产等。

（2）荷兰计算模型

荷兰具体采用的处罚模式是AP将违反GDPR及其所管辖的违反其他法律规定的行为分为四个级别：

1. 第一级：一般违规，例如隐私声明中缺少有关DPO的信息等；

2. 第二级：不符合某些处理条件，例如缺少与处理者的处理协议；

3. 第三级：违反义务的行为，如未报告数据泄露或拒绝与监管机构合作；

4. 第四级：严重违法，如非法处理特殊类型的个人数据。

AP针对这四个级别逐级处以递增罚款金额。级别的划定由违法行为的严重性决定，针对每一级别违法行为划定罚款范围，并取罚款区间的中位数作为基本罚款数额。该罚款模型的依据是AP于2019年2月19日发布的《关于确定行政罚款水平的规则》。具体罚款数额等级规定如下：

表6 荷兰数据保护监管机构发布的罚款计算模型

表7 荷兰数据保护监管机构发布的违法行为类型

在“GDPR强执行时代”，企业需要做好一系列合规应对准备：首先，须清楚自身数据处理场景和管控点；其次，须在整个企业的各个部门不断改进数据保护合规性；最后，企业须在潜在制裁之前制定应对策略，以便有效消减数据保护机构的罚款或其他制裁风险。

（一）对企业数据保护合规风险管理的实际应用

1、处罚标准在风险评估中的应用

GDPR对控制者和处理者承担的义务根据其性质进行了分类，并规定了两种不同类型的处罚标准，对于某些违法行为的处罚程度会更严重。对违法行为性质的分类思路，可用于企业数据保护合规风险评估及高危业务场景的治理思路中，区分企业合规义务的风险等级，优先重点治理高危风险。

2、数据保护合规风险信号梳理

通过对欧盟数据保护行政罚款制裁规则的分析研究，本文对企业可能涉及的风险信号进行梳理，并在高危风险领域进行示范性应用，尽最大可能降低处罚风险。

表8 影响因素与风险信号对应关系表

3、高危风险领域的合规管控应用

（1）IT系统安全

应及时解决进行个人数据处理活动的IT系统故障，不得忽视系统存在的经常性异常问题：

1. 企业政策中规定数据库备份应加密；如存在不加密情形，应制定例外情形及流程，说明不加密的原因、可能存在的风险以及减少或避免风险的替代措施，并保存相关记录；

2. 及时修复监测到的漏洞，存在修复难度的应进行记录或备案；

3. 应关注已公开的漏洞信息，及时修复低难度漏洞；

4. 操作系统安全更新方面，设备和软件在使用寿命终止时应当及时替换或增强，应随时更新设备和软件；

5. 应停用所有未使用的端口，从而最小化攻击点；

6. 个人数据处理系统应安装防病毒功能软件；

7. 应及时更新解决公开已知漏洞的补丁，并保存补丁管理日志；

8. 应定期进行渗透率测试，并进行记录保存；

9. 在发生物理或技术事故时及时恢复数据，保证服务和功能的可用性和访问；

10. 定期开展公开漏洞审查，证明IT系统在现有技术中正确实施了必要的安全功能的测试，通过渗透测试评估其对熟练攻击者的抵抗能力。

（2）第三方管理

企业须格外注意与第三方合作，特别是在数据交互时的数据安全风险把控。第三方包括客户、供应商及其他合作伙伴。在与客户的数据交互关系中，企业作为处理者，须关注确认数据接收的来源合法性；在与供应商及其他合作伙伴的数据交互关系中，企业作为控制者，须关注数据共享管理与监督审查管理。

1）客户数据交互管理

须确认从客户接收数据的来源合法性：企业作为数据处理者，从客户获取个人数据，要求与客户签署数据处理协议，明确各自职责，并要求客户保证其向企业提供数据和授权使用是合法的行为，在授权范围内严格遵守客户要求进行数据处理和安全保障。

2）供应商及其他合作伙伴数据交互管理

合作前须要求签署数据处理协议，明确供应商及其他合作伙伴数据处理规则和要求、责任分配以及违约处罚规定（包括但不限于罚款赔偿、终止合作等）；须审查供应商及其他合作伙伴的数据安全管理能力，要求具备适当的安全措施。

合作中须监督供应商及其他合作伙伴对于数据处理规则的遵守情况，尤其是对个人数据使用清单的管理程序与使用规则以及关于数据主体权利的同步传递；要求合作方提供适当文件以证明相关义务的有效履行；对合作方的工作进行定期检查以及必要时使用其信息系统进行合规测试；若供应商及其他合作伙伴存在违规数据处理行为，要求其进行整改，并进行赔偿，严重的终止合作。

合作结束后须监督供应商及其他合作伙伴对数据销毁或回传要求的执行。

（3）数据主体行权

1）确保企业具备响应数据主体请求访问其个人数据的能力和流程机制，包括:a.记录与数据主体相关的数据处理活动；b.规定明确的数据留存和存储期限；c.告知数据主体其享有拒绝权、限制权和被遗忘权（删除权）等基本权利；

2）设定适当的访问权限管理，通过收集和修正这些个人数据跨系统搜索的能力，以有效响应数据主体的访问权、删除权、可携权请求，包括但不限于企业控制的电子邮件系统、数据库和应用程序，文件服务器，文件共享，云共享和同步服务，其他协作系统和电子邮件档案；此外，还需要识别企业直接控制范围之外的数据系统和装置，并对其进行分类管理。例如，禁止不加管控地使用云存储服务，特别是企业数据同步到云存储服务，然后通过云服务同步到非企业设备（如个人移动设备和家用电脑等）；

3）在GDPR及其他法律规定的时间内对个人数据主体访问、更正或删除个人数据的请求进行回复，不得设置繁琐和付费的人工处理流程，用户撤回同意的操作必须像给出同意一样简单。

4）针对数据可携权的行权请求，要使用可读的数字格式，并在数据主体提出要求时，直接传输所请求的数据到新的数据控制者；要确保、验证数据导出能力，以保证能够快速响应数据可携权请求，无需依赖手动导出。

（4）数据泄露

为降低数据泄露风险，企业须进行事前预防保障、事中应急响应、事后安全加固。

1）事前预防保障

企业在常规工作中须采取适当且足够的技术和组织措施保障数据的保密性、完整性和可用性，具体包括以下保障措施：数据在使用、存储和传输过程中采用加密或去标识化处理方式，可以防止大多数数据的泄露；引入数据损失预防（DLP）功能，检查数据流并识别不受足够的安全保护或授权的个人数据等。

2）事中应急响应

为缩短事件处理整体时长以及提高数据泄露风险评估水平，企业可考虑以下优化点：

1. 建立数据泄露的自评估工具，快速解决是否需要报告监管机构和数据主体问题；

2. 建立数据泄露外部报告的工具，改变在相应过程中先描写后提取报告要点的方式，在确定数据泄露事件并需要外部报告后，在流程中设计、嵌入并依托报告工具，一次性完成外部报告要点的填报工作，缩短数据泄露通知时间。

3）事后安全加固

对于泄露原因进行复盘整改，防止以后再次因为同样的问题发生数据泄露。

（二）对数据保护合规领域风险事件的实际应用 

1、完善数据安全事件应急响应机制

当企业面临数据或网络安全事件时，需根据事先制定的应急预案及时采取应急响应措施，并妥善、高效地进行应急处理，包括通知个人信息主体和政府，报告有关事项。数据安全事件应急响应机制包括三个维度内容，具体如下：

（1）应急预案制定与演练：根据法律法规和指导性文件的要求，制定应急预案，定期进行应急响应演练；

（2）人员告知及配合监管：通知受影响的相关人员，例如客户、商业伙伴、消费者以及监管机构，协调配合相关监管机构、高级管理人员、董事会和审计人员；

（3）提升公关与沟通策略：回应政府调查、媒体监督。

2、搭建数据处理记录平台及流程嵌入

目前，许多企业在数据处理记录方面存在较大困难与挑战，主要来源于：①业务活动复杂，导致数据处理记录工作本身嵌入流程难度较大；②目前主要依托于表格填报方式，不便于统计、分析以及必要时快速调用，尤其在向监管机构举证场景中。

通过系统化、平台化的数据处理记录流程嵌入，设计界面简洁、可操作性强的记录流程进行有效嵌入，有利于提高数据处理记录的效率与统一性，帮助企业快速完成合规举证。

目前仅部分欧盟成员国发布了数据保护行政罚款的实施细则，未来欧盟层面及更多成员国将出台进一步指引，为监管实践提供指导，同时为企业指明以风险为导向的企业数据保护合规治理方案。企业数据保护合规治理道阻且长，数据保护合规有关部门亦应上下而求索，依据现有规则探索合规路径，而不能静待监管侧指引的出台被动响应，这也正是本文的研究意义与价值所在。

注释：

[1] 第29条工作组由各成员国数据保护监管机构的代表组成，为独立的工作组，主要负责监测数据保护指令在成员国的统一执行。

[2]eIDAS,全称为Electronic Identification Authentication and trust Services，是欧盟旨在加强市民、商务和公共机构之间跨境使用电子交易产生信任问题的法规。该法规一个重要的组成部分是为了创建一个共同的确保安全的电子签名框架，包括标准化的保证级别，促进欧盟各成员国之间的互通性。

[3] 封存义务：NLOPD规定，在数据主体行使更正权或删除权以后，控制者应封存相关个人数据，以便在特定情况下仍然可供相关公共机构使用。如果无法封存个人数据或者实施难度过大，可采取其他替代方案。

[4] 《隐私法案》的最新修订版于2019年4月26日生效。

[5] 信息社会服务（Information Society Service）,根据GDPR序言部分第25条，是指欧盟议会及理事会颁布的《关于制定技术规范信息和信息社会服务规则的提供程序的指令》[Directive(EU)2015/1535]第1条第1款(b)项所定义的服务，具体指任何（通常为）有偿、远程、以电子方式和根据服务接受者的个别要求提供的服务。

本文作者：W.YY，X.M