GMTC 全球大前端技术大会(北京站)门票 9 折特惠中,点击立减 ¥480 了解详情
写点什么

GDPR 2 周年,我们分析了近 300 起罚款事件

2020 年 5 月 26 日

GDPR 2周年,我们分析了近300起罚款事件


2018 年 5 月 25 日,欧盟《通用数据保护条例》(简称 GDPR)正式实施。它旨在保护欧盟公民的个人数据,并对企业的数据处理提出严格要求。这部“大法”不仅取代了 1995 年的《计算机数据保护法》和欧盟成员国各自制定的相关法规,而且在个人隐私方面迈出一大步。


本周,GDPR 实施迎来 2 周年。过去 2 年,一方面,数据泄露事件层出不穷,非法获取个人数据的行为日益猖獗,人们对隐私的担忧与日俱增;另一方面,欧洲各国加大处罚力度,受罚企业不断增多,个人隐私保护状况有所改善。并且,全球多个国家或地区也以《通用数据保护条例》GDPR 为参考,制定或补充了不同的数据保护细则,比如美国加州的《CCPA》。


我们先简要回顾一下 GDPR 的关键信息。


GDPR 影响企业

  • 设立在欧盟境内的企业(控制者、处理者)

  • 未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)

  • 未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)

  • 未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)


简而言之,GDPR 不仅适用于欧盟境内企业组织机构,而且适用于欧盟以外的企业组织机构。


数据主体的权利

  • 知情权

  • 访问权

  • 反对权

  • 可携带权

  • 纠正权

  • 删除权/被遗忘权

  • 限制处理权

  • 免受数据画像影响


GDPR 关于执法和处罚的规定

对于一般性的违法,罚款上限是 1000 万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的 2%(两者中取数额大者);


对于严重的违法,罚款上限是 2000 万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的 4%(两者中取数额大者)。


GDPR 实施后,情况怎么样。有人认为,世界变好了,人们对个人数据的控制加强,而企业也小心翼翼的对待和处理用户数据。还有些人则持相反观点,认为世界变得越来越糟糕,虽然名义上人们对个人数据拥有许多权利,但是非法收集和利用个人数据的行为不断增多,并且数据泄露事件只增不减,状况看似更加严重!


近 300 起罚款

为找到一些结论,我们统计了 GDPR 实施两年来近 300 起罚款。数据或许能告知我们一二。


从罚款数额来看,GDPR 罚款金额有高有低,最低的一起罚款 90 欧元,而最高的则罚款 2.04 亿欧元。2019 年 11 月 8 日,匈牙利一所医院因违反 GDPR 被罚 90 欧元。同样这一年,英国航空公司由于泄露 50 万名乘客个人信息被重罚近 2.04 亿欧元。



图 1——罚款总额的累计过程



图 2——罚款总数的累计过程


图 1 和图 2 分别以月为单位统计了罚款总额和罚款总数的累计过程。从图 1,我们看到,罚款总额所占区域从 2019 年 6 月后急剧增加,可视为分水岭。具体说来,2019 年之前,罚款总额(累计)不超过 100 万欧元,而 2019 年 1 月罚款总额(累计)达到 5000 万欧元,短短时间增长 50 倍。2019 年 6 月,罚款总额(累计)为 5200 万欧元,没有跨过亿级,但是 2019 年 7 月,罚款总额(累计)高达 3.6 亿欧元。并且,从罚款的次数来看,2019 年后,罚款次数(累计)快速增加。



图 3-单月罚款总额


从单月罚款总额来看,2019 年 7 月达到最高峰,一个月的 GDPR 罚款总额为 3.15 亿欧元,这主要源于英国航空和万豪被罚。2019 年 7 月 8 日,英国数据安全监管部门——信息专员办公室(ICO)宣布,将对英国航空公司 2018 年客户数据遭泄露事件开出 1.83 亿英镑巨额罚单。仅仅一天后,英国信息专员办公室(ICO)则对万豪处以 1.24 亿美元的罚款,原因是万豪 2018 年发生客户数据泄露事件。



图 4-单月罚款数


从单月罚款次数来看,总体呈上升次数,有两个时间节点比较重要。2018 月 12 月前后,罚款次数差异较大,此前单月的罚款基本只有 1 次,而之后,单月罚款上升至 8 次。从 2019 年 9 月开始,又有一次变化,单月罚款迅速增加至 10 次以上。


由此可见,GDPR 的罚款趋严,各国监管机构对此愈加重视。


GDPR 在 2018 年刚开始实施时,政府监管机构的罚款力度并不大。到 2019 年,GDPR 罚款金额不断升高,越来越多的企业组织开始收到罚单,同时监管机构行动力度加大。根据统计,GDPR 罚款总额在 2019 年创纪录地达到 4.175 亿欧元,几乎是 2018 年罚款金额的 1000 倍。仅仅这一年,就有 750 家公司收到 GDPR 罚款,平均罚款金额为 50 万欧元,相当于 389 万元人民币。



图 5-罚款总额最高的 TOP10 国家


从国家来看,我们统计出罚款总额最高的 TOP 10 国家,其中英国以 3.15 亿欧元遥遥领先,其次是法国、意大利、德国、奥地利、瑞典、荷兰、西班牙和波兰。



图 6-罚款次数最多的 TOP 10 国家


从罚款次数来看,西班牙排名第一,罚款累计 80 次,其次是罗马尼亚、德国、匈牙利和保加利亚等。


综合图 5 和图 6 来看,我们看到有的国家“不出手则已,一出手惊人”,比如英国、法国,它们罚款次数虽然少,但是单笔罚款数额巨大。而有的国家罚款金额不多,但是罚款次数较多,比如西班牙、罗马尼亚。



图 7-罚款原因分析


从罚款原因上看,有超过三分之一的罚款事件源于数据处理的法律依据不当,还有接近三分之一的罚款是因为未充分采取技术和管理措施确保信息安全,比如发生数据泄露事件。


最后,我们统计 GDPR 中的十大罚款事件



GDPR 实施后,有些公司为继续开展全球化业务,开始谋求合规,而有些公司为避免处罚,撤出在欧盟的业务。


在爱加密技术副总裁兼研究院院长程智力看来,GDPR 实施其最大的意义是在数字化转型中,它对个人信息以及数据做了确权,每个个人是数据的主体和相应权利的拥有者。“在数字世界里,个人数据是我们拥有的财产,以前这个数据被无限收集和肆意利用,这种做法侵犯了我们的权利。同时,另一个结果是,互联网公司快速发展,迅速壮大。而现在,运营商或服务提供者在收集我们每个人的信息或数据时,它怎么处理、怎么使用,首先需要让每个人知道。而且,它在进行操作时需要获得个人授权。”他说。


简而言之,GDPR 定义了个人在数字世界中拥有数据的权利,保护了网民隐私,并降低了数据的安全风险和减少了个人隐私相关的问题。


而对国内的出海企业来说,如果想在欧洲开展业务,它必须遵守《GDPR》,去做合规,“这是一个底线”。企业首先需要研究《GDPR》的相关条款,并且引入第三方有经验的咨询公司,做相关的咨询评估,“给企业定义出相关的政策上的要求”。例如,从管理架构层面,需要设置什么岗位、流程是什么、职责是什么,“这些都要定义清楚”。在技术层面,企业需要有相应的产品、技术和解决方案去支撑运行。


程智力表示,“这些都需要一整套完整的体系去做。体系的建立需要内部有对应的岗位、对应职责和对应的管理架构,还有外部的咨询公司提供专业的意见、专业建议,并要持续进行这样的合规检查。”


2020 年 5 月 26 日 09:532151
用户头像
万佳 InfoQ编辑

发布了 551 篇内容, 共 202.1 次阅读, 收获喜欢 1381 次。

关注

评论 2 条评论

发布
用户头像
您好,这篇文章写的很好,对我很有帮助。
我目前参与单位组织的一个关于GDPR 的课题,也需要分析GDPR的处罚案例,但我并没有找收集相关案例的网站,从各个国家的数据监管机构一个一个下载效率很低,不知道您能否指引一下从哪里收集案例能够更加便利。
感谢您的帮助!
2021 年 04 月 06 日 18:34
回复
用户头像
解释的和清楚
2020 年 05 月 26 日 22:13
回复
没有更多了
发现更多内容

华为云专家讲述知识图谱构建流程及方法

华为云开发者社区

华为 数据 知识图谱

从哲学源头思考自动驾驶网络架构设计

华为云开发者社区

自动驾驶 架构

高难度对话读书笔记—聆听篇

wo是一棵草

LeetCode题解:94. 二叉树的中序遍历,使用栈,JavaScript,详细注释

Lee Chen

LeetCode 前端进阶训练营

OpLog4j

Geek_746da6

在线教育企业迎来“秋招”大考,数字用户体验成胜负关键手

博睿数据

运维 APM 在线教育 AIOPS 用户体验

来喽,来喽,Python 3.9正式版发布了~~~

华为云开发者社区

Python 编程

OKR-VUCA时代目标管理利器实践分享

张兆东

国外的公司都是如何对待大龄程序员的?在国内该如何应对?

Java架构师迁哥

中国银行正式启动区块链产业金融服务项目 ​

CECBC区块链专委会

区块链 金融 金融服务

【第四周】系统架构

云龙

CPU 执行程序的秘密,藏在了这 15 张图里

Java架构师迁哥

为什么有了SOA,我们还用微服务?

架构师修行之路

微服务

JVM-技术专题-Java类文件结构

李浩宇/Alex

Java JVM

The story of programmers in famous enterprises.

Marilyn

敏捷开发 快速开发

区块链 | 最火的七大职业了解一下

CECBC区块链专委会

区块链技术人才

JVM-技术专题-类加载机制

李浩宇/Alex

Java JVM

图解 K8S 源码 - Informer 篇

郭旭东

Kubernetes Kubernetes源码

拜托,学妹,别再问我怎么自学 Java 了!和盘托出

沉默王二

Java 自学编程

亚马逊Prime会员日火爆开启一站购全球逾3000万正品商品

爱极客侠

Programmatic Navigation using SwiftUI| 使用SwiftUI进行程序化导航

Daniel

个人数字人民币钱包即将亮相

CECBC区块链专委会

央行 数字人民币

Spring 学习笔记(二)Spring中的一些概念

无语

Spring Framework

我和我的智能联接

脑极体

苦难过后,终会团聚

hellocj

第三周作业一

dll

肝到头秃!阿里爆款的顶配版Spring Security笔记

周老师

Java spring 编程 程序员 架构

服务器的发展历史

德胜网络-阳

翻译之深入注释俄罗斯民间故事的语料库,以实现对俄罗斯形式主义理论的机器学习

AI代笔

Kubeless 如何基于 CPU 自动伸缩? | 玩转 Kubeless

donghui

Serverless kubeless

典型的大型互联网系统使用了哪些技术方案和手段,主要解决什么问题?

极客海

DIY 的 Kubernetes 集群的稳定性保障实践

DIY 的 Kubernetes 集群的稳定性保障实践

GDPR 2周年,我们分析了近300起罚款事件-InfoQ