GDPR 2 周年，我们分析了近 300 起罚款事件

2018 年 5 月 25 日，欧盟《通用数据保护条例》（简称 GDPR）正式实施。它旨在保护欧盟公民的个人数据，并对企业的数据处理提出严格要求。这部“大法”不仅取代了 1995 年的《计算机数据保护法》和欧盟成员国各自制定的相关法规，而且在个人隐私方面迈出一大步。

本周，GDPR 实施迎来 2 周年。过去 2 年，一方面，数据泄露事件层出不穷，非法获取个人数据的行为日益猖獗，人们对隐私的担忧与日俱增；另一方面，欧洲各国加大处罚力度，受罚企业不断增多，个人隐私保护状况有所改善。并且，全球多个国家或地区也以《通用数据保护条例》GDPR 为参考，制定或补充了不同的数据保护细则，比如美国加州的《CCPA》。

我们先简要回顾一下 GDPR 的关键信息。

GDPR 影响企业

• 设立在欧盟境内的企业（控制者、处理者）

• 未在欧盟境内设立，但向欧盟境内的数据主体（自然人）提供产品和服务的企业（控制者、处理者）

• 未在欧盟境内设立，但涉及监控欧盟境内数据主体（自然人）行为的企业（控制者、处理者）

• 未在欧盟境内设立，但在欧洲成员国法律适用的地方设立的企业（控制者、处理者）

简而言之，GDPR 不仅适用于欧盟境内企业组织机构，而且适用于欧盟以外的企业组织机构。

数据主体的权利

• 知情权

• 访问权

• 反对权

• 可携带权

• 纠正权

• 删除权/被遗忘权

• 限制处理权

• 免受数据画像影响

GDPR 关于执法和处罚的规定

对于一般性的违法，罚款上限是 1000 万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的 2%（两者中取数额大者）；

对于严重的违法，罚款上限是 2000 万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的 4%（两者中取数额大者）。

GDPR 实施后，情况怎么样。有人认为，世界变好了，人们对个人数据的控制加强，而企业也小心翼翼的对待和处理用户数据。还有些人则持相反观点，认为世界变得越来越糟糕，虽然名义上人们对个人数据拥有许多权利，但是非法收集和利用个人数据的行为不断增多，并且数据泄露事件只增不减，状况看似更加严重！

近 300 起罚款

为找到一些结论，我们统计了 GDPR 实施两年来近 300 起罚款。数据或许能告知我们一二。

从罚款数额来看，GDPR 罚款金额有高有低，最低的一起罚款 90 欧元，而最高的则罚款 2.04 亿欧元。2019 年 11 月 8 日，匈牙利一所医院因违反 GDPR 被罚 90 欧元。同样这一年，英国航空公司由于泄露 50 万名乘客个人信息被重罚近 2.04 亿欧元。

图 1——罚款总额的累计过程

图 2——罚款总数的累计过程

图 1 和图 2 分别以月为单位统计了罚款总额和罚款总数的累计过程。从图 1，我们看到，罚款总额所占区域从 2019 年 6 月后急剧增加，可视为分水岭。具体说来，2019 年之前，罚款总额（累计）不超过 100 万欧元，而 2019 年 1 月罚款总额（累计）达到 5000 万欧元，短短时间增长 50 倍。2019 年 6 月，罚款总额（累计）为 5200 万欧元，没有跨过亿级，但是 2019 年 7 月，罚款总额（累计）高达 3.6 亿欧元。并且，从罚款的次数来看，2019 年后，罚款次数（累计）快速增加。

图 3-单月罚款总额

从单月罚款总额来看，2019 年 7 月达到最高峰，一个月的 GDPR 罚款总额为 3.15 亿欧元，这主要源于英国航空和万豪被罚。2019 年 7 月 8 日，英国数据安全监管部门——信息专员办公室（ICO）宣布，将对英国航空公司 2018 年客户数据遭泄露事件开出 1.83 亿英镑巨额罚单。仅仅一天后，英国信息专员办公室（ICO）则对万豪处以 1.24 亿美元的罚款，原因是万豪 2018 年发生客户数据泄露事件。

图 4-单月罚款数

从单月罚款次数来看，总体呈上升次数，有两个时间节点比较重要。2018 月 12 月前后，罚款次数差异较大，此前单月的罚款基本只有 1 次，而之后，单月罚款上升至 8 次。从 2019 年 9 月开始，又有一次变化，单月罚款迅速增加至 10 次以上。

由此可见，GDPR 的罚款趋严，各国监管机构对此愈加重视。

GDPR 在 2018 年刚开始实施时，政府监管机构的罚款力度并不大。到 2019 年，GDPR 罚款金额不断升高，越来越多的企业组织开始收到罚单，同时监管机构行动力度加大。根据统计，GDPR 罚款总额在 2019 年创纪录地达到 4.175 亿欧元，几乎是 2018 年罚款金额的 1000 倍。仅仅这一年，就有 750 家公司收到 GDPR 罚款，平均罚款金额为 50 万欧元，相当于 389 万元人民币。

图 5-罚款总额最高的 TOP10 国家

从国家来看，我们统计出罚款总额最高的 TOP 10 国家，其中英国以 3.15 亿欧元遥遥领先，其次是法国、意大利、德国、奥地利、瑞典、荷兰、西班牙和波兰。

图 6-罚款次数最多的 TOP 10 国家

从罚款次数来看，西班牙排名第一，罚款累计 80 次，其次是罗马尼亚、德国、匈牙利和保加利亚等。

综合图 5 和图 6 来看，我们看到有的国家“不出手则已，一出手惊人”，比如英国、法国，它们罚款次数虽然少，但是单笔罚款数额巨大。而有的国家罚款金额不多，但是罚款次数较多，比如西班牙、罗马尼亚。

图 7-罚款原因分析

从罚款原因上看，有超过三分之一的罚款事件源于数据处理的法律依据不当，还有接近三分之一的罚款是因为未充分采取技术和管理措施确保信息安全，比如发生数据泄露事件。

最后，我们统计 GDPR 中的十大罚款事件

GDPR 实施后，有些公司为继续开展全球化业务，开始谋求合规，而有些公司为避免处罚，撤出在欧盟的业务。

在爱加密技术副总裁兼研究院院长程智力看来，GDPR 实施其最大的意义是在数字化转型中，它对个人信息以及数据做了确权，每个个人是数据的主体和相应权利的拥有者。“在数字世界里，个人数据是我们拥有的财产，以前这个数据被无限收集和肆意利用，这种做法侵犯了我们的权利。同时，另一个结果是，互联网公司快速发展，迅速壮大。而现在，运营商或服务提供者在收集我们每个人的信息或数据时，它怎么处理、怎么使用，首先需要让每个人知道。而且，它在进行操作时需要获得个人授权。”他说。

简而言之，GDPR 定义了个人在数字世界中拥有数据的权利，保护了网民隐私，并降低了数据的安全风险和减少了个人隐私相关的问题。

而对国内的出海企业来说，如果想在欧洲开展业务，它必须遵守《GDPR》，去做合规，“这是一个底线”。企业首先需要研究《GDPR》的相关条款，并且引入第三方有经验的咨询公司，做相关的咨询评估，“给企业定义出相关的政策上的要求”。例如，从管理架构层面，需要设置什么岗位、流程是什么、职责是什么，“这些都要定义清楚”。在技术层面，企业需要有相应的产品、技术和解决方案去支撑运行。

程智力表示，“这些都需要一整套完整的体系去做。体系的建立需要内部有对应的岗位、对应职责和对应的管理架构，还有外部的咨询公司提供专业的意见、专业建议，并要持续进行这样的合规检查。”