写点什么

GDPR 2 周年,我们分析了近 300 起罚款事件

2020 年 5 月 26 日

GDPR 2周年,我们分析了近300起罚款事件


2018 年 5 月 25 日,欧盟《通用数据保护条例》(简称 GDPR)正式实施。它旨在保护欧盟公民的个人数据,并对企业的数据处理提出严格要求。这部“大法”不仅取代了 1995 年的《计算机数据保护法》和欧盟成员国各自制定的相关法规,而且在个人隐私方面迈出一大步。


本周,GDPR 实施迎来 2 周年。过去 2 年,一方面,数据泄露事件层出不穷,非法获取个人数据的行为日益猖獗,人们对隐私的担忧与日俱增;另一方面,欧洲各国加大处罚力度,受罚企业不断增多,个人隐私保护状况有所改善。并且,全球多个国家或地区也以《通用数据保护条例》GDPR 为参考,制定或补充了不同的数据保护细则,比如美国加州的《CCPA》。


我们先简要回顾一下 GDPR 的关键信息。


GDPR 影响企业

  • 设立在欧盟境内的企业(控制者、处理者)

  • 未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)

  • 未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)

  • 未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)


简而言之,GDPR 不仅适用于欧盟境内企业组织机构,而且适用于欧盟以外的企业组织机构。


数据主体的权利

  • 知情权

  • 访问权

  • 反对权

  • 可携带权

  • 纠正权

  • 删除权/被遗忘权

  • 限制处理权

  • 免受数据画像影响


GDPR 关于执法和处罚的规定

对于一般性的违法,罚款上限是 1000 万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的 2%(两者中取数额大者);


对于严重的违法,罚款上限是 2000 万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的 4%(两者中取数额大者)。


GDPR 实施后,情况怎么样。有人认为,世界变好了,人们对个人数据的控制加强,而企业也小心翼翼的对待和处理用户数据。还有些人则持相反观点,认为世界变得越来越糟糕,虽然名义上人们对个人数据拥有许多权利,但是非法收集和利用个人数据的行为不断增多,并且数据泄露事件只增不减,状况看似更加严重!


近 300 起罚款

为找到一些结论,我们统计了 GDPR 实施两年来近 300 起罚款。数据或许能告知我们一二。


从罚款数额来看,GDPR 罚款金额有高有低,最低的一起罚款 90 欧元,而最高的则罚款 2.04 亿欧元。2019 年 11 月 8 日,匈牙利一所医院因违反 GDPR 被罚 90 欧元。同样这一年,英国航空公司由于泄露 50 万名乘客个人信息被重罚近 2.04 亿欧元。



图 1——罚款总额的累计过程



图 2——罚款总数的累计过程


图 1 和图 2 分别以月为单位统计了罚款总额和罚款总数的累计过程。从图 1,我们看到,罚款总额所占区域从 2019 年 6 月后急剧增加,可视为分水岭。具体说来,2019 年之前,罚款总额(累计)不超过 100 万欧元,而 2019 年 1 月罚款总额(累计)达到 5000 万欧元,短短时间增长 50 倍。2019 年 6 月,罚款总额(累计)为 5200 万欧元,没有跨过亿级,但是 2019 年 7 月,罚款总额(累计)高达 3.6 亿欧元。并且,从罚款的次数来看,2019 年后,罚款次数(累计)快速增加。



图 3-单月罚款总额


从单月罚款总额来看,2019 年 7 月达到最高峰,一个月的 GDPR 罚款总额为 3.15 亿欧元,这主要源于英国航空和万豪被罚。2019 年 7 月 8 日,英国数据安全监管部门——信息专员办公室(ICO)宣布,将对英国航空公司 2018 年客户数据遭泄露事件开出 1.83 亿英镑巨额罚单。仅仅一天后,英国信息专员办公室(ICO)则对万豪处以 1.24 亿美元的罚款,原因是万豪 2018 年发生客户数据泄露事件。



图 4-单月罚款数


从单月罚款次数来看,总体呈上升次数,有两个时间节点比较重要。2018 月 12 月前后,罚款次数差异较大,此前单月的罚款基本只有 1 次,而之后,单月罚款上升至 8 次。从 2019 年 9 月开始,又有一次变化,单月罚款迅速增加至 10 次以上。


由此可见,GDPR 的罚款趋严,各国监管机构对此愈加重视。


GDPR 在 2018 年刚开始实施时,政府监管机构的罚款力度并不大。到 2019 年,GDPR 罚款金额不断升高,越来越多的企业组织开始收到罚单,同时监管机构行动力度加大。根据统计,GDPR 罚款总额在 2019 年创纪录地达到 4.175 亿欧元,几乎是 2018 年罚款金额的 1000 倍。仅仅这一年,就有 750 家公司收到 GDPR 罚款,平均罚款金额为 50 万欧元,相当于 389 万元人民币。



图 5-罚款总额最高的 TOP10 国家


从国家来看,我们统计出罚款总额最高的 TOP 10 国家,其中英国以 3.15 亿欧元遥遥领先,其次是法国、意大利、德国、奥地利、瑞典、荷兰、西班牙和波兰。



图 6-罚款次数最多的 TOP 10 国家


从罚款次数来看,西班牙排名第一,罚款累计 80 次,其次是罗马尼亚、德国、匈牙利和保加利亚等。


综合图 5 和图 6 来看,我们看到有的国家“不出手则已,一出手惊人”,比如英国、法国,它们罚款次数虽然少,但是单笔罚款数额巨大。而有的国家罚款金额不多,但是罚款次数较多,比如西班牙、罗马尼亚。



图 7-罚款原因分析


从罚款原因上看,有超过三分之一的罚款事件源于数据处理的法律依据不当,还有接近三分之一的罚款是因为未充分采取技术和管理措施确保信息安全,比如发生数据泄露事件。


最后,我们统计 GDPR 中的十大罚款事件



GDPR 实施后,有些公司为继续开展全球化业务,开始谋求合规,而有些公司为避免处罚,撤出在欧盟的业务。


在爱加密技术副总裁兼研究院院长程智力看来,GDPR 实施其最大的意义是在数字化转型中,它对个人信息以及数据做了确权,每个个人是数据的主体和相应权利的拥有者。“在数字世界里,个人数据是我们拥有的财产,以前这个数据被无限收集和肆意利用,这种做法侵犯了我们的权利。同时,另一个结果是,互联网公司快速发展,迅速壮大。而现在,运营商或服务提供者在收集我们每个人的信息或数据时,它怎么处理、怎么使用,首先需要让每个人知道。而且,它在进行操作时需要获得个人授权。”他说。


简而言之,GDPR 定义了个人在数字世界中拥有数据的权利,保护了网民隐私,并降低了数据的安全风险和减少了个人隐私相关的问题。


而对国内的出海企业来说,如果想在欧洲开展业务,它必须遵守《GDPR》,去做合规,“这是一个底线”。企业首先需要研究《GDPR》的相关条款,并且引入第三方有经验的咨询公司,做相关的咨询评估,“给企业定义出相关的政策上的要求”。例如,从管理架构层面,需要设置什么岗位、流程是什么、职责是什么,“这些都要定义清楚”。在技术层面,企业需要有相应的产品、技术和解决方案去支撑运行。


程智力表示,“这些都需要一整套完整的体系去做。体系的建立需要内部有对应的岗位、对应职责和对应的管理架构,还有外部的咨询公司提供专业的意见、专业建议,并要持续进行这样的合规检查。”


2020 年 5 月 26 日 09:532108
用户头像
万佳 InfoQ编辑

发布了 534 篇内容, 共 195.7 次阅读, 收获喜欢 1311 次。

关注

评论 2 条评论

发布
用户头像
您好,这篇文章写的很好,对我很有帮助。
我目前参与单位组织的一个关于GDPR 的课题,也需要分析GDPR的处罚案例,但我并没有找收集相关案例的网站,从各个国家的数据监管机构一个一个下载效率很低,不知道您能否指引一下从哪里收集案例能够更加便利。
感谢您的帮助!
2021 年 04 月 06 日 18:34
回复
用户头像
解释的和清楚
2020 年 05 月 26 日 22:13
回复
没有更多了
发现更多内容

架构1期第四周作业1-大型互联网系统技术梳理

道长

极客大学架构师训练营

用NOSql给高并发系统加速

架构师修行之路

nosql redis 分布式 微服务

架构师训练营第四周作业

郎哲158

开源数据库这么香,为什么我们还要下功夫自研?

华为云开发者社区

数据库 开源 数据

架构师训练营第四章 系统架构总结

郎哲158

JDK 中的栈竟然是这样实现的?

王磊

Java 数据结构和算法

EffectiveJava读书笔记-01-对象创建与销毁

wander

读书笔记 编程开发

31道Java核心面试题,一次性打包送给你

小Q

Java 学习 程序员 架构 面试

建筑行业区块链应用场景是怎样的

CECBC区块链专委会

区块链 行业资讯

区块链是一个不知道要解决什么问题的解决方案吗?

CECBC区块链专委会

比特币 区块链 银行

Spring Cloud 微服务实践(7) - 日志

xiaoboey

kafka 微服务 Spring Cloud 日志 spring cloud stream

架构师训练营第三周作业

Wee权

震精,京东T8工程师每天熬夜到天明,竟只是为一套编程实战文档

周老师

Java 编程 程序员 架构 面试

开源=免费?

Learun

从构建小系统到架构分布式大系统,Spring Boot2的精髓全在这里了

Java架构之路

Java 程序员 面试 Spring Boot 编程语言

来不及解释了,快上车!力软快速开发平台,助力企业搭乘万物互联的顺风车

Learun

4年Java经验,备战两月成功拿到美团、京东、字节offer

Java成神之路

Java 面试 算法 编程语言 面试程序员

架构师作业第三周学习总结

Wee权

深入分析CRM系统对现代企业的作用

Learun

PyFlink + 区块链?揭秘行业领头企业 BTC.com 如何实现实时计算

Apache Flink

flink

区块链数字钱包技术开发,数字资产钱包

135深圳3055源中瑞8032

做好分库分表其实很难之二

架构师修行之路

微服务 分库分表

Nacos-技术专题-配置中心实现

李浩宇/Alex

程序员去外包真的不可取吗?

Java架构师迁哥

关于国际化语言 Intl

西贝

Java 前端 国际化 格式化

架构师训练营第1期第四周作业二

道长

极客大学架构师训练营

从联想ThinkStation工作站,窥见工具文明的新纪元

脑极体

区块链教育 丨 首批区块链专业新生正式入学

CECBC区块链专委会

区块链技术 区块链教育

spring-boot-route(十)多数据源切换

Java旅途

Java Spring Boot

区块链支付系统开发公司,USDT承兑支付

135深圳3055源中瑞8032

数字货币交易所源码开发,交易所APP搭建

135深圳3055源中瑞8032

大数据技术升级脉络及认知陷阱

大数据技术升级脉络及认知陷阱

GDPR 2周年,我们分析了近300起罚款事件-InfoQ