从人脸识别记考勤到谷歌定向广告推送 GDPR生效17个月 欧洲开出约3.7亿欧元罚单

　　GDPR的另一“明星案件”——法国诉谷歌案则是出于另外的原因。

　　根据GDPR执法力度国别分析，英国、法国、保加利亚、波兰处罚力度大，英国、匈牙利、捷克、德国监管机构处罚动作频繁。企业需要重视在上述国家的数据保护合规治理工作。

　　同时，随着GDPR执法的深入，公众对数据保护规则及个人的权利的了解度有了很大的提升。向DPA咨询GDPR和提出申诉的人日益增多，来自27个EEA国家DPA的统计数据显示，截至2019年3月共上报了281,088例案件，其中近半数(144,376件) 是投诉。同时，非营利组织代表个人发起的申诉也开始出现。

　　《白皮书》显示，惊天大案之外，GDPR实践中也不乏很多金额不大但很有代表意义的小型案件。

　　中企仍以观望为主，应开始积极应对

　　2018年5月，两家欧洲非营利性隐私和数字权利组织相继向法国国家信息与自由委员会投诉称，谷歌在处理个人用户数据方面采用了“强制同意”政策，其收集的数据包含大量用户个人信息，这些信息还在用户不知情的情况下被用于商业广告用途。

　　监管机构英国信息专员办公室(ICO)认为，英国航空公司缺乏保障信息安全的技术和组织措施，于今年10月初对其作出1.83亿英镑、约合2亿欧元的罚款决定，同时英国航空还面临着30亿英镑的集体诉讼。

　　在瑞典，一个名为 Anderstorps的高中学校使用人脸识别技术来记录学生的上课考勤。该学校董事会在一个实验项目中使用面部识别技术对学生的面部信息进行了登记。该实验项目持续了三周，涉及到22名学生。学生们的面部生物识别数据及全名被相机以照片的形式捕获，这些信息被存储在没有连接互联网的本地计算机中。

　　针对上述案例，《白皮书》发出如下警示：人脸识别等生物特征数据的使用应持谨慎态度。根据数据最小化原则，处理的个人数据应该是充分的、相关的，并且与处理它们的目的相关，而不能过于全面地收集、处理数据。只有在用其他方法无法以令人满意的方式实现处理目的时，才可以考虑使用此类敏感数据，否则将存在较大的合规风险。

　　例如，2018年6月，英国航空公司网站爆出数据泄露事件，该事件导致约50万名英航乘客的个人信息被泄露。在该事件中，用户流量被移转到虚假网站，攻击者通过这个虚假网站收集了客户详细信息，包括客户个人信息和银行卡信息， 如姓名、地址、邮箱，以及信用卡的号码、有效期和背面的验证码(CVV)等。

　　《白皮书》显示，数据处理的合法性基础的缺失(合法性原则)的执法力度最为显著。在搜集的87个案例中，8个案例是依照多类别处罚依据执法(其中7个案例有2个处罚依据，1个有3个处罚依据)。所有的处罚依据中，有30个是因为缺乏数据处理的合法性基础而被罚，占比31%。另外，数据处理的安全性(完整性与保密性)也是执法机构关注的重点，案例处罚依据数量为25个，占比26%。

　　数据合法性执法力度最大 英法案件和金额最多

　　高瑞鑫认为，企业的最高管理层应当从数字经济发展未来的层次去重视和审视GDPR的全球影响力和不可逆性，主动进行规划并搭建数据保护合规体系，控制长远风险。但目前，散点治理模式在很多国内企业实操中仍广泛存在，还有很长的路要走。

　　无独有偶，2018年11月，万豪国际集团披露了其旗下喜达屋酒店客房预订系统数据泄露，3.39亿酒店客户信息被黑客窃取，涉及到3000万来自31个欧洲经济区(EEA)国家的居民，其中包括700万英国居民。

　　《白皮书》总结认为，一方面是对数据控制者和数据处理者的规制和问责，另一方面是赋予数据主体更多权利，GDPR从这两方面下手，深深的扼住了数据滥用的出入口。

　　今年8月，瑞典监管机构判定，学校违反数据收集目的限制和最小范围原则，罚款近2万欧元。为满足上课出勤统计的目的，学校可以以侵入性较小的方式实现，面部识别软件的使用与目的不成比例。此外，GDPR原则上禁止以识别自然人身份为目的来处理生物特征数据，除非符合例外情形。然而由于学校与学生之间关系的不平等性，监护人同意不能视为自愿，因此该同意存在瑕疵， 不能作为合法性基础。同时，学校对人脸识别的风险缺乏评估和说明。

　　据此，《白皮书》认为，结合GDPR规定及欧盟地区各个国家监管机构的执法案例，企业应当尤其注意遵守完整性和保密性原则、合法、公平和透明原则以及数据最小范围原则，充分保障数据主体访问权、被遗忘权的实现。

【从人脸识别记考勤到谷歌定向广告推送 GDPR生效17个月 欧洲开出约3.7亿欧元罚单】从处罚学校用人脸识别记考勤，到给谷歌Google 定向广告开出五千万罚单，“史上最严厉的数据保护法”GDPR实施一年以来，欧洲各国对数据保护的力度正在逐步加大。2018年5月25日，欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效。（21世纪经济报道）

　　从被罚款金额最大的英国航空50万乘客信息泄露案，到对公民在自家门窗安装过多摄像头的象征性处罚，《白皮书》收录了欧洲经济区(European Economic Area， EEA)22个国家的立法情况和87个典型执法案例，从执法主体、国别、力度、依据等多维度分析研究，是国内首个针对GDPR执法的全方位报告。

　　数据泄露案件多 最大罚单超过2亿欧元

　　GDPR实施一年半以来，影响逐渐显现。

　　据ICO调查，喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自2014年7月起便存在，直到2018年才发现此漏洞。针对此次事件，ICO对万豪国际集团作出1.24亿欧元的罚款决定，而万豪也在美国本土面临着125亿美元的集体诉讼索赔。