引言
全球数字化监管的强化,就像新一轮“贸易壁垒”,以2018年欧盟颁布的《通用数据保护条例》(GDPR)为开端,迅速席卷美国和亚洲大陆,在全球范围内掀起数据监管立法狂潮。
在2024年,全球的数字监管政策进一步落地。在欧盟,《人工智能法》于2024年8月1日生效,被视为全球第一部人工智能领域的综合性法规;在美国,《美国隐私权法案(草案)》在2024年4月5日发布,是美国在联邦层面数据隐私立法的再次尝试;在中国,《网络数据安全管理条例》于2025年1月1日生效,为数据领域“三驾马车”框架下的制度衔接与协调、规则细化与补充提供了解决方案。几近趋同的监管思路和监管策略,让全球企业在数据合规问题上可以用统一“语言”对话的同时,可以用基本一致的视角积极谋求“同频”且可相互借鉴的应对策略。
2022年,全球数据合规处罚全球第一名,是“滴滴”因个人信息保护违规,被处以80亿元人民币罚款(详见本团队于法律出版社出版的《成功CEO的临门一脚:数据合规管理》);
2023年,全球数据合规处罚全球第一名,是Meta因将欧洲Facebook用户的数据传输到美国而被爱尔兰数据保护委员会罚款12亿欧元;
2024年,第一名依然由欧盟的爱尔兰罚出,3.1亿欧元罚单被LinkedIn领走,原因是违反GDPR的个人信息保护基本原则。
本团队整理并分析了2024年全球十大数据合规典型处罚案例,旨在揭示全球数据保护领域的主要问题,为各类互联网平台提供警示,共筑数据安全防线。
01
全球数据合规处罚典型案例可视化分析
我们对于2024年全球数据合规处罚案例进行了梳理,遴选出了处罚金额较大且处罚典型的十大案例,从各国案例数量、处罚金额、被处罚平台类型、被处罚事由四个维度进行统计分析,得出如下结果。
1. 各国案例数量统计
在数据合规处罚十大案例中,爱尔兰占比最多,有三个案例上榜,排名第一;荷兰和法国则以两个案例紧随其后,显示出欧洲地区对于数据保护的高度重视。
2. 各国处罚金额统计
对数据合规处罚十大案例中各国处罚金额进行统计,爱尔兰处罚金额最多,达6.52亿欧元(约49.60亿人民币),排名第一,罚款金额前四的案例中爱尔兰就占了三例;其次是荷兰,处罚金额约3.21亿欧元(约24.38亿人民币)。
3. 被处罚平台类型统计
我们根据《常见类型移动互联网应用程序必要个人信息范围规定》中对于常见类型App的分类,将上述被处罚平台类型分析如下图,发现网络社区类平台被处罚风险最高,其中关于Meta的处罚就上榜3例。
4. 被处罚事由分析
通过各大平台被处罚事由分析(同一案例可能存在重复统计),我们发现,与个人信息主体权益保障相关的案例最多,占7例,主要涉及对用户知情同意、撤回权的侵犯,如未经用户同意获取、处理、披露、出售个人数据,在用户撤回同意后继续读取个人数据等;其次内部安全措施不足等问题也需要引起各大互联网平台的重视。
02
2024年全球数据合规十大处罚典型案例
(按处罚金额由高到低排序)
1. 爱尔兰数据保护委员会对LinkedIn处以3.1亿欧元的罚款
【国家】爱尔兰
【日期】2024年10月24日
【罚款金额】3.1亿欧元(约23.58亿人民币)
【关键词】个人信息主体权益保护、个性化广告
【事由】LinkedIn违反了GDPR,未能获得处理个人数据进行行为分析和定向广告的有效同意,其处理不合法、不公平或不透明。
【原文链接】
https://dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million
2. DPA对Uber处以2.9亿欧元的罚款,原因是Uber将司机数据传输到美国
【国家】荷兰
【日期】2024年7月22日
【罚款金额】2.9亿欧元(约22.05亿人民币)
【关键词】非法跨境传输个人数据、个人信息主体权益保护
【事由】 Uber 已将欧洲出租车司机的个人数据传输到美国,并且 Uber 对数据的保护不足。
【原文链接】
https://autoriteitpersoonsgegevens.nl/actueel/ap-legt-uber-boete-op-van-290-miljoen-euro-om-doorgifte-data-chauffeurs-naar-vs
3. 爱尔兰数据保护委员会(DPC)因Meta违反GDPR对其罚款2.51亿欧元
【国家】爱尔兰
【日期】2024年12月17日
【罚款金额】2.51亿欧元(约19.09亿人民币)
【关键词】数据泄露
【事由】2018年9月,Meta报告了一起个人数据泄露事件。这起数据泄露影响了全球约2900万Facebook账户,其中约300万账户位于欧盟/欧洲经济区。受影响的个人数据类别包括:用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教、性别、时间线上的帖子、用户所属的群组以及儿童的个人数据。这起泄露是由于未经授权的第三方在Facebook平台上利用用户令牌(user token)造成的。Meta及其美国母公司在发现后不久修复了这一泄露。
【原文链接】
https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-meta-eu251-million
4. 爱尔兰数据保护委员会对Meta处以9100万欧元的罚款
【国家】爱尔兰
【日期】2024年9月27日
【罚款金额】9100万欧元(约6.92亿人民币)
【关键词】内部安全措施不足
【事由】2019 年 3 月,MPIL 通知 DPC,它无意中将社交媒体用户的某些密码以“明文”形式存储在其内部系统上(即没有加密保护或加密)。
【原文链接】
https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta
5. Enel Energia因违反GDPR被Garante罚款7910万欧元
【国家】意大利
【日期】2024年2月8日
【罚款金额】7910万欧元(约6.02亿人民币)
【关键词】个人信息主体权益保护、内部安全措施不足
【事由】Enel Energia 涉嫌出于电话营销目的不当处理众多电力和燃气供应客户的个人数据。该公司是意大利国家电力实体 Enel 的一个部门,据称在至少 9,300 份合同中使用客户的个人数据来非法推广其能源和天然气服务。据信,该公司还从其销售网络以外的四家公司获取了 978 名用户的个人数据。同时其客户管理和服务激活信息系统也显示出“严重的安全缺陷”,因为没有保护其数据库免受未经授权的代理访问。
【原文链接】
https://www.grip.globalrelay.com/italys-garante-fines-enel-energia-over-e79m-for-data-privacy-violations-in-telemarketing/
6. 法国数据保护局(CNIL)对法国电信运营商ORANGE罚款5000万欧元
【国家】法国
【日期】2024年12月10日
【罚款金额】5000万欧元(约3.80亿人民币)
【关键词】个人信息主体权益保护
【事由】ORANGE未经用户许可在其邮件服务中插入广告,并且在用户撤回接受 cookie 的存放和读取的同意后仍继续读取之前存放的 cookie。
【原文链接】
https://www.cnil.fr/en/advertisements-inserted-among-emails-orange-fined-eu50-million
7. CNIL对AMAZON FRANCE LOGISTIQUE处以3200万欧元的罚款
【国家】法国
【日期】2024年1月23日
【罚款金额】3200万欧元(约2.43亿人民币)
【关键词】员工过度监控
【事由】AMAZON FRANCE LOGISTIQUE建立了一个过度侵入性的系统来监控员工活动和绩效。该公司还因视频监控没有信息且安全性不足。
【原文链接】
https://www.cnil.fr/fr/surveillance-des-salaries-la-cnil-sanctionne-amazon-france-logistique-dune-amende-de-32-millions
8. Clearview因非法收集用于面部识别的数据被罚3050万欧元
【国家】荷兰
【日期】2024年5月16日
【罚款金额】3050万欧元(约2.32亿人民币)
【关键词】生物识别、个人信息主体权益保护
【事由】Clearview 是一家提供面部识别服务的美国公司。Clearview 在未经数据主体知情或同意的情况下,建立了一个非法数据库,其中包含数十亿张面孔照片,包括荷兰人的照片。荷兰 DPA 警告说,使用 Clearview 的服务也是被禁止的。
【原文链接】
https://www.edpb.europa.eu/news/national-news/2024/dutch-supervisory-authority-imposes-fine-clearview-because-illegal-data_en
9. Meta为受剑桥分析事件影响的澳大利亚用户达成5000万澳元的和解
【国家】澳大利亚
【日期】2024年12月17日
【和解金额】5000万澳元(约2.27亿人民币)
【关键词】个人信息主体权益保护
【事由】剑桥分析公司在未经用户同意的情况下,保留并使用了数百万Facebook用户的个人数据,并将其用于政治广告等目的。根据澳大利亚信息专员办公室的指控,超过31.1万名澳大利亚用户的个人信息在未经用户同意的情况下被披露给Facebook的个性测试应用程序“This is Your Digital Life”。
【原文链接】
https://www.oaic.gov.au/news/media-centre/landmark-settlement-of-$50m-from-meta-for-australian-users-impacted-by-cambridge-analytica-incident
10. 未经许可出售用户数据,杀毒软件巨头Avast在美国被罚1650万美元
【国家】美国
【日期】2024年2月22日
【罚款金额】1650万美元(约1.20亿人民币)
【关键词】个人信息主体权益保护
【事由】根据FTC的调查,Avast利用所开发的杀毒软体及浏览器扩充程式来搜集用户的浏览资料,不仅无限期地储存这些用户数据,还在未经用户同意且未告知的情况下,将它们透过子公司Jumpshot出售给全球超过100家的第三方数据掮客,用以开展定向广告营销。
【原文链接】
https://www.ftc.gov/news-events/news/press-releases/2024/06/ftc-finalizes-order-avast-banning-it-selling-or-licensing-web-browsing-data-advertising-requiring-it
03
结语
截至2024年12月,2024年基于GDPR作出的处罚已有2219起,处罚金额累计超过55.7亿欧元1。
从2022年的滴滴案,到2023年的Meta处罚,再到今年的LinkedIn的违规,连续三年的高额处罚案例,虽然摘冠案例的处罚金额有波动,但是全球的数据合规监管趋势在不断增强。
高额处罚数字背后,都是企业在合规维度上实打实的代价,合规成本的攀升与监管处罚数字对比之下,微不足道。前置数据合规的生命周期保护已经刻不容缓。
在个人信息保护维度上多场景、多业态、多角度的“默认式”和“嵌入式”的监管要求之下,企业的应对策略也要随时动态调整,既要有底层保护逻辑和理念的调整,更要有组织形成坚实的学习力和更新力。同时要学会,在合规的模糊边界上,借助外部的力量,去实现对动态监管的无限接近。
注:[1] https://www.enforcementtracker.com/?insights
本文作者
高亚平 | 权益合伙人
税法专业委员会联席主任
数据合规专业委员会主任
香港萧一峰律师行注册外地律师
国际科学考试学会(EXIN)数据保护官(DPO)授权讲师
veragao@duanduan.com
⾼律师擅⻓“数据”“结算”“流量”垂直领域法律服务,创设性提出并推动IPO数据合规专项法律服务、在线新经济平台整合式(融合 ISO37301、ISO27001、ISO27701 等认证要求)合规管理体系建设法律服务,深耕新经济与互联网平台业务合规、数据合规(含 IPO 数据合规、数据出境、数据审计、AIGC合规、数据交易所挂牌合规评估等领域)、股权与税筹等法律服务,担任多家头部新经济平台(以共享用工平台、在线新经济平台为典型代表)以及大数据独角兽企业的合规法律顾问
澎湃研究院开设《新经济与法》专栏,出版数据合规领域专著《成功 CEO 的临⻔一脚 数据合规管理》,灵工平台合规专著《灵活用工平台之监管重点与高阶》、《灵活用工平台的合规之路》,撰写《企业上市数据合规白皮书》《中国数据出境实务实操白皮书:实务问答与实操演练(中英双语版)》。
本文仅代表作者本人观点,不可将其视为段和段律师事务所及其律师出具的正式法律意见或结论。如需转载或引用文章中的任何内容,请邮件联系我们:webmaster@duanduan.com;如您有意就该议题进一步交流或探讨,欢迎与本所联系。
