张杨立律师
张杨立律师
上海-浦东新区合伙人律师
查看服务地区

咨询我

以案释法:谷歌等相继被罚,《欧盟一般数据保护条例》GDPR展现域外执法力量(下)

作者:张杨立时间:2019年08月13日分类:律师随笔浏览:23次

转载者张杨立律师与执笔者曾共同在知名红圈律所中伦律师事务所工作,张杨立律师长期从事于公司法律顾问、合同审核、合同纠纷、公司设立与清算、股权投资、公司兼并与收购等业务,具有丰富的法律实务经验,能够针对客户的要求提供高质量的法律服务。如有任何法律问题,可随时联系。


三、明确同意、默示同意、强迫同意、隐藏同意的认定

根据GDPR7条的规定,个人数据的处理应建立在用户的同意的基础上,更为重要的是,数据控制者和数据处理者在请求用户同意时,应以易于理解、清晰平白的语言进行询问。同时,用户有权随时撤回其同意,且该等撤回的权利应当在用户作出同意时告知。根据GDPR序言第43条的规定,对于不同的数据处理业务,应恰当地分别取得用户同意。数据控制者和数据处理者应建立细致的同意取得机制。

简单来说,用户的同意是数据处理行为的合法要件。收集、处理数据前,应当获得用户即数据主体在自由意愿支配下作出的特定的、清晰的、明确的同意。

案例32019121日,法国国家信息与通信委员会CNIL对谷歌开出5000欧元罚单

2019121日,法国国家信息与通信委员会CNIL对谷歌开出了金额高达5000万欧元的巨额罚单,原因是谷歌未向Android用户正确披露其数据如何被收集,并向用户违法推送个性化广告。该处罚回应了GDPR生效之时奥地利律师Max Sems对谷歌、Facebook以“接受或全部放弃”的“强制同意”条款的投诉。

尽管谷歌表示它已经获得了用户同意才去处理数据,之后才展开个性化的广告操作。但是,法国国家信息与通信委员会CNIL认为,谷歌并没有获得有效用户同意。首先,用户并未充分了解同意针对的情况。比如谷歌对广告进行了稀释操作,打散在谷歌搜索、Youtube、谷歌主页、谷歌地图、Playstore、谷歌图片中,个人信息在多个文件中被过度传播。其次,用户的同意既不是具体的,也不是明确的。创建帐户后,用户被默认预先勾选广告个性化的显示设置。但是,根据GDPR的规定,只有用户明确的肯定行动(例如勾选未预先勾选的方框)的同意才是明确的。法国国家信息与通信委员会CNIL认为,谷歌没有完全遵守GDPR中关于同意必须是明确具体的相关规定。

考虑到谷歌持续性的、长时间的对GDPR的违反,Android操作系统在法国市场上的重要地位,以及谷歌公司侧重广告的盈利模式等情况,法国国家信息与通信委员会CNIL最终对谷歌做出5000万欧元的罚款处罚。很明显,罚款金额未采用“2000万欧元”的标准,应当是按照营业额4%的比例计算后确定的。

案例评析

(1)      “勾选预先勾选的方框”属于“默示同意”;“接受或全部放弃”即不同意就不允许注册使用,属于“强迫同意”,均不是GDPR下有效的同意。

(2)      GDPR也禁止以“一揽子条款”的方式获得数据主体的同意。将为了完成特定交易所必要的数据之外的数据,隐藏在同意条款中,以模糊告知或误导性告知的方式使用户误以为该等数据是完成交易所必须的数据,属于“隐藏的同意”,也不是GDPR下有效的同意。

 

(3)      需要注意的是,获得数据主体同意并非唯一的使用数据的合法途径,其他合法途径包括“未履行合同”、“合法的商业利益”、“保护公共利益”(GDPR6)。但无论是基于何种理由合法使用他人数据,都应当遵守“目的限制原则”(数据的收集需要有特定、明确、合法的目的,后续对数据的处理活动也不得违反/超出前述目的的范畴)和“最小化原则”(数据的处理活动仅为实现上述目的,且限于实现该目的所需的最小限度)(GDPR5

 

  1. 四、GDPR的处罚措施

 

  1. 1.      行政罚款,分为两个档次

 

GDPR根据违规行为的性质设定了两个档次的处罚规则,具体如下表:

处罚

适用情形

相关法条

可以处以1000万欧元或者企业全球年营业额2 %的罚款,以较高者为准。

(1)        违反数据控制者和数据处理者规定的;

(2)        违反关于认证和认证主体规定的;

(3)        违反GDPR41.4条关于监管机构的规定。

 

GDPR83.4

可以处以2000万欧元或者企业全球年营业额4 %的罚款,以较高者为准。

(1)        违反数据处理的基本原则,包括有关数据主体同意的情形的;

(2)        违反有关数据主体的权利保障的;

(3)        违反有关将个人数据转移到第三国或国际组织的规定的;

(4)        违反GDPR9章规定的欧盟成员国法律认可的责任的;

(5)        不遵守监管机构根据第58.158.2条作出的针对数据处理或暂停数据流动的命令、临时性或决定性限制。

GDPR83.5

总体而言,数据控制者和数据处理者自身违反技术性数据保护义务的,将按较低罚款门槛处罚,侵害数据主体的权利和自由的,则应按较高罚款门槛处罚。

关于处罚措施,目前业界一直关注的问题有:欧盟执法机构的罚款力度如何,是否积极地按照“公司全球年营业额”2 %4 %的比例开出大额罚单,欧盟执法机构在确定罚款金额高低时的考量因素有哪些?

案例4:德国巴登符腾堡州立数据保护委员会 vs Knuddels GmbH& Co. KG

 

德国一向以高标准的数据保护立法闻名世界。20181122日,德国巴登符腾堡州立数据保护委员会作为德国第一个根据GDPR实施处罚的数据保护机构,对社交媒体公司Knuddels GmbH &Co. KG (“Knuddels公司”)处以2万欧元罚款,原因是该公司违反了GDPR32.1条规定的确保个人数据处理数据安全的义务(“对个人数据进行假名和加密的义务”)。该罚款金额确实不高。

在被黑客攻击后,Knuddels公司大约33万用户的登陆密码和电子邮件地址被窃取并发布。Knuddels立刻向德国巴登符腾堡州数据保护委员会报告了该数据违规事件。经后者调查显示,该公司并没有加密其客户的密码及邮件信息,而是将其以纯文本形式存储,从而违反了GDPR32.1条规定的对个人数据进行假名和加密等义务。

根据GDPR83.4a条,尽管德国巴登符腾堡州立数据保护委员会可以对Knuddels进行高达其全球年营业额的2 %1000万欧元的罚款,但是该委员会在计算罚款时,考虑到Knuddels公司在其指导方案和建议方面的高度配合及其合规的强烈意愿,最终按照较低标准定,仅仅罚款2万欧元。

 

案件评析:

(1)      GDPR在第83.4条和第83.5条中规定了最高罚款额,这意味着执法机关有权决定更低而非更高的罚款。但是,GDPR83条规定,要求每种情况下的罚款都是有效、相称且具有说服力的。同时,GDPR序言第148条也明确规定,授权执法机关在轻微侵权案件中以及罚款对自然人构成不成比例的负担的情况下,以训斥代替罚款的方式进行执法。也就是说,GDPR允许实施高额罚款,但罚款必须按比例William A. Boeck在《经纪视角——GDPR首开罚单给保险市场透露了什么信息?》一文中提到,欧盟各地的数据保护执法机构都试图向公众保证他们不急于处以巨额罚款。

 

(2)      笔者注意到,除了Knuddels公司案,在多个已有的执法案例中,欧盟执法机构都没有适用最高罚款额。20189月,奥地利数据保护局对一家博彩商店的所有者处以罚款4,800欧元加上相关法律费用,原因是该商店的摄影机在店门处进行了不当摄录,也同时影射了店门前的人行道,违反了GDPR的规定。20181022日,葡萄牙国家数据保护委员会对里斯本附近的Centro HospitalarBarreiro Montijo两起违反GDPR的行为处以40万欧元的罚款。其中,对非医务人员不适当地获取患者信息,罚款30万欧元;对医院第二次违规罚款10万欧元,因该违规行为涉及无法确保医疗系统和服务的机密性、完整性、可用性和永久性恢复能力

(3)      根据GDPR序言第148条的规定,执法机关将根据违法的性质、程度、期间以及是否为公司有意行为、公司是否采取补救措施和公司是否有违规前科等等的不同,对违规行为采用的合规整改或罚款的程度均不同。同时,国际隐私专业人士协会IAPP2016323日发表的一篇评论表明,对于同一事件引起的多次违规,应不加罚金;对于最严重的违规,罚款总额不能超过最高额罚金(https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-10-consequences-for-grpr-violations/)。

(4)      “涉欧”的中国企业应当充分认识到GDPR和中国《网络安全法》罚款计算标准的区别,应充分引起对GDPR下数据合规的重视。违反《网络安全法》的处罚一般为“没收违法所得”、“处以违法所得一倍到十倍以下的罚款”、“没收违法所得,处100万以下罚款”(如《网络安全法》第64条关于未经同意使用个人数据的处罚规定)。然而,违反GDPR的,则不以涉案单一、某些交易或某个国家内的“违法所得”为罚款计算标准,而是按2000万欧元/4000万欧元或“全球年营业额2 %/4 %”(以较高者为准)进行计算,处罚明显更为严厉。

  1. 2.      刑事处罚风险

 

GDPR的实施使得欧盟数据保护规则得到协调统一,公司可以针对整个欧洲市场使用一套统一的数据合规方案。但是,需要注意的是,丹麦和爱沙尼亚这两个成员国的国内法不允许直接适用GDPR中的规定,进行行政罚款。因此,根据GDPR序言第151条针对这两个成员国例外规定,允许在丹麦通过刑事处罚的方式,在爱沙尼亚通过轻罪程序框架的形式来对违规主体及其高级管理人员进行惩罚。

 

这意味着,与丹麦或爱沙尼亚有业务往来的中国企业,应当转变违反GDPR导致罚款的观念,充分认识到,在丹麦和爱沙尼亚两国有因违反GDPR而被刑事处罚的风险。

 

  1. 五、结语

 

中国及世界其他国家先后颁布并实施自己的隐私保护法,毫无疑问,个人信息保护已然进入了全球化的阶段。在万物互联的物联网时代,保护用户个人信息安全已经成为各大 IT 公司最需要关心的问题。

GDPR的域外执法仍在进行,我们会继续关注。我们希望从更多的GDPR实际执法案例中,明晰欧盟执法机构对该法规更为清晰的具体适用细节和执法力度,帮助“涉欧”的中国企业优化其GDPR数据合规路径。


(来源:中伦视界)

张杨立律师毕业于日本著名学府庆应义塾大学,回国后先后就职于中伦律师事务所及金诚同达律师事务所。业务领域涵盖外商投资、海外... 查看详细 >>
  • 执业地区:上海-浦东新区
  • 执业单位:万商天勤(上海)律师事务所
  • 律师职务:合伙人律师
  • 执业证号:13101201610568249
  • 擅长领域:公司法、股权纠纷、法律顾问、融资借款、新三板