法律案例分析格式，GDPR执法案例精选白皮书

时间：2022-10-18 14:03:10来源：法律常识

第一部分典型案例汇总

案例一：亚马逊：对个人数据的处理不符合GDPR规定

根据美国电商巨头亚马逊亚马逊公开的监管备案文件，2021年7月16日，卢森堡国家数据保护委员会（CNPD）裁定亚马逊对其用户数据保护不力，违反了GDPR规定，被重罚7.46亿欧元，这是目前GDPR作出的单笔最高额罚款。对此，亚马逊在一份声明中说：我们没有泄露数据，也没有将客户数据提供给任何第三方。关于我们如何向用户投放相关广告这一点，CNPD仅仅是依靠对于欧洲隐私法的主观臆断对我们作出判决，况且就算此项成立，罚款金额也远远高出对应标准，我们坚决不同意CNPD的裁决。

违规分析：被处罚事由主要包括数据安全问题和利用个人数据提供广告服务时的信息提供问题等。

案例二：Whatsapp:向用户提供信息不充分（透明度）

2021年9月2日，爱尔兰数据保护委员会（DPC）宣布，对WhatsApp爱尔兰有限公司罚款2.25亿元。DPC对该公司的调查于2018年12月10日开始，主要审查了WhatsApp是否履行了其在提供信息和信息方面的GDPR透明度义务，如向数据主体提供WhatsApp与其他Facebook公司之间如何进行信息处理等义务。经过调查，爱尔兰数据保护委员会认为WhatsApp处理个人数据不透明，并依据欧洲数据保护委员会通过的决定，对WhatsApp处以巨额罚款，该笔罚款目前是GDPR生效以来的金额第二大罚款。

违规分析：个人数据不透明，违反透明原则。

案例三：Klarna:向用户提供信息不完整

Klarna是一家金融公司，涉及处理大量的个人数据。瑞典隐私保护局（IMY）在调查Klarna银行是否遵守GDPR后，于2022年3月28日向该公司开出72万欧元的罚款。隐私保护局（IMY）在调查过程中关注该公司如何在其网站上告知其如何根据《数据保护条例》处理个人数据，隐私保护局（IMY）在调查结果中表示：Klarna在公司的部分服务中没有提供处理个人数据的目的和法律依据等信息；在和外国信用信息公司共享数据时，该公司提供的接收者信息不完整且存在误导性。例如Klarna没有说明个人数据被转移到了欧盟/欧洲经济区以外的哪些国家，以及个人在数据转移至第三国时的保护措施信息；此外，该公司提供的有关数据主体权利的信息不足，包括删除数据的权利、数据携带权以及反对处理个人数据的权利。

违规分析：违反透明原则；提供的有关数据主体权利的信息不足。

案例四：Facebook（爱尔兰）：获得用户同意时的程序和提供的信息不明确（接受Cookie比拒绝Cookie更容易）

2021年，法国数据监管机构（CNIL）对Facebook（爱尔兰）处以6000万欧元的罚款，理由是该公司在获取用户同意时的程序以及提供的信息不明确。CNIL调查发现：当用户访问Facebook社交网络时，会弹出一个标题为“在此浏览器中接受来自Facebook的cookie”标记，并且在此窗口的底部，有两个可选择按钮，分别是“管理数据设置”和“全部接受”，用户必须点击这两个按钮之一才能继续浏览社交网络。接下来，当用户单击出现在第一个窗口底部的“全部接受”按钮后，该窗口消失，他可以继续浏览社交网络。而当用户点击“管理数据设置”按钮时，会出现一个新的弹窗，介绍经同意的cookies追求的两个主要目的—Facebook进行的个性化广告和第三方进行的个性化广告，并且旁边有滑动按钮，默认禁用，此时窗口底部有“接受cookie”按钮，然后单击该按钮，后者消失，用户可以在没有放置广告cookie的情况下浏览网站。

违规分析：该公司在获取用户同意时的程序以及提供的信息不明确。

案例五：Clearview AI：没有充分的法律依据处理个人数据

Clearview AI是一家成立于2016年的人脸识别初创公司，其产品主打人脸识别与检索，用户只需上传一张照片，即可获得照片人物在Facebook、Twitter等社交网站上的资料。意大利的数据保护机构于2022年2月10日宣布对Clearview AI违反GDPR的行为处以2000万欧元罚款。并命令这家有争议的公司删除其持有的任何意大利人数据，并禁止其进一步处理公民的面部生物识别数据。调查结果显示，该公司持有的个人数据，包括生物识别和地理定位数据，是非法处理的，没有充分的法律依据，而且显然不是为了其合法利益。此外Clearview AI也违反GDPR第5条中关于透明度一般原则的规定，如没有充分告知用户数据处理目的；将用户数据用于在线发布以外的目的；亦未确定数据保留时间而违反了限期储存原则等。

违规分析：人脸识别应用存在较大法律风险，容易违反透明度原则、目的限定限制等。

案例六：Grindr:未经同意共享用户数据

2021年12月13日，约会软件Grindr因未经用户同意与广告商共享数据而被挪威监管机构处以630万欧元的罚款。此前挪威监管机构于2020年对Grindr提起诉讼，称该服务未经同意与第三方共享用户数据，包括GPS、IP地址、年龄和性别。挪威监管机构相关负责人称，该软件要求用户必须接受Grindr的数据条款才能访问该应用程序，故实质上并未获得用户适当的同意。

违规分析：未经同意与第三方共享用户数据。

案例七：法国FREE MOBLE：未满足数据主体的“访问权”和“拒绝权”

2021年12月28日，法国CNIL机构对FREE MOBLE处以30万欧元的罚款，调查显示，FREE MOBILE公司存在四项GDPR违规行为，其中有两项均是无法保障数据主体行使权利，包括：

（1）公司未在时限内回应投诉人的请求，未能尊重个人对其个人数据的访问权（GDPR第12条和第15条）；

（2）公司未尊重相关人员的反对权（GDPR第12和21条），因为公司没有考虑投诉人不再向他们发送商业勘探信息的要求；

（3）公司继续向投诉人发送已取消订阅的业务信息。除此之外，该公司还违反了确保个人数据安全的义务（GDPR第32条）等，例如公司直接以明文形式通过电子邮件传输了用户在使用FREE MOBILE订阅优惠时的密码。

违规分析：未充分保障数据主体权利。

案例八：丹麦Taxa 4 X 35：未遵守最小范围原则

2019年5月，丹麦数据保护机构对出租车公司“Taxa 4 X 35”（Taxa）违反GDPR的行为进行了处罚。丹麦数据保护机构调查发现，Taxa没有遵守GDPR中规定的数据最小化原则。该企业虽然在合法保留客户的姓名和地址两年后将其予以删除，但随后在长达三年的时间里违法保留了900多万名客户的电话号码。对此，Taxa认为，客户的电话号码是该企业IT数据库的重要组成部分，因此不能在同一时间段内删除。根据上述调查结果，丹麦数据保护机构建议对Taxa处以120万克朗的罚金（约160,754欧元）。

违规分析：没有遵守GDPR中规定的数据收集最小范围原则。

案例九：英国航空公司网站数据泄露事件

2018年6月起英国航空公司网站发生了数据泄露事件，9月英国航空公司向英国数据监管机构——信息专员办公室（ICO）通报该数据泄露事件。

该事件导致约50万名英航乘客的个人信息被泄露。在该事件中，用户流量被移转到虚假网站，攻击者通过这个虚假网站收集了客户详细信息，包括客户个人信息和银行卡信息，如姓名、地址、邮箱，以及信用卡的号码、有效期和背面的验证码(CVV)等。事件爆发后，英国航空公司配合ICO 调查并对安全系统进行整改，获得向ICO 提出有关拟议调查结果和制裁的陈述机会。

此外，ICO作为牵头监督机构，代表其他欧盟成员国数据保护机构调查此案件。它还与其他监管机构联络。根据GDPR“一站式服务”规定，受影响的欧盟数据保护机构也将有机会对ICO的调查结果发表评论。

处罚金额：ICO拟对英国航空作出2.04亿欧元的罚款决定。

违规分析：英国航空公司缺乏保障信息安全的技术和组织措施。

案例十：德国http://Knuddels.de数据泄露案件

德国聊天社交平台http://Knuddels.de被德国数据保护机构作出处罚。案件的起源是，http://Knuddels.de网站于2018年7月受到黑客袭击，导致约330,000位用户的电子邮件地址和密码泄露。后经LfDI调查发现，http://Knuddels.de平台以纯文本形式存储用户密码，没有采取任何加密措施。据此，德国数据保护机构认为http://Knuddels.de违反了GDPR第32条规定的数据安全义务，并在此基础上依据GDPR第83条第4款对其处以罚款。

违规分析：缺乏保障信息安全的技术和组织措施，尤其需考虑个人数据的化名化及加密。

第二部分：GDPR执法评析

（一）GDPR执法总体呈现次数增长、罚款金额增多的趋势

从GDPR生效以来的罚款次数累积过程来看，截至2022年3月处罚次数累计已有1037次，且罚款次数呈现稳步增长的趋势，故可以认为GDPR执法将会是一个长期的持续存在的状态，而不是暂时的运动性执法。且随着执法次数的不断增加，执法对象势必进一步扩展。随着执法次数的增加，罚款总额也在屡创新高，巨额罚单不断更新（见表1），根据GDPR的罚款数额累积过程，截至目前GDPR罚款总额已达16.1亿欧元，平均每次罚金高达155万欧元，尤其是刚刚过去的2021年，仅一年的罚金总额就高达12.7亿欧元，呈现井喷态势。

（二）各成员国GDPR执法差距较大

目前罚款总额最高的十个国家依次是卢森堡、法国、爱尔兰、意大利、德国、西班牙、英国、奥地利、瑞典、荷兰（见图1）；罚款次数最多的十个国家依次是西班牙、意大利、罗马尼亚、德国、匈牙利、挪威、希腊、波兰、比利时、瑞典。可见有的国家是“不罚则已，一罚惊人”，如卢森堡、法国、爱尔兰等，有的则是罚款次数较多，总体金额相对不高，如罗马尼亚、匈牙利、挪威、希腊等国。所以企业在欧盟开展数据处理活动时可以提前了解所在国家的执法特点，以更好地把握企业展开数据合规工作时的尺度和重点。

图1 罚款总额最高的国家

（三）处罚依据较为集中

从罚款总额角度出发（见图2），仅因“不符合数据处理的基本原则”一项处以的罚款数额已近罚款总额的半数；因“数据处理的法律依据不足”作为依据的罚款数额近罚款总额的四分之一；因“信息义务履行不足”和“确保信息安全的保障措施不足”两项占比也相对不小，其余的处罚依据还包括：数据主体权利履行不足、未充分履行数据泄露通知义务、数据处理协议不足、数据保护官参与不足、与监管部门合作不足等，这些罚款总额占比较小。