2022-01-20 20:10
一项新的研究表明,过去2021年中,违反欧盟GDPR的罚款增加了近七倍,高达12亿美元。
法律公司DLPiPER在星期二公布的一份报告中说,欧盟数据保护机构自2021年1月28日以来违反了GDPR(通用数据保护条例),总共作出了12亿5000万美元的罚金,这比一年前的1.8亿美元明显增加。
公司向监管机构发出的数据泄露通知上升幅度较小,平均每天上升8%,达到356次。
GDPR自2018年起生效,欧盟数据规则的全面修改旨在让欧洲消费者对其个人数据拥有更多的控制权。
公司需要证明收集和处理用户个人数据的明确法律依据,公司必须在首次发现任何数据泄露后72小时内通知当局。不遵守规定可能会导致巨额罚款——即公司年全球收入的4%或2000万欧元,以数额较大者为准。
“GDPR肯定是有效的,它让每个人都认真起来,听取数据保护法和数据保护执法,”Ross McKean,欧华律师事务所的英国数据保护和安全集团主席告诉CNBC。
“在GDPR之前,如果你作为一个较大的数据处理者被罚款,(违反隐私法)只会是一个微小的错误,罚款甚至都无法支付圣诞晚会的费用。而现在,你会被罚款近10亿欧元。”
去年,欧盟监管机构根据GDPR规定处以创纪录的罚款,大型科技公司首当其冲。
卢森堡隐私监督机构对亚马逊处以7.46亿欧元(8.5亿美元)的罚款,而爱尔兰当局则对Meta的WhatsApp处以2.25亿欧元的罚款。两家公司都在对各自的罚款提出上诉。
McKean说,一旦新立法引入巨额罚款,监管机构往往“需要一段时间”才能实施。“这是因为调查需要一段时间,法律仍然充满了许多悬而未决的规范问题。”
其中一个悬而未决的问题是欧盟和美国之间的跨境数据传输问题。
2020年,欧洲法院做出了一项重磅裁决,宣布隐私盾协议(Privacy Shield framework)无效。隐私盾框架是一个跨大西洋移动数据的法律框架。这项裁决被称为“Schrems II”,以最初发起此案的奥地利隐私活动家Max Schrems的名字命名。
虽然隐私盾失效了,但欧洲法院维持了标准合同条款(SCC)的有效性,这是确保欧盟-美国数据流合法可靠的另一种机制。然而,企业仍在争先恐后地弄清楚这一裁决的含义。
该裁决的主要论点是,美国的数据保护制度与欧盟的数据保护制度并不等同。
McKean说,对于未来的组织来说,一个主要的“头痛”是围绕欧盟-美国数据传输的法律不确定性。
McKean说,标准合同条款(SCC)是迄今为止最流行的合法处理此类转移的方法,这是“至关重要”的,因为欧盟和美国的官员正在制定一项新的数据协议,以取代隐私盾。
Facebook母公司Meta与爱尔兰数据保护委员会(DPC, Data Protection Commission)就此事发生激烈争执。DPC已命令Meta停止使用标准合同条款(SCC)从欧洲向美国发送用户信息,因为它正在调查该公司的数据传输运行。
Meta申请暂时冻结该命令,但爱尔兰高等法院驳回了该冻结申请,允许监督机构继续进行调查。
在最近一个值得注意的案例中,奥地利的数据保护监督机构表示,谷歌分析的使用违反了GDPR,因为它可能会向美国情报机构披露用户的数据。这项决定的目标是一家使用谷歌网络分析服务的网站出版商,而不是谷歌本身。
与Meta和其他大型美国科技公司一样,谷歌依靠SCC处理欧盟和美国的数据传输。当时,谷歌表示,使用谷歌分析的公司“控制使用这些工具收集的数据以及如何使用这些数据”,并且该公司提供“一系列保障措施、控制措施和合规资源”。
“除了有限的例外,每个组织都有国际供应链和国际数据传输需求。”McKean表示,Schrems II的裁决对各种形式和规模的企业都产生了“深远”的影响。
除了增加法律上的不确定性,McKean说,他预计在2022年会看到对GDPR罚款的进一步上升。