01

研究背景和目的

 

自《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）于2018年5月生效以來，企業(yè)合規(guī)治理層面，全球大型跨國企業(yè)均在應(yīng)對(duì)該部法律帶來的經(jīng)營與合規(guī)挑戰(zhàn)；公眾意識(shí)層面，人們對(duì)數(shù)據(jù)保護(hù)問題的認(rèn)識(shí)普遍提升；執(zhí)法層面，歐盟給予了企業(yè)較長的寬限期，但進(jìn)入2020年后，寬限期和指導(dǎo)期已經(jīng)結(jié)束，“GDPR強(qiáng)執(zhí)行時(shí)代”業(yè)已來臨。執(zhí)法案件數(shù)量呈急劇上升趨勢，歐盟各國陸續(xù)開出巨額罰單，為企業(yè)（尤其是大型跨國企業(yè)）的數(shù)據(jù)保護(hù)合規(guī)建設(shè)帶來更大壓力。同時(shí)，歐盟成員國罰款實(shí)施細(xì)則的出臺(tái)以及執(zhí)法經(jīng)驗(yàn)的積累，給各成員國監(jiān)管機(jī)構(gòu)判斷具體執(zhí)法金額提供了更明確的指導(dǎo)和標(biāo)準(zhǔn)，也為企業(yè)提供了合規(guī)建設(shè)的參考依據(jù)。

 

本報(bào)告旨在研究部分歐洲重點(diǎn)國家針對(duì)數(shù)據(jù)保護(hù)違法事件實(shí)施行政處罰的法律規(guī)定，并對(duì)重大、典型執(zhí)法案例進(jìn)行罰則適用的實(shí)證分析，從而了解監(jiān)管機(jī)構(gòu)的執(zhí)法傾向和處罰邏輯，并針對(duì)監(jiān)管機(jī)構(gòu)重點(diǎn)關(guān)注的風(fēng)險(xiǎn)項(xiàng)設(shè)計(jì)風(fēng)險(xiǎn)管控措施。

 

 

 

02

歐盟GDPR執(zhí)法現(xiàn)狀與趨勢

 

（一）歐盟GDPR執(zhí)法現(xiàn)狀

 

近一年來歐盟國家陸續(xù)開出巨額數(shù)據(jù)保護(hù)執(zhí)法罰單，這些國家包括英國、法國、意大利、奧地利、德國、瑞典等。前十大巨額罰款案例中，處罰金額占被執(zhí)法企業(yè)上一年度收入的比例較低。根據(jù)這些案例，可以確定兩個(gè)主要的被罰款事件類型：一是數(shù)據(jù)泄露案件；二是營銷類案件，包括電話營銷與定向廣告推送。

 

 

（二）歐盟GDPR執(zhí)法趨勢

 

上述案例一定程度上反映了歐盟GDPR執(zhí)法趨勢 -- 數(shù)據(jù)保護(hù)領(lǐng)域的處罰力度和金額持續(xù)增加。在當(dāng)前階段，數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)力圖通過對(duì)違法行為處以高額罰款來加強(qiáng)數(shù)據(jù)保護(hù)執(zhí)法。同時(shí)，圍繞此類罰款的訴訟也越來越多，這有可能會(huì)抑制數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)對(duì)高額罰款措施的偏好。盡管如此，在2020年至2021年期間，“執(zhí)法浪潮”和高額罰款仍將繼續(xù)。

 

 

03

GDPR下行政罰款金額確定標(biāo)準(zhǔn)

 

（一）GDPR行政罰款規(guī)則概述

 

1、歐盟適用的統(tǒng)一規(guī)則

 

行政罰款作為懲罰措施之一，是監(jiān)管機(jī)構(gòu)嚴(yán)懲違法行為﹑強(qiáng)化數(shù)據(jù)保護(hù)法律要求的重要工具之一。歐盟法律中關(guān)于行政罰款的條款采用抽象原則性規(guī)定的立法模式，對(duì)罰款金額設(shè)置上限，通過罰款相關(guān)因素分析判斷得出最終處罰金額。第29條工作組（The Article 29 Working Party，以下簡稱WP29） 發(fā)布《GDPR行政罰款適用和設(shè)定指引》(Guidelines on the Application and Setting of Administrative fines for the Purposes of the Regulation 2016/679)，提供罰款考慮因素指導(dǎo)建議。歐盟數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，以下簡稱EDPB）已批準(zhǔn)通過該指引。

 

GDPR第83條規(guī)定了對(duì)企業(yè)處以行政罰款的一般條件，并劃分了兩類處罰標(biāo)準(zhǔn)，分別是：①Ⅰ類標(biāo)準(zhǔn)：對(duì)違法企業(yè)處以最高10,000,000歐元或上一財(cái)經(jīng)年度全球營業(yè)總額2%的行政罰款（以較高者為準(zhǔn)）；②Ⅱ類標(biāo)準(zhǔn)：對(duì)違法企業(yè)處以最高20,000,000歐元或上一財(cái)經(jīng)年度全球營業(yè)總額4%的行政罰款（以較高者為準(zhǔn)）。

 

具體處罰標(biāo)準(zhǔn)與處罰依據(jù)的對(duì)應(yīng)情況如下：

 

表1 處罰標(biāo)準(zhǔn)-法律義務(wù)映射表

 

2、重點(diǎn)國家適用的規(guī)則

 

根據(jù)中興通訊數(shù)據(jù)保護(hù)合規(guī)部于2019年12月進(jìn)行的歐洲經(jīng)濟(jì)區(qū)GDPR國別風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果，本節(jié)特選取德國、英國、奧地利、意大利、荷蘭、西班牙及匈牙利的罰則規(guī)定進(jìn)行重點(diǎn)分析。

 

（1）德國相關(guān)法律規(guī)定

 

德國主要適用GDPR和《德國聯(lián)邦和州獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu)關(guān)于確定企業(yè)罰款數(shù)額的指南》（Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen）。德國遵從GDPR的原則性規(guī)定，對(duì)罰款金額設(shè)置上限，并且德國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)就罰款金額計(jì)算方式發(fā)布了統(tǒng)一標(biāo)準(zhǔn)的實(shí)施細(xì)則，提出了基于營業(yè)額的線性計(jì)算模型，但是該模型似乎沒有考慮到不同業(yè)務(wù)類型的具體適用。

 

新的罰款金額計(jì)算模型將導(dǎo)致德國當(dāng)局未來在GDPR領(lǐng)域中做出的罰款金額遠(yuǎn)高于迄今為止的罰款金額。以營業(yè)額為基礎(chǔ)的線性計(jì)算方法很大程度上會(huì)導(dǎo)致嚴(yán)重的罰款風(fēng)險(xiǎn)。鑒于跨國企業(yè)將面臨高額罰款，被處罰的相關(guān)企業(yè)很可能在訴訟中對(duì)這種新模式提出質(zhì)疑并申訴到包括歐洲法院在內(nèi)的高等法院。所以這種新的計(jì)算模型很可能在將來受到一定沖擊。

 

（2）英國相關(guān)法律規(guī)定

 

英國主要適用《2018年數(shù)據(jù)保護(hù)法》（Data Protection Act 2018）、《數(shù)據(jù)保護(hù)、隱私和電子通信條例》（Data Protection, Privacy and Electronic Communications Regulations）、《2010年數(shù)據(jù)保護(hù)（罰金）（最高罰款額及通知）條例》（Data Protection (Monetary Penalties) (Maximum Penalty and Notices) Regulations 2010）、《1998年數(shù)據(jù)保護(hù)法》（Data Protection Act 1998）來規(guī)范數(shù)據(jù)保護(hù)相關(guān)的處罰措施。英國關(guān)于罰款金額的一般規(guī)定與GDPR相同，采用兩種處罰等級(jí)。此外根據(jù)行為發(fā)生的時(shí)間，還有可能適用舊法規(guī)定，根據(jù)舊法規(guī)定，民事案件在數(shù)據(jù)保護(hù)方面的最高罰款為500,000英鎊。

 

表2 英國處罰措施一覽

 

（3）奧地利相關(guān)法律規(guī)定

 

奧地利主要適用GDPR、《聯(lián)邦個(gè)人數(shù)據(jù)保護(hù)法》（Datenschutzgesetz，DSG）、《電信法》（Telecommunications Act 2003）。

 

在遵守GDPR罰款規(guī)定的前提下，奧地利對(duì)于特定違法行為的處罰分為兩類：①依據(jù)《聯(lián)邦個(gè)人數(shù)據(jù)保護(hù)法》對(duì)于5類特定違法行為，處以最高50,000歐元罰款，除非符合GDPR第83條的規(guī)定，或根據(jù)其他行政法律規(guī)定受到更嚴(yán)厲的懲罰；②依據(jù)《電信法》對(duì)于11類違法行為，處以最高37,000歐元罰款；對(duì)于1類違法行為——為營銷目的進(jìn)行廣告推送，處以最高58,000歐元罰款。

 

表3 奧地利法處罰措施一覽

 

（4）意大利相關(guān)法律規(guī)定

 

意大利主要適用GDPR、《意大利隱私法》（Italian Personal Data Protection Code ）（2003年6月30日）。意大利對(duì)于罰款金額的一般規(guī)定與GDPR相同。在遵守GDPR罰款規(guī)定的前提下，《意大利隱私法》對(duì)五類數(shù)據(jù)處理違法行為明確規(guī)定了罰款金額的范圍：

 

《意大利隱私法》第13條規(guī)定，未向數(shù)據(jù)主體提供數(shù)據(jù)收集規(guī)則或提供信息不足，將被處以3,000至18,000歐元的罰款；涉及到敏感個(gè)人數(shù)據(jù)的，處以5,000至30,000歐元的罰款。根據(jù)違法者的經(jīng)濟(jì)實(shí)力，如果罰款無法達(dá)到懲戒效果的，則罰款金額可以增加至三倍；

 

違反《意大利隱私法》第16條第1款b項(xiàng)規(guī)定，違法傳播個(gè)人數(shù)據(jù)的，處以5,000至30,000歐元的罰款；

 

違反《意大利隱私法》第84條第1款規(guī)定，非法披露健康狀況數(shù)據(jù)的，處以500至3,000歐元的罰款；

 

違反職責(zé)，未能及時(shí)提交《意大利隱私法》第37條和第38條要求提供的信息或提供信息不完整的，處以10,000至60,000歐元的罰款；

 

未能提供信息或未出示意大利數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)根據(jù)第150條第（2）款和157條要求的文件的，處以4,000至24,000歐元的罰款。

 

（5）荷蘭相關(guān)法律規(guī)定

 

EDPB尚未與荷蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu) (Autoriteit Persoonsgegevens，以下簡稱 AP) 建立聯(lián)合執(zhí)法機(jī)制。因此，出于監(jiān)管目的，荷蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)目前自行制定并實(shí)施一套計(jì)算罰款金額的政策。荷蘭主要適用《GDPR實(shí)施法案》（Dutch GDPR Implementation Act，以下簡稱UAVG）。此外，對(duì)于違反《警察數(shù)據(jù)法》、《司法和犯罪記錄信息法》的行為以及某些違反《電信法》、《eIDAS 法規(guī)》和《總行政法》的行為，AP也可以處以罰款。

 

1. 基礎(chǔ)罰款：在違法事項(xiàng)所對(duì)應(yīng)罰款金額范圍內(nèi)取中間值。這是確定罰款額時(shí)的“起點(diǎn)值”，為最終罰款金額的基礎(chǔ)；

2. 累犯：在5年以內(nèi)再次發(fā)生相同或相似的違法行為，針對(duì)累犯的罰款起點(diǎn)值將在基礎(chǔ)罰款的數(shù)額上提高50%；

3. 多種違法行為的處罰：如果數(shù)據(jù)處理活動(dòng)違反多個(gè)規(guī)定，罰款總額不得超過最高罰款金額；

4. 償付能力：在確定罰款數(shù)額時(shí)，AP將視情況考慮違法行為人的經(jīng)濟(jì)狀況。如果行為人償付能力下降或不足，AP會(huì)在較低一檔罰款范圍內(nèi)設(shè)定罰款數(shù)額。

 

AP制定的罰款政策中最高罰款金額為1,000,000歐元。然而，如果監(jiān)管機(jī)構(gòu)認(rèn)為這種罰款力度不能夠體現(xiàn)懲罰的相稱性，可超出原罰款范圍，最高罰款為GDPR規(guī)定的20,000,000歐元或者是全球年?duì)I業(yè)額的4%（以較高者為準(zhǔn)）。

 

（6）西班牙相關(guān)法律規(guī)定

 

西班牙主要依據(jù)的法律為第3/2018號(hào)《關(guān)于數(shù)據(jù)保護(hù)和數(shù)字權(quán)利保障的組織法》（Spanish Fundamental Law on Data Protection and Digital Rights Guarantee，以下簡稱NLOPD）。西班牙采用抽象的原則性規(guī)定，在具體實(shí)施層面將數(shù)據(jù)保護(hù)侵權(quán)行為劃分為三個(gè)等級(jí)，將不同的違法行為納入不同的侵權(quán)等級(jí)中，分別處以相應(yīng)額度的罰款。

 

西班牙對(duì)于罰款金額的一般規(guī)定與GDPR相同，NLOPD將數(shù)據(jù)侵權(quán)行為進(jìn)一步分為輕微、嚴(yán)重和非常嚴(yán)重，根據(jù)不同的等級(jí)劃定了不同的罰款額度范圍，并分別規(guī)定了1年、2年和3年的訴訟時(shí)效。NLOPD還規(guī)定責(zé)任主體不僅包括數(shù)據(jù)控制者、處理者及其代表，還包括負(fù)責(zé)監(jiān)督和認(rèn)證行為守則的認(rèn)證機(jī)構(gòu)。

 

不遵守一般數(shù)據(jù)保護(hù)義務(wù)、無保障的數(shù)據(jù)跨境傳輸、未遵守NLOPD下個(gè)人數(shù)據(jù)封存義務(wù) 等屬于非常嚴(yán)重的侵權(quán)行為，罰款金額在300,001歐元以上；妨礙或未能響應(yīng)數(shù)據(jù)主體的權(quán)利請(qǐng)求、處理者未經(jīng)控制者授權(quán)而由其他子處理者參與處理等屬于嚴(yán)重侵權(quán)行為，罰款金額在40,001至300,000歐元之間；未履行向西班牙數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)報(bào)告數(shù)據(jù)泄露事件的義務(wù)、未公布DPO的詳細(xì)聯(lián)系方式等屬于輕微侵權(quán)行為，罰款金額在40,000歐元及以下。

 

（7）匈牙利相關(guān)法律規(guī)定

 

匈牙利主要適用2011年頒布的第CXII 號(hào)法案《信息自決權(quán)和信息自由權(quán)法》(Act CXII of 2011 on the Right of Informational Self-Determination and on Freedom of Information) （以下簡稱《隱私法案》）。匈牙利沒有規(guī)定罰款的具體實(shí)施細(xì)則，直接采用GDPR第83條。

 

相較來說，匈牙利數(shù)據(jù)保護(hù)執(zhí)法態(tài)勢沒有西歐國家嚴(yán)格?！峨[私法案》第 75條A部分明確規(guī)定，針對(duì)數(shù)據(jù)控制者或處理者的初次違法行為，數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)給予警告而非直接處以罰款。并且，針對(duì)數(shù)據(jù)控制者或處理者的侵權(quán)行為造成的損害、侵權(quán)行為引發(fā)的損害賠償及行政申訴費(fèi)用也受一定程度限制。

 

從法律規(guī)定本身來說，匈牙利數(shù)據(jù)保護(hù)法是相對(duì)寬松的。從具體執(zhí)法態(tài)勢上觀察，自GDPR生效后，其執(zhí)法案例的罰款數(shù)額在100歐元至100,000歐元不等，大部分在10,000歐元以下，特別是3,000歐元以下居多。

 

（二）GDPR處罰標(biāo)準(zhǔn)的具體適用

 

1、GDPR行政罰款金額考量因素

 

GDPR第83條第（2）款列出了在具體個(gè)案中，確定是否處以行政罰款及具體的罰款數(shù)額時(shí)應(yīng)當(dāng)考慮的因素。同時(shí)歐盟法規(guī)進(jìn)一步解釋了如何在具體個(gè)案中應(yīng)用以下因素：

 

1）違法行為的性質(zhì)、持續(xù)時(shí)間以及對(duì)數(shù)據(jù)主體帶來的風(fēng)險(xiǎn)及損害

 

第一，考慮違法行為的性質(zhì)。GDPR引入了“輕微侵權(quán)”(Minor Infringement)的概念。如果監(jiān)管機(jī)構(gòu)根據(jù)第83條第2款評(píng)估標(biāo)準(zhǔn)認(rèn)為，違法行為不會(huì)對(duì)數(shù)據(jù)主體的權(quán)利構(gòu)成重大風(fēng)險(xiǎn)，那么罰款可以（但并非總是）被警告、譴責(zé)所代替。如果評(píng)判認(rèn)為需要采取罰款作為糾正措施，則將適用第83條第4-6款的分級(jí)制度。

 

第二，考慮違法行為的持續(xù)時(shí)間。違法行為的后果一般具有難以控制的特點(diǎn)，因此在計(jì)算違法行為截止時(shí)間時(shí)需要評(píng)判是否符合以下三種情形：數(shù)據(jù)控制者的故意行為、未采取適當(dāng)?shù)念A(yù)防措施以及未采取必要的技術(shù)和組織措施。如果符合上述任何一個(gè)情形，則可認(rèn)定違法行為還在持續(xù)。

 

第三，考慮違法行為對(duì)數(shù)據(jù)主體帶來的風(fēng)險(xiǎn)及損害。根據(jù)GDPR第75條，因處理個(gè)人數(shù)據(jù)而對(duì)自然人權(quán)利和自由產(chǎn)生的風(fēng)險(xiǎn)，按可能性和嚴(yán)重性的不同，可能在以下情況下對(duì)數(shù)據(jù)主體造成人身、重大或非重大的損害：歧視、身份盜用或詐騙、財(cái)產(chǎn)損失、名譽(yù)損失、具有職業(yè)保密性的個(gè)人數(shù)據(jù)被公開、未經(jīng)授權(quán)移除假名化處理；數(shù)據(jù)主體喪失對(duì)其個(gè)人數(shù)據(jù)的權(quán)利和自由，無法對(duì)其個(gè)人數(shù)據(jù)行使控制權(quán)；處理特殊類型個(gè)人數(shù)據(jù)；為創(chuàng)建個(gè)人數(shù)據(jù)畫像而分析個(gè)人數(shù)據(jù)，特別是對(duì)工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、個(gè)人偏好或興趣、信用評(píng)價(jià)或行為、地點(diǎn)及活動(dòng)進(jìn)行分析和預(yù)測；對(duì)兒童數(shù)據(jù)的處理；處理行為涉及的個(gè)人數(shù)據(jù)和影響的數(shù)據(jù)主體數(shù)量較大的情況。

 

2）違法行為是否出于故意或過失

 

出于故意的違法行為比過失更具有苛責(zé)性，因此更有可能被處以行政罰款。在個(gè)案處理中，故意的表現(xiàn)行為可能有以下幾種情形：數(shù)據(jù)控制者的最高管理層明確授權(quán)的非法處理、不顧數(shù)據(jù)保護(hù)官的建議或者無視現(xiàn)有政策違規(guī)處理個(gè)人數(shù)據(jù)、對(duì)個(gè)人數(shù)據(jù)進(jìn)行惡意修改企圖達(dá)到誤導(dǎo)性效果。過失的表現(xiàn)行為可能有以下幾種情形：未能閱讀和遵守現(xiàn)行政策、人為錯(cuò)誤、未檢查所發(fā)布信息中的個(gè)人數(shù)據(jù)、未及時(shí)更新應(yīng)用技術(shù)、未制定政策（而不僅僅是不執(zhí)行政策）。

 

數(shù)據(jù)控制者和處理者有義務(wù)采用適合其業(yè)務(wù)性質(zhì)和復(fù)雜性的技術(shù)和組織措施。資源短缺不能作為違法行為合法化的借口。

 

3）控制者或處理者為減輕數(shù)據(jù)主體遭受的損害而采取的補(bǔ)救措施

 

當(dāng)發(fā)生違法行為并且對(duì)數(shù)據(jù)主體帶來損害時(shí)，責(zé)任方應(yīng)盡一切可能降低對(duì)數(shù)據(jù)主體的不利影響。監(jiān)管機(jī)構(gòu)在進(jìn)行處罰考量時(shí)，很大程度上會(huì)考慮責(zé)任方是否采取了補(bǔ)救措施，作為決定采用何種制裁手段亦或是加重/減輕處罰程度的重要衡量要素。各成員國監(jiān)管案例表明，監(jiān)管機(jī)構(gòu)對(duì)于那些承認(rèn)其違法并負(fù)責(zé)地糾正其行為影響的數(shù)據(jù)控制者或處理者更有可能從寬處罰。

 

4）數(shù)據(jù)控制者或處理者的責(zé)任程度，應(yīng)基于其實(shí)施的數(shù)據(jù)安全保障技術(shù)和組織措施來考量。

 

GDPR引入了問責(zé)制，要求控制者遵守個(gè)人數(shù)據(jù)處理的基本原則，并能夠自我證明。根據(jù)GDPR第24、25、32條規(guī)定，評(píng)估控制者或處理者的責(zé)任程度可以從以下幾個(gè)方面入手：①控制者是否實(shí)施了特殊設(shè)計(jì)和默認(rèn)數(shù)據(jù)保護(hù)設(shè)計(jì)的技術(shù)措施（第25條）；②控制者是否在組織所有級(jí)別中采取了特殊設(shè)計(jì)和默認(rèn)數(shù)據(jù)保護(hù)設(shè)計(jì)的組織措施（第25條）；③控制者/處理者是否實(shí)施了合適的安全保障（第32條）；④相關(guān)的數(shù)據(jù)保護(hù)日常工作/政策是否被組織的適當(dāng)管理級(jí)別所知曉和應(yīng)用（第24條）。

 

5）控制者或處理者以前的相關(guān)違法行為

 

該標(biāo)準(zhǔn)旨在評(píng)估實(shí)施侵權(quán)的實(shí)體的歷史行為記錄。評(píng)估以前的相關(guān)違法行為，意味著監(jiān)管部門應(yīng)評(píng)估的范圍相當(dāng)廣泛，涉及到責(zé)任主體可能存在與目前監(jiān)管部門正在調(diào)查的違法行為不同性質(zhì)的其他違法行為，以此來審查責(zé)任主體是否在總體上對(duì)數(shù)據(jù)保護(hù)規(guī)則了解不足或無視。

監(jiān)管機(jī)構(gòu)可能會(huì)從兩個(gè)維度對(duì)責(zé)任主體的歷史行為進(jìn)行評(píng)估：①控制者/處理者之前是否也實(shí)施了相同的違法行為？②控制者/處理者是否以同樣的方式違反了數(shù)據(jù)保護(hù)法的其他規(guī)定？例如，由于不適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估導(dǎo)致無法及時(shí)響應(yīng)數(shù)據(jù)主體的請(qǐng)求、無正當(dāng)理由延遲響應(yīng)請(qǐng)求等。

 

6）與監(jiān)管機(jī)構(gòu)配合的程度

 

監(jiān)管機(jī)構(gòu)在決定是否處以行政罰款和決定罰款數(shù)額時(shí)，會(huì)對(duì)責(zé)任主體與監(jiān)管機(jī)構(gòu)的配合程度給予適當(dāng)考慮。配合監(jiān)管機(jī)構(gòu)的執(zhí)法需求本身就是一項(xiàng)應(yīng)盡的義務(wù)，但并非所有的配合都能成為“從寬處理”的理由。只有在調(diào)查階段對(duì)監(jiān)管機(jī)構(gòu)的請(qǐng)求作出積極響應(yīng)并盡量減少對(duì)個(gè)人權(quán)利的影響，才可能被給予“適當(dāng)考慮”的機(jī)會(huì)。

 

7）受違法行為影響的個(gè)人數(shù)據(jù)的類別

 

該標(biāo)準(zhǔn)表明根據(jù)受影響的個(gè)人數(shù)據(jù)類別，監(jiān)管機(jī)構(gòu)將給予不同程度的處罰等級(jí)。針對(duì)敏感、特殊、安全性差、可直接識(shí)別的或具有較大風(fēng)險(xiǎn)的個(gè)人數(shù)據(jù)，需要更高的保護(hù)要求。在進(jìn)行評(píng)估時(shí)，應(yīng)考慮以下關(guān)鍵問題：

 

① 侵權(quán)是否涉及處理特殊類型個(gè)人數(shù)據(jù)以及有關(guān)刑事定罪和犯罪的個(gè)人數(shù)據(jù)；

② 數(shù)據(jù)是否可以直接識(shí)別/間接識(shí)別特定自然人；

③ 數(shù)據(jù)處理是否對(duì)個(gè)人造成直接損害/損失（除第一種情況外的其他數(shù)據(jù)）；

④ 數(shù)據(jù)是否直接可獲取而沒有技術(shù)保護(hù)，或是否采取了加密措施。

 

8）監(jiān)管機(jī)構(gòu)獲知違法行為的方式

 

監(jiān)管部門可能會(huì)因?yàn)檎{(diào)查、投訴、報(bào)刊新聞、匿名舉報(bào)或數(shù)據(jù)控制者的通知而了解到侵權(quán)情況?？刂普哂辛x務(wù)將個(gè)人數(shù)據(jù)泄露情況通知監(jiān)管機(jī)構(gòu)。但當(dāng)控制者僅僅履行這一義務(wù)時(shí)，對(duì)該義務(wù)的遵守不能作為減輕責(zé)任的理由。

 

9）相關(guān)控制者或處理者對(duì)制裁措施的遵守情況

 

監(jiān)管機(jī)構(gòu)依據(jù)GDPR第58條第2款作出制裁后，相關(guān)控制者或處理者可能被置于監(jiān)管機(jī)構(gòu)的監(jiān)測范圍中，以便監(jiān)督對(duì)制裁措施的遵守情況。此評(píng)估標(biāo)準(zhǔn)旨在提醒監(jiān)管機(jī)構(gòu)注意此前針對(duì)同一控制者或處理者“同一違法事由”發(fā)布的制裁措施，以保證制裁的一致性。

 

10）對(duì)批準(zhǔn)的行為準(zhǔn)則或認(rèn)證機(jī)制的遵守情況

 

如果控制者或處理者遵守了經(jīng)批準(zhǔn)的行為守則，負(fù)責(zé)監(jiān)督行為準(zhǔn)則遵守情況的機(jī)構(gòu)可對(duì)其成員的不合規(guī)行為采取監(jiān)督措施。此時(shí)，該機(jī)構(gòu)的監(jiān)督措施是可以受到監(jiān)管機(jī)構(gòu)認(rèn)可的，即認(rèn)為這些措施是有效的、相稱的或勸阻性的，而無需由監(jiān)管機(jī)構(gòu)采取額外制裁措施。然而，該機(jī)構(gòu)的監(jiān)督權(quán)力不影響監(jiān)管機(jī)構(gòu)的權(quán)力，這意味著監(jiān)管機(jī)構(gòu)如認(rèn)為有必要，可獨(dú)立作出制裁手段，無需考慮依據(jù)行為準(zhǔn)則已采取的監(jiān)督措施。

 

11）其他加重或減輕因素

 

該標(biāo)準(zhǔn)旨在考慮其他加重或減輕因素，以便對(duì)個(gè)案作出更為合適的處罰措施。可以考慮的其他因素范圍較廣，除上述標(biāo)準(zhǔn)外的所有其他因素都包含在內(nèi)，例如責(zé)任主體面臨破產(chǎn)等特殊情形。其中關(guān)于因違法行為直接或間接獲得的經(jīng)濟(jì)利益或避免的損失，對(duì)監(jiān)管機(jī)構(gòu)尤為重要，可作為處以罰款的重要考量因素。

 

除此之外，GDPR允許各監(jiān)管機(jī)構(gòu)就是否對(duì)成員國境內(nèi)的政府機(jī)關(guān)或機(jī)構(gòu)實(shí)施行政罰款以及罰款的范圍制定細(xì)則。

 

2、重點(diǎn)國家行政罰款金額計(jì)算模型

 

（1）德國計(jì)算模型

 

《德國聯(lián)邦和州獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu)關(guān)于確定企業(yè)罰款數(shù)額的指南》是由德國聯(lián)邦和州獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu)會(huì)議（DSK）發(fā)布的關(guān)于GDPR適用的指導(dǎo)性文件，用于確定企業(yè)違反GDPR的罰款金額。該指南進(jìn)一步細(xì)化了GDPR第83條的內(nèi)容，目的在于為數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)提供一種統(tǒng)一的方法，以系統(tǒng)、透明和可理解的方式評(píng)估、確定罰款數(shù)額。該指南遵循GDPR立法本意，即通過與受罰企業(yè)營業(yè)額相關(guān)聯(lián)來確保罰款的有效性、相稱性和勸阻作用。該指南不具有法律約束力，但基于DSK及其成員機(jī)構(gòu)的權(quán)威地位，其發(fā)布的文件實(shí)際上會(huì)對(duì)數(shù)據(jù)保護(hù)的實(shí)踐產(chǎn)生一定影響。

 

該指南提出了提出了“五步法”來確定企業(yè)罰款數(shù)額：

 

 

1）根據(jù)企業(yè)規(guī)模進(jìn)行分類

 

對(duì)于集團(tuán)型企業(yè)，一個(gè)關(guān)鍵問題是罰款金額是根據(jù)單個(gè)企業(yè)的營業(yè)額還是整個(gè)集團(tuán)的營業(yè)額進(jìn)行計(jì)算。GDPR第83條規(guī)定對(duì)“企業(yè)”處以罰款，DSK指出，該術(shù)語的含義與反托拉斯法中使用的含義相同，其結(jié)果是母企業(yè)和子企業(yè)被視為一個(gè)經(jīng)濟(jì)單位（“企業(yè)”），因此企業(yè)集團(tuán)的總營業(yè)額將被用作計(jì)算罰款的基礎(chǔ)。

 

根據(jù)企業(yè)（集團(tuán)）上一年度全球營業(yè)總額，以“2,000,000歐元、10,000,000歐元、50,000,000歐元”為分界線，可將企業(yè)分為微型企業(yè)（A類）、小型企業(yè)（B類）、中型企業(yè)（C類）和大型企業(yè)（D類）四類。每種類別下又可細(xì)分三到七個(gè)小類。

 

2）確定企業(yè)平均年度營業(yè)額

 

對(duì)企業(yè)所屬的規(guī)模類別對(duì)應(yīng)的上一年度全球營業(yè)總額區(qū)間范圍，采區(qū)間中位數(shù)得出其平均年度營業(yè)額（與企業(yè)自身的具體年度營業(yè)額無關(guān)）。如果企業(yè)上一年度的年?duì)I業(yè)額少于50,000,000歐元，則DSK根據(jù)在步驟1中分類的子組，為企業(yè)分配固定的“平均年度營業(yè)額”。

 

3）核定經(jīng)濟(jì)基本值（每日罰款金額）

 

平均年度營業(yè)額除以360（天）得到的四舍五入整數(shù)，相當(dāng)于每日罰款金額，即經(jīng)濟(jì)基本值。

 

* 上一年度全球營業(yè)額500,000,000以上的企業(yè)，罰款根據(jù)各企業(yè)的實(shí)際營業(yè)額計(jì)算，對(duì)其進(jìn)行的罰款的最高限額為其上一年度全球營業(yè)額的2%或4%。

表4 德國核定經(jīng)濟(jì)基本值（每日罰款金額）方法一覽

 

4）依據(jù)違法行為嚴(yán)重程度得出初步處罰金額

 

違法行為風(fēng)險(xiǎn)系數(shù)是指在具體個(gè)案中，違法行為對(duì)數(shù)據(jù)主體帶來的可能不利影響的數(shù)值化體現(xiàn)。違法行為風(fēng)險(xiǎn)系數(shù)會(huì)根據(jù)違法行為對(duì)應(yīng)的處罰標(biāo)準(zhǔn)和本身嚴(yán)重程度發(fā)生變化。將違法行為風(fēng)險(xiǎn)系數(shù)與經(jīng)濟(jì)基本值相乘得出的數(shù)值，將作為初步處罰金額。

 

根據(jù)GDPR第83條第2款規(guī)定，違法行為的嚴(yán)重程度分為四類：輕度、中度、嚴(yán)重和非常嚴(yán)重。根據(jù)以上因素評(píng)判違法行為的嚴(yán)重程度，得出下列違法行為風(fēng)險(xiǎn)系數(shù)區(qū)間。在個(gè)案中，監(jiān)管部門擁有自由裁量權(quán)，可根據(jù)個(gè)案的具體情況確定違法行為風(fēng)險(xiǎn)系數(shù)。

 

表5 風(fēng)險(xiǎn)系數(shù)確定方法一覽

 

嚴(yán)重程度將根據(jù)具體情況確定。例如，發(fā)送未經(jīng)請(qǐng)求的電子郵件廣告可能被視為輕度侵權(quán)，而未經(jīng)授權(quán)監(jiān)視員工則被視為嚴(yán)重侵權(quán)，但是在此階段沒有進(jìn)一步的指導(dǎo)。

 

嚴(yán)重程度評(píng)估方法是將“每日罰款金額”乘以與相關(guān)嚴(yán)重程度級(jí)別對(duì)應(yīng)的乘數(shù)范圍來確定。

 

5）考慮其他情形確定最終處罰金額

 

結(jié)合在以上步驟中未考慮到的其他情形（可能對(duì)違法主體有利或不利），對(duì)初步處罰金額進(jìn)行進(jìn)一步調(diào)整。最后階段需要考慮的情形包括違法行為的整體情形（參見GDPR第83條第2款），以及其他特殊情形，例如程序期限較長、企業(yè)面臨破產(chǎn)等。

 

（2）荷蘭計(jì)算模型

 

荷蘭具體采用的處罰模式是AP將違反GDPR及其所管轄的違反其他法律規(guī)定的行為分為四個(gè)級(jí)別：

 

1. 第一級(jí)：一般違規(guī)，例如隱私聲明中缺少有關(guān)DPO的信息等；

2. 第二級(jí)：不符合某些處理?xiàng)l件，例如缺少與處理者的處理協(xié)議；

3. 第三級(jí)：違反義務(wù)的行為，如未報(bào)告數(shù)據(jù)泄露或拒絕與監(jiān)管機(jī)構(gòu)合作；

4. 第四級(jí)：嚴(yán)重違法，如非法處理特殊類型的個(gè)人數(shù)據(jù)。

 

AP針對(duì)這四個(gè)級(jí)別逐級(jí)處以遞增罰款金額。級(jí)別的劃定由違法行為的嚴(yán)重性決定，針對(duì)每一級(jí)別違法行為劃定罰款范圍，并取罰款區(qū)間的中位數(shù)作為基本罰款數(shù)額。該罰款模型的依據(jù)是AP于2019年2月19日發(fā)布的《關(guān)于確定行政罰款水平的規(guī)則》。具體罰款數(shù)額等級(jí)規(guī)定如下：

 

表6 荷蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)發(fā)布的罰款計(jì)算模型

 

表7 荷蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)發(fā)布的違法行為類型

 

 

 

04

對(duì)企業(yè)數(shù)據(jù)保護(hù)合規(guī)風(fēng)險(xiǎn)管控的實(shí)際應(yīng)用

 

在“GDPR強(qiáng)執(zhí)行時(shí)代”，企業(yè)需要做好一系列合規(guī)應(yīng)對(duì)準(zhǔn)備：首先，須清楚自身數(shù)據(jù)處理場景和管控點(diǎn)；其次，須在整個(gè)企業(yè)的各個(gè)部門不斷改進(jìn)數(shù)據(jù)保護(hù)合規(guī)性；最后，企業(yè)須在潛在制裁之前制定應(yīng)對(duì)策略，以便有效消減數(shù)據(jù)保護(hù)機(jī)構(gòu)的罰款或其他制裁風(fēng)險(xiǎn)。

 

（一）對(duì)企業(yè)數(shù)據(jù)保護(hù)合規(guī)風(fēng)險(xiǎn)管理的實(shí)際應(yīng)用

 

1、處罰標(biāo)準(zhǔn)在風(fēng)險(xiǎn)評(píng)估中的應(yīng)用

 

GDPR對(duì)控制者和處理者承擔(dān)的義務(wù)根據(jù)其性質(zhì)進(jìn)行了分類，并規(guī)定了兩種不同類型的處罰標(biāo)準(zhǔn)，對(duì)于某些違法行為的處罰程度會(huì)更嚴(yán)重。對(duì)違法行為性質(zhì)的分類思路，可用于企業(yè)數(shù)據(jù)保護(hù)合規(guī)風(fēng)險(xiǎn)評(píng)估及高危業(yè)務(wù)場景的治理思路中，區(qū)分企業(yè)合規(guī)義務(wù)的風(fēng)險(xiǎn)等級(jí)，優(yōu)先重點(diǎn)治理高危風(fēng)險(xiǎn)。

 

2、數(shù)據(jù)保護(hù)合規(guī)風(fēng)險(xiǎn)信號(hào)梳理

 

通過對(duì)歐盟數(shù)據(jù)保護(hù)行政罰款制裁規(guī)則的分析研究，本文對(duì)企業(yè)可能涉及的風(fēng)險(xiǎn)信號(hào)進(jìn)行梳理，并在高危風(fēng)險(xiǎn)領(lǐng)域進(jìn)行示范性應(yīng)用，盡最大可能降低處罰風(fēng)險(xiǎn)。

 

表8 影響因素與風(fēng)險(xiǎn)信號(hào)對(duì)應(yīng)關(guān)系表

 

3、高危風(fēng)險(xiǎn)領(lǐng)域的合規(guī)管控應(yīng)用

 

（1）IT系統(tǒng)安全

 

應(yīng)及時(shí)解決進(jìn)行個(gè)人數(shù)據(jù)處理活動(dòng)的IT系統(tǒng)故障，不得忽視系統(tǒng)存在的經(jīng)常性異常問題：

 

1. 企業(yè)政策中規(guī)定數(shù)據(jù)庫備份應(yīng)加密；如存在不加密情形，應(yīng)制定例外情形及流程，說明不加密的原因、可能存在的風(fēng)險(xiǎn)以及減少或避免風(fēng)險(xiǎn)的替代措施，并保存相關(guān)記錄；

2. 及時(shí)修復(fù)監(jiān)測到的漏洞，存在修復(fù)難度的應(yīng)進(jìn)行記錄或備案；

3. 應(yīng)關(guān)注已公開的漏洞信息，及時(shí)修復(fù)低難度漏洞；

4. 操作系統(tǒng)安全更新方面，設(shè)備和軟件在使用壽命終止時(shí)應(yīng)當(dāng)及時(shí)替換或增強(qiáng)，應(yīng)隨時(shí)更新設(shè)備和軟件；

5. 應(yīng)停用所有未使用的端口，從而最小化攻擊點(diǎn)；

6. 個(gè)人數(shù)據(jù)處理系統(tǒng)應(yīng)安裝防病毒功能軟件；

7. 應(yīng)及時(shí)更新解決公開已知漏洞的補(bǔ)丁，并保存補(bǔ)丁管理日志；

8. 應(yīng)定期進(jìn)行滲透率測試，并進(jìn)行記錄保存；

9. 在發(fā)生物理或技術(shù)事故時(shí)及時(shí)恢復(fù)數(shù)據(jù)，保證服務(wù)和功能的可用性和訪問；

10. 定期開展公開漏洞審查，證明IT系統(tǒng)在現(xiàn)有技術(shù)中正確實(shí)施了必要的安全功能的測試，通過滲透測試評(píng)估其對(duì)熟練攻擊者的抵抗能力。

 

（2）第三方管理

 

企業(yè)須格外注意與第三方合作，特別是在數(shù)據(jù)交互時(shí)的數(shù)據(jù)安全風(fēng)險(xiǎn)把控。第三方包括客戶、供應(yīng)商及其他合作伙伴。在與客戶的數(shù)據(jù)交互關(guān)系中，企業(yè)作為處理者，須關(guān)注確認(rèn)數(shù)據(jù)接收的來源合法性；在與供應(yīng)商及其他合作伙伴的數(shù)據(jù)交互關(guān)系中，企業(yè)作為控制者，須關(guān)注數(shù)據(jù)共享管理與監(jiān)督審查管理。

 

1）客戶數(shù)據(jù)交互管理

 

須確認(rèn)從客戶接收數(shù)據(jù)的來源合法性：企業(yè)作為數(shù)據(jù)處理者，從客戶獲取個(gè)人數(shù)據(jù)，要求與客戶簽署數(shù)據(jù)處理協(xié)議，明確各自職責(zé)，并要求客戶保證其向企業(yè)提供數(shù)據(jù)和授權(quán)使用是合法的行為，在授權(quán)范圍內(nèi)嚴(yán)格遵守客戶要求進(jìn)行數(shù)據(jù)處理和安全保障。

 

2）供應(yīng)商及其他合作伙伴數(shù)據(jù)交互管理

 

合作前須要求簽署數(shù)據(jù)處理協(xié)議，明確供應(yīng)商及其他合作伙伴數(shù)據(jù)處理規(guī)則和要求、責(zé)任分配以及違約處罰規(guī)定（包括但不限于罰款賠償、終止合作等）；須審查供應(yīng)商及其他合作伙伴的數(shù)據(jù)安全管理能力，要求具備適當(dāng)?shù)陌踩胧?/span>

 

合作中須監(jiān)督供應(yīng)商及其他合作伙伴對(duì)于數(shù)據(jù)處理規(guī)則的遵守情況，尤其是對(duì)個(gè)人數(shù)據(jù)使用清單的管理程序與使用規(guī)則以及關(guān)于數(shù)據(jù)主體權(quán)利的同步傳遞；要求合作方提供適當(dāng)文件以證明相關(guān)義務(wù)的有效履行；對(duì)合作方的工作進(jìn)行定期檢查以及必要時(shí)使用其信息系統(tǒng)進(jìn)行合規(guī)測試；若供應(yīng)商及其他合作伙伴存在違規(guī)數(shù)據(jù)處理行為，要求其進(jìn)行整改，并進(jìn)行賠償，嚴(yán)重的終止合作。

 

合作結(jié)束后須監(jiān)督供應(yīng)商及其他合作伙伴對(duì)數(shù)據(jù)銷毀或回傳要求的執(zhí)行。

 

（3）數(shù)據(jù)主體行權(quán)

 

1）確保企業(yè)具備響應(yīng)數(shù)據(jù)主體請(qǐng)求訪問其個(gè)人數(shù)據(jù)的能力和流程機(jī)制，包括:a.記錄與數(shù)據(jù)主體相關(guān)的數(shù)據(jù)處理活動(dòng)；b.規(guī)定明確的數(shù)據(jù)留存和存儲(chǔ)期限；c.告知數(shù)據(jù)主體其享有拒絕權(quán)、限制權(quán)和被遺忘權(quán)（刪除權(quán)）等基本權(quán)利；

 

2）設(shè)定適當(dāng)?shù)脑L問權(quán)限管理，通過收集和修正這些個(gè)人數(shù)據(jù)跨系統(tǒng)搜索的能力，以有效響應(yīng)數(shù)據(jù)主體的訪問權(quán)、刪除權(quán)、可攜權(quán)請(qǐng)求，包括但不限于企業(yè)控制的電子郵件系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序，文件服務(wù)器，文件共享，云共享和同步服務(wù)，其他協(xié)作系統(tǒng)和電子郵件檔案；此外，還需要識(shí)別企業(yè)直接控制范圍之外的數(shù)據(jù)系統(tǒng)和裝置，并對(duì)其進(jìn)行分類管理。例如，禁止不加管控地使用云存儲(chǔ)服務(wù)，特別是企業(yè)數(shù)據(jù)同步到云存儲(chǔ)服務(wù)，然后通過云服務(wù)同步到非企業(yè)設(shè)備（如個(gè)人移動(dòng)設(shè)備和家用電腦等）；

 

3）在GDPR及其他法律規(guī)定的時(shí)間內(nèi)對(duì)個(gè)人數(shù)據(jù)主體訪問、更正或刪除個(gè)人數(shù)據(jù)的請(qǐng)求進(jìn)行回復(fù)，不得設(shè)置繁瑣和付費(fèi)的人工處理流程，用戶撤回同意的操作必須像給出同意一樣簡單。

 

4）針對(duì)數(shù)據(jù)可攜權(quán)的行權(quán)請(qǐng)求，要使用可讀的數(shù)字格式，并在數(shù)據(jù)主體提出要求時(shí)，直接傳輸所請(qǐng)求的數(shù)據(jù)到新的數(shù)據(jù)控制者；要確保、驗(yàn)證數(shù)據(jù)導(dǎo)出能力，以保證能夠快速響應(yīng)數(shù)據(jù)可攜權(quán)請(qǐng)求，無需依賴手動(dòng)導(dǎo)出。

 

（4）數(shù)據(jù)泄露

為降低數(shù)據(jù)泄露風(fēng)險(xiǎn)，企業(yè)須進(jìn)行事前預(yù)防保障、事中應(yīng)急響應(yīng)、事后安全加固。

 

1）事前預(yù)防保障

 

企業(yè)在常規(guī)工作中須采取適當(dāng)且足夠的技術(shù)和組織措施保障數(shù)據(jù)的保密性、完整性和可用性，具體包括以下保障措施：數(shù)據(jù)在使用、存儲(chǔ)和傳輸過程中采用加密或去標(biāo)識(shí)化處理方式，可以防止大多數(shù)數(shù)據(jù)的泄露；引入數(shù)據(jù)損失預(yù)防（DLP）功能，檢查數(shù)據(jù)流并識(shí)別不受足夠的安全保護(hù)或授權(quán)的個(gè)人數(shù)據(jù)等。

 

2）事中應(yīng)急響應(yīng)

 

為縮短事件處理整體時(shí)長以及提高數(shù)據(jù)泄露風(fēng)險(xiǎn)評(píng)估水平，企業(yè)可考慮以下優(yōu)化點(diǎn)：

 

1. 建立數(shù)據(jù)泄露的自評(píng)估工具，快速解決是否需要報(bào)告監(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體問題；

2. 建立數(shù)據(jù)泄露外部報(bào)告的工具，改變?cè)谙鄳?yīng)過程中先描寫后提取報(bào)告要點(diǎn)的方式，在確定數(shù)據(jù)泄露事件并需要外部報(bào)告后，在流程中設(shè)計(jì)、嵌入并依托報(bào)告工具，一次性完成外部報(bào)告要點(diǎn)的填報(bào)工作，縮短數(shù)據(jù)泄露通知時(shí)間。

    

3）事后安全加固

 

對(duì)于泄露原因進(jìn)行復(fù)盤整改，防止以后再次因?yàn)橥瑯拥膯栴}發(fā)生數(shù)據(jù)泄露。

 

（二）對(duì)數(shù)據(jù)保護(hù)合規(guī)領(lǐng)域風(fēng)險(xiǎn)事件的實(shí)際應(yīng)用 

 

1、完善數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制

 

當(dāng)企業(yè)面臨數(shù)據(jù)或網(wǎng)絡(luò)安全事件時(shí)，需根據(jù)事先制定的應(yīng)急預(yù)案及時(shí)采取應(yīng)急響應(yīng)措施，并妥善、高效地進(jìn)行應(yīng)急處理，包括通知個(gè)人信息主體和政府，報(bào)告有關(guān)事項(xiàng)。數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制包括三個(gè)維度內(nèi)容，具體如下：

 

（1）應(yīng)急預(yù)案制定與演練：根據(jù)法律法規(guī)和指導(dǎo)性文件的要求，制定應(yīng)急預(yù)案，定期進(jìn)行應(yīng)急響應(yīng)演練；

（2）人員告知及配合監(jiān)管：通知受影響的相關(guān)人員，例如客戶、商業(yè)伙伴、消費(fèi)者以及監(jiān)管機(jī)構(gòu)，協(xié)調(diào)配合相關(guān)監(jiān)管機(jī)構(gòu)、高級(jí)管理人員、董事會(huì)和審計(jì)人員；

（3）提升公關(guān)與溝通策略：回應(yīng)政府調(diào)查、媒體監(jiān)督。

 

2、搭建數(shù)據(jù)處理記錄平臺(tái)及流程嵌入

 

目前，許多企業(yè)在數(shù)據(jù)處理記錄方面存在較大困難與挑戰(zhàn)，主要來源于：①業(yè)務(wù)活動(dòng)復(fù)雜，導(dǎo)致數(shù)據(jù)處理記錄工作本身嵌入流程難度較大；②目前主要依托于表格填報(bào)方式，不便于統(tǒng)計(jì)、分析以及必要時(shí)快速調(diào)用，尤其在向監(jiān)管機(jī)構(gòu)舉證場景中。

 

通過系統(tǒng)化、平臺(tái)化的數(shù)據(jù)處理記錄流程嵌入，設(shè)計(jì)界面簡潔、可操作性強(qiáng)的記錄流程進(jìn)行有效嵌入，有利于提高數(shù)據(jù)處理記錄的效率與統(tǒng)一性，幫助企業(yè)快速完成合規(guī)舉證。

 

 

 

05

結(jié)語

 

目前僅部分歐盟成員國發(fā)布了數(shù)據(jù)保護(hù)行政罰款的實(shí)施細(xì)則，未來歐盟層面及更多成員國將出臺(tái)進(jìn)一步指引，為監(jiān)管實(shí)踐提供指導(dǎo)，同時(shí)為企業(yè)指明以風(fēng)險(xiǎn)為導(dǎo)向的企業(yè)數(shù)據(jù)保護(hù)合規(guī)治理方案。企業(yè)數(shù)據(jù)保護(hù)合規(guī)治理道阻且長，數(shù)據(jù)保護(hù)合規(guī)有關(guān)部門亦應(yīng)上下而求索，依據(jù)現(xiàn)有規(guī)則探索合規(guī)路徑，而不能靜待監(jiān)管側(cè)指引的出臺(tái)被動(dòng)響應(yīng)，這也正是本文的研究意義與價(jià)值所在。

 

注釋：

 

[1] 第29條工作組由各成員國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的代表組成，為獨(dú)立的工作組，主要負(fù)責(zé)監(jiān)測數(shù)據(jù)保護(hù)指令在成員國的統(tǒng)一執(zhí)行。

[2]eIDAS,全稱為Electronic Identification Authentication and trust Services，是歐盟旨在加強(qiáng)市民、商務(wù)和公共機(jī)構(gòu)之間跨境使用電子交易產(chǎn)生信任問題的法規(guī)。該法規(guī)一個(gè)重要的組成部分是為了創(chuàng)建一個(gè)共同的確保安全的電子簽名框架，包括標(biāo)準(zhǔn)化的保證級(jí)別，促進(jìn)歐盟各成員國之間的互通性。

[3] 封存義務(wù)：NLOPD規(guī)定，在數(shù)據(jù)主體行使更正權(quán)或刪除權(quán)以后，控制者應(yīng)封存相關(guān)個(gè)人數(shù)據(jù)，以便在特定情況下仍然可供相關(guān)公共機(jī)構(gòu)使用。如果無法封存?zhèn)€人數(shù)據(jù)或者實(shí)施難度過大，可采取其他替代方案。

[4] 《隱私法案》的最新修訂版于2019年4月26日生效。

[5] 信息社會(huì)服務(wù)（Information Society Service）,根據(jù)GDPR序言部分第25條，是指歐盟議會(huì)及理事會(huì)頒布的《關(guān)于制定技術(shù)規(guī)范信息和信息社會(huì)服務(wù)規(guī)則的提供程序的指令》[Directive(EU)2015/1535]第1條第1款(b)項(xiàng)所定義的服務(wù)，具體指任何（通常為）有償、遠(yuǎn)程、以電子方式和根據(jù)服務(wù)接受者的個(gè)別要求提供的服務(wù)。

 

本文作者：W.YY，X.M

來源：全球法律政策研究 合規(guī)小叨客