罚款35亿，我们分析了GDPR 2年近300起罚款事件

2018年5月25日，欧盟《通用数据保护条例》（简称GDPR）正式实施。它旨在保护欧盟公民的个人数据，并对企业的数据处理提出严格要求。这部“大法”不仅取代了1995年的《计算机数据保护法》和欧盟成员国各自制定的相关法规，而且在个人隐私方面迈出一大步。

本周，GDPR实施迎来2周年。过去2年，一方面，数据泄露事件层出不穷，非法获取个人数据的行为日益猖獗，人们对隐私的担忧与日俱增；另一方面，欧洲各国加大处罚力度，受罚企业不断增多，个人隐私保护状况有所改善。并且，全球多个国家或地区也以《通用数据保护条例》GDPR为参考，制定或补充了不同的数据保护细则，比如美国加州的《CCPA》。

我们先简要回顾一下GDPR的关键信息。

GDPR影响企业

• 设立在欧盟境内的企业（控制者、处理者）
• 未在欧盟境内设立，但向欧盟境内的数据主体（自然人）提供产品和服务的企业（控制者、处理者）
• 未在欧盟境内设立，但涉及监控欧盟境内数据主体（自然人）行为的企业（控制者、处理者）
• 未在欧盟境内设立，但在欧洲成员国法律适用的地方设立的企业（控制者、处理者）

简而言之，GDPR不仅适用于欧盟境内企业组织机构，而且适用于欧盟以外的企业组织机构。

数据主体的权利

• 知情权
• 访问权
• 反对权
• 可携带权
• 纠正权
• 删除权/被遗忘权
• 限制处理权
• 免受数据画像影响

GDPR关于执法和处罚的规定

对于一般性的违法，罚款上限是1000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的2%（两者中取数额大者）；

对于严重的违法，罚款上限是2000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的4%（两者中取数额大者）。

GDPR实施后，情况怎么样。有人认为，世界变好了，人们对个人数据的控制加强，而企业也小心翼翼的对待和处理用户数据。还有些人则持相反观点，认为世界变得越来越糟糕，虽然名义上人们对个人数据拥有许多权利，但是非法收集和利用个人数据的行为不断增多，并且数据泄露事件只增不减，状况看似更加严重！

近300起罚款

为找到一些结论，我们统计了GDPR实施两年来近300起罚款。数据或许能告知我们一二。

从罚款数额来看，GDPR罚款金额有高有低，最低的一起罚款90欧元，而最高的则罚款2.04亿欧元。2019年11月8日，匈牙利一所医院因违反GDPR被罚90欧元。同样这一年，英国航空公司由于泄露50万名乘客个人信息被重罚近2.04亿欧元。

图1——罚款总额的累计过程

图2——罚款总数的累计过程

图1和图2分别以月为单位统计了罚款总额和罚款总数的累计过程。从图1，我们看到，罚款总额所占区域从2019年6月后急剧增加，可视为分水岭。具体说来，2019年之前，罚款总额（累计）不超过100万欧元，而2019年1月罚款总额（累计）达到5000万欧元，短短时间增长50倍。2019年6月，罚款总额（累计）为5200万欧元，没有跨过亿级，但是2019年7月，罚款总额（累计）高达3.6亿欧元。并且，从罚款的次数来看，2019年后，罚款次数（累计）快速增加。

图3-单月罚款总额

从单月罚款总额来看，2019年7月达到最高峰，一个月的GDPR罚款总额为3.15亿欧元，这主要源于英国航空和万豪被罚。2019年7月8日，英国数据安全监管部门——信息专员办公室（ICO）宣布，将对英国航空公司2018年客户数据遭泄露事件开出1.83亿英镑巨额罚单。仅仅一天后，英国信息专员办公室（ICO）则对万豪处以1.24亿美元的罚款，原因是万豪2018年发生客户数据泄露事件。

图4-单月罚款数

从单月罚款次数来看，总体呈上升次数，有两个时间节点比较重要。2018月12月前后，罚款次数差异较大，此前单月的罚款基本只有1次，而之后，单月罚款上升至8次。从2019年9月开始，又有一次变化，单月罚款迅速增加至10次以上。

由此可见，GDPR的罚款趋严，各国监管机构对此愈加重视。

GDPR在2018年刚开始实施时，政府监管机构的罚款力度并不大。到2019年，GDPR罚款金额不断升高，越来越多的企业组织开始收到罚单，同时监管机构行动力度加大。根据统计，GDPR罚款总额在2019年创纪录地达到4.175亿欧元，几乎是2018年罚款金额的1000倍。仅仅这一年，就有750家公司收到GDPR罚款，平均罚款金额为50万欧元，相当于389万元人民币。

图5-罚款总额最高的TOP10国家

从国家来看，我们统计出罚款总额最高的TOP 10国家，其中英国以3.15亿欧元遥遥领先，其次是法国、意大利、德国、奥地利、瑞典、荷兰、西班牙和波兰。

图6-罚款次数最多的TOP 10国家

从罚款次数来看，西班牙排名第一，罚款累计80次，其次是罗马尼亚、德国、匈牙利和保加利亚等。

综合图5和图6来看，我们看到有的国家“不出手则已，一出手惊人”，比如英国、法国，它们罚款次数虽然少，但是单笔罚款数额巨大。而有的国家罚款金额不多，但是罚款次数较多，比如西班牙、罗马尼亚。

图7-罚款原因分析

从罚款原因上看，有超过三分之一的罚款事件源于数据处理的法律依据不当，还有接近三分之一的罚款是因为未充分采取技术和管理措施确保信息安全，比如发生数据泄露事件。

最后，我们统计GDPR中的十大罚款事件

GDPR实施后，有些公司为继续开展全球化业务，开始谋求合规，而有些公司为避免处罚，撤出在欧盟的业务。

在爱加密技术副总裁兼研究院院长程智力看来，GDPR实施其最大的意义是在数字化转型中，它对个人信息以及数据做了确权，每个个人是数据的主体和相应权利的拥有者。“在数字世界里，个人数据是我们拥有的财产，以前这个数据被无限收集和肆意利用，这种做法侵犯了我们的权利。同时，另一个结果是，互联网公司快速发展，迅速壮大。而现在，运营商或服务提供者在收集我们每个人的信息或数据时，它怎么处理、怎么使用，首先需要让每个人知道。而且，它在进行操作时需要获得个人授权。”他说。

简而言之，GDPR定义了个人在数字世界中拥有数据的权利，保护了网民隐私，并降低了数据的安全风险和减少了个人隐私相关的问题。

而对国内的出海企业来说，如果想在欧洲开展业务，它必须遵守《GDPR》，去做合规，“这是一个底线”。企业首先需要研究《GDPR》的相关条款，并且引入第三方有经验的咨询公司，做相关的咨询评估，“给企业定义出相关的政策上的要求”。例如，从管理架构层面，需要设置什么岗位、流程是什么、职责是什么，“这些都要定义清楚”。在技术层面，企业需要有相应的产品、技术和解决方案去支撑运行。

程智力表示，“这些都需要一整套完整的体系去做。体系的建立需要内部有对应的岗位、对应职责和对应的管理架构，还有外部的咨询公司提供专业的意见、专业建议，并要持续进行这样的合规检查。”