GDPR实施一周年 开出近5600万欧元罚单

GDPR实施之后，牛津大学的一项研究发现，未经用户同意而设置的新闻网站上的cookie数量下降了22％。DLAPipe的调查结果显示，在2018年5月至2019年1月期间，监管机构共收到59,000多份个人数据泄露事件的通报（来自荷兰、德国和英国的案件占比最多），并处以91次罚款，其中大多为小额罚款。EDPB的报告显示，GDPR实施一年以来，欧盟当局收到了约145000份数据安全相关的投诉和问题举报；整个欧洲经济区的各个国家监管机构则一共上报了206326起案例（近一半是投诉；约三分之一涉及数巨泄露通知；剩下的是其他问题）。

  在一年时间内，监管机构共解决了52%的案例；共判处55,955,871欧元行政罚款。其中，较为重大的处罚或调查、投诉案例如下：

  1. 爱尔兰数据保护委员会（Data ProtectionCommission, DPC）近日启动19项法定调查，其中11项重点关注Facebook、WhatsApp和Instagram。此外，谷歌/Twitter和领英也在接受调查；

  2. 法国数据保护机构CNIL向谷歌发出了5000万欧元的罚款，原因是因谷歌在个性化广告方面“缺乏透明度，信息提供不充分，且未获得用户的有效同意 ” ；

  3.    荷兰数据保护执法机构向Uber开出60万欧元罚单，因为Uber发生数据泄露事件但未按规定进行报告；

  4.    奥地利先后开出三次罚单，但金额在300欧元至4800欧元之间，合计金额很小

  此外，苹果、微软、Twitter、WhatsApp、Instagram等企业也都遭到投诉或调查、处罚。不过，沸沸扬扬的FaceBook剑桥分析事件却因为发生在GDPR正式实施之前，因此其处罚并未按照GDPR的规定实施，而是遵循旧有《1998数据保护法案》，对FaceBook开出最高额罚款50万元。此外，2018年12月，意大利竞争管理局对Facebook处以两项总计1000万欧元的罚款，理由之一是FaceBook在劝说用户在其平台上注册过程中并未告知其可能会被收集数据，并用于商业目的；理由之二是FaceBook将用户数据提供给第三方。但这些处罚也并非是基于GDPR，而是由于意大利2018年4月开展的独立调查。

  促进全球其他各地区立法

  GDPR正式实施之后，全球其他国家或地区也先后加强数据保护立法：

  美国加州：制定《加州消费者保护法案》，将于2020年生效

  印度：制定本地数据保护法草案，与GDPR性质类似

  新加坡：成立公共机构数据安全检讨委员会，以加强对公民数据的保护

  中国：《数据安全管理办法（征求意见稿）》 发布

  此外，包括中国在内的其他国家或地区也在逐步设立或细化能够支撑数据保护相关条例实施的细则。很明显，GDPR带来了全球隐私保护立法的热潮，并成功提升了社会各领域对于数据保护的重视。在全球范围类，数据保护法规都将变得越来越严格，企业也依旧面临着挑战。

  来源：Freebuf