×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

打开微信,扫一扫二维码
订阅我们的微信公众号

简体中文 English

更深入的数据合规与保护要求:数据侵权罚则的特别规定

更深入的数据合规与保护要求:数据侵权罚则的特别规定

IXCDC


数据侵权罚则的特别规定


一、初步分析:三维度下GDPR 对数据侵权罚则的理论规定


GDPR对数据侵权罚则的规定见于第八章,即救济、责任与惩罚一章。除GDPR外,各国设立的数据保护局或类似功能的机构具备发布具体细化罚则的依据。在数据侵权罚则的规定中,不难看出对行政罚则的重视,鉴于个人起诉数据控制者和处理者的难度较大且概率较低,行政罚则成为侵权罚则的核心是现阶段可得到推广的设立规则。


(一)GDPR对数据侵权民事责任的规定


GDPR第82条是关于获取赔偿的权利,共有六款内容。第一款是兜底性质的条款,从宏观上确认数据控制者和处理者承担民事责任的规定,即任何因为违反本条例而受到物质或非物质性伤害的人都有权从控制者或处理者那里获得对损害的赔偿。


根据第二款至第六款的规定,以流程来看,在判断民事责任时顺序是:


第一步,判断涉及数据的控制者和处理者对引起损失的事件是否有责任,并判断有责任的部分和无责任的部分;


第二步,如果对引起损失的事件无任何责任,则可以免除责任,如果对引起损失的事件有应承担责任的部分,则进入第三步;


第三步,控制者应当对其因为违反本条例的处理而受到的损害承担责任,处理者应当承担责任的情境是其没有遵守本条例明确规定的要求或当其违反控制者的合法指示;


第四步,控制者和处理者对其引起损失应承担责任的部分承担连带责任,如一方全额赔偿,则这一方可追偿另一方;


第五步,应当在成员国认可的有管辖权的法院提起诉讼请求。


(二)GDPR对数据侵权行政责任的规定


GDPR第83条确认行政罚则的一般条件,此条共有九款内容,涵盖多维度。和民事罚则类似,第一款确认行政罚则在每个案件中适用的基本原则,即有效的、成比例的和劝诫性的。


第二款是自由裁量的依据,也在可见范围内会成为各国数据保护委员会确认罚则时引用和考虑的条目,其以列点的形式确认在每个具体案件中决定是否应当进行行政处罚和相应金额时,应充分考虑的因素,是亮点,也值得逐一分析。


原则性条款是a款,宏观,结合相关处理的性质、范围或目的,被影响的数据主体的数量以及损害程度而确定的违法的性质、严重性与持续时间。


部分条款考虑处理者和控制者侵权行为发生以前、当下和察觉发生后的主观心态。b款考虑处理者和控制者的侵权行为是基于故意还是过失;f款是为了纠正违法行为和减轻违法所造成的可能负面影响而和监管机构进行合作的程度;h款监管机构得知违法行为的方式,特别是控制者或处理者是否对违法行为进行了报告,以及在何种程度上进行了报告。


部分条款考虑补救措施执行的情况。c款涉及控制者和处理者后续阶段采取的行动,即是否为减轻损失而作出什么;d款结合控制者和处理者采取的技术性与组织性措施。


部分条款考虑控制者和处理者在此次侵权之前的行为。e款针对控制者或处理者之前的所有相关违法行为;i款内容是如果对同一主题事项已经对控制者或处理者发布第58(2)条规定的措施,对这些措施是否遵守。


部分条款考虑可适用的各类加重或减轻因素。j款遵守符合第40条的已生效的行为准则或符合第42条的已生效的认证机制;g款为违法行为所影响的个人数据类型;k款对于案件情形可以适用的所有加重或减轻因素,例如因为违法而直接或间接导致的经济收益、避免的损失。


第二款到第七款以具体数字的形式确认了罚则,并划分了两类处罚标准,分别是:Ⅰ类标准:对违法企业处以最高10,000,000欧元或上一财经年度全球营业总额2%的行政罚款(以较高者为准);Ⅱ类标准:对违法企业处以最高20,000,000欧元或上一财经年度全球营业总额4%的行政罚款(以较高者为准)。第八款和第九款确认程序性保障。


(三) GDPR对数据侵权其他责任的规定


GDPR除数据侵权的民事和行政责任外,额外设立了第84条,即惩罚。此条特别针对不受行政处罚约束的违法行为,确认成员国有权利也有义务制定必要措施确保违法行为纳入约束范围的同时,确认成员国保证规则得到执行的后续步骤。而对惩罚措施的要求也同样遵照了GDPR一贯的原则,此类惩罚应当是有效的、成比例的和劝诫性的。


二、进一步探讨:EDPB的其他规定及各国规定


自2020年以来,宽限期和指导期已经结束,“GDPR强执行时代”来临。根据统计,执法案件数量呈急剧上升趋势,欧盟各国陆续开出巨额罚单,这些国家包括英国、法国、意大利、奥地利、德国、瑞典等。根据2020年的案例,可以确定两个主要的被罚款事件类型:一是数据泄露案件;二是营销类案件,包括电话营销与定向广告推送。


(一)EDPB关于侵权罚则的其他规定


除GDPR外,第29条工作组发布《GDPR行政罚款适用和设定指引》提供罚款考虑因素指导建议,这一指引已被欧盟数据保护委员会批准通过。


(二) 欧洲各国关于侵权罚则的其他规定


德国主要适用GDPR和《德国联邦和州独立数据保护机构关于确定企业罚款数额的指南》。【21】具体来说,遵从前者原则性规定,对罚款金额设置上限的同时,德国数据保护监管机构就罚款金额计算方式发布了统一标准的实施细则,下一步发展的计划或是考虑到不同业务类型的具体适用。英国主要适用《2018年数据保护法》《数据保护、隐私和电子通信条例》《2010年数据保护(罚金)(最高罚款额及通知)条例》《1998年数据保护法》等规范数据保护相关的处罚措施。英国关于罚款金额的一般规定同样采用两种处罚等级。奥地利主要适用GDPR《联邦个人数据保护法》《电信法》。在遵守前者罚款规定的前提下,奥地利对于特定违法行为的处罚分为两类:①依据《联邦个人数据保护法》对于5类特定违法行为,处以最高50,000欧元罚款,除非符合GDPR第83条的规定,或根据其他行政法律规定受到更严厉的惩罚;②依据《电信法》对于11类违法行为,处以最高37,000欧元罚款;对于1类违法行为——为营销目的进行广告推送,处以最高58,000欧元罚款。


三、内容延伸


(一)实践数据


尽管2020年数据保护机构的活动有所增加,但在2021年,迄今为止发出的GDPR罚款数量和个人罚款金额均显着增加。2020年7月至2021年7月期间,GDPR违规数量增加113.5%,而同期GDPR罚款数量增长了124.92 %。也有反例,例如奥地利邮政1800万欧元GDPR罚款在2020年底被推翻;然而,最近对亚马逊(7.46亿欧元)和Whatsapp(2.25亿欧元)的罚款远远超过了近三年来的最高罚款(谷歌5000万欧元),并且暂时平息了对GDPR有效性的强烈批评。


(二) 典型罚则


(1)   2021年7月16日,卢森堡国家数据保护委员会 ( CNDP )以违反 GDPR为由对 Amazon.com Inc.开出了有史以来最大的罚款,金额为7.46亿欧元(8.88 亿美元),因为CNDP发现亚马逊的广告定位系统在未经适当同意的情况下进行了侵权。


(2)   2021年9月2日,爱尔兰数据保护机构数据隐私委员会(DPC)宣布已发布决定,对Facebook 旗下的即时消息平台WhatsApp  Ireland 处以罚款2.25 亿欧元,原因是该服务平台违反透明度原则。


(3)   2019年1月21日,法国国家信息学与自由委员会 (CNIL )以缺乏透明度、信息不足、缺乏对广告个性化的有效同意为由对谷歌处以5000万欧元的罚款。


(4)   汉堡数据保护和信息自由专员 (BfDI )以违反GDPR向瑞典零售集团 H&M开 出415.5万美元的罚款。在发生技术错误后,公司网络驱动器上的数据在几个小时内可供公司中的每个人访问。该公司通过窃窃私语活动、八卦和其他来源收集了员工的敏感个人数据,以创建员工档案,并在雇佣过程中使用这些数据。个人数据包括医疗记录,包括疾病的诊断和症状以及假期和家庭事务的私人细节。


[21]https://china.findlaw.cn/lawyers/article/d844608.html

更深入的数据合规与保护要求:数据侵权罚则的特别规定(图1)

联系我们(图1)

地址:江苏省南京市建邺区云龙山路89号龙湖天街2号楼1301

电话:(025)83707073

咨询及合作:请发送邮件至xeoninfo@163.com

应聘及实习:请发送邮件至xeonhr@163.com

投诉或特别情况:请发送邮件至主任合伙人邮箱xeonzxy@163.com





快速链接

联系耀时

江苏省南京市建邺区云龙山路89号龙湖河西天街2号楼1301
邮编:210019
电话:+86 (025)83707073
Email:xeoninfo@163.com