编者按
近年来,大规模网络攻击、数据泄露事件层出不穷,网络安全、数据安全和个人信息保护已成为全球重点监管领域。2022年,随着各国家、地区网络安全与数据保护领域法律法规的逐步完善,全球数据监管执法走向常态化、体系化、规范化,数据合规无疑已成为企业在全球范围内拓展业务的重中之重。
我们整理了2022年域外网络安全与数据保护领域的十大处罚案件,以镜为鉴,作为企业在全球范围内履行数据合规义务之参考。
TOP1/
金融机构因未遵守商业记录保存规则被处以合计18亿美元罚款(约合125.67亿人民币)
中伦点评
2022年海外数额最大一笔集体罚单,剑指各大全球金融机构。近年来,SEC和CFTC针对金融机构数据安全的执法活动较为活跃,处罚金额也大幅提高。2021年12月,摩根大通已因记录保存不当而支付2亿美元罚款。在本案中,也有多家银行支付2亿美元的高额罚款,而该数额罚款在此前的执法案例中通常为涉及欺诈或涉嫌损害投资者利益的案件。两家监管机构此次突破先例,适用如此高额的罚款力度,旨在打击金融行业现行的不当行为,并警示相关企业严格遵循金融领域数据保护规则。
TOP2/
Epic Games因非法收集儿童个人信息和部署暗黑模式支付5.2亿美元与美国联邦贸易委员会达成和解(约合36.29亿人民币)
中伦点评
FTC此次针对Epic Games的执法行动,涵盖了两个历史之“最”:一是因违反COPPA支付的2.75亿美元罚款是有史以来金额最大的FTC罚款,二是退还通过暗黑模式诱导收取的2.45亿美元是FTC目前金额最大的行政命令。高额罚款的背后,往往暗示着执法机构对特定领域的高度关切,儿童隐私保护和暗黑模式的合规应用,事实上也已成为当下全球范围内的重点关注。对此,我们建议赴境外从事在线服务经营活动的企业,重视儿童个人信息保护问题,严格履行所在地法律法规所设置的儿童隐私合规义务,并规范自身营销推广模式的设计,避免因落入暗黑模式范畴而引发合规风险。
TOP3/
Instagram因不当处理未成年人数据被爱尔兰数据保护委员会罚款4.05亿欧元(约合29.65亿人民币)
中伦点评
DPC对Meta的罚单为2022年最高单笔罚款额,也是GDPR史上第二高罚款,仅次于2021年亚马逊因数据泄露支付的7.46亿欧元罚款。近年来,Meta因个人数据保护合规问题在全球范围内频频遭遇处罚。据统计,自2018年以来,Meta因数据合规问题支付的罚款、和解金、赔偿金等合计已超过百亿美元。本次盘点中Meta也有三笔罚款上榜,分别位列第3、6、9位。而爱尔兰DPC的此次处罚则是Meta在欧盟境内遭遇的最大一笔GDPR罚单。在此,我们提醒赴境外从事经营活动的企业,未成年人个人信息通常受到各法域个人信息保护或数据保护相关法律的特殊保护,我国《个人信息保护法》同样将其列为敏感数据予以特别保护,企业在经营管理过程中,应当特别注意未成年人信息收集、处理过程的合法性,以避免来自监管机构的高额罚款。
TOP4/
Google支付3.92亿美元与美国40州达成隐私诉讼和解(约合27.27亿人民币)
中伦点评
Google此次达成的和解,是目前美国各州层面提起的隐私诉讼中金额最大的和解协议。实际上,Google的位置数据收集功能一直饱受争议。今年1月,哥伦比亚、得克萨斯、华盛顿和印第安纳地区曾联合提起诉讼,指控谷歌利用“暗黑模式”和误导性、欺骗性手段采集用户的位置信息。2022年10月,Google曾向亚利桑那州支付8500万美元换取用户位置追踪诉讼和解。可以预见,美国对位置跟踪功能的严格监管仍将在未来一段时间内持续。而在中国,行踪轨迹属于敏感个人信息,同样受到严格保护。因此,我们提示相关企业,在收集、使用用户的实时位置信息时,应当严格遵守当地法律法规的个人信息保护要求,遵循最小必要原则收集、处理相关信息,并充分履行告知、提供禁用位置跟踪功能的便捷方式、积极响应用户的删除请求等合规义务。
TOP5/
T-Mobile就2021年数据泄露事件支付3.5亿美元换取诉讼和解(约合24.38亿人民币)
中伦点评
近年来,网络攻击、数据泄露事件频发,无论在中国还是境外,因网络攻击而导致数据泄露的,企业需承担相应行政和民事责任。因此,数据安全、网络安全的合规管理对于企业自身尤为重要,企业有必要积极采取措施加强物理、技术等层面的安全防护,培训提高员工安全意识,避免因为安全性薄弱或可避免的人为失误而导致数据泄露,引发不必要的损失。
TOP6/
Meta因用户数据泄露被爱尔兰数据保护委员会罚款2.65亿欧元(约合人民币19.40亿)
中伦点评
该案是Meta上榜的第二个案件。此次爱尔兰DPC对其采取处罚的依据为GDPR第25(1)条和第25(2)条,即基于设计和默认的数据保护义务。其中,基于设计的数据保护义务是指企业应当在服务或产品的设计阶段及其整个生命周期考虑隐私和数据保护问题。基于默认的数据保护是指企业应当对自身服务或产品采用隐私优先的默认设置。我们建议,无论是否在欧洲范围内销售,企业在境外经营服务或产品时,可以考虑纳入基于设计和默认的隐私保护,将数据保护设计置于收集用户个人数据之前,以最大限度保障数据收集、处理过程的合法性,防范数据合规风险。
TOP7/
Twitter因欺骗性定向广告策略被美国联邦贸易委员会罚款1.5亿美元(约合10.48亿人民币)
中伦点评
在个人信息的使用方面,各国家、地区的法律通常要求企业在收集个人信息时,向个人信息主体明确告知相关数据的用途并取得同意。目的原则为各国家、地区的个人信息保护规定的常见原则。收集个人信息应当具有明确、合理的目的,且后续处理活动不得超出或违反该等目的。在该案中,Twitter向用户告知出于安全目的而收集电话号码和邮箱地址信息,实际使用中却超出了告知目的的范围。此外,Twitter曾于2011年与FTC达成协议,承诺其不会使用出于安全目的收集的信息,如用户的电话号码和电子邮件地址,来帮助广告商向目标人群投放广告,其做法也违反了对FTC的合规承诺。对此,我们建议,企业应当保证个人信息的使用与收集时披露的使用目的一致,并应建立起合规审计制度,定期审计自身数据利用的合规性。
TOP8/
美国电信服务商因非法实施自动电话呼叫被罚款1.16亿美元(约合8.10亿人民币)
中伦点评
一直以来,自动呼叫都是各大企业热衷的营销方式,即便如今,我国也还有诸多企业采用这种方式进行产品或服务推广。值得注意的是,未经同意的商业性呼叫在我国同样属于侵犯个人信息权的违法行为,工信部此前发布的《通信短信息和语音呼叫服务管理规定(征求意见稿)》对商业性短信息和商业性电话管理作出了详细的限制性规定。综上所述企业在境内境外开展营销活动时,均应当关注营销方式的合法合规性,尤其是营销信息的推送问题。
TOP9/
Google和Meta因未经授权收集个人信息被韩国个人信息保护委员会罚款1000亿韩元(合5.32亿人民币)
中伦点评
该案是韩国有史以来金额最大的数据保护罚款案件,也是此次盘点中唯一上榜的亚洲案件。该案中,Google和Meta均采用默认设置的方式,收集用户在线活动数据,而未获取用户的明示同意。收集、处理个人信息需获得个人信息主体的明示同意,是当前各国家、地区个人数据保护相关法律法规的基本要求,企业应当予以重视。
TOP10/
OPM支付6300万美元换取数据泄露诉讼和解(约合4.39亿人民币)
中伦点评
该案是美国政府历史上最大的数据泄露事件之一。而从美国众议院所发布的调查报告上看,OPM网络安全事件的发生似乎有迹可循:一方面,OPM多年来一直受到信息安全警告,却从未采取有效行动保护其所存储的敏感数据;另一方面,OPM在发现黑客攻击事件后,仍未及时采取有效的响应措施。前车之鉴,后车之师。我们建议,企业应当建立完善数据安全保护机制,尤其是掌握大量敏感个人信息的企业,更应关注系统安全问题,定期监测系统安全性并开展数据安全事件应急响应演练,防范数据泄露风险。
往 期 精 彩
解读文章
案例分享
★
长按二维码一键关注
