亞馬遜7.46億歐元罰單敲警鐘:中國企業如何做好中歐數據合規?

由 秋長紅 發佈於 財經

    來源:21世紀經濟報道

    亞馬遜因違反歐盟數據保護相關規定,被處以7.46億歐元罰款,金額創下歷史新高。以此為鑑,中國企業如何做好中國境內和歐盟的數據合規?

    隨着美國電子商務巨頭亞馬遜公佈了令人失望的二季度財報,以及不如預期的三季度指引,亞馬遜股價上週五遭受重創,盤後一度跌超7%,創14個月最大單日跌幅。

    除了業績,引致此次亞馬遜股價重挫的“元兇”,還有該公司將要面臨來自盧森堡國家數據保護委員會(CNPD)的7.46億歐元“天價”罰款,原因是公司對個人數據的處理不符合歐盟《通用數據保護條例》(GDPR)。對此,亞馬遜表示,CNPD的決定毫無依據,將在此問題上積極抗辯。

    如果該處罰坐實,將成為目前已知的GDPR生效以來數據監管當局開出的最大罰單。接受21世紀經濟報道記者採訪的專家表示,該處罰目前只是初步決定,經過一段時間的訴訟等法律程序後不排除最終的處罰金額可能與7.46億歐元有一定差距。先例之一是去年10月,英國信息專員辦公室(ICO)對英國航空(British Airways)用户信息泄露一事的最終處罰金額由1.83億英鎊降到2000萬英鎊,縮水超90%。

    據悉,CNPD針對亞馬遜的調查始於法國隱私權保護組織La Quadrature du Net 2018年對亞馬遜的投訴。該組織主張亞馬遜的廣告體系並非建立在用户自主同意(free consent)的基礎上。

    北京師範大學網絡法治國際中心執行主任、中國互聯網協會研究中心副主任吳沈括向21世紀經濟報道記者表示,雖然亞馬遜提出上訴的直接目的是降低處罰的可能性及處罰水平,但實際上相較於罰款金額,處罰直接導致的用户信任以及市場上品牌聲譽、商譽的降低,是對企業真正具有殺傷力的。

    對此,長期參與數據合規的律師王新鋭也認為,亞馬遜否認存在數據泄露,否認未經用户同意將數據提供給第三方,從挽回用户信任的角度來説,這樣的表態也是可以理解的。“結合GDPR的相關規定,如果亞馬遜對此提出異議,首先需要證明其具備收集用户信息並將用户信息用於廣告推廣的法律基礎。因此,亞馬遜有可能需要重新審視目前廣告體系下獲取同意的有效性並收集證據證明這一點。”王新鋭在接受21世紀經濟報道記者採訪時表示。

    在王新鋭看來,對於廣告體系下自主同意有效性的問題,亞馬遜可能認為其仍有抗辯的空間。“畢竟這個問題幾乎涉及到大部分互聯網巨頭,行業實踐的標準也會對具體問題的認定產生一定影響。”

    歐盟數據監管趨嚴

    2018年5月生效的GDPR,被稱為世界上最嚴格的數據安全法規。法律及税務機構CMS的GDPR Enforcement Tracker數據顯示,從法規生效截至今年7月底,與GDPR相關處罰案件數累計達731件,較去年同期增長120%。

    在數據相關立法方面,歐盟除GDPR之外還出台了《非個人數據在歐盟境內自由流動框架條例》和《數據治理條例》。《數據法案》《電子隱私條例》《電子證據條例》也在制定當中。

    吳沈括表示,歐盟數據治理法律體系日益嚴密,強度越來越高。一方面,它所關注的數據範圍從個人數據延伸到了非個人數據,視野更寬;另一方面,法定的處罰強度不斷提升。此外,歐盟內部和外部的跨國監管合作愈發密切,使得它的全球執法網絡不斷延伸拓展。

    結合近幾年的處罰情況,王新鋭總結了企業面臨的高頻問題:(1)數據泄露事件相關處罰。通常在發生數據泄漏事件之後,企業、機關未採取適當安全措施,未充分履行報告、告知義務等情況引發的處罰;(2)定向廣告、推送相關的處罰;(3)未經授權處理或對外提供個人數據等。

    從監管所關注的數據類型上來説,吳沈括表示,兒童、勞工、金融、醫療、航空運輸個人信息,以及社交媒體領域的個人信息,都是重點保護區域。

    吳沈括認為,目前來説,受GDPR管轄的中國企業整體合規情況良好,受處罰比例不高,但仍不能掉以輕心。“因為這裏面不單單是中國企業的合規情況問題,其實主要的原因還是因為歐洲的執法機關目前的執法重點在美國企業,所以還沒有輪到中國企業作為執法重點,這個是需要特別注意的。”

    中國企業合規建議

    數字經濟時代,數據已經成為一種全新的市場化要素,是各國競相爭奪的基礎性戰略資源。從《國家安全法》將重要領域信息系統及數據納入國家安全範疇,到《民法典》明確將數據納入民事權利章節,再到《數據安全法》的發佈,中國在數據監管方面的立法也在緊鑼密鼓地推進。

    吳沈括表示,中國企業目前在合規方面需要注意的問題包括跨國的雙重合規、數據跨境的業務規則設計、數據本地化安排,和未成年人保護。此外還需要特別關注內容治理,虛假信息等方面,推進合規體系的建設。

    “在中歐雙重合規的時代大背景下,需要注意的一個問題是在中國的數據治理領域,我們還有一個經常被忽視的紅線,這個紅線就是互聯網內容治理。”吳沈括説,“合規設計當中,一方面要注意到現在的有關數據治理的法律規範的要求,另一方面,一定不能忘記我們國家有關互聯網在線內容治理的紅線規定,這個是和歐洲的監管側重有所不同的地方。”

    “當數據權屬問題尚未明確時,在商業價值和個人權益之間的平衡是一個值得深思的問題。”王新鋭表示,“對於受GDPR管轄的中國公司來説,本次‘亞馬遜被處罰’事件以及類似事件都是監管風向的體現,如果後期官方坐實本次處罰,跟亞馬遜有同類業務的中國公司也應當及時採取相應的整改措施。”

    版權聲明:本文源自 網絡, 於,由 楠木軒 整理發佈,共 2168 字。

    轉載請註明: 亞馬遜7.46億歐元罰單敲警鐘:中國企業如何做好中歐數據合規? - 楠木軒