December.16.2019
自《通用数据保护条例》(GDPR)首批执法行动实施后(部分涉及高额罚款),许多公司可能会因不完全了解如何评估所涉风险和应对执法措施而感到茫然。本文将就执法措施中的风险和战略提供重点概要。
本文的第一部分将简述在过去12个月被欧洲监管机构施加重大行政罚款的个案,以助了解整体执法环境以及执法措施的发展。
第二部分将就德国联邦和州独立数据保护机构(DSK)于2019年10月14日发布的《德国会议罚款评估指南》进行详细阐述。该指南既可帮助公司在进行中的执法程序中评估风险,也可为那些在收购某企业前希望进一步了解所涉风险的投资者提供更具前瞻性的风险评估。
第三部分将简要介绍公司应如何应对监管机构的联系。监管机构通常会以包含违例指控的来函来展开调查,并要求获得进一步的信息,而过分全面的回应通常(但不一定总是)是适当的。本文将说明公司应参与执行程序的程度,以及不积极参与程序所带来的潜在后果。
一、2019年的执法行动
欧盟《2016/679通用数据保护条例》统一并大幅提高了欧洲数据保护法的合规性要求,违反此严苛要求将受到巨额罚款的威胁。根据GDPR第83(1)条规定,行政罚款“在每个独立个案均为有效、相称且具劝阻性”。值得注意的是,当局最近在一起罚款程序中套用了罚款的劝阻作用。莱茵兰-普法尔茨州的数据保护和信息自由国家专员在数起涉及敏感病患数据的泄露事件中说明了罚款的正当性,指当局应在“健康数据保护”方面取得全面实质性进展。这意味着罚款应具有劝阻作用。
因此,不遵守数据保护要求的公司将面临越来越大的罚款风险。在过去一年中,欧洲监管机构已对某些违例行为处以极高的罚款。
自2018年5月起,欧洲数据保护监管机构已收到成千上万起数据泄露和违反适用之数据保护法的报告。当局在2019年处以的十项最高罚款额总和直达4.026亿欧元,在这方面最引人注目的案件包括:
英国信息专员办公室(ICO)于2019年7月8日发布了拟对英国航空处以2.046亿欧元罚款的通知,这是去年的最高罚款额。英国航空的技术和组织措施不足,导致攻击者将其网站流量转发给欺诈网站而被罚款。通过此欺诈网站,攻击者获取了大约50万名客户的详细信息。2018年,英国航空的全球年营业额超过130亿英镑,罚款比率占其年营业额约1.5%。
第二高罚款的案件同样为ICO所处理。ICO于2019年7月9日公布了拟对酒店集团万豪国际处以1.104亿欧元罚款的通知。万豪的技术和组织措施不足导致超过3.39亿位客人的记录在2014至2018年间被无意间泄露。ICO认为,该漏洞始于喜达屋酒店集团的系统在2014年遭到破坏。万豪随后在2016年收购了喜达屋,但直到2018年才发现客户数据泄露事件。ICO的调查结论指,万豪在收购喜达屋时并未进行足够的尽职调查,而且其本应采取更多措施以保护其信息科技系统。万豪的2018年全球年营业额超过207.5亿英镑,罚款比率占其约0.5%。这表明,就与目标公司的数据保护合规性及其并购交易中的信息科技安全措施相关的潜在责任风险进行彻底而全面的尽职调查乃非常重要。
2019年1月21日,法国监管机构CNIL对谷歌处以5,000万欧元的罚款。值得注意的是,谷歌并非因数据泄露而受到制裁,而是基于缺乏透明度、信息不足以及缺乏广告个人化之有效同意。这意味着即使违规并没有导致数据泄露,公司也会在没有遵守法规原则的情况下被严惩。谷歌的2018年全球年营业额超过1,369.1亿美元,罚款比率占其约0.03%。罚款单从数字上看似乎很高,但相对于其营业额而言则为微不足道。
迄今为止,德国公司受到的最高罚款为柏林数据保护和信息自由专员向房地产公司Deutsche Wohnen SE施加的1,450万欧元罚款(于2019年10月30日发布)。Deutsche Wohnen SE使用了一个存档系统来存储客户的个人数据,该系统并不允许删除不再需要的个人数据。此外,该公司在未评估是否允许或需要进行存档的情况下存储了租户的个人数据。柏林专员认为,该公司从根本上违反了处理个人数据的GDPR原则。在评估罚款时,柏林专员特别指出并考虑到其曾在2017年对Deutsche Wohnen SE进行第一次审核后建议该公司更改其存档系统,但直至2019年3月的第二次审核时(即GDPR生效的九个月后),该公司仍未实施合规的解决方案。Deutsche Wohnen SE的2018年全球年营业额超过11亿欧元,罚款比率占其约1.3%。罚款的严重程度在很大程度上受到该公司在初步调查后并未就违例行为作出补救措施的事实影响。即使没有明确提及,柏林专员采用了下文将述的新确立的罚款计量原则以计算该罚款。
德国监管机构显然变得越来越活跃:2019年12月9日,联邦数据保护专员对一家已与其进行合作的德国电信服务提供商处以955万欧元的罚款,原因是该公司缺乏足够的安全措施来防范针对客户数据的间谍活动。显然,与监管当局合作不再是防止高额罚款的安全途径。
这些执法措施说明了罚款评估取决于每个独立个案的情况。德国监管机构已于2019年10月14日发布了罚款评估概念指南,为公司提供了进一步的指引和合作框架。
二、DSK的指引
欧洲数据保护当局的罚款评估原则是基于第29条数据保护工作组(WP 253)制定的某些准则,并已被欧洲数据保护委员会(EDPB)所接纳。EDPB打算根据GDPR第70 (1) lit.k条为监管机构发布进一步的行政罚款设置指南。
罚款评估概念指南的应用范围有限。它仅适用于德国监管机构,并可能被EDPB所采用的最终指南所取代。此外,该指南不适用于经济活动外的个人或组织,对跨境案件或法院裁定的罚款均不具约束力。然而,该指南确实提供了一般性的原则,欧洲的监管机构可能会遵循这些一般性原则来根据GDPR第83条规定而确定罚款额。
指南遵循五步法,第一步为确定所涉企业在上一财政年度的全球年营业额。DSK指,企业的年营业额“提供了适当、合适和公平的基础,可在处以高额罚款时保证其有效性、相称性和劝阻性”。
根据年营业额,企业可按其规模分为四类:
每类企业会再根据其年营业额分出更多子类别(如年营业额在70万欧元至140万欧元间的微型企业)。这些子类别将用于计算下一步的平均年营业额。DSK认为,根据GDPR前序第150项的要求,“企业”一词必须根据《欧洲联盟运作条约》(TFEU)的第101和第102条的规定所解释。因此,DSK不仅会查看涉嫌违例的公司之营业额,还会查看其整个集团的关联公司。这都大大增加了非欧洲集团公司对其欧洲子公司的责任风险。国际企业也应通过适当的控制和指导,对其子公司实施适当的数据保护措施。
第二步为确定分配了业务子类别的企业之平均年营业额,以确定下一步的经济基本价值。每个子类别的平均年营业额是根据该子类别的最低和最高年营业额来计算的。
第三步则为通过将各个子类别的平均年营业额除以360(天)来计算经济基本价值。所得结果便为平均每日费率,为应用于第四步和第五步中确定的倍数奠定了基础。
第四步则会根据是否出现形式(GDPR第83(4)条)或实质性(GDPR第83(5)和(6)条)违例行为来确定罚款框架。违例行为的严重程度将按每个独立个案的情况以及GDPR第83(2)条所确定的标准来判断。当局尤其会考虑到:
违规的严重程度可被分为轻度、中度、严重和非常严重。形式违例的倍数位于1到6之间,相对于轻度到严重行为,非常严重行为的倍数可以超过6。而实质性违例的倍数可以位于1到12之间,相对于轻度到严重行为,非常严重行为的倍数可以超过12。在非常严重违例的情况下,当局必须确保罚款不会超过GDPR 第83条的框架。
在最后一步,当局可以根据支持和反对被控者的所有情况来调整在第四步中确定的倍数,但前提是该等情况尚未在列入第四步中的考虑范围内。
罚款评估的原则与德国刑事法中计算罚款的原则非常相似,故两者的相似之处可能有助企业减低罚款。由于企业可采取行动以减轻损失,与监管机构的合作程度以及监管机构得知违例行为的方式很有可能对判定罚款产生积极影响。然而,这需要即时、战略性和精心计划的行动。因此,企业应有适当的数据泄露政策,而其员工应已接受数据泄露桌面练习培训。
三、行政和罚款程序中的战略考虑
收到监管机构的来函时应如何应对呢?
监管机构的惯例是以非正式的初始请求形式联系公司,如获取有关数据主体投诉的更多信息等。此类请求并不被视为正式的行政诉讼程序(Verwaltungsverfahren)。但根据GDPR第31条中“控制者和处理方应按监管机构的要求,与其合作以执行任务”,其可被解释为公司必须与监管机构合作。
当局可以将此类请求发送给企业的数据保护人员或代表。然而,考虑到提供错误或过多的信息可能会严重影响当前的数据保护合规性状况,企业应控制与当局的所有进一步通讯,并让其法律部门审查战略。
当局还可以行使其调查权进入正式的行政程序,从而迫使数据控制者或处理方合作。行使赋予当局的权力受到适当限制,包括有效的司法补救和正当程序。
但是,在可能导致罚款的执法程序(Ordnungswidrigkeitenverfahren)中进行合作的要求规则可能会在每个成员国中按其程序执行规则来确定,并取决于当局启动程序的执法形式。执法程序必须被区分为非正式、正式或罚款程序。但总体而言,强制合作的权力非常有限,尤其是监管机构通常无权因企业不积极合作而对其处以罚款。
缺乏企业授权,尤其包括非正式程序,而企业合作并不是法律和GDPR的要求。此外,如同刑事诉讼,禁止自证其罪的原则适用于可能导致罚款的执法程序。欧洲法院在有关反垄断法的裁决中承认,主要针对个人的禁止自证其罪原则也适用于企业。如果此刑事法的基本原则可被转换并应用至如反垄断案件之类的民事程序中,那么根据合理和可靠的推断,此原则也可以适用于数据保护案件。
在德国,《德国联邦数据保护法》限制了当局可以使用企业提供之信息的范围。根据保护法,当局不得使用企业在罚款或刑事程序中为履行GDPR(数据泄露申报)义务向当局或数据主体进行通知的信息,以对其造成不利。但是,保护法对此类信息的规定仅限于根据德国法律的诉讼中,故仍存在其他欧洲数据保护机构通过行政协助程序获取和使用此信息的风险。因此,在此类程序中,企业应考虑提供全面的信息,尤其是在数据泄露仅针对德国的情况下。但这可能无法减少当局为评估企业是否在总体上遵守数据保护法而发起调查的现有风险。企业应考虑其总体合规水平以及应提供的信息,仔细权衡这些相互竞争的利益——在行政程序中不合作可能会对当局施加罚款和罚款额的决定产生负面影响。
四、分析与总结
考虑到GDPR的覆盖范围,公司应为行政程序做好准备。2019年的罚款纪录说明,技术和组织措施不足、缺乏与GDPR相应或足够法律依据的个人数据处理,以及违反数据处理原则等的行为皆可导致高额罚款。除了当局可能针对违反GDPR采取的行动外,公司还应考虑到数据泄露或违反数据保护的其他后果,例如对数据主体的赔偿。重要的是,潜在的损害索赔数量是无法预测的,有可能导致额外的重大财务损失。
如果企业面临监管机构的询问或要求,如基于数据主体的投诉或根据GDPR第33条规定的申报义务,与其合作是一般建议采用的方式,但此举并非法律义务。特别在罚款程序中,当局在计算罚款时必须考虑公司的合作行为作为减轻因素。但公司应该意识到合作并非强制,尤其是在非正式和罚款程序中。在罚款程序中,合作的要求可能与禁止自证其罪的一般法律原则相抵触。跨国公司还应特别考虑与欧洲监管机构的广泛合作是否会产生不利的法律后果,例如涉及其本国管辖范围内的律师与委托人信息保密特权等。为了在合作与免于自证其罪和其他法律要求之间找到适当的平衡,公司应尽早咨询其内部法律部门或外部法律顾问。
如果公司已采取了所有预防措施,但当局仍启动了罚款程序,DSK的罚款评估概念则成为估算违例行为带来的财务影响之重要工具。企业可根据获得的信息制定适当的措施。DSK的概念指引是否能成为EDPB将来建立的概念蓝图,目前还是未知之数。