2018年9月英国信息专员办公室对加拿大一家政治咨询和技术公司AIQ公司开出执法通知，如果AIQ公司不按要求如期整改，罚金或将高达2000万欧元或公司全球年营业额的4%。该执法措施与“Facebook所涉剑桥分析”丑闻息息相关。这一风波尚未停息，2019年1月21日，法国国家信息与通信委员会CNIL以 “未向Android用户正确披露其数据如何被收集，并向用户违法推送个性化广告”对谷歌开出了一张GDPR（General Data Protection Regulation即《欧盟一般数据保护条例》）罚单，金额高达5000万欧元（约5700万美元）。GDPR于2018年5月25日正式生效，本以为此前两年的“缓冲期”已经备战充分的企业，却陆续登上了被处罚的榜单。欧盟成员国已悉数设立本国的“数据保护局”，开始展现GDPR的域外执法力量。

由于GDPR的长臂管辖效力，“涉欧”的中国企业当然也无法独善其身。那些掌握了海量欧洲消费者数据的跨境电商平台、电信运营商、互联网金融、物流等中国企业，不得不关注GDPR这一域外数据保护立法对自身的影响。

就执法过程中涉及的（1）长臂管辖原则即GDPR适用于哪些“非欧洲”企业、欧盟如何跨境执法，（2）数据控制者、数据处理者及“联合控制者”的认定，（3）明确同意、默示同意、强迫同意、隐藏同意的认定，（4）违规后的罚款数额是否会按最高罚款额度——2000万欧元或公司全球年营业额4 %计算，（5）违规后的刑事处罚风险等问题，本文选取了已有的几个GDPR执法案例进行整理、分析，尝试进行逐一回答，希望能够总结GDPR在实际执法过程中的具体适用方式和执法力度，为“涉欧”的中国企业提供一些数据合规的帮助。

根据GDPR第3条关于“地域范围”的规定，GDPR不仅适用于设立在欧盟内的企业（不论其实际数据处理是否在欧盟内进行），为了保护欧盟公民个人数据，在以下三种情况下，也适用于设立在欧盟以外的企业：

(1)向欧盟内的数据主体提供商品或服务的，无论此项商品或服务是否需要数据主体支付对价（GDPR的第3.2(a）条）；

(2)对数据主体发生在欧盟内的行为进行监控的（GDPR 第3.2(b)条）；

(3)对个人数据的处理虽然是由设立在欧盟之外的控制者进行，但欧盟成员国法律通过国际公法适用于该控制者所在地的（GDPR第3.3条）。

2018年9月底，英国信息专员办公室对加拿大AggregateIQ公司（“AIQ公司”）开出的执法通知。AIQ公司是一家加拿大政治咨询和技术公司，该执法措施与“Facebook所涉剑桥分析”丑闻息息相关。

剑桥分析公司（Cambridge Analytica），是一家进行资料探勘及数据分析的私人控股公司。2018年3月以不当取得5000万Facebook用户数据而闻名。丑闻曝光后客户和供应商大量流失、内外部调查和诉讼费用不断上涨。2018年5月2日，剑桥分析公司宣布“立即停止所有营运”，并在英国和美国申请破产。

举报者称，AIQ公司与剑桥分析公司的母公司存在多年的合作关系，两者共同开发了一款名为Ripon的软件，利用Facebook数据来确定选民特征。在本案中，证据显示，大量数据从剑桥分析公司流向AIQ公司，AIQ公司再使用这些数据帮助政治竞选团队定向投送政治类广告。例如，在2016年6月23日的英国脱欧公投投票前，AIQ公司代表脱欧游说组织Vote Leave对Facebook上的电子邮件地址投放广告，以影响其在脱欧公投上的态度和投票决定。

尽管AIQ公司是一家加拿大公司，但其“向欧盟内的数据主体提供服务”（GDPR的第3.2(a）条）、收集并分析“数据主体发生在欧盟内的行为”(GDPR 第3.2(b)条)，英国信息专员办公室认为，GDPR适用于AIQ公司，该公司违法获取并处理了英国公民的个人数据，代表脱欧游说组织Vote Leave对Facebook上的电子邮件地址投放了218个广告，这些政治宣传广告的数据处理行为未能取得数据主体的同意，违反了GDPR第6条关于数据处理合法性的规定。英国信息专员办公室于2018年9月底发出执法通知，要求AIQ公司停止使用相关数据，10月24日发出更新的执法通知，要求AIQ公司配合调查、并在30天内删除其所持有的英国公民个人信息。该案目前还处于审理阶段，AIQ公司或将面临2000万欧元或全球年营业额4 %的罚款。AIQ正在就该执法通知提出上诉。

从该案的处理中，我们看到：

（1）欧洲数据保护执法机构的域外执法已经实际展开，表现出较强的执法决心。据报道，本案中，英国信息专员办公室动用了超过40名全职调查人员，共认定了172个利益相关组织和285个相关自然人，并针对其中30个组织展开了正式调查，对约100名自然人进行了访谈、问询等正式会面。

（2）本案中，英国信息专员办公室积极与AIQ公司所在国加拿大各大数据监督执法机构展开配合，彼此共享信息，甚至通过加拿大各大数据监督执法机构对AIQ公司施压，迫使AIQ公司配合调查。可见，GDPR的域外执法已经在实际探索多国间的跨境执法合作，长臂管辖已无实操障碍。

（3）实际上，GDPR第50条已经为欧盟执法机构进行国际执法合作提供了明确的法律依据。该条文规定“在涉及到第三国或国际组织的情形中，欧洲委员会和监管机构应当采取合适的措施以：(a) 发展国际合作机制，促进对个人数据保护立法的有效实施；(b)通过告知、申诉转介、调查帮助和信息互，换为个人数据保护立法的实施提供国际性互助；(c) 在实施个人数据保护立法中，使相关利益方密切参与为了进一步国际合作而进行的讨论和活动；(d) 促进个人数据立法与实践——包括与第三国管辖权冲突——的交换与记录。”

虽然1995年出台的《欧盟数据保护指令》（Directive 95/46/EC）只适用于数据控制者，但新发布实施的GDPR将适用主体扩大到数据控制者和数据处理者，并分别规定不同的数据合规义务。

其中，根据GDPR第4.7条和第4.8条的规定，数据控制者是指能单独或联合决定个人数据处理目的或方式的自然人或法人、公共机构、机关或者其他主体。数据处理者是指代表数据控制者处理个人数据的自然人或法人、公共机构、机关或者其他主体，一般是数据控制者内部部门或其员工之外的主体。数据控制者可以指示数据处理者如何处理数据，包括保留数据的时间、用户访问数据的权限等，或者授权数据处理者依照其最佳判断和行业标准做法处理数据。数据处理者可能是一家外包公司或第三方，通常是专门从事数据处理、存储和安全的公司，比如，IT服务提供商、支付处理者（如线上支付平台）、薪资公司、会计服务提供者、云服务提供商。

另外，如果两个或更多的控制者联合确定处理数据的目的与方法，那么他们将共同被认定为“联合控制者”（GDPR第26.1条）。“联合控制者”之间协议安排应当恰当地反映各自的角色及相互关系，并让数据主体知晓该种安排(GDPR第26.2条)。

德国一家名为Wirtschaftsakademie Schleswig-Holstein GmbH的学术机构在Facebook上运营一个粉丝页面，并通过一个名为“Facebook见解仪”（Facebook Insights）的功能利用浏览器缓存（cookies）收集用户数据。数据收集的目的是向粉丝页面的管理员提供统计信息，并发布目标广告。德国数据保护局在发现该机构数据收集存在缺陷后，命令该机构停止收集数据，并停用该粉丝页面。该机构否认了其在Facebook上处理个人数据的法律责任，从而对该命令提出了抗议。它还否认向Facebook提供了有关数据处理的指示，并声称德国数据保护局应该直接对数据控制者Facebook采取行动，学术机构仅是Facebook的用户。

抗议由欧洲法院（European Court of Justice）进行审理，案件争议点在于判断该学术机构是否具有“数据控制者”的角色，亦或该角色是否仅属于Facebook。2018年6月5日，欧洲法院作出判决，认为仅仅使用Facebook并不能使该学术机构对处理Facebook上的个人数据负责。但是，Facebook Insights允许粉丝页面的管理员即该学术机构抽取访问该页面的用户cookies数据。Facebook根据收集到的这些cookies信息提供给管理员有关用户行为的统计数据，包括年龄、性别、关系网、职业、生活方式及地理位置等信息。根据这些数据，管理员可以针对合适的受众提供特别优惠或组织活动。因此，在欧洲法院看来，粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。然而，法院并不必然地认为两者在所有情况下的责任都是平等的，因此必须根据案件的具体相关情况评估Facebook和粉丝页面管理员的各自责任程度。

值得注意的是，欧洲法院还进一步追究调查Facebook爱尔兰总部即Facebook在欧盟的总部的数据处理情况，尽管它没有直接参与该案所述的数据处理流程。欧洲法院认为，“监督机构有权独立于其他成员国（爱尔兰）的监督机构评估此类数据处理的合法性，并可不必首先请示其他成员国的监督机构而对在其领土内设立的主体行使干预权”。因此，欧洲法院额外授权该德国数据保护局对Facebook爱尔兰总部的数据运营进行审查。

（1）无论是行政执法机关还是欧盟最高司法机构，针对GDPR的适用，比如适用主体的划分，均会查明各主体在数据处理中担任的角色、使用数据的具体方式。网页页面的“管理员”不能以网络平台公司完全控制其平台为借口来再逃避数据使用的责任。这些网络页面的“管理者”或将被认定为GDPR第26条的“联合控制者”，与网络平台一同被予以处罚。

（2）许多公司在跨境业务往来中利用第三方数据处理工具，例如Tableau、Qlik、Google Analytics或上文提到的Facebook Insights等进行数据储存、处理、分析等行为。从该案可以看出，仅仅依靠第三方数据处理公司进行数据合规是远远不够的。企业是否与该第三方数据处理公司“联合确定处理数据的目的与方法”将成为是否会被认定为“联合控制者”的关键。

（3）Facebook对这一判决结果将如何反应还有待观察。Facebook现存的在线运营商应当及时反馈其对在Facebook上使用的服务所进行的数据合规调整，特别是他们的cookies设置，以验证他们目前对Facebook的使用是否以及在多大程度上与欧洲法院的这一判决相符。

根据GDPR第7条的规定，个人数据的处理应建立在用户的同意的基础上，更为重要的是，数据控制者和数据处理者在请求用户同意时，应以易于理解、清晰平白的语言进行询问。同时，用户有权随时撤回其同意，且该等撤回的权利应当在用户作出同意时告知。根据GDPR序言第43条的规定，对于不同的数据处理业务，应恰当地分别取得用户同意。数据控制者和数据处理者应建立细致的同意取得机制。

简单来说，用户的同意是数据处理行为的合法要件。收集、处理数据前，应当获得用户即数据主体在自由意愿支配下作出的特定的、清晰的、明确的同意。

2019年1月21日，法国国家信息与通信委员会CNIL对谷歌开出了金额高达5000万欧元的巨额罚单，原因是谷歌未向Android用户正确披露其数据如何被收集，并向用户违法推送个性化广告。该处罚回应了GDPR生效之时奥地利律师Max Schrems对谷歌、Facebook以“接受或全部放弃”的“强制同意”条款的投诉。

尽管谷歌表示它已经获得了用户同意才去处理数据，之后才展开个性化的广告操作。但是，法国国家信息与通信委员会CNIL认为，谷歌并没有获得“有效”的用户同意。首先，用户并未充分了解“同意”针对的情况。比如谷歌对广告进行了稀释操作，打散在谷歌搜索、Youtube、谷歌主页、谷歌地图、Playstore、谷歌图片中，个人信息在多个文件中被过度传播。其次，用户的“同意” 既不是具体的，也不是明确的。创建帐户后，用户被默认预先勾选广告个性化的显示设置。但是，根据GDPR的规定，只有用户明确的肯定行动（例如勾选未预先勾选的方框）的同意才是“明确的”。法国国家信息与通信委员会CNIL认为，谷歌没有完全遵守GDPR中关于同意必须是“明确具体的”相关规定。

考虑到谷歌持续性的、长时间的对GDPR的违反，Android操作系统在法国市场上的重要地位，以及谷歌公司侧重广告的盈利模式等情况，法国国家信息与通信委员会CNIL最终对谷歌做出5000万欧元的罚款处罚。很明显，罚款金额未采用“2000万欧元”的标准，应当是按照营业额4%的比例计算后确定的。

（1） “勾选预先勾选的方框”属于“默示同意”；“接受或全部放弃”即不同意就不允许注册使用，属于“强迫同意”，均不是GDPR下有效的同意。

（2）GDPR也禁止以“一揽子条款”的方式获得数据主体的同意。将为了完成特定交易所必要的数据之外的数据，隐藏在同意条款中，以模糊告知或误导性告知的方式使用户误以为该等数据是完成交易所必须的数据，属于“隐藏的同意”，也不是GDPR下有效的同意。

（3）需要注意的是，获得数据主体同意并非唯一的使用数据的合法途径，其他合法途径包括“未履行合同”、“合法的商业利益”、“保护公共利益”（GDPR第6条）。但无论是基于何种理由合法使用他人数据，都应当遵守“目的限制原则”（数据的收集需要有特定、明确、合法的目的，后续对数据的处理活动也不得违反/超出前述目的的范畴）和“最小化原则”（数据的处理活动仅为实现上述目的，且限于实现该目的所需的最小限度）（GDPR第5条）

GDPR根据违规行为的性质设定了两个档次的处罚规则，具体如下表：

总体而言，数据控制者和数据处理者自身违反技术性数据保护义务的，将按较低罚款门槛处罚，侵害数据主体的权利和自由的，则应按较高罚款门槛处罚。

关于处罚措施，目前业界一直关注的问题有：欧盟执法机构的罚款力度如何，是否积极地按照“公司全球年营业额”2 %或4 %的比例开出大额罚单，欧盟执法机构在确定罚款金额高低时的考量因素有哪些？

德国一向以高标准的数据保护立法闻名世界。2018年11月22日，德国巴登符腾堡州立数据保护委员会作为德国第一个根据GDPR实施处罚的数据保护机构，对社交媒体公司Knuddels GmbH & Co. KG （“Knuddels公司”）处以2万欧元罚款，原因是该公司违反了GDPR第32.1条规定的确保个人数据处理数据安全的义务（“对个人数据进行假名和加密的义务”）。该罚款金额确实不高。

在被黑客攻击后，Knuddels公司大约33万用户的登陆密码和电子邮件地址被窃取并发布。Knuddels立刻向德国巴登符腾堡州数据保护委员会报告了该数据违规事件。经后者调查显示，该公司并没有加密其客户的密码及邮件信息，而是将其以纯文本形式存储，从而违反了GDPR第32.1条规定的对个人数据进行假名和加密等义务。

根据GDPR第83.4a条，尽管德国巴登符腾堡州立数据保护委员会可以对Knuddels进行高达其全球年营业额的2 %或1000万欧元的罚款，但是该委员会在计算罚款时，考虑到Knuddels公司在其指导方案和建议方面的高度配合及其合规的强烈意愿，最终按照较低标准定，仅仅罚款2万欧元。

（1）GDPR在第83.4条和第83.5条中规定了最高罚款额，这意味着执法机关有权决定更低而非更高的罚款。但是，GDPR第83条规定，要求每种情况下的罚款都是“有效、相称且具有说服力的”。同时，GDPR序言第148条也明确规定，授权执法机关在轻微侵权案件中以及罚款对自然人构成不成比例的负担的情况下，以训斥代替罚款的方式进行执法。也就是说，GDPR允许实施高额罚款，但罚款必须“按比例”。William A. Boeck在《经纪视角——GDPR首开罚单给保险市场透露了什么信息？》一文中提到，欧盟各地的数据保护执法机构都试图向公众保证他们不急于处以巨额罚款。

（2）笔者注意到，除了Knuddels公司案，在多个已有的执法案例中，欧盟执法机构都没有适用最高罚款额。2018年9月，奥地利数据保护局对一家博彩商店的所有者处以罚款4,800欧元加上相关法律费用，原因是该商店的摄影机在店门处进行了不当摄录，也同时影射了店门前的人行道，违反了GDPR的规定。2018年10月22日，葡萄牙国家数据保护委员会对里斯本附近的Centro Hospitalar Barreiro Montijo两起违反GDPR的行为处以40万欧元的罚款。其中，对非医务人员不适当地获取患者信息，罚款30万欧元；对医院第二次违规罚款10万欧元，因该违规行为涉及无法“确保医疗系统和服务的机密性、完整性、可用性和永久性恢复能力”。

（3）根据GDPR序言第148条的规定，执法机关将根据违法的性质、程度、期间以及是否为公司有意行为、公司是否采取补救措施和公司是否有违规前科等等的不同，对违规行为采用的合规整改或罚款的程度均不同。同时，国际隐私专业人士协会IAPP于2016年3月23日发表的一篇评论表明，对于同一事件引起的多次违规，应不加罚金；对于最严重的违规，罚款总额不能超过最高额罚金（https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-10-consequences-for-grpr-violations/）。

（4）“涉欧”的中国企业应当充分认识到GDPR和中国《网络安全法》罚款计算标准的区别，应充分引起对GDPR下数据合规的重视。违反《网络安全法》的处罚一般为“没收违法所得”、“处以违法所得一倍到十倍以下的罚款”、“没收违法所得，处100万以下罚款”（如《网络安全法》第64条关于未经同意使用个人数据的处罚规定）。然而，违反GDPR的，则不以涉案单一、某些交易或某个国家内的“违法所得”为罚款计算标准，而是按2000万欧元/4000万欧元或“全球年营业额2 %/4 %”（以较高者为准）进行计算，处罚明显更为严厉。

GDPR的实施使得欧盟数据保护规则得到协调统一，公司可以针对整个欧洲市场使用一套统一的数据合规方案。但是，需要注意的是，丹麦和爱沙尼亚这两个成员国的国内法不允许直接适用GDPR中的规定，进行行政罚款。因此，根据GDPR序言第151条针对这两个成员国例外规定，允许在丹麦通过刑事处罚的方式，在爱沙尼亚通过轻罪程序框架的形式来对违规主体及其高级管理人员进行惩罚。

这意味着，与丹麦或爱沙尼亚有业务往来的中国企业，应当转变“违反GDPR导致罚款”的观念，充分认识到，在丹麦和爱沙尼亚两国有因违反GDPR而被刑事处罚的风险。

中国及世界其他国家先后颁布并实施自己的隐私保护法，毫无疑问，个人信息保护已然进入了全球化的阶段。在万物互联的物联网时代，保护用户个人信息安全已经成为各大 IT 公司最需要关心的问题。

GDPR的域外执法仍在进行，我们会继续关注。我们希望从更多的GDPR实际执法案例中，明晰欧盟执法机构对该法规更为清晰的具体适用细节和执法力度，帮助“涉欧”的中国企业优化其GDPR数据合规路径。