本报告对近半年以来，中国企业因违反GDPR和其他国别数据保护法律被罚案例，以及外国企业/个人因违反GDPR被罚的案例进行了检索。现总结如下：

• 未检索到中国企业因违反GDPR被罚的案例

• 检索到一例中国企业因违反其他国别数据保护法被罚的案例

• 检索到七例外国企业/个人因违反GDPR被罚的案例。

中国企业因违反外国数据保护法被处罚的案例

2019年1月，抖音因违反美国《儿童在线隐私保护法》被FTC处罚570万美元。具体情况如下：

• FTC发布了一项重要裁决，短视频应用抖音国际版（TikTok）因违反美国《儿童在线隐私保护法》，将被处以570万美元（逾3800万人民币）罚款，并将影响该应用在13岁以下儿童中的使用方式。

• FTC称，TikTok要求用户提供电子邮件地址、电话号码、用户名、姓名、个人简介和头像等资料。该应用还允许用户通过评论视频和发送直接信息与他人互动。此外，用户帐号默认是公开的，这意味着孩子的个人资料、用户名、照片和视频可以被其他用户看到。FTC认为，TikTok知晓用户中有儿童，但未在收集用户数据前征询父母同意。这显然违反了《儿童在线隐私保护法》中要求面向儿童用户的网站在收集13岁以下儿童的个人信息之前获取父母同意的规定。

• 链接：

  https://www.ftc.gov/news-events/press-releases/2019/02/video-social-networking-app-musically-agrees-settle-ftc（FTC官方网站）

外国企业/个人因违反GDPR被处罚的案例（2019年1月至6月）

自GDPR生效以来，欧盟中已有企业因违反GDPR被处罚的情况。本报告中选取各国较为典型的处罚案例予以展示。

西班牙

• 2019年6月，西班牙西甲联赛因违反GDPR被西班牙数据保护局处罚。

• 西甲联赛使用一款官方应用程序，这款应用程序是为了收集用户的音频和位置数据以识别盗版转播行为。当现场比赛正在进行时，应用程序秘密地开始收集数据。该应用程序将从用户手机的麦克风中收集音频数据，然后将这些音频数据与西甲联赛持有的“控制数据”进行比较。如果这两个数据源产生了一场比赛，西甲联赛就会知道是否有人在观看一场比赛。然后，西甲可以使用手机的GPS功能来确定比赛地点，并确定该酒吧或场地是否有权转播现场比赛。

• 西班牙数据保护局认为，该程序秘密收集用户的音频和位置数据。尽管该应用程序获得用户使用麦克风和GPS的许可，但它并未告知用户收集数据的目的。如果用户不知道为什么要收集他们的数据，那么用户的同意就不够具体。换言之，西甲联赛没有获得用户关于数据收集和使用的有效同意，因而违反了GDPR第7条。

• 链接：

  https://www.eldiario.es/tecnologia/Agencia-Proteccion-Datos-Liga-microfono_0_908859408.html（西班牙当地媒体报道）

丹麦

• 2019年5月，丹麦数据保护机构对出租车公司“Taxa 4 X 35”（Taxa）违反GDPR的行为进行了处罚。

• 丹麦数据保护机构调查发现，Taxa没有遵守GDPR中规定的数据最小化原则。该企业虽然在合法保留客户的姓名和地址两年后将其予以删除，但随后在长达三年的时间里违法保留了900多万名客户的电话号码。对此，Taxa认为，客户的电话号码是该企业IT数据库的重要组成部分，因此不能在同一时间段内删除。根据上述调查结果，丹麦数据保护机构建议对Taxa处以120万克朗的罚金（约160,754欧元）。

• 此外，丹麦数据保护机构的此份处罚通知还开启了一个先例，即企业IT系统的限制可能不会被视为过度保留个人数据的合法理由。因此，IT系统中存在同类限制的企业，应明智地探索其他解决方案，以降低GDPR违法风险。例如，企业可以用随机标识符替换此类电话号码和信息，以有效地对较旧的个人数据进行匿名化处理。

• 链接：

  https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/mar/tilsyn-med-taxa-4x35s-behandling-af-personoplysninger/（丹麦数据保护机构官方网站）

法国

• 2019年1月，CNIL以违反GDPR的同意规则为由，处罚谷歌5000万欧元。

• 谷歌的主要违法行为是，未向用户提供透明和清晰的处理个人数据的方式，针对个性化广告未获得合法同意。CNIL表示，谷歌的用户无法完全理解该公司如何使用数据，因为其披露的信息过于“笼统和含糊”，并分散在许多不同页面和文件中。

• CNIL还主张本案所涉的收集的同意既不“具体”也不“明确”，GDPR所要求的同意只有当用户针对诸多特定目的分别给予认可（而不是打包式认可）时才是“具体的”，并且GDPR所要求的同意只有当用户做出清晰的确认动作（例如勾选并未预置勾选的空格）时才是“明确的”。

• 链接：

  https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc（法国数据保护机构官方网站）

  
  

德国

• 德国聊天社交平台Knuddels.de被德国数据保护机构作出处罚。

• 案件的起源是，Knuddels.de网站于2018年7月受到黑客袭击，导致约330,000位用户的电子邮件地址和密码泄露。后经LfDI调查发现，Knuddels.de平台以纯文本形式存储用户密码，没有采取任何加密措施。据此，德国数据保护机构认为Knuddels.de违反了GDPR第32条规定的数据安全义务，并在此基础上依据GDPR第83条第4款对其处以罚款。

• 德国数据保护机构对Knuddels.de作出处罚决定的依据是，该网站未对用户的密码采取加密措施，因而违反GDPR第32条第1款，即，数据控制者及处理者应考虑现有技术、执行成本、处理的本质、范围、背景及目的与对自然人权利及自由所存在的诸多且严重的风险，采取适当的技术及组织措施，以确保合理应对风险的安全水平，尤其需考虑个人数据的化名化及加密。因此，虽然GDPR并未将加密列为强制性义务，但是没有对数据进行加密却可以招致实在的罚款。企业应当自行谨慎评估其是否需要加密所收集的个人数据。

• 链接：

  https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/（德国数据保护机构官方网站）

  
  

立陶宛

• 2019年5月16日，立陶宛数据保护监管机构对MisterTango公司进行处罚。MisterTango此次受处罚的原因有不恰当处理数据、泄露个人信息以及未向监管机构报告数据泄露事件。

• 2018年7月，MisterTango公司用户的个人信息以及9000张网络支付交易截图被非法披露在互联网上，该数据泄露事件发生后72小时内公司亦未向监管机构报告，违反了GDPR的规定。此外，MisterTango提供支付服务时，超出必要限度读取并收集用户的个人信息，与GDPR的最小限度原则不符。

• 链接：

  https://www.ada.lt/go.php/lit/Imones-atsakomybes-neisvengs--lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenu-apsaugos-reglamento-pazeidimus-/1（立陶宛数据保护监管机构官方网站）

  
  

波兰

• 2019年3月26日，波兰数据保护执法机构处罚了当地一家公司。

• 受处罚的公司自公共来源处获得涉及600万人的个人信息，主要来源包括中央电子登记簿和经济活动中的信息。该公司处理此类公共来源的信息的目的是商业用途。但是该公司作为数据控制者，并未告知相关数据主体其正在对数据主体的个人数据进行的数据处理活动，因此数据主体无法获知这些处理活动，也就无法提出反对处理权、更正或者删除权，事实上剥夺了这些数据主体的的数据保护权利。波兰数据保护执法机关认为这是非常严重的违法行为，影响到了数据主体的权利和自由。

• 经查，该公司作为控制者，仅对其已经掌握的电子邮箱的数据主体通过电子邮件告知了GDPR第14条1-3款要求的信息告知义务。其余的涉及到的数据主体，该公司称因成本过高而未对该等数据主体进行告知，而只在其官方网站上展示了其相关信息的条款，以此完成告知。

• 而经波兰数据保护执法机关查明，该公司已经掌握了所有涉案数据主体的邮寄地址和电话号码。波兰数据保护执法机关认为：该公司所述的“成本过高”只是其不履行法定义务的借口，公司应当通过这些邮寄地址等所掌握的涉案个人联系方式对所有的数据主体履行其信息告知义务。

• 链接：

  https://uodo.gov.pl/decyzje/ZSPR.421.3.2018（波兰数据保护执法机关官方网站）

  
  

比利时

• 2019年5月28日，比利时数据保护局（GBA）对比利时市长滥用个人数据，违反了GDPR的行为进行了处罚。本次处罚是一次针对自然人滥用数据行为的处罚。

• 在比利时市选举前一天，比利时市长通过房地产交易咨询事项中建筑师所附的个人电子邮箱向数据主体发送了竞选选举信息。随后，该上述数据主体向GBA投诉，举报市长滥用投诉人的个人邮箱向其发送了竞选选举信息进行拉票。

• GBA认为，比利时市市长使用数据主体个人电子邮件地址并发送竞选信息的行为，已经超出数据主体当时提交个人邮件地址的目的，违反了GDPR中目的限制原则。

• 链接：

  https://www.gegevensbeschermingsautoriteit.be/nieuws/de-gegevensbeschermingsautoriteit-legt-een-sanctie-op-het-kader-van-een-verkiezingscampagne（比利时数据保护局官方网站）

本文作者为环球律师事务所的孟洁律师和梁锐律师

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）

19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

11. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南

12. 第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益

13. 第十三期DPO沙龙纪实：厘清《数据安全管理办法》中的重点条款

14. 第十四期DPO沙龙纪实：梳理《个人信息出境安全评估办法（征求意见稿）》的评估流程
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察

31. 使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）

32. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

33. “惟危惟微，允执厥中”：对《数据安全管理办法》中“定向推送”部分的思考

34. 《儿童个人信息网络保护规定（征求意见稿）》评析：与美国COPPA对比的视角

35. 网安法中的“范围”如何理解和落地：从头条案说起

36. 《数据安全管理办法》的监管诉求及文本改进建议：DPO社群的现场讨论

37. 数据安全的内部和外部视角初探
    

38. 《个人信息出境安全评估办法》的流程改进建议：DPO社群的现场讨论

39. 评价GDPR一周年：一些正负面观点