2023年5月24日,欧洲数据保护委员会(EDPB)通过了《关于根据 GDPR 计算行政罚款的指南》。该指南补充了之前GDPR第八章83条中关于行政罚款相关的指导内容,方便监管当局计算罚款金额,并提供说明性示例以帮助组织理解计算方法。
我们先来看两个案例。2022年意大利Garante 对沃达丰在促销活动中非法使用个人数据处以 500,000 欧元罚款;同年爱尔兰DPC 因Meta未遵守 GDPR 的隐私设计与默认数据保护义务对其处以 2.65 亿欧元的罚款。同样是违反GDPR,为什么处罚金额相差那么大呢?
在了解监管当局如何对违反GDPR的控制者或处理者进行处罚前,我们需要知道,什么是《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)。
2018 年 5 月 25 日生效的《通用数据保护条例》,是欧盟法律中关于欧盟(EU)和欧洲经济区(EEA)数据保护和隐私的法规,是欧盟隐私法和人权法的重要组成部分。它要求以安全的方式处理所有个人数据,并包括对不遵守这些要求的企业的罚款和处罚。它还为个人提供了一些有关其个人数据的权利。
本篇文章的重点是对GDPR中关于处罚的内容进行介绍。
根据GDPR第83条第4、5、6款中规定的侵权行为,GDPR罚款分为两个层级:
较轻处罚:最高1000万欧元的行政罚款,或公司上一财政年度全球年营业额的2%,以较高者为准;
较重处罚:最高2000万欧元的行政罚款,或公司上一财政年度全球年营业额的4%,以较高者为准。
由此可以看出,GDPR也仅是根据侵权行为,明确了最高处罚额度,那具体该如何计算处罚金额呢?2023年5月24日,欧洲数据保护委员会(EDPB)通过的《关于根据 GDPR 计算行政罚款的指南》中,设计了以下方法,由五个步骤组成,用于计算违反GDPR的行政罚款。
对侵权行为进行判断,确定其为一项可受制裁行为还是多项可受制裁行为。后者不适用于GDPR第83条第3款规定。
对于一项可受制裁行为,不管该行为造成一次侵权还是多次侵权,根据GDPR第83条第3款规定,行政罚款总额不超过最严重的违法行为规定的数额。
对于多项可受制裁行为,可能涉及多个法律法规,每项行为在一个或多个处罚中分别计算罚款,以个别法律最高限额为准。
上面也说过,GDPR的侵权行为分为两大类,一类是GDPR第83条第4款可处罚的侵权行为,一类是GDPR第83条第5、6款可处罚的侵权行为。一般来说,侵权行为越严重,罚款越高,罚款起点越高。
那如何判断侵权行为的严重性呢?GDPR第82条第2款(a)(b)(g)内容,可从以下角度进行判定:
1)侵权的性质、严重程度和持续时间;
2)相关处理的性质范围或目的;
3)受影响的数据主体的数量和他们遭受的损害程度;
4)侵权是故意的还是疏忽的结果;
5)侵权影响的个人数据类型。
对这些因素的评估将有助于确定整个侵权行为的严重性(即高、中、低严重程度)
对于严重性为高的侵权行为:起始金额介于法定最高限额的20%-100%;
对于严重性为中的侵权行为:起始金额介于法定最高限额的10%-20%;
对于严重性为低的侵权行为:起始金额介于法定最高限额的0%-10%。
此外,还可以考虑使用基于企业规模及其年营业额的分层方法调整罚款起点。一般来说,适用层级内的经营者营业额越高,计算罚款的起点越高。
在确定罚款金额时,还需根据GDPR第82条第2款其他内容,增加或减少罚款:
1)控制者是否采取任何行动来减轻受侵权影响的人所遭受的损害;
2)控制者或处理者的责任程度;
3)控制者或处理者之前是否存在相关侵权行为;
4)控制者是否与监管机构合作以发现和纠正侵权行为;
5)控制者或处理者是否主动向监管机构报告了侵权行为;
6)控制者或处理者是否遵守监管机构的要求,并采取相应的措施;
7)控制者或处理者是否遵循批准的行为准则或之前获得认证;
8)其他加重或减轻因素。例如因侵权直接或间接获得的经济利益或避免的损失。
需要重申的是,罚款的实际量化将取决于在调查过程中收集到的所有因素,以及与监管当局以往罚款经验有关的进一步考虑。
GDPR中规定的最高额度,包括静态最高额度与基于全球年营业额的动态最高额度。在前面或后面环节增加的罚款金额,不能超过最高额度。
根据GDPR第 83条第1款中关于有效性、相称性和劝阻性的要求,相应地增加或者减少罚款数额。
有效性。如果罚款达到了规定的目的(例如,重新遵守规则、惩罚非法行为或两者兼而有之),则罚款通常被认为是有效的。
相称性。相称性要求所采取的措施不超出实现有关法律所追求的目标的适当和必要范围。在有多项适当措施的情况下,必须采取造成最少不利影响的最简单的措施。在特殊情况下,监管当局可以考虑根据无力支付进一步减少罚款,同时考虑相关企业的经济可行性、价值损失的证明以及特定的社会和经济背景。
劝阻性。罚款必须具有真正的一般威慑效果(即阻止其他人在未来犯同样的侵权行为)和特定的威慑效果(即阻止罚款的接受者再次犯同样的侵权行为)。如果监管当局确定罚款数额不足以起到劝阻作用,则罚款数额可能会增加。
在所有上述步骤中,必须记住,罚款的计算不仅仅是数学运算。相反,具体案件的情况是导致最终罚款数额的决定性因素,在所有情况下,罚款数额都可能在任何最低数额和法律最高数额之间变化。
总结:企业除了事前做好安全隐私保护设计,事后的积极应对态度也非常重要。通过了解GDPR罚款计算规则,不仅可以帮助企业在事前识别潜在风险,采取相关措施尽可能避免违规,降低风险,更好地保护个人数据安全;还可以在企业不慎发生因违反GDPR数据保护要求而被处罚时,提供事后处理思路,按照监管当局要求,采集有效的缓解措施,在一定程度上降低处罚额度。