亚马逊7.46亿欧元天价罚单敲警钟:中国企业如何做好中欧数据合规?
发布时间:2021-08-21 | 发布者: 东东工作室 | 浏览次数: 次(原标题:亚马逊7.46亿欧元天价罚单敲警钟:中国企业如何做好中欧数据合规?)
亚马逊因违反欧盟数据保护相关规定,被处以7.46亿欧元罚款,金额创下历史新高。以此为鉴,中国企业如何做好中国境内和欧盟的数据合规?
随着美国电子商务巨头亚马逊公布了令人失望的二季度财报,以及不如预期的三季度指引,亚马逊股价上周五遭受重创,盘后一度跌超7%,创14个月最大单日跌幅。
除了业绩,引致此次亚马逊股价重挫的“元凶”,还有该公司将要面临来自卢森堡国家数据保护委员会(CNPD)的7.46亿欧元“天价”罚款,原因是公司对个人数据的处理不符合欧盟《通用数据保护条例》(GDPR)。对此,亚马逊表示,CNPD的决定毫无依据,将在此问题上积极抗辩。
如果该处罚坐实,将成为目前已知的GDPR生效以来数据监管当局开出的最大罚单。接受21世纪经济报道记者采访的专家表示,该处罚目前只是初步决定,经过一段时间的诉讼等法律程序后不排除最终的处罚金额可能与7.46亿欧元有一定差距。先例之一是去年10月,英国信息专员办公室(ICO)对英国航空(British Airways)用户信息泄露一事的最终处罚金额由1.83亿英镑降到2000万英镑,缩水超90%。
据悉,CNPD针对亚马逊的调查始于法国隐私权保护组织La Quadrature du Net 2018年对亚马逊的投诉。该组织主张亚马逊的广告体系并非建立在用户自主同意(free consent)的基础上。
北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括向21世纪经济报道记者表示,虽然亚马逊提出上诉的直接目的是降低处罚的可能性及处罚水平,但实际上相较于罚款金额,处罚直接导致的用户信任以及市场上品牌声誉、商誉的降低,是对企业真正具有杀伤力的。
对此,长期参与数据合规的律师王新锐也认为,亚马逊否认存在数据泄露,否认未经用户同意将数据提供给第三方,从挽回用户信任的角度来说,这样的表态也是可以理解的。“结合GDPR的相关规定,如果亚马逊对此提出异议,首先需要证明其具备收集用户信息并将用户信息用于广告推广的法律基础。因此,亚马逊有可能需要重新审视目前广告体系下获取同意的有效性并收集证据证明这一点。”王新锐在接受21世纪经济报道记者采访时表示。
在王新锐看来,对于广告体系下自主同意有效性的问题,亚马逊可能认为其仍有抗辩的空间。“毕竟这个问题几乎涉及到大部分互联网巨头,行业实践的标准也会对具体问题的认定产生一定影响。”
欧盟数据监管趋严
2018年5月生效的GDPR,被称为世界上最严格的数据安全法规。法律及税务机构CMS的GDPR Enforcement Tracker数据显示,从法规生效截至今年7月底,与GDPR相关处罚案件数累计达731件,较去年同期增长120%。
在数据相关立法方面,欧盟除GDPR之外还出台了《非个人数据在欧盟境内自由流动框架条例》和《数据治理条例》。《数据法案》《电子隐私条例》《电子证据条例》也在制定当中。
吴沈括表示,欧盟数据治理法律体系日益严密,强度越来越高。一方面,它所关注的数据范围从个人数据延伸到了非个人数据,视野更宽;另一方面,法定的处罚强度不断提升。此外,欧盟内部和外部的跨国监管合作愈发密切,使得它的全球执法网络不断延伸拓展。
结合近几年的处罚情况,王新锐总结了企业面临的高频问题:(1)数据泄露事件相关处罚。通常在发生数据泄漏事件之后,企业、机关未采取适当安全措施,未充分履行报告、告知义务等情况引发的处罚;(2)定向广告、推送相关的处罚;(3)未经授权处理或对外提供个人数据等。
从监管所关注的数据类型上来说,吴沈括表示,儿童、劳工、金融、医疗、航空运输个人信息,以及社交媒体领域的个人信息,都是重点保护区域。
吴沈括认为,目前来说,受GDPR管辖的中国企业整体合规情况良好,受处罚比例不高,但仍不能掉以轻心。“因为这里面不单单是中国企业的合规情况问题,其实主要的原因还是因为欧洲的执法机关目前的执法重点在美国企业,所以还没有轮到中国企业作为执法重点,这个是需要特别注意的。”
中国企业合规建议
数字经济时代,数据已经成为一种全新的市场化要素,是各国竞相争夺的基础性战略资源。从《国家安全法》将重要领域信息系统及数据纳入国家安全范畴,到《民法典》明确将数据纳入民事权利章节,再到《数据安全法》的发布,中国在数据监管方面的立法也在紧锣密鼓地推进。
吴沈括表示,中国企业目前在合规方面需要注意的问题包括跨国的双重合规、数据跨境的业务规则设计、数据本地化安排,和未成年人保护。此外还需要特别关注内容治理,虚假信息等方面,推进合规体系的建设。
“在中欧双重合规的时代大背景下,需要注意的一个问题是在中国的数据治理领域,我们还有一个经常被忽视的红线,这个红线就是互联网内容治理。”吴沈括说,“合规设计当中,一方面要注意到现在的有关数据治理的法律规范的要求,另一方面,一定不能忘记我们国家有关互联网在线内容治理的红线规定,这个是和欧洲的监管侧重有所不同的地方。”
“当数据权属问题尚未明确时,在商业价值和个人权益之间的平衡是一个值得深思的问题。”王新锐表示,“对于受GDPR管辖的中国公司来说,本次‘亚马逊被处罚’事件以及类似事件都是监管风向的体现,如果后期官方坐实本次处罚,跟亚马逊有同类业务的中国公司也应当及时采取相应的整改措施。”