國際法訊 | 第 6 期

50

（8）取得國內(nèi)公司發(fā)行的債權(quán)，且自取得日至本金贖回日超過 1 年，該債

權(quán)的發(fā)行僅面向特定的外國投資者的（不包括居民外國投資者以日元計價購買

公司債權(quán)的情況）（在符合一定條件時）；

（9）政令規(guī)定的與上述情形類似的情形。

日本通過告示的方式，對需要進行事先備案的指定行業(yè)進行了規(guī)定。指定

行業(yè)又分為核心產(chǎn)業(yè)和非核心產(chǎn)業(yè)。核心產(chǎn)業(yè)是指危害國家安全等的可能性比

較大的行業(yè)（如：武器、飛機、人造衛(wèi)星、核電；原油/天然氣、煉油業(yè)；稀土；

藥品/高度管制醫(yī)療器械；可轉(zhuǎn)為軍事用途的通用貨物制造業(yè)）。非核心產(chǎn)業(yè)是

指可能危害國家安全等的行業(yè)（如：農(nóng)林漁業(yè)；皮革/皮革制造業(yè)；燃料零售業(yè)；

石油倉儲業(yè)；廣播業(yè)）。

為幫助外國投資者判斷其在進行對內(nèi)直接投資時是否需要進行事先申報等，

財務(wù)省制作了《日本上市公司在外匯法下的對內(nèi)直接投資等事先申報適用一覽

表》。如果外國投資者對一覽表中的公司進行對內(nèi)直接投資，那么就需要進行

事先申報。

需要注意的是，如果被投資公司的子公司經(jīng)營的業(yè)務(wù)含有需要事先備案的

行業(yè)，外國投資者也要進行事先備案。也就是說，外國投資者不但要確認被投

資公司，還要確認被投資公司的子公司是否經(jīng)營需要事先備案的行業(yè)，以判斷

是否需要進行事先備案。

事先備案應(yīng)在交易或行為發(fā)生之日前的 6 個月內(nèi)，通過日本銀行按照規(guī)定

的格式向財務(wù)大臣及業(yè)務(wù)主管大臣進行。根據(jù)《外匯法》第 27 條第 2 款，對于

需要事先備案的交易，自財務(wù)大臣及業(yè)務(wù)主管大臣受理該備案之日起 30 日內(nèi)，

不得進行與該備案相關(guān)的對內(nèi)直接投資等。但是，該禁止期限通常會縮短至自

受理備案之日起 2 周內(nèi)。但如果該備案事項被認為對日本的安全等造成威脅的，

財務(wù)大臣和業(yè)務(wù)主管大臣將聽取海關(guān)、外匯等審議會的意見，為進行審查，該

禁止期限最長可延長至 5 個月。

如果審查結(jié)果認為有可能損害國家安全等的，相關(guān)大臣可以發(fā)出中止投資

的勸告等。根據(jù)《外匯法》第 29 條和第 70 條第 1 款第 22 項，對于未備案、虛

假備案或違反變更/中止命令的對內(nèi)直接投資等，在一定情況下，財務(wù)大臣及業(yè)

國際法訊 | 第 6 期

51

務(wù)主管大臣可以發(fā)出出售股份等的事后措施命令，外國投資者甚至?xí)媾R 3 年

以下有期徒刑，單處或并處 100 萬日元以下（但是，如果投資額的 3 倍超過 100

萬日元的，則為投資額 3 倍以下）罰金的刑事處罰。

根據(jù)日本財務(wù)省國際局調(diào)查課投資企劃審查室公布的數(shù)據(jù)，2015 年外國投

資者進行事先備案的案件數(shù)為 493 件，2021 年進行事先備案的案件數(shù)增長為

2859 件。

此外，財務(wù)省于 2020 年 12 月 25 日發(fā)布通知，通過日本銀行進行的事先備

案可以線上進行。

外國投資者實際取得股份等后，還應(yīng)在 45 日內(nèi)通過日本銀行向財務(wù)大臣及

業(yè)務(wù)主管大臣提交執(zhí)行報告。

三、事先備案豁免制度

事先備案豁免制度于 2020 年引入。對于核心產(chǎn)業(yè)等危害國家安全風(fēng)險較高

的投資以外的投資，以遵守豁免標(biāo)準為前提，可以豁免在股份等的取得時的事

先備案義務(wù)。

豁免標(biāo)準如下：

（1）本人或密切相關(guān)人員不擔(dān)任高級管理人員；

（2）不自行向股東大會提出關(guān)于指定行業(yè)的業(yè)務(wù)轉(zhuǎn)讓等的提案；

（3）不接觸與指定行業(yè)相關(guān)的非公開技術(shù)相關(guān)信息。

國際法訊 | 第 6 期

52

事先備案豁免制度分為面向證券公司、銀行、保險公司等外國金融機構(gòu)的

一攬子豁免和面向未違反過《外匯法》，且非國有企業(yè)等的所有其他外國投資

者的一般豁免。屬于一攬子豁免對象的，無論其收購的股份的比例和是否是核

心產(chǎn)業(yè)，只要遵守豁免標(biāo)準即可免除事先備案。在一般豁免中，為指定行業(yè)中

的非核心產(chǎn)業(yè)的，只要遵守豁免標(biāo)準即可免除事先備案，屬于核心產(chǎn)業(yè)的，則

在遵守附加條件的前提下，對于收購不到 10%的股份的情況，免除事先備案。

附加條件如下：

（1）不親自參加關(guān)于核心產(chǎn)業(yè)業(yè)務(wù)的董事會或?qū)ζ溆兄匾獩Q策權(quán)的委員會；

（2）對于核心產(chǎn)業(yè)業(yè)務(wù)，不提出書面提案，要求董事會等在規(guī)定期限內(nèi)答

復(fù)/行動。

需要說明的是，一攬子豁免是針對上市公司的，對于非上市公司的對內(nèi)直

接投資等，并不適用一攬子豁免制度。對于非上市公司的對內(nèi)直接投資只有在

屬于指定行業(yè)中的非核心產(chǎn)業(yè)的情況下，才能適用事先備案豁免制度。

《外匯法》對 27 條之 2 第 3 款規(guī)定，對于利用事先備案豁免制度進行對內(nèi)

直接投資等的外國投資者違反豁免標(biāo)準的，財務(wù)大臣及業(yè)務(wù)主管大臣可以對該

外國投資者發(fā)出勸告，要求其采取必要的措施遵守豁免標(biāo)準?！锻鈪R法》第 27

條之 2 第 4 款規(guī)定，外國投資者不遵守該勸告的，可以命令其采取與該勸告相關(guān)

的措施，違反該命令的，將成為措施命令的對象。

四、事后報告制度

對于外國投資者進行的對內(nèi)直接投資等中，不屬于事先備案行業(yè)，但該外

國投資者收購的股份達到 10%以上的，應(yīng)在投資等行為進行之日起 45 日內(nèi)進行

事后報告（普通事后報告）。此外，利用事先備案豁免制度的外國投資者也應(yīng)

在進行對內(nèi)直接投資等之日起 45 日內(nèi)提交記載有承諾遵守豁免標(biāo)準的事后報告。

對于一攬子豁免的，只有與密切相關(guān)方合起來的出資比例（實際持股）或表決

權(quán)（實際享有的表決權(quán)）達到 10%以上的情況才需要進行事后報告。對于利用事

先備案豁免制度的對非上市公司對內(nèi)直接投資等的外國投資者，無論其出資比

例和表決權(quán)比例如何，均要進行事后報告。事后報告也是通過日本銀行向財務(wù)

國際法訊 | 第 6 期

53

大臣及業(yè)務(wù)主管大臣進行。同樣，事后報告也可以通過線上進行。

五、結(jié)語

通過上面的介紹，我們可以看出，外國投資者在進行對內(nèi)直接投資時：

如果投資的是上市公

司，那么首先要考慮收購

的股權(quán)比例是否是 1%以

上。如果未達到1%，那么

無需事先備案，也無需事

后報告。如果達到 1%以

上，那么要考慮該公司的

業(yè)務(wù)中是否有需要事先備

案的行業(yè)。如果沒有，那么無需事先備案。如果收購的股份達到 10%以上，那么

需要事后報告，如果未達到 10%，則無需事后報告。如果該公司業(yè)務(wù)中有需要事

先備案的行業(yè)，那么要考慮能否遵守豁免標(biāo)準。如果不能遵守，則要事先備案，

且在交易完成后要提交執(zhí)行報告。如果能夠遵守，那么無需事先備案。如果該

外國投資者屬于外國金融機構(gòu)，那么只要遵守豁免標(biāo)準，則無需事先備案。如

果該外國金融機構(gòu)收購的股份達到 10%以上，則需要進行事后報告，否則，無需

事后報告。如果該外國投資者不是外國金融機構(gòu)，那么要考慮其投資的是否是

核心產(chǎn)業(yè)，如果不是核心產(chǎn)業(yè)，那么無需事先備案，但需要進行事后報告。如

果屬于核心產(chǎn)業(yè)，那么需要考慮能否遵守附加條件。不能遵守，則要進行事先

備案，且在交易完成后要提交執(zhí)行報告。如果能夠遵守，但收購股份的比例達

到10%以上的，則需要進行事先備案，且在交易完成后提交執(zhí)行報告。未達到10%

的，則無需事先備案，只要進行事后報告。

如果投資的是非上市公司，那么首先要考慮該公司業(yè)務(wù)中是否有指定行業(yè)。

如果不含有指定行業(yè)，則無需事先備案。如果收購的股份比例也未達到 10%，那

么也無需事后報告。如果收購的股份的比例達到 10%以上，則需要進行事后報告。

如果該公司業(yè)務(wù)中含有指定行業(yè)，則要考慮其是否含有核心產(chǎn)業(yè)。如果含有核

國際法訊 | 第 6 期

54

心產(chǎn)業(yè)，則需要進行事先備案，且在交易完成后提交執(zhí)行報告。如果不含有核

心產(chǎn)業(yè)，且能夠遵守豁免標(biāo)準，則無需事先備案，但要進行事后報告。如果不

能遵守豁免標(biāo)準，則要進行事先備案，且在交易完成后提交執(zhí)行報告。

此外，即使是對內(nèi)直接投資，也有既不要事先備案也不要事后報告的情況。

比如：通過繼承、遺贈、無償配股、通過附收購條款的股份的收購事由發(fā)生取

得股份等；通過持有非上市公司股份或股權(quán)的法人的合并，合并后存續(xù)的法人

或新設(shè)的法人取得該股份或股權(quán)或與該股份或股權(quán)相關(guān)的表決權(quán)等。

以上是對日本外商投資管理制度一般規(guī)定的介紹，除此之外，日本還制定

有七個個別法（《采礦法》、《關(guān)于日本電信電話株式會社等的法律》、《廣

播法》、《放送法》、《船舶法》、《航空法》、《貨物運輸業(yè)法》）對特殊

行業(yè)的外資準入進行了限制。如：《采礦法》規(guī)定外國人不能成為采礦權(quán)持有

人；《關(guān)于日本電信電話株式會社等的法律》規(guī)定，外國人等直接持有的表決

權(quán)比例和其通過國內(nèi)法人間接持有的表決權(quán)比例之和達到 1/3 以上的，不得變

更股東名冊中的名義等。

參考文獻：

1. 日本財務(wù)省國際局調(diào)查課投資企劃審查室 2022 年 6 月《關(guān)于對內(nèi)直接投資等的

事先備案數(shù)量等（令和 3 年度/2021 年度版）》

（https://www.mof.go.jp/policy/international_policy/gaitame_kawase/press_release/20

220610.pdf）

2. 日本財務(wù)省 2020 年 12 月 25 日《開始實施基于外匯法的對內(nèi)直接投資等的事先

申報相關(guān)手續(xù)的電子化》

（https://www.mof.go.jp/policy/international_policy/gaitame_kawase/gaitame/recent_r

evised/gaitamehou_20201225.html）

3. 株式會社大和綜研 2015 年 8 月 10 日《日本資本市場對外開放的經(jīng)驗》

（https://www.dir.co.jp/report/research/capital-mkt/securities/20150810_010004.pdf）

國際法訊 | 第 6 期

55

GDPR 執(zhí)法案例研究

陳麗梅 上海申浩律師事務(wù)所

陳麗梅

上海申浩律師事務(wù)所律師，福州大學(xué)碩士，英語專業(yè)

八級，具有外銷員資格證書（1998 年），目前系上海市律

師協(xié)會國際法業(yè)務(wù)研究委員會委員，為多家跨國公司及外

資企業(yè)提供法律服務(wù)，主要執(zhí)業(yè)領(lǐng)域為涉外法律服務(wù)及民

商事訴訟。

GDPR（General Data Protection Regulation，通用數(shù)據(jù)保護條例）于 2018 年

5 月 25 日正式生效。該法案的正式實施取代了歐盟曾在 1995 年推出的歐盟《數(shù)

據(jù)保護指令》（Data Protection Directive），且在個人隱私方面邁出了一大步。

它旨在保護歐盟公民的個人數(shù)據(jù)，并對企業(yè)的數(shù)據(jù)處理提出嚴格要求。GDPR

的全面實施，意味著歐盟對于個人信息的保護及監(jiān)管達到了前所未有的高度，

GDPR 堪稱史上最嚴格的數(shù)據(jù)保護法案。自 GDPR 實施以來，據(jù)統(tǒng)計，截止目

前罰款超過 100 萬歐元的執(zhí)法案件達 70 個1。該 70 個案例的罰款金額總計

2,077,668,635 歐元。

本文通過對 GDPR 實施以來罰款超過 100 萬歐元的 70 個執(zhí)法案例進行研究

分析，總結(jié) GDPR 執(zhí)法案例中出現(xiàn)的執(zhí)法依據(jù)及相關(guān)法條，結(jié)合相關(guān)案例分析

數(shù)據(jù)處理中常見的問題，并對企業(yè)的數(shù)據(jù)合規(guī)提出建議。

一、從 GDPR 執(zhí)法案例執(zhí)法依據(jù)和執(zhí)法力度國別性差異兩個維度進行分析

1 數(shù)據(jù)來源于 GDPR Enforcement Tracker https://www.enforcementtracker.com/

國際法訊 | 第 6 期

56

0 5 10 15 20 25 30 35

Insufficient fulfilment of data subjects

rights未滿足數(shù)據(jù)主體權(quán)利的實現(xiàn)

Insufficient fulfilment of information

obligations未履行充分性告知義務(wù)

Insufficient legal basis for data processing缺

乏數(shù)據(jù)處理合法性基礎(chǔ)

Insufficient technical and organisational

measures to ensure information security缺乏保

障信息安全的技術(shù)和組織措施

Non-compliance with general data processing

principles違反數(shù)據(jù)處理基本原則

圖1 GDPR執(zhí)法案例處罰依據(jù)數(shù)量比分布圖

43,650,000

234,100,000

472,922,034

91,005,000

1,235,991,601

- 500,000,000 1,000,000,000 1,500,000,000

Insufficient fulfilment of data subjects

rights未滿足數(shù)據(jù)主體權(quán)利的實現(xiàn)

Insufficient fulfilment of information

obligations未履行充分性告知義務(wù)

Insufficient legal basis for data

processing缺乏數(shù)據(jù)處理合法性基礎(chǔ)

Insufficient technical and organisational

measures to ensure information security缺

乏保障信息安全的技術(shù)和組織措施

Non-compliance with general data

processing principles違反數(shù)據(jù)處理基本原則

圖2 GDPR執(zhí)法案例處罰依據(jù)金額分布圖

Fine(euro)罰金

國際法訊 | 第 6 期

57

從圖 1、圖 2、圖 3 對 GDPR 實施以來罰金超過 100 萬歐元的 70 個執(zhí)法案

件的處罰依據(jù)進行分析，發(fā)現(xiàn)違反數(shù)據(jù)處理基本原則、缺乏數(shù)據(jù)處理合法性基

礎(chǔ)、未履行充分告知性義務(wù)、缺乏保障信息安全技術(shù)和組織措施、未滿足數(shù)據(jù)

主體權(quán)利是監(jiān)管機構(gòu)處罰的重災(zāi)區(qū)2，監(jiān)管機構(gòu)引用的高頻執(zhí)法條款按照由高到

低的順序排列主要是 GDPR 第 5、6、32、13、12、14、25、21、9、24、35、

15、17、28 條；根據(jù) GDPR 的結(jié)構(gòu)設(shè)置結(jié)合案例將前述條款歸結(jié)到所對應(yīng)的處

罰依據(jù)3：

序號 高頻度依據(jù)條款 所對應(yīng)的處罰依據(jù)

1 Art. 5 GDPR 違反數(shù)據(jù)處理基本原則

2 Art. 6, 9 GDPR 缺乏數(shù)據(jù)處理合法性基礎(chǔ)

3 Art. 32, 25, 24, 35, 28 GDPR 缺乏保障信息安全的技術(shù)和組織措施

4 Art. 13, 12, 14 GDPR 未履行充分告知性義務(wù)

2 劃分依據(jù)來源于 GDPR Enforcement Tracker 執(zhí)法案例中的（處罰）類型，因每個案例中的事件存在

多方面的違法情況，故處罰引用的條款很多，有些已超出了處罰的類型范圍，該處罰類型只是監(jiān)管機構(gòu)依

據(jù)處罰的核心條款劃定的。未滿足數(shù)據(jù)主體權(quán)利的實現(xiàn)和未履行充分性告知義務(wù)的處罰依據(jù)，在法律體系

上并不是割裂的，而是一體兩面，前者更側(cè)重數(shù)據(jù)主體的權(quán)利，后者更側(cè)重為實現(xiàn)數(shù)據(jù)主體的權(quán)利數(shù)據(jù)控

制者應(yīng)履行的義務(wù)。

3 該歸類更加偏重于 GDPR 結(jié)構(gòu)設(shè)置，因每個案例中的事件存在多方面的違法情況，處罰引用的條款

很多，有些已超出了處罰的類型范圍，若僅按照監(jiān)管機構(gòu)給出的案件的處罰類型所引用的條款劃分，不是

很科學(xué)，且會產(chǎn)生誤導(dǎo)。

2%

11%

23%

4%

59%

圖3 GDPR執(zhí)法案例處罰依據(jù)金額占比分布圖

未滿足數(shù)據(jù)主體權(quán)利的實現(xiàn) 未履行充分性告知義務(wù)

缺乏數(shù)據(jù)處理合法性基礎(chǔ) 缺乏保障信息安全的技術(shù)和組織措施

違反數(shù)據(jù)處理基本原則

國際法訊 | 第 6 期

58

序號 高頻度依據(jù)條款 所對應(yīng)的處罰依據(jù)

5 Art. 21, 15, 17 GDPR 未滿足數(shù)據(jù)主體權(quán)利

監(jiān)管機構(gòu)的執(zhí)法重點包括 GDPR 第 5 條中的數(shù)據(jù)處理的基本原則、第 6 條

數(shù)據(jù)處理的合法性基礎(chǔ)。其中，違反數(shù)據(jù)處理基本原則的執(zhí)法力度最為顯著。

在筆者統(tǒng)計的 70 個案例中，違反數(shù)據(jù)處理基本原則的案件罰款金額高達

1,235,991,601 歐元，占比 59%，數(shù)量 15 個。另外，缺乏數(shù)據(jù)處理合法性基礎(chǔ)的

案件罰款金額高達 472,922,034 歐元，占比 23%，數(shù)量 30 個，未履行充分告知

性義務(wù)的案件罰款金額達 234,100,000 歐元，占比 11%，數(shù)量 5 個，缺乏保障信

息安全技術(shù)和組織措施及未滿足數(shù)據(jù)主體權(quán)利的案件占比 6%，數(shù)量 20 個。因

每個處罰案例雖然只有一個處罰依據(jù)，但通常會引用多個 GDPR 條款，故有必

要從 GDPR 具體條款在這 70 個執(zhí)法案例中的引用頻率的維度進行分析，發(fā)現(xiàn)排

名前 8 位的條款占比近 70%，包括 Art.5（Principles relating to processing of

personal data ） , Art.6 （ Lawfulness of processing ） , Art.32 （ Security of

processing）, Art.13（Information to be provided where personal data are collected

from the data subject ） , Art.12（ Transparent information, communication and

modalities for the exercise of the rights of the data subject）, Art.14（Information to

be provided where personal data have not been obtained from the data subject）,

Art.25（Data protection by design and by default）, Art.21（Right to object）。（詳

情請參考圖 4

4）

4 罰款金額超過 100 萬歐元的執(zhí)法案例引用條款共計 28 條，圖中所顯示的條款為 14 條，引用次數(shù)占

比 86.9%；除了圖中所顯示的 14 個條款外，還有另外 14 個條款按引用次數(shù)排列依次為 Art. 7，Art. 30，

Art. 22，Art. 33，Art. 82，Art. 16，Art. 26，Art. 27，Art. 29，Art. 31，Art. 37，Art. 10，Art. 34，Art. 48，

占比 13.1%。

國際法訊 | 第 6 期

59

歐洲國家處罰力度排名前五位的分別是盧森堡（7.48 億歐元）、愛爾蘭

（6.47 億歐元）、法國（2.865 億歐元）、意大利（1.276 億歐元）、德國

（6029.87 萬歐元）。盧森堡 7.48 億歐元的罰款均來自亞馬遜，其中 2021 年 7

月 16 日對 Amazon Europe Core S.à.r.l.的罰款高達 7.46 億歐元，成為截止目前史

上最高罰單，目前事件仍在上訴中；愛爾蘭的罰款 6.47 億歐元，其中 2022 年 9

月 5 日對 Meta Platforms, Inc（Facebook 的母公司）的罰款高達 4.05 億歐元，成

為截止目前史上第二高的罰高，2021/9/21對 WhatsApp Ireland Ltd.（Facebook的

子公司）的罰款高達 2.25 億歐元，成為截止目前史上第三高的罰單；法國的罰

款 2.865 億歐元，其中對 Google 的罰款達 2 億歐元；意大利的罰款 1.276 億歐

元，其中來自 TIM (telecommunications operator)的罰款達 2780 萬歐元；德國的

罰款達 6029.87 萬歐元，其中來自 H&M Hennes & Mauritz Online Shop A.B. & Co.

KG 的罰款達 3525.87 萬歐元。從這 70 個案例所處的行業(yè)來看，受 GDPR 處罰

21%

18%

10% 10%

6%

5%

5%

5%

4%

4%

4%

3% 3% 2%

圖4 GDPR執(zhí)法案例相關(guān)條款的引用頻率占比

Art. 5 Art. 6 Art. 32 Art. 13 Art. 12 Art. 14 Art. 25

Art. 21 Art. 9 Art. 24 Art. 35 Art. 15 Art. 17 Art. 28

4270萬260萬130萬

2.865億

6029.87萬

2920萬

6.47億

1.276億

7.48億

630萬100萬125萬

4461萬1333.1萬645萬

5948.1萬

-

100,000,000

200,000,000

300,000,000

400,000,000

500,000,000

600,000,000

700,000,000

800,000,000

圖5 歐洲國家GDPR執(zhí)法案例處罰力度對比圖

國際法訊 | 第 6 期

60

嚴重的行業(yè)主要集中在科技巨頭的互聯(lián)網(wǎng)行業(yè)，如 Amazon, Facebook, Google 以

及其他掌握了大量個人信息數(shù)據(jù)的行業(yè)如電信、航空、酒店、銀行、郵政、票

務(wù)、零售、汽車等。

二、結(jié)合執(zhí)法案例，介紹 GDPR 處罰案例高頻引用的罰款依據(jù)及相關(guān)條款

（一）數(shù)據(jù)處理的基本原則（Art5. GDPR Principles relating to processing

of personal data）

截止目前，在 GDPR 執(zhí)法案例中，處罰金額最高的 Amazon Europe Core

S.à.r.l.和第二高的 Meta Platforms, Inc.均因違反該原則而被處罰。

1. 數(shù)據(jù)處理的基本原則

包括合法、公正、透明原則(lawfulness, fairness and transparency)、目的限

定原則(purpose limitation)、數(shù)據(jù)最小化原則(data minimisation)、準確性原則

(accuracy)、存儲限制原則（storage limitation）、完整性、機密性原則(integrity

and confidentiality)、問責(zé)制原則(accountability)。

企業(yè)處理數(shù)據(jù)的合法性基礎(chǔ)主要來源于數(shù)據(jù)主體的“同意”。同意需要符

合自愿的原則，且數(shù)據(jù)主體有權(quán)隨時自由地撤回自己的同意。征求同意的請求

應(yīng)以可以理解，易于訪問的形式做出，且需要符合明確、具體的要求。GDPR

給出如下解釋，If the data subject’s consent is given in the context of a written

declaration which also concerns other matters, the request for consent shall be

presented in a manner which is clearly distinguishable from the other matters, in an

intelligible and easily accessible form, using clear and plain language. 除了數(shù)據(jù)主體

的同意，GDPR 還列出了其他一些數(shù)據(jù)處理的合法性基礎(chǔ)，如（在數(shù)據(jù)主體是

合同一方時）為了履行合同的需要，或者為了公共利益的需要等。公正、透明

原則要求對個人數(shù)據(jù)的收集、使用、處理以及處理的程度、處理的目的、數(shù)據(jù)

控制者的身份等必須為數(shù)據(jù)主體知悉。

目的限定原則要求收集個人數(shù)據(jù)的目的應(yīng)具體、明確、合法，且數(shù)據(jù)處理

不能與該目的相違背，GDPR 解釋說“the specific purposes for which personal

data are processed should be explicit and legitimate and determined at the time of the

國際法訊 | 第 6 期

61

collection of the personal data.”數(shù)據(jù)最小化原則要求企業(yè)處理個人數(shù)據(jù)應(yīng)當(dāng)與目

的相符，收集、處理的個人信息應(yīng)當(dāng)是充分的、相關(guān)的，且與處理目的相關(guān)。

存儲限制原則是數(shù)據(jù)最小化原則的應(yīng)有之義。儲存限制原則要求對個人數(shù)據(jù)的

存儲期限不能長于完成處理目的，企業(yè)應(yīng)建立數(shù)據(jù)刪除的期限或定期對數(shù)據(jù)進

行審查。

數(shù)據(jù)準確性原則要求企業(yè)對其處理的數(shù)據(jù)保持適時地更新，并采取一切合

理的措施確保錯誤數(shù)據(jù)被及時清除或更正。完整性、機密性原則要求數(shù)據(jù)處理

應(yīng)當(dāng)以確保個人數(shù)據(jù)的適當(dāng)安全性的方式進行，包括采取適當(dāng)?shù)募夹g(shù)和組織措

施以保護數(shù)據(jù)免遭未經(jīng)授權(quán)或非法處理以及意外的丟失、銷毀或破壞。問責(zé)制

原則是指企業(yè)應(yīng)對履行 GDPR 的規(guī)定負責(zé)，且能證明其已經(jīng)履行了前述規(guī)定的

原則。

2. GDPR 最高罰單：Amazon Europe Core S.à.r.l.案

從目前可以獲得的信息來看，Amazon 案件的起因是 2018 年 5 月 10,000 名

個人通過一個法國隱私權(quán)保護組織 La Quadrature du Net 對亞馬遜進行投訴，監(jiān)

管機構(gòu)對亞馬遜如何對其顧客的個人信息進行處理展開調(diào)查后發(fā)現(xiàn)亞馬遜的廣

國際法訊 | 第 6 期

62

告定位系統(tǒng)沒有獲得顧客的同意而存在侵權(quán)，故對其處以 7.46 億歐元的罰金。

There are certain requirements for compliant consent that need to be met in order to

stay in line with the GDPR, like using clear, plain language and explaining how data

is going to be used, why and by whom. 該處罰案例的細節(jié)因 Amazon 在上訴中，故

根據(jù)當(dāng)?shù)氐姆?，該案件處于保密階段，直至上訴期結(jié)束。Amazon 強烈反對這

一處罰決定，理由是自己不存在數(shù)據(jù)泄露，而且也未把顧客信息披露給第三方。

有評論認為，Amazon 提出的理由，不會非常奏效。“GDPR focuses not only on

data security but also on the data privacy aspects– how companies use personal data,

if the company is transparent, and if the processing is lawful. So whether a data breach

occurred or not, may not be crucial in this case.”

根據(jù) GDPR 關(guān)于數(shù)據(jù)處理基本原則的規(guī)定，Amazon 要想證明自己沒有違反

該原則，難度非常大。Amazon 在回應(yīng)該事件時只提到了自己沒有泄露數(shù)據(jù)，也

沒有披露給第三人，但沒有正面回應(yīng)是否獲得顧客的同意，根據(jù)前述所介紹的

數(shù)據(jù)處理的的基本原則要求，數(shù)據(jù)的收集及處理必須征得數(shù)據(jù)主體的同意，而

且對個人數(shù)據(jù)的收集、使用、處理以及處理的程度、處理的目的、數(shù)據(jù)控制者

的身份等必須透明，是否有數(shù)據(jù)泄露等并不是判定自己沒有違反該原則的依據(jù)。

3. 愛爾蘭目前最高罰單：Meta 案

今年 9 月 5 日愛爾蘭對 Meta Platforms, Inc（ Facebook 的母公司） 的罰款高

達 4.05 億歐元，成為截止目前 GDPR 第二高的罰單。監(jiān)管機構(gòu)給出的原因是

Meta 違反了數(shù)據(jù)處理的基本原則，尤其是關(guān)于未成年人隱私保護的規(guī)定。據(jù)路

透社，Meta 允許 13-17 歲的未成年用戶在 Instagram 上創(chuàng)建自己的商業(yè)帳戶，這

意味著他們的郵件地址、電話號碼會在應(yīng)用程序中公開顯示。The inquiry

examined, in particular, the public disclosure of email addresses and/or phone numbers

of children using the Instagram business account feature and a public-by-default

setting for personal Instagram accounts of children. 該案件最終經(jīng)過 Concerned

Supervisory Authorities ( “ CSAs ” ) 及 the European Data Protection Board

(“EDPB”)審議決議確定了最終的罰款金額 4.25 億。除了罰款之外，數(shù)據(jù)保護

委員會（“DPC”）還給予訓(xùn)誡及指令并要求 Meta 采取改正措施，規(guī)范數(shù)據(jù)處

理行為。“In addition to these administrative fines, the DPC has also imposed a

reprimand and an order requiring Meta Platforms Ireland Limited to bring its

國際法訊 | 第 6 期

63

processing into compliance by taking a range of specified remedial actions.”這個案

件從側(cè)面反映出歐盟打擊未成年人隱私泄露的決心和力度。

DPC 給出懲罰的理由時，除了引用了數(shù)據(jù)處理基本原則，如第 5(1)(a)條

（合法、公正、透明原則）第 5(1)(c)條（數(shù)據(jù)最小化原則），還引用了其他條

款第 6(1)條（同意），第 8(1)條（未成年人同意的有效方式），第 12（1）條

（透明原則的細化），第 13 條（收集數(shù)據(jù)時，應(yīng)充分告知數(shù)據(jù)主體的信息），

第 24 條（數(shù)據(jù)控制者的責(zé)任：采取組織和技術(shù)措施保證并能證明其已符合

GDPR 的規(guī)定），第 25 條（設(shè)計和默認的數(shù)據(jù)保護）和第 35 條（數(shù)據(jù)保護影響

評估）。其他條款實質(zhì)也是數(shù)據(jù)處理原則進一步的細化。

（二）數(shù)據(jù)處理的合法性基礎(chǔ)

在 GDPR 執(zhí)法案例中， Google 2019 年 1 月 21 日因違反該原則被法國處罰

了5000萬歐元，2021年12月21日因違反該原則再次被法國處罰了1.5億歐元；

意大利于 2020 年 1 月 15 日因 TIM (telecommunications operator) 違反該原則，處

罰 2780 萬歐元。

1. 數(shù)據(jù)處理的合法性

數(shù)據(jù)處理合法性基礎(chǔ)引用的主要條文是 Art. 6 GDPR Lawfulness of processing，

對企業(yè)而言，最主要的是數(shù)據(jù)處理應(yīng)獲得數(shù)據(jù)主體的有效同意；除了上文關(guān)于

數(shù)據(jù)處理的合法性原則提到的要點之外，尤其注意的是在考察用戶是否自由作

出同意時，應(yīng)該尤為注意企業(yè)是否設(shè)置了不合理的條件，如以不必要的個人數(shù)

據(jù)處理活動作為履行合同必要條件的情形。換言之，如果企業(yè)會要求用戶同意

其采集一些和服務(wù)沒有關(guān)系的非必要數(shù)據(jù)，或把必要數(shù)據(jù)用于其他目的，而用

戶不同意就拒絕提供服務(wù)，就構(gòu)成了未取得數(shù)據(jù)主體的有效同意而非法處理數(shù)

據(jù)的情形。

另外，GDPR 在第 8 條項下明確規(guī)定，對于 16 周歲以下的未成年人的個人

數(shù)據(jù)進行處理的合法基礎(chǔ)在于未成年人的監(jiān)護人做出有效同意。GDPR 中還存

在部分個人數(shù)據(jù)處理場景需要企業(yè)獲得用戶明確同意，例如處理第 9 條項下的

特殊種類個人數(shù)據(jù)，包括涉及種族或民族、政治觀念、宗教或哲學(xué)信仰或工會

國際法訊 | 第 6 期

64

成員的個人數(shù)據(jù)、基因數(shù)據(jù)、為了特定識別自然人的生物性識別數(shù)據(jù)、以及和

人的健康數(shù)據(jù)等，GDPR 明確規(guī)定禁止企業(yè)對這類數(shù)據(jù)進行處理，除非獲得明

確同意；處理第 22 條項下對自動決策結(jié)果的適用（The data subject shall have the

right not to be subject to a decision based solely on automated processing, including

profiling, which produces legal effects concerning him or her or similarly significantly

affects him or her except that the decision is based on the data subject’s explicit

consent），以及第 49 條項下（缺乏充分性保護決定與適當(dāng)保護措施）的跨境數(shù)

據(jù)傳輸?shù)刃枰鞔_同意。

該條文經(jīng)常和第 5 條項下數(shù)據(jù)處理基本原則及關(guān)于數(shù)據(jù)主體權(quán)利的條文一

起被引用。關(guān)于合法性原則上文已提到，數(shù)據(jù)主體的權(quán)利會在下文中單獨提出，

此處不再贅述。

2. TIM (telecommunications operator)商業(yè)營銷違反歐洲 GDPR

TIM 被處罰的原因在于不合法的數(shù)據(jù)處理、不合規(guī)的激進營銷策略，未取

得數(shù)據(jù)主體的有效同意以及過長的數(shù)據(jù)儲存期限。The fine was issued for

violation of the GDPR, with emphasis on unlawful data processing, non-compliant

aggressive marketing strategy, invalid collection of consents and excessive data

retention period. 監(jiān)管機構(gòu)最終認定 TIM 違反了第 5 條數(shù)據(jù)處理的基本原則

（Principles relating to processing of personal data），第 6 條數(shù)據(jù)處理的合法性

（Lawfulness of processing），第 17 條刪除權(quán)（Right to erasure），第 21 條拒絕

權(quán)（Right to object），第 32 條數(shù)據(jù)處理安全（Security of processing）。

TIM 公司進行商業(yè)營銷，未經(jīng)數(shù)據(jù)主體的同意，且對于已經(jīng)登記謝絕營銷

的個人或者拒絕營銷的個人還進行商業(yè)營銷“promotional calls without proper

consent or despite registration of the contacted individuals in the public do not call

registry, and even after they exercised the right to object.”TIM 以紙質(zhì)形式收集同

意時，用一個單一的選擇性加入鎖定多個目的，故數(shù)據(jù)主體的同意是無法辨識

且不明確，這違反了 GDPR 合法性原則中關(guān)于同意應(yīng)以明確、可辨識的方式做

出的規(guī)定，“The company collected consents in paper forms with a single opt-in for

multiple purposes. Therefore, making consents indistinguishable and unspecific.”TIM

apps 及其營銷項目收集信息時以同意作為獲得該軟件服務(wù)的前提條件，故為了

國際法訊 | 第 6 期

65

進入該程序并獲得相應(yīng)的使用權(quán)，客戶不得不同意其營銷目的，違反了 GDPR

關(guān)于同意應(yīng)自由做出的規(guī)定。“There were also issue with the data collected

through TIM apps and promotional programs, like “TIM Party” that conditioned

consent for service. Therefore, to access the program and related benefits, customers

had to express consent to promotional purposes.”

未滿足 GDPR 關(guān)于數(shù)據(jù)主體的權(quán)利要求，尤其是數(shù)據(jù)主體的訪問權(quán)、拒絕

權(quán)?！癋urther complaints pointed to a failure to respond to the data subjects’

requests with regard to their GDPR rights, in particular regarding access to their data

and objection to the processing for promotional purposes.”

未正確管理數(shù)據(jù)主體的同意清單?！癟IM failed to properly manage lists of

data subjects who wanted to be excluded from commercial campaigns.”

過長的數(shù)據(jù)儲存期限，TIM 儲存數(shù)據(jù)的期限超過了法律允許的最長期限十

年?！癟IM stored data relating to customers of other Operators (to whom TIM

provided network and infrastructure service), in their CRM system, for a time exceeding

the limits required by law (10 years).”

3. Google 和 H&M

Google 2021 年被法國罰款 1.5 億歐元，主要原因在于谷歌的系統(tǒng)所設(shè)置的

cookie 按鈕接受很容易，拒絕卻很復(fù)雜，這影響了網(wǎng)絡(luò)用戶是否做出同意表示

的自由，“The restricted committee, the CNIL body in charge of issuing sanctions,

judged that making the refusal mechanism more complex actually discourages users

from refusing cookies and encourages them to opt for the ease of the \"I accept\" button.”

德國 GDPR執(zhí)法案例最高罰金是 2020年 10月 1日對 H&M Hennes & Mauritz

Online Shop A.B. & Co. KG 實施的 3526 萬歐元罰款，該案是因 H&M 對員工信

息的不合法的監(jiān)控引起的，即未經(jīng)數(shù)據(jù)主體的同意而實施了個人數(shù)據(jù)的監(jiān)控。

德國 GDPR 處罰金額一般比較保守，最大的罰單來自勞工領(lǐng)域，足以看出德國

對勞動者權(quán)利的保護?！癝upervisors at the service centre had a practice of

collecting detailed private information from employees returning from holidays or sick

leave - even short absences - through \"welcome back talks\". “The information collected

was often highly personal, such as details of employees' holiday experiences and

國際法訊 | 第 6 期

66

sometimes included special category personal data such as symptoms of illnesses and

diagnoses.”最終，H&M 對受影響的員工給予了賠償并道歉，并提出了一個綜

合的數(shù)據(jù)保護方案，包括指定一位新的數(shù)據(jù)保護協(xié)調(diào)官，發(fā)布月度數(shù)據(jù)保護狀

態(tài)更新，以及對吹哨人的保護等。

（三）企業(yè)應(yīng)履行充分告知性義務(wù)

1. 充分告知性義務(wù)

該義務(wù)主要規(guī)定在 GDPR第 13條和 14條項下（兩個條款的內(nèi)容基本一致），

是指企業(yè)在收集數(shù)據(jù)之前應(yīng)該向數(shù)據(jù)主體提供如下信息：控制者的身份與詳細

聯(lián)系方式， 數(shù)據(jù)保護官的詳細聯(lián)系方式，數(shù)據(jù)處理的目的，數(shù)據(jù)處理的合法基

礎(chǔ)，數(shù)據(jù)的類型，數(shù)據(jù)的接收者，數(shù)據(jù)將被儲存的期限或用來確定此期限的標(biāo)

準，數(shù)據(jù)主體存的權(quán)利包括數(shù)據(jù)主體對數(shù)據(jù)的訪問權(quán)、更正或刪除權(quán)，或者限

制或拒絕權(quán)，數(shù)據(jù)可攜權(quán)，可隨時撤銷同意的權(quán)利，向監(jiān)管機構(gòu)進行申訴的權(quán)

利，個人數(shù)據(jù)的來源。前述信息應(yīng)當(dāng)在合理時間內(nèi)提供，如需要在進一步處理

數(shù)據(jù)之前，前向數(shù)據(jù)主體提供此類目的的信息，若需要將數(shù)據(jù)披露給第三方，

需要在披露之前向數(shù)據(jù)主體提供；但最晚在一個月以內(nèi)提供。對于數(shù)據(jù)主體已

經(jīng)擁有的信息，不需要再次提供。

GDPR 第 12 條明確規(guī)定對于與個人信息處理相關(guān)的第 13 條和第 14 條規(guī)定

的所有信息、或者對第 15 條至 22 條以及 34 條（數(shù)據(jù)泄露可能會給數(shù)據(jù)主體帶

來風(fēng)險時應(yīng)即刻告知數(shù)據(jù)主體）所規(guī)定的交流，數(shù)據(jù)控制者應(yīng)當(dāng)以一種簡潔、

透明、易懂和容易獲取的形式，以清晰和平白的語言向數(shù)據(jù)主體提供；對于數(shù)

據(jù)主體是兒童的所有信息，尤其應(yīng)當(dāng)如此。

2. WhatsApp 違反信息披露透明的規(guī)定

WhatsApp 因未履行充分性告知義務(wù)，于 2021 年 9 月 2 日被愛爾蘭罰款 2.25

億歐元，DPC 調(diào)查主要圍繞 WhatsApp 是否履行了其數(shù)據(jù)披露透明義務(wù)，尤其

是關(guān)于 WhatsApp 與其他 Facebook 公司分享和處理其收集的個人數(shù)據(jù)的透明度

（Facebook 在 2014 年收購了 WhatsApp）。DPC 確認 WhatsApp 對其服務(wù)的用

戶和非用戶都違反了 GDPR 第 12-14 條即未向數(shù)據(jù)主體明確、公開和透明地披

國際法訊 | 第 6 期

67

露其個人數(shù)據(jù)將被如何處理，例如 DPC 發(fā)現(xiàn) WhatsApp 并未對其每一個數(shù)據(jù)處

理活動提供合法的基礎(chǔ)，違反了 GDPR 第 13(1)(c)條。

關(guān)于罰金的計算，歐洲數(shù)據(jù)保護委員會 EDPB 決定 WhatsApp 的母公司

Facebook的收入與 WhatsApp的收入應(yīng)合并計算，因為兩家公司都是統(tǒng)一經(jīng)營。

且根據(jù)歐盟法院 CJEU 的判例法，當(dāng)母公司和子公司進行統(tǒng)一經(jīng)營，該經(jīng)營行

為因子公司觸犯了法律而應(yīng)承擔(dān)責(zé)任時，該母子公司的總收入構(gòu)成了所爭議的

經(jīng)營的財務(wù)能力。根據(jù) GDPR 83 條第 5 款的規(guī)定，違反數(shù)據(jù)披露透明度應(yīng)施加

最高 2000 萬歐元或前一年度全球總營業(yè)額 4%兩者取其高的一項進行罰款。

最后，EDPB 考慮到透明度原則的重要性，要求 WhatsApp 在三個月內(nèi)采取

多項行動，以提高其數(shù)據(jù)披露的透明度，并完成相關(guān)整改。WhatsApp 必須對其

用戶和非用戶更新其隱私公告，該公告應(yīng)涵蓋 GDPR 第 13 條和第 14 條規(guī)定的

內(nèi)容，包括用戶如何對其處理活動向監(jiān)管機構(gòu)進行申訴的權(quán)利。

（四）企業(yè)應(yīng)滿足數(shù)據(jù)主體權(quán)利的實現(xiàn)

1. 數(shù)據(jù)主體的權(quán)利

GDPR 第 15 條-23 條規(guī)定了數(shù)據(jù)主體的權(quán)利，包括第 15 條數(shù)據(jù)主體的訪問

權(quán)（Right of access by the data subject），第 16 條更正權(quán)（Right to rectification），

第 17 條刪除權(quán)（Right to erasure to be forgotten），第 18 條限制處理權(quán)（Right to

restriction of processing），第 19 條便攜權(quán)（Right to data portability），第 21 條

數(shù)據(jù)主體的拒絕權(quán)（Right to object）。

數(shù)據(jù)主體的訪問權(quán)，是指數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制獲得的信息，包括：數(shù)

據(jù)處理的目的，數(shù)據(jù)的類型，數(shù)據(jù)接收者或接收者的類型，個人數(shù)據(jù)將被儲存

的預(yù)期期限，數(shù)據(jù)主體享有的更正權(quán)、刪除權(quán)、限制處理權(quán)的存在，向監(jiān)管機

構(gòu)進行申訴的權(quán)利，數(shù)據(jù)來源的任何信息（當(dāng)要處理的數(shù)據(jù)不是從數(shù)據(jù)主體直

接收集的），關(guān)于數(shù)據(jù)轉(zhuǎn)移的保障措施，自動化的決策的存在及其處理的邏輯

及對于數(shù)據(jù)主體的預(yù)期后果和影響；

更正權(quán)：當(dāng)數(shù)據(jù)主體要求更正錯誤個人數(shù)據(jù)時，企業(yè)應(yīng)當(dāng)及時響應(yīng)數(shù)據(jù)主

體行權(quán)要求，及時更正與其有關(guān)的錯誤數(shù)據(jù)。刪除權(quán)：當(dāng)數(shù)據(jù)主體撤回同意或

國際法訊 | 第 6 期

68

當(dāng)個人數(shù)據(jù)處理已不必要情況下，數(shù)據(jù)主體提出刪除其個人數(shù)據(jù)的請求時，企

業(yè)應(yīng)及時采取刪除措施，清除與其相關(guān)的個人數(shù)據(jù)。拒絕權(quán)：為營銷目的處理

個人數(shù)據(jù)的，應(yīng)當(dāng)征得數(shù)據(jù)主體同意。當(dāng)數(shù)據(jù)主體明確拒絕為廣告營銷目的處

理其個人數(shù)據(jù)，企業(yè)不得向其推送廣告。

限制處理權(quán)：當(dāng)數(shù)據(jù)主體對個人數(shù)據(jù)的準確性提出質(zhì)疑、數(shù)據(jù)處理違法情

況下數(shù)據(jù)主體要求限制數(shù)據(jù)使用或數(shù)據(jù)主體行使拒絕權(quán)的情況下，數(shù)據(jù)主體有

權(quán)限制企業(yè)的數(shù)據(jù)處理行為。數(shù)據(jù)可攜權(quán)：當(dāng)數(shù)據(jù)處理是基于數(shù)據(jù)主體同意或

合同約定合法性基礎(chǔ)，或數(shù)據(jù)通過自動化方式進行處理的情況下，提供個人數(shù)

據(jù)的數(shù)據(jù)主體有權(quán)向企業(yè)要求提供結(jié)構(gòu)化、通用化和可機讀的與其有關(guān)的個人

數(shù)據(jù)。

2. Clearview Al Inc.收集數(shù)百億人的圖像，違反歐盟 GDPR

Clearview Al Inc.今年因其違反 GDPR 先后被意大利、英國、希臘、法國施

加了罰款，總金額達 6900 萬歐元，雖然監(jiān)管機構(gòu)所給出的處罰類型稍有不同如

法國以未滿足數(shù)據(jù)主體的權(quán)利進行罰款，其他三個國家則以違反數(shù)據(jù)處理的基

本原則，但所依據(jù)的核心條款之一都包括了數(shù)據(jù)主體的權(quán)利。

以法國監(jiān)管機構(gòu) CNIL 給出的處罰理由為例：CLEARVIEW AI 從各網(wǎng)站包

括社交媒體收集大量照片及視頻，數(shù)量達數(shù)百億。該公司建立了自己的圖像數(shù)

據(jù)庫，并提供搜索引擎進行個性化搜索和匹配。CLEARVIEW AI 把這項服務(wù)提

供給執(zhí)法當(dāng)局用以識別罪犯或受害者，并還為此建立了以人的物理特性（主要

是人臉）的模版，這些生物學(xué)的數(shù)據(jù)都是非常的敏感數(shù)據(jù)，屬于 GDPR 第 9 條

項下的特殊種類的數(shù)據(jù)，處理該類數(shù)據(jù)必需征得數(shù)據(jù)主體的明確同意。但是，

CLEARVIEW AI 數(shù)據(jù)庫里的圖像的數(shù)據(jù)主體并不知道自己的圖像被收集并被在

其軟件上使用，這些圖像的數(shù)據(jù)主體無法合理的預(yù)知自己的圖像會被一個公司

加工并應(yīng)用于人臉識別系統(tǒng)，實施執(zhí)法目的。故 CNIL 以 CLEARVIEW AI 違反

GDPR 第 6 條項下數(shù)據(jù)處理必需有合法的基礎(chǔ)（包括明確的同意、合法的利益

等）及違反了 GDPR 第 12 條、15 條、17 條項下的規(guī)定，未以有效的令人滿意

的方式保證數(shù)據(jù)主體的權(quán)利尤其是訪問權(quán)，而對其進行處罰。CLEARVIEW AI

限制數(shù)據(jù)主體行使訪問權(quán)，限制訪問的對象為提出申請前 12 個內(nèi)收集的數(shù)據(jù)，

并且無任何合法依據(jù)的將權(quán)利的行使限定為一年兩次，且僅在從同一人收到大

國際法訊 | 第 6 期

69

量請求時才回應(yīng)部分請求，而且對數(shù)據(jù)主體要求刪除的回應(yīng)非常的低效。在

CNIL 調(diào)查時， CLEARVIEW AI 配合度低，其僅回復(fù)了小部分調(diào)查表，且未對

CNIL 發(fā)布的正式的通知給予任何回復(fù)，而根據(jù) GDPR 第 31 條的規(guī)定，數(shù)據(jù)控

制者應(yīng)該對監(jiān)管機構(gòu)關(guān)于其數(shù)據(jù)處理的詢問予以配合。故，鑒于 CLEARVIEW

AI 違反了 GDPR 第 6 條、12 條、15 條、17 條及 31 條的規(guī)定，對其施加罰款

2000 萬歐元。

（五）缺乏保障信息安全的技術(shù)和組織措施

1. 保障信息安全的技術(shù)和組織措施

數(shù)據(jù)控制者應(yīng)采取保障信息安全的技術(shù)和組織措施的規(guī)定主要體現(xiàn)在

GDPR 第 32 條數(shù)據(jù)處理的安全性（Security of processing）、第 24 條數(shù)據(jù)控制者

的責(zé)任（Responsibility of controller）、第 25 條設(shè)計的和默認的數(shù)據(jù)保護（Data

protection by design and by default）、第 28 條數(shù)據(jù)處理者（Processor）。

數(shù)據(jù)控制者應(yīng)采取保障信息安全的技術(shù)和組織措施，主要包括：個人數(shù)據(jù)

的匿名化和加密；確保處理系統(tǒng)與服務(wù)的保密性、公正性、有效性性以及重新

恢復(fù)的能力；在發(fā)生物理的或技術(shù)的故障時，能及時恢復(fù)對數(shù)據(jù)的獲取與訪問；

建立定期測試、評估與評價技術(shù)性與組織措施有效性的流程，以保證數(shù)據(jù)處理

安全；在默認情況下，只有為特定處理目的所必要的個人數(shù)據(jù)被處理；在評估

安全性時，應(yīng)考慮處理所帶來的風(fēng)險，特別是在個人數(shù)據(jù)傳輸、儲存或處理過

程中可能發(fā)生的意外或非法破壞、丟失、篡改、未經(jīng)授權(quán)的披露或訪問所帶來

的風(fēng)險。企業(yè)可以設(shè)立行為準則或進行認證，證明自己已經(jīng)履行了法定的義務(wù)。

2. Marriott International, Inc 數(shù)據(jù)泄露案

2018 年 11 月，萬豪國際集團公開披露其旗下喜達屋酒店客房預(yù)訂系統(tǒng)數(shù)據(jù)

泄露事件。該事件導(dǎo)致 3.39 億酒店客戶信息（包括姓名、郵件地址、電話號碼、

護照號碼、行程信息等）被黑客竊取，涉及到 3000 萬來自 31 個歐洲經(jīng)濟區(qū)

（EEA）國家的居民，其中包括 700 萬英國居民。萬豪國際在 2016 年 9 月收購

喜達屋酒店。據(jù)英國監(jiān)管機構(gòu) ICO 調(diào)查，喜達屋酒店客房預(yù)訂系統(tǒng)因黑客攻擊

導(dǎo)致的數(shù)據(jù)漏洞自 2014 年 7 月起便存在，直到 2018 年才發(fā)現(xiàn)此漏洞。

國際法訊 | 第 6 期

70

ICO 認為萬豪國際在處理數(shù)據(jù)時，未采取確保個人數(shù)據(jù)安全的基數(shù)和組織

措施，以防范對數(shù)據(jù)進行未經(jīng)授權(quán)、非法的處理及意外的損失、破壞、損害等，

故違反了 GDPR 第 15(1)(f)條及第 32 條的安全保障義務(wù)。ICO 依據(jù) GDPR 第

5(1)(f)條、第 5(2)條、第 24條、第 28條、第 29條、第 32條、第 83條，于 2020

年 10 月 30 日對萬豪國際集團做出了 2.045 億歐元的罰款。

最后，再聊一下本案的管轄，萬豪國際是一國際連鎖酒店，業(yè)務(wù)總部在美

國。萬豪國際證實根據(jù) GDPR 第 4(16)條，萬豪酒店是在歐盟成立的萬豪的主要

機構(gòu)，故該案件應(yīng)適用 GDPR 的規(guī)定，根據(jù) GDPR 第 3(1)條的規(guī)定 This

Regulation applies to the processing of personal data in the context of the activities of

an establishment of a controller or a processor in the Union, regardless of whether the

processing takes place in the Union or not，萬豪國際的數(shù)據(jù)泄露案應(yīng)適用 GDPR。

又，該事件涉及到 3000萬來自 31個歐洲經(jīng)濟區(qū)（EEA）國家的居民，其中包括

700萬英國居民，故該案件從所泄露的數(shù)據(jù)主體是歐洲經(jīng)濟區(qū)的居民及舉重以明

輕的原則，也應(yīng)適用根據(jù) GDPR 的規(guī)定，依據(jù)是第 3（2）條“This Regulation

applies to the processing of personal data of data subjects who are in the Union by a

controller or processor not established in the Union”。

三、對企業(yè)數(shù)據(jù)合規(guī)的建議

根據(jù) GDPR checklist，結(jié)合執(zhí)法案例，筆者建議企業(yè)應(yīng)建立一整套的數(shù)據(jù)合

規(guī)體系。企業(yè)應(yīng)從四個維度構(gòu)建數(shù)據(jù)合規(guī)體系，包括數(shù)據(jù)處理合法性的基礎(chǔ)及

透明度、數(shù)據(jù)安全、責(zé)任和管理、隱私權(quán)。

國際法訊 | 第 6 期

71

（一）數(shù)據(jù)處理合法性的基礎(chǔ)及透明度

企業(yè)應(yīng)首先對所處理的數(shù)據(jù)做審計，以明確所處理的數(shù)據(jù)類型，以及誰對

這些數(shù)據(jù)具有訪問權(quán)；對敏感類型的數(shù)據(jù)如銀行賬戶、護照號碼等進行加密，

對特殊類型的數(shù)據(jù)，需要獲得數(shù)據(jù)主體的明確同意。應(yīng)保證數(shù)據(jù)主體的訪問權(quán)，

查看本企業(yè)誰對該數(shù)據(jù)具有訪問權(quán)，是否有第三方對該數(shù)據(jù)具有訪問權(quán)（位于

哪里），并確保與數(shù)據(jù)處理無關(guān)的人無權(quán)訪問該數(shù)據(jù)，例如對訪問數(shù)據(jù)的申請

者進行身份驗證。

數(shù)據(jù)處理應(yīng)有合法的基礎(chǔ)，如是否獲得數(shù)據(jù)主體的有效同意，并注意企業(yè)

在征求數(shù)據(jù)主體同意時不得設(shè)置不合理的條件，如不能要求用戶同意其采集一

些和服務(wù)或處理目的沒有關(guān)系的非必要數(shù)據(jù)；在獲取用戶的同意時，應(yīng)當(dāng)確保

該同意是明確而具體的，即針對不同的處理行為獲取相應(yīng)的同意，禁止“一攬

子”授權(quán)同意。在企業(yè)的隱私政策中提供關(guān)于數(shù)據(jù)處理及合法性基礎(chǔ)的明確信

息。應(yīng)核實數(shù)據(jù)處理的目的，僅能按照數(shù)據(jù)主體知悉并同意的處理的目的對數(shù)

據(jù)進行處理；若超過該目的，則需重新獲得數(shù)據(jù)主體的同意。規(guī)劃刪除、審核

數(shù)據(jù)的時間節(jié)點。

（二）數(shù)據(jù)安全

任何時候都要對數(shù)據(jù)進行保護，從產(chǎn)品開發(fā)到每一次數(shù)據(jù)處理，都應(yīng)貫徹

落實數(shù)據(jù)保護的理念；利用技術(shù)措施保護數(shù)據(jù)的安全性和機密性，如只要有可

國際法訊 | 第 6 期

72

能就要對個人數(shù)據(jù)采取加密、匿名、去名等措施；利用組織措施保護數(shù)據(jù)的安

全性和機密性，如限制所收集的數(shù)據(jù)的數(shù)量，并刪除不再需要的數(shù)據(jù)；建立定

期測試、評估的流程，在系統(tǒng)安全方面采取更多、有效的保護措施；制定團隊

內(nèi)部的保護政策，養(yǎng)成保護數(shù)據(jù)的良好意識；知道何時應(yīng)該進行數(shù)據(jù)保護影響

評估，并且制定評估決議程序及評估程序；發(fā)生數(shù)據(jù)泄露時應(yīng)通知監(jiān)管機構(gòu)和

數(shù)據(jù)主體：根據(jù) GDPR 第 33 條的規(guī)定，控制者在知悉后應(yīng)當(dāng)及時，至遲在 72

小時內(nèi)，將數(shù)據(jù)泄露事件告知監(jiān)管機構(gòu)；根據(jù) GDPR 第 34 條規(guī)定，若泄露會給

數(shù)據(jù)主體帶來很大的風(fēng)險時，應(yīng)及時通知數(shù)據(jù)主體發(fā)生了數(shù)據(jù)泄露。

如在萬豪數(shù)據(jù)泄露事件中，ICO 指出了數(shù)據(jù)處理中存在的主要錯誤：

insufficient monitoring of privileged accounts that would have detected the breach;

insufficient monitoring of databases; failure to implement measures to reduce the

vulnerability of the server (which would have restricted access to key aspects of their

databases)；另一方面，ICO 肯定萬豪所采取的有利措施，(i) creating a bespoke

incident website in numerous languages, (ii) sending notification emails to data

subjects, (iii) establishing a dedicated call center, and (iv) providing web monitoring

to affected data subjects.

（三）責(zé)任和管理

指定特定的人負責(zé) GDPR 合規(guī)事宜；如需第三方代為進行數(shù)據(jù)處理，應(yīng)和

第三方簽署數(shù)據(jù)處理的合同，簽署的合同不應(yīng)違反 GDPR 的相關(guān)條款；如果數(shù)

據(jù)控制者在歐盟之外設(shè)立，則應(yīng)在歐盟內(nèi)部的一個成員國指定一個代表；如需

要，則應(yīng)任命數(shù)據(jù)保護官，數(shù)據(jù)保護官應(yīng)被授權(quán)評估公司的數(shù)據(jù)保護政策及該

政策的實施。

（四）隱私權(quán)（數(shù)據(jù)主體的權(quán)利）

隱私權(quán)方面應(yīng)做到如下：用戶/客戶（以下簡稱用戶）即數(shù)據(jù)主體，很容易

發(fā)出請求并能收到公司所擁有的客戶的所有數(shù)據(jù)；用戶很容易更改、更新錯誤

的或不完整的數(shù)據(jù)；用戶很容易請求刪除其個人數(shù)據(jù)；用戶很容易要求公司停

止處理其本人的個人數(shù)據(jù)；用戶很容易收到其本人的一份個人數(shù)據(jù)，并且該數(shù)

國際法訊 | 第 6 期

73

據(jù)形式可以很容易傳到另一家公司；用戶很容易對公司處理其個人數(shù)據(jù)進行拒

絕；如公司決定對個人數(shù)據(jù)進行自動化處理，必須設(shè)立保護主體權(quán)利的程序。

確保能核實請求該數(shù)據(jù)的主體身份；并應(yīng)該在一個月之內(nèi)回應(yīng)這些要求。

用戶有權(quán)知道企業(yè)擁有的關(guān)于其本人的個人數(shù)據(jù)，并有權(quán)知道企業(yè)會如何

使用這些數(shù)據(jù)。用戶有權(quán)知道企業(yè)計劃保存這些數(shù)據(jù)的期限，并且知道保存期

限的原因。企業(yè)提供給用戶的第一份數(shù)據(jù)應(yīng)該免費，以后提供的數(shù)據(jù)可以收取

合理的費用。用戶有權(quán)知道數(shù)據(jù)處理的目的、數(shù)據(jù)接收者或接收者的類型、向

監(jiān)管機構(gòu)進行申訴的權(quán)利、數(shù)據(jù)控制者及其聯(lián)系方式、數(shù)據(jù)處理的合法基礎(chǔ)等。

另外，企業(yè)須在兼并和收購背景下重視數(shù)據(jù)共享的重要性，將其視為潛在

的“優(yōu)先事項”。只要標(biāo)的公司的業(yè)務(wù)涉及數(shù)據(jù)，則應(yīng)當(dāng)把數(shù)據(jù)合規(guī)盡職調(diào)查

放到與公司其他資產(chǎn)盡職調(diào)查同等重要的地位，遵守 GDPR 的規(guī)定，從而避免

日后發(fā)生數(shù)據(jù)漏洞給企業(yè)帶來的巨額損失。

國際法訊 | 第 6 期

74

“東風(fēng)隨春歸，發(fā)我枝上花，詩酒趁年華?！?/p>

感謝您閱讀《國際法訊》第六期，開啟與我們同行的第二年。

歡迎您繼續(xù)關(guān)注，發(fā)送見解、意見，與我們交流切磋。

如您有優(yōu)質(zhì)稿件、案例或經(jīng)驗分享，請不吝賜稿。

聯(lián)系郵箱 intllaw_shbar@126.com。謝謝！