GDPR生效50日：值得关注的投诉、诉讼及执法案例

前言

2018年5月25日，欧盟《一般数据保护条例》（General Data Protection Regulation，简称GDPR）正式实施。这部被冠名为“史上最严”的数据保护立法，为各个行业相关主体的合规行为带来了挑战，而且刚生效不久就引起了业内的巨大反响。

据外媒6月下旬的消息，欧洲各监管机构报告称GDPR生效后相关投诉案件大幅增加。如，英国信息专员办公室ICO表示，法律生效后三周内收到了1106项数据保护投诉，其中涉及违规通知的也有所增加，不过后来官方又称这些投诉大多数可能依据1998年数据保护法进行处理，而非GDPR；法国CNIL表示，自GDPR生效以来，与去年同期相比，投诉数量增加了50％；爱尔兰官方表示，已收到547份数据泄露通知和386份投诉，其中403份通知和89份投诉被视为应适用GDPR；奥地利官方则表示，已有100多起投诉和59起违规通知，相当于之前八个月收到的数量。此外，根据Jelinek报告，欧洲层面已有29起关于数据隐私侵权的国际案件正在开展调查。

（各国DPA人员及投诉情况）

因此，正值GDPR生效50日之际，360法律研究院石嘉黎对于近期部分涉及GDPR的投诉、诉讼及执法案例进行了梳理（不完全式），包括案例的基本情况及相关依据，以期大家能够更为清晰地了解GDPR的实施情况和合规趋势。

一、 投诉案例

01 Noyb.eu组织投诉Facebook和Google公司

【概 要】2018年5月25日，奥地利隐私活动家Max Schrems成立的非营利性组织——欧洲隐私权倡导组织Noyb.eu对Facebook和Google两家公司发起了四项投诉，分别为：针对Google的Android操作系统向法国监管机构CNIL进行投诉；针对Facebook旗下的Instagram子公司向比利时监管机构DPA进行投诉；针对Facebook旗下的Whats App子公司向德国监管机构HmbBfDI进行投诉；针对Facebook向奥地利监管机构DSB进行投诉。要求各监管机构对几家公司进行罚款，根据GDPR规定的违反者将面临最高2000万欧元或全球年度营业额 4%的罚款（两者选其中最高者），以上四家公司将分别面临37 亿欧元、13亿欧元、13亿欧元、13亿欧元的罚款。对此，Facebook和Google对投诉作出回应，坚持已做出很多努力以遵守GDPR。

【依 据】强制同意，GDPR第7条第4款。问题的关键在于，针对目标广告的数据处理是否可以被认为是履行合同提供社交网络或即时消息等服务所必需的。如果不是，那么处理需要单独的同意，用户必须能够拒绝。而本案中，认为上述公司获得隐私政策同意的方式，即要求用户选择“同意”选项以获取服务，其实质是访问服务不再取决于用户是否同意使用数据。这属于强制同意和以任何形式捆绑服务与同意要求，违反了GDPR关于获取同意的规定。

参见：https://noyb.eu/

02 La Quadrature du Net组织发起GAFAM集体投诉

【概 要】2018年5月28日，法国数字版权组织La Quadrature du Net向法国监管机构CNIL发起关于GAFAM的集体投诉，针对Facebook，Google（Gmail，Youtube和Search），Apple（iOS和超级cookie），Amazon，LinkedIn。而后至多一个月时间里，CNIL应首先决定将投诉分发给欧洲哪几个负责当局，其中对Amazon的投诉会被卢森堡当局接收，其它的可能会被爱尔兰当局接收。据悉，六周前，该组织开始邀请人们加入集体投诉，每项投诉都附有约9000至10000个名字。除了上述投诉，还有对于Whatsapp，Instagram，Android，Outlook和Skype的投诉等待启动。

【依 据】主要是同上一例，强制同意。GDPR要求公司只能在特定法律基础上处理个人数据，许多公司选择同意的方式，但该同意会作为用户使用公司服务的前提，这种全有或全无的方式破坏了同意的概念。

Facebook：为了应对GDPR审查，Facebook修改了使用条款，在新条款中称有权监控和影响用户，理由是合同中已获得同意。而RGPD第7条第4款和第43条的规定，这种同意是无效的，因为并不自由。在2017年，CNIL对Facebook处以15万欧元的罚款时已指出：Facebook服务的主要目的是提供一个社交网络，而用于广告定位目标的用户数据不符合合同的主要对象或合理的用户期望，因此Facebook需确保数据主体的权利，不能依据合同中用户的同意。

参见：https://www.laquadrature.net/fr/attaquer_facebook

Google：该公司有一个单独的“隐私规则”，声明公司可以收集几类数据：由拥有Google帐户的人员填写的姓名、照片、电子邮件地址、电话号码；设备标识符；有关服务使用的信息（视频、图像，何时查看和如何查看）以及浏览历史；搜索查询信息（谷歌搜索，Youtube，地图等）；短信或呼叫而联系的电话号码、通话时间、持续时间、联系人列表；使用服务的IP地址；设备的位置（IP地址、GPS信号、WiFi接入点、附近电话天线等来确定）；Google合作伙伴收集的其他信息。对于这些数据，虽然Google可以限制某些类型的原始数据（位置，搜索和视频）的互连，但它不能控制所有数据，它也不会阻止对最敏感的衍生数据进行分析。而且，如果不同意数据使用，就需要被迫放弃访问Google服务，是不合法的。

参见：https://www.laquadrature.net/fr/attaquer_google

Apple：其隐私态度值得质疑，如在其浏览器上，Safari会默认阻止用于跟踪用户在不同网站上的活动的第三方Cookie，该公司将此称为隐私措施，事实上这也是该公司将广告市场带回移动应用程序行业的一种方式，不仅没有封锁追踪，反而是直接提供。而且，为了使用相关服务，用户被迫接受“保密承诺”，授权该公司在某些限定情况下使用自己的个人数据，其中授权的数据包括：职业、语言、邮政编码、区号、唯一设备标识符、参考URL，使用Apple产品的位置和时区，一些与用户的IP地址没有关联的服务信息等。这个清单显示该公司对个人数据的定义与欧洲法律中使用的定义有很大不同，欧洲法律中只要信息可以与单个人相关联，无论该人身份是否已知，就是个人数据。而设备的唯一标识符、IP地址以及一部分搜索、定位信息都与单个人完全相关。因此，该公司定义中的一些非个人数据在联合起来时已经构成了个人数据，根据欧洲法律是禁止“出于任何目的”而使用的。

参见：https://www.laquadrature.net/fr/attaquer_apple

03IPVM公司投诉UBM公司

【概 要】2018年6月20日左右，IPVM公司已向英国信息专员办公室ICO提交了投诉IFSEC的母公司UBM的材料，认为IFSEC在伦敦会议上展示的面部识别技术违反了GDPR核心原则。

【依 据】查看详细资料见官网，需要网站会员资格。

参见：https://ipvm.com/reports/gdpr-complaint

04英国隐私与公民自由组织投诉国家税务海关总署

【概 要】2018年6月25日，英国隐私与公民自由组织Big Brother Watch投诉英国税务海关总署（HMRC），称其收集超过500万个生物识别语音ID的行为违反了GDPR的规定，后者因而正在接受ICO的调查。HMRC从2017年1月开始推出Voice ID服务，该技术使用独特的语音模式和节奏来识别个人，包括分析100多种行为、声音的物理特征、嘴巴的大小及形状、语速、词汇量和用语习惯等。针对投诉，HMRC表示自己“鼓励那些打电话利用语音ID服务的客户，而不是让客户明确表示同意，但他们可以选择退出并继续按照常规方式使用HMRC的服务”。

【依 据】Big Brother Watch质疑称，英国税务海关总署关于个人如何能够轻松安全地删除其声纹的信息无法公开获取，并且声纹的收集不是在明确的消费者同意下进行的。虽然推出Voice ID服务后，官网声称可以选择不使用此功能并且用正常方式进行身份认证，但调查表明，在呼叫HMRC帮助热线时，并没有提供该选项，而是强制性记录呼叫者的语音录音，以创建将用于识别未来呼叫者的音轨。因声纹属于敏感的数据，且处理税务问题并不需要语音ID，这里就涉及GDPR第9条明确同意的要求，以及公民对私人信息的删除权。

二、诉讼案例

01ICANN与Epag全球首例GDPR诉讼案

【概 要】本案原告是互联网名称与数字地址分配机构ICANN，是负责全球网络域名系统分配的非营利性国际组织。而被告是波恩EPAG Domainservices GmbH，是全球第二大注册商、纳斯达克上市公司Tucows在德国的子公司。2018年5月25日，原告ICANN向德国波恩州法院提出了要求法院颁布初步禁令的动议，目的是为了禁止和其签署协议的EPAG拒绝根据协议收集域名注册人的个人数据。作为抗辩，被告EPAG在28日向法院提出了“对收集个人资料合同义务的初步禁令”《保护令》。30日，法院第10民事法庭发布了《关于申请初步禁令的法院命令》，裁定驳回了原告ICANN的禁令申请。6月13日，原告提交了申诉书。

【依 据】2014年初，ICANN要求EPAG在内的德国域名注册服务机构签署新的《2013注册商授权协议（RAA）》，注册商需要对某些WHOIS数据进行验证与核实。协议要求被告EPAG履行收集注册人个人信息的义务，原告认为符合GDPR第6条1（a），数据的收集获得了数据主体的同意；符合第6条1（b），处理数据是履行合同的必要条件；符合第6条1（f），数据处理是为实现控制者或第三方所追求的合法利益所必需的，因为数据是消费者保护、网络犯罪调查、DNS滥用、知识产权保护和执法的合法目的所需要的。而被告在GDPR实施后拒绝根据合同继续收集个人信息，甚至意图提供数据删除服务。被告提出，原告行为违反了GDPR第5条第1（c）个人数据收集的最小化原则；第25条要求服务和产品按照“隐私默认”和PbD原则设计等，上述理由被初审法院认可。由本案可知，不同主体对于GDPR同样的条款会出现不同的判断，存在诸多争议和理解偏差。

【焦点问题】依据双方订立的RAA合同，虽然EPAG有义务收集注册域名的技术联络和行政联络的数据，但依德国民法第242条规定的诚信原则，该合同义务只在与适用的法律和规定相一致的情况下才须遵守；换言之，就此案而言，只有当EPAG收集技术联络和行政联络的数据不违反GDPR时，其才有义务继续收集此类数据，ICANN才有正当理由向法庭申请颁布临时禁令，以禁止EPAG在分配域名时放弃收集此类数据。因此，本案的焦点问题是EPAG收集技术联络和行政联络的数据是否与GDPR的规定相符合，尤其是否与该条例的第5条第1款第（c）项相符合。

参见：https://mp.weixin.qq.com/s/Cms8eHx21sbj93B5FNJ89w

三、执法案例

01英国Dixons Carphone严重数据泄露事件（是否适用GDPR待定）

【概 要】2018年6月13日，英国跨国电信公司Dixons Carphone宣布正在调查“大量客户数据被非法访问”事件，称黑客试图在Currys PC World和Dixons旅行商店的一个处理系统中破坏客户590万张卡和120万张包含非财务数据的记录，如姓名、地址或电子邮件地址等。对此，英国ICO表态称：调查还处于初期，会研究事件发生的时间和发现时间，以决定事件是根据1998年英国数据保护法还是GDPR进行处理，若是后者，会遵照直至英国退欧正式生效。

【依 据】如果ICO发现Dixons Carphone在保护客户数据方面疏忽大意，根据时间点判定需适用GDPR进行处理的话，则会受到非常严格的GDPR违规通知规则的约束，即GDPR要求数据控制人员在其知晓泄露事件后72小时内进行报告，事件包括个人丢失数据、被盗方式或以其他方式被未经授权的第三方访问。未及时披露泄露事件的话，根据去年该集团报告的总销售额达105亿英镑，对其罚款可能高达数亿英镑。

02英国Ticketmaster数据泄露事件（是否适用GDPR待定）

【概 要】Ticketmaster是总部位于美国的大型票务销售公司，其运营点遍布世界各国。2018年6月23日，Ticketmaster UK官方公告称：其第三方供应商托管的Inbenta产品中发现了恶意软件，黑客可能窃取了部分客户的姓名、地址、电子邮件地址、电话号码、付款详细信息和Ticketmaster登录详细信息。因为其中的违规行为可能触及1998年英国数据保护法或当前已生效的GDPR，ICO表示正处于证据收集阶段，会通过评估事件和时间点来判断是否适用GDPR进行处罚。

【依 据】涉及是否存在延迟向客户和监管机构通知、报告数据泄露事件的问题，也是ICO收集证据中的重要部分，时间节点和对企业的不同要求会影响本案是适用1998年数据保护法还是GDPR。有业内人员评论称，这是一个持续的违规行为，且在GDPR生效后持续发生，如果ICO决定至少部分调查必须在GDPR规范下进行，则Ticketmaster的违规行为将是ICO如何执行GDPR的第一次测试。也有人补充，鉴于只有40000名客户受影响，该公司不太可能面临GDPR规定的全额罚款。

上述几个案件大多还需有关机构作进一步处理，因而有必要关注后续的发展，等待最终的处理结果。而从中我们可以看到的是，GDPR违规极有可能发生的几种情况，比如获取用户的明确同意，比如数据泄露事件发生后的及时通知，这些都值得相关企业加强关注，提高在这些方面的合规能力。GDPR因其“长臂”管辖原则、受保护的个人信息范围的延伸、数据主体权利的增加、罚款的加重等，显得极为严格，因此我们更应当未雨绸缪，积极应对，避免违规事件的发生。

声明：本文来自360法律研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。