因指纹考勤系统数保评估(DPIA)存在重大缺陷，一跨国公司被重罚40万欧元

汇业评析：

本案集中展示了欧盟监管机构如何实质审查企业在工作场所引入生物识别技术前，是否真正完成了合格的数据保护影响评估（“DPIA”）。近年来，出海欧洲企业因“员工数据合规”“特殊类别个人数据处理”被重罚的案件频发，结合近期欧洲数据保护委员会（EDPB）发布的最新征求意见稿版本的DPIA官方模板（“模版”）与解释指南，本案具有极强的实操借鉴价值。

关键词：DPIA、生物识别数据（指纹）、员工个人数据

一、案件情况

本案中，MAXAMCORP International, S.L.（“MAXAMCORP”“公司”）是一家从事爆炸物制造的跨国工业企业，其在西班牙 Burgos 的 Páramo de Masa 工作场所为137名员工部署了基于指纹的员工考勤系统。该系统于2023年6月至2024年1月期间运行。

西班牙数据保护机构（“AEPD”“监管机构”）在接到投诉后展开调查，重点审查了该公司处理特殊类别数据（生物识别数据）的合法性以及其提供的事前数据保护影响评估（DPIA）报告。

AEPD 最终认定，该系统涉及用于唯一识别员工身份的生物识别数据，属于GDPR第9条下的特殊类别个人数据，但MAXAMCORP未能证明存在第9条第2款下的处理例外；且公司提交的事前DPIA报告经审查不符合 GDPR 第35条要求。

该公司最终被监管机构处以合计 40万欧元罚款，其中“特殊类别个人数据处理”违规罚款 30万欧元，DPIA不合规罚款 10万欧元。

二、本案DPIA 为什么不合格：

监管审查逻辑与新官方模板要求

监管并不是因为公司 “没有做 DPIA”而处罚。相反，AEPD 明确承认 MAXAMCORP 在处理开始前制作过一份 DPIA。真正的问题在于，这份 DPIA 没有达到 GDPR 第35条第7款的最低要求。

结合 EDPB 最新 DPIA 模板，本案的DPIA核心问题可以概括为以下八点：

1. 基础识别错误：企业把指纹模板误认为“非个人数据”

【事实】

MAXAMCORP 的系统通过读取员工部分指纹，生成生物识别模板，并将该模板存储在应用数据库以及指纹读取设备的私有文件中。员工再次打卡时，系统会将现场生成的模板与已保存的模板进行比对，从而确认员工身份。

【企业抗辩与监管认定】

MAXAMCORP 反复主张，其系统只是读取“部分指纹”，并将其转换成“端到端加密算法”或数字代码，因此不处理完整指纹图像，也不构成个人数据处理。AEPD 没有接受这一说法。监管机构认为，只要该模板仍然能够用于识别或确认某名员工身份，就不能因为其不是完整指纹图像、不是肉眼可读图片、经过加密或模板化处理，就否认其个人数据属性。但MAXAMCORP 的 DPIA 一方面承认因涉及生物识别数据而需要开展 DPIA，另一方面又在后文称“读取部分指纹并加密后不构成个人数据处理”，使得整个 DPIA 从第一步就建立在错误前提之上。

【官方模板】

EDPB 2026 年 DPIA 模板解释文件要求，DPIA 在“系统性描述”阶段必须列明被处理的个人数据项目、数据类型和数据主体类别，并在适用时明确识别特殊类别个人数据。换言之，企业不能先在技术文件里把指纹模板、面部模板、声纹模板“降格”为普通编码或非个人数据，再用这个结论反推自己没有高风险处理。正确做法应是先判断该数据是否仍能识别自然人，再进入合法性、必要性和风险分析。

2. 系统性描述不符合实际，未明确DPIA 核心评估对象

【事实】

MAXAMCORP 于 2023 年2月1日制作了题为“MAXAMCORP 日常工时登记”的 DPIA。该文件写道，工时登记可以通过部分指纹读取、电子卡读取，或员工手机设备完成，并表示“具体系统将根据每个工作场所的需要和特点决定”。但实际部署时，公司在 Páramo 工厂将指纹方案作为主要考勤方式，同时配合网页端和企业手机 App（供出差或办公人员使用），而 EIPD 中提及的电子卡方案从未实际部署。EIPD 既没有清楚说明哪些方案被排除，也没有把最终上线的指纹系统作为核心评估对象。

【企业抗辩与监管认定】

MAXAMCORP 认为自己已经做过 DPIA，且该评估早于系统上线，是符合GDPR要求的。但 AEPD 认为，问题不在于“有没有一份文件”，而在于这份文件是否准确描述了真实处理活动。监管机构指出，该 DPIA 并没有对一个确定的数据处理活动进行评估，而是在“建立工时登记系统”这个目的下，笼统列举了多种可能替代方案；其既没有清楚说明哪些方案被排除，哪些方案被最终采用，也没有将最终部署的指纹系统作为核心评估对象。

【官方模板】

EDPB 新模板要求，DPIA 应当先给出处理活动概览，包括控制者、处理者、处理名称、预计上线日期、版本记录、评估边界等；随后要拆解完整的数据生命周期，包括收集、使用、存储、共享或传输、删除和销毁。也就是说，DPIA 不能写成“备选方案说明书”，而必须对应“将要上线或已经上线的具体系统”。如果最终上线方案与前期评估对象不一致，就应当更新 DPIA。

3. 合法性评估不合格：未论证“生物识别数据”的处理例外

【事实】

MAXAMCORP 在处理活动记录（“RoPA”）和 DPIA 中，将考勤处理的合法性基础写为 GDPR 第6条第1款第c项，即为履行劳动法下的工时登记义务。但系统实际处理的是用于唯一识别员工身份的指纹生物识别数据，属于 GDPR 第9条特殊类别个人数据。

【企业抗辩与监管认定】

MAXAMCORP 的基本立场是：由于只采集部分指纹并进行加密，因此不存在特殊类别个人数据处理，也就不需要适用第9条第2款例外。AEPD 认为这一逻辑不能成立。企业即便可以基于劳动法义务建立工时登记系统，也只是解决了第6条下“一般个人数据处理是否合法”的问题；一旦使用生物识别数据唯一识别员工身份，还必须额外证明存在第9条第2款下解除特殊类别数据处理禁止的例外。

【官方模板】

EDPB 新模板将合法性分析拆成两个层次：第一，逐一分析每个处理目的对应的第6条合法性基础；第二，如涉及特殊类别个人数据，还必须说明解除特殊类别数据处理禁止的理由。这个结构正好对应本案问题：企业不能用“我有法定的考勤义务”直接得出“我有权使用指纹模板”的结论。

4. 必要性评估不合格：只证明“需要考勤”，没有证明“必须用指纹”

【事实】

MAXAMCORP 在 DPIA 中说明，其需要建立工时登记系统，以履行西班牙劳动法下的每日工时登记义务。但 DPIA 没有具体说明，为什么履行该义务必须采用员工指纹，而不是纸质登记、工卡、密码、数字代码、主管确认、门禁记录或其他侵入性更低的方式。

【企业抗辩与监管认定】

MAXAMCORP 强调其工厂从事爆炸物制造，场地面积大、区域多，部分区域不适合携带卡片或手机，且需要在事故或紧急情况下快速确认员工是否在相应岗位。AEPD 没有否认这些特殊行业事实可能有意义，但认为这些事实本应写入 DPIA 的必要性论证。换句话说，爆炸物制造、场地面积、禁带卡片或手机、紧急情况下人员确认等事实，如果要用来支持“必须使用指纹”，就必须被用来逐项排除低侵入性替代方案：为什么纸质登记不行，为什么卡片不行，为什么手机不行。MAXAMCORP 的 DPIA 没有完成这一层证明。

【官方模板】

EDPB 新模板要求，在必要性部分，企业应评估拟议处理是否有效，并且是否是对数据主体权利和自由侵入性最低的方式；同时应提供证据，例如不同替代方案及其实现目的的有效性。这一点对应到员工指纹考勤场景，就是企业不能只写“指纹方便、防作弊、员工不容易遗失”，而应当用事实证明低风险方案不能同等实现安全和考勤目标。

5. 对权利和自由的影响评估不合格：未从员工权益保护角度出发

【事实】

MAXAMCORP 的 DPIA 并非完全没有比较方案。报告确实列举了纸质登记、卡片或密码、手机、指纹等方式，并说明各自优缺点。例如，纸质登记成本低但容易被篡改、行政负担较高；卡片或密码方便但可能被代刷或遗失；手机可能涉及定位；指纹则被描述为方便、敏捷、防作弊、不易丢失。

【企业抗辩与监管认定】

AEPD 认为，上述这些比较主要是从企业组织管理角度出发，而不是从数据保护和员工权利影响角度出发。AEPD 明确指出，DPIA 不能把“对控制者组织管理有利的收益分析”混同为“对数据主体权利和自由的风险分析”。在该 DPIA 中，企业把“低成本”“便利”“防作弊”等管理收益，与“数据保护影响”混在一起，却没有真正识别员工哪些权利和自由会受到影响。

【官方模板】

EDPB 新模板在“必要性与比例性”前专门设置了“3.1 对数据主体权利和自由的影响”，要求企业说明：即使处理活动完全按设计运行，且所有主体都遵守规则，该处理本身仍可能如何影响数据主体权利和自由；这些影响主要来自所处理的数据、处理目的、处理性质、范围和背景。模板还强调，影响应始终从数据主体权利和自由角度判断。

6. 比例性评估不合格：没有证明企业安全管理收益足以压过员工权利限制

【事实】

本案中，MAXAMCORP 的 DPIA 虽然列举了指纹方案的便利、敏捷、防作弊、不易丢失等优点，但没有进一步衡量这些收益是否足以压过对员工基本权利和自由的影响。DPIA报告中还表示，因为“指纹模板不涉及个人数据处理”的错误前提上，因此指纹方案“最不侵入、最适当、最符合比例”。

【企业抗辩与监管认定】

AEPD 认为，MAXAMCORP 可以将爆炸物制造、场地复杂、禁带物品、紧急情况下人员确认等特殊行业事实放入比例性分析，但这些事实在比例性中承担的功能不是证明“没有替代方案”，而是证明：“即使指纹考勤会限制员工个人数据保护权和隐私权，该限制是否仍然可以被更高强度的安全管理利益所正当化。”本案DPIA 没有完成这一平衡。它没有把企业收益和员工权利限制放在同一个框架下比较，而是用“方便、防作弊、避免遗失”这类管理收益直接得出“比例适当”的结论。这和“必要性”不同。

【官方模板】

EDPB 新模板在“比例性”部分明确提醒：必要性是比例性的前提。必要性问的是：有没有更温和但同等有效的方案？比例性问的是：即使没有更温和方案，使用指纹带来的收益是否足以压过对员工权利的损害？具体而言，对于员工指纹考勤，企业不能只说“更方便、更安全、更防作弊”，而要证明：这些收益足够重要，且已经通过设置替代路径、范围限制、期限控制、访问控制、透明度和员工权利保障等措施，将对员工权利的限制压缩到可接受范围。

7. 风险评估不合格：没有识别风险、影响、概率、固有风险和整体风险

【事实】

MAXAMCORP 的 DPIA 中虽然有“风险因素识别与分析、风险降低控制措施”部分，但 监管机构查明，该部分并没有列明具体风险，也没有列明受影响的权利和自由，没有分析每项风险的影响和发生概率，没有评估固有风险或整体风险。文件只是列出四项措施：选择有经验的供应商、采用端到端加密、存储在自有服务器、不进行第三方披露或国际传输。

【企业抗辩与监管认定】

MAXAMCORP 认为自己已经采取了加密、供应商筛选、本地存储等安全措施。AEPD 认为，这属于把“措施清单”误当成“风险评估”。真正的风险评估应当先识别风险因素或威胁，再分析对员工权利和自由的影响及发生概率，随后评估固有风险和整体风险，最后再确定控制措施。MAXAMCORP 的 DPIA 直接跳到控制措施，缺少前面的风险识别和风险量化过程，因此不符合第35条第7款第c项要求。

【官方模板】

EDPB 新模板同样要求企业说明风险评估方法，包括可能性、严重性、风险指标、风险优先级和风险接受标准；并要求列明对数据主体权利和自由的具体风险，评估固有风险，并在采取补充措施后重新评估剩余风险。模板还特别指出，风险水平通常可理解为“发生可能性 × 影响严重性”，并且高敏感数据、劳动者等处于依赖或弱势关系中的数据主体，都可能提高风险水平。

8. DPIA 治理闭环不足：没有及时更新评估

【事实】

MAXAMCORP 在后续调查答复、RoPA和抗辩材料中陆续补充了大量 DPIA 中没有充分展开的内容，包括与DPIA处理背景与必要性相关的“工厂特殊场景、磁卡风险、禁止携带卡片或手机、紧急情况下人员确认需求”，以及与DPIA风险控制措施相关的“访问限制、身份认证、权限分离、备份、数据加密和透明度告知等措施”。

【企业抗辩与监管认定】

监管机构认为，对于高风险处理活动，DPIA 必须能够持续、准确地反映真实处理状态。如果企业在调查答复、RoPA 或抗辩材料中补充了 DPIA 中没有写清的事实和措施，就说明 DPIA 本身没有完整承载合规论证。而如果这些措施是后续引入的，企业本应更新DPIA。

【官方模板】

EDPB 新 DPIA 模板也采取了同样的动态治理思路。模板在开头的“处理概览”部分即要求企业记录处理名称、预计上线日期、预计结束日期或终止条件，并在 DPIA 技术页中记录当前版本、版本变更历史、参与评估团队、采用的指南和标准、开展 DPIA 的原因以及评估范围。模板还要求记录 DPIA 的完成日期、正式批准日期，并说明 DPIA 的决策、验证、监测和复核方法。

三、结语

在企业实务中，员工考勤、门禁、工厂安全管理等场景经常被业务部门理解为“内部管理事项”。然而，在监管看来，一旦涉及生物识别数据、持续监控、自动化判断，这些事项就因引入高风险处理特征需要高度审慎评估。尤其是在劳动关系中，员工与雇主之间天然存在管理与被管理关系，员工对处理活动的拒绝空间有限，因此监管机关通常会以更高标准审查其必要性、比例性、透明度和风险控制。

监管机构真正审查的并不是企业“有没有做一份 DPIA”，而是这份 DPIA 是否准确识别了处理的数据类型和技术架构，是否说明了合法性基础和特殊类别数据处理例外，是否从员工权利和自由出发评估处理影响，是否充分论证必要性和比例性，是否把风险、措施、责任和上线决策形成完整证据链。

进一步看，这一审查逻辑并不限于员工指纹考勤。对于人脸门禁、智能视频分析、位置追踪、算法推荐、自动化评分、用户画像以及未成年人或健康数据处理等场景，只要企业引入高敏感数据或新技术，都应当把 DPIA 作为系统上线前的实质门槛，而不是事后弥补的材料。

此外，随着EDPB 最新 DPIA 模板推动成员国监管尺度进一步趋同，DPIA 的结构化、证据化和可审计化要求将持续提高。未来监管机关可能会进一步追问：DPIA 有没有写对事实、有没有说清法律依据、有没有真正比较替代方案、有没有评估数据主体权利影响，以及有没有随着系统变化及时更新。对于出海企业而言，DPIA 的真正价值正在从“合规文本”转向“高风险数据处理的治理工具” 。谁能把这套工具做的更扎实，谁就能在监管审查、员工争议、客户问卷和全球业务扩张中获得更高的合规确定性。

*本文作者：魏冬冬、黄竞一

处罚文书原文：https://www.aepd.es/documento/ps-00552-2024.pdf

EDPB新 DPIA 模板：https://www.edpb.europa.eu/news/news/2026/enhancing-compliance-and-consistency-edpb-adopts-dpia-template_en

魏冬冬

汇业律师事务所 合伙人

weidongdong@huiyelaw.com

业务领域：个人数据保护合规，人工智能合规，国际国内网络数据领域争议解决，国际数据隐私认证咨询，主要聚焦于中国企业出海全球的数据隐私合规。

声明：本文来自网络与数据法实务，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。