2022年违反欧洲通用数据保护条例( GDPR)的事件猛增,据律师事务所 DLA Piper 分析发现,罚款金额达到了约 31 亿美元,是 2021 年开出的罚款金额的两倍多。
DLA Piper 表示,这些金额包括自 2022 年 1 月 28 日以来 27 个欧盟成员国以及冰岛、列支敦士登、挪威和英国开出的所有已知 GDPR 罚款。在退出欧盟之前,英国于 2018 年将 GDPR 纳入国内法。但实际上,罚款总额可能比 DLA Piper 统计的数字还要高,因为并非所有欧洲国家都公开发布每笔罚款的具体金额。
尽管如此,该律师事务所统计的29亿欧元仍比2021 年总计罚款的 10 亿欧元大幅增加,而在更早的2020年,这一数字仅为1.59亿欧元。
根据 2018 年 5 月 25 日全面生效的 GDPR,处理欧洲用户个人数据的组织必须遵守严格遵守 GDPR 关于数据保护的相关规则,否则将面临最高至全球年收入 4% 或 2000 万欧元的罚款(取其中金额最高者)。根据统计,2022年开出的最大单笔罚款,源自 9 月针对 Facebook 母公司 Meta 多次涉嫌未能保护儿童个人数据,罚金到达4.05 亿欧元。
DLA Piper 认为2022年罚款金额的快速增长与欧洲数据保护委员会(EDPB)相关,这是一个独立的欧盟机构,负责确保各国在 GDPR 执法方面的一致性。EDPB 在2022年裁定的任何案件,没有一个案件的建议罚款金额被降低,DLA Piper 表示,这一趋势对罚款金额产生了“高度通胀的影响”。
2023年也可能是“丰收之年”
2023年1月初,因个性化广告服务违规,EDPB指示爱尔兰数据保护委员会(DPC)对 Meta 的 Faceboo和Instagram业务处以总计 3.9亿欧元罚款,金额远高于 DPC 最初提议的罚款。
Meta 表示将对 DPC 和 EDPB 的决定提出上诉。与此同时,爱尔兰的隐私监管机构可能会与 EDPB 展开法律斗争,它指责 EDPB 越权并破坏了 DPC 的独立性。Cordery 律师表示,EDPB 实际上试图让 DPC 对 Meta 及其数据保护实践进行某种审计,包括处理特殊类别数据——也称为敏感个人数据。
对于 Meta 而言,EDPB 的决定意味着禁止在未经用户明确同意的情况下推送定制化的商业广告,并禁止在不选择接受这些广告的情况下阻止用户使用平台程序。推而广之,许多其他科技巨头恐将面临同样的禁令。