欧盟《通用数据保护条例》（GDPR）生效以来，因数据泄露导致的千万级罚单已并不罕见，包括英国信息专员办公室（ICO）对英国航空（2000万英镑）、万豪（1840万英镑）等企业的处罚。作为第一批收到最终罚款通知书的案件，这些处罚体现了执法机构依据GDPR处理数据泄露案件的诸多实体性与程序性考量，包括违法的主观故意或过失、对数据主体的损害、企业采取的应对措施、是否配合执法机构调查、新冠疫情等罚款减免因素、监管行动政策的影响等等。

　　基于首批GDPR重大数据泄露事件的罚款案例，大成进行了深入分析与总结形成本报告，希望为企业应对GDPR下的数据泄露事件与日常合规工作提供参考。

　　早在2016年，欧洲议会首次通过《通用数据保护条例》 (General Data Protection Regulation，“GDPR”) 之时，“巨额罚款”即将来临的新闻即已见诸报端。当时，重大的网络与数据安全事件，就被认为是最可能触发4%顶格罚款的高风险雷区。

　　如今，这一预言似乎“一语成谶”。2019年，英国信息专员办公室 (Information Commissioner’s Office，“ICO”) 发出了对英国航空公司 (British Airways plc，“英航”) 和万豪国际酒店公司 (Marriott International, Inc.，“万豪”) 进行罚款 的信号，罚款金额分别为1.83亿英镑和9920万英镑。这是迄今为止英国和欧盟作出的有关数据保护的最高罚款。

　　不过，2020年10月，在ICO发布的这两家公司的罚款通知书 (Monetary Penalty Notices) [1] 中，英航的罚款金额被大幅减少至2000万英镑，万豪则被减少到1840万英镑。尽管如此，这依然是欧盟境内就数据泄露行为开出的最高罚 单。[2] 紧接着，随之而来的是2020年11月对特玛捷英国有限公司 (Ticketmaster UK Limited，“特玛捷”) 开出的（看似较低的）125万英镑的罚单。[3]

　　作出这些处罚决定的过程是漫长的，但是作为第一批关于数据泄露的GDPR罚单，这是处罚也是至关重要的。这些罚单就ICO如何对网络安全合规瑕疵进行调查与执法提供了明确指示，包括监管机构如何计算罚款数额；监管机构对组 织应采取何种网络安全措施的期望；ICO在评估数据主体伤害风险时优先考虑的因素；快速有效的事件响应及应对行为的重要性；配合的同时与监管机构保持密切联系的重要性；以及有关招致执法活动的风险只是网络或数据泄露行为的主要不利后果之一的提示。因为，在此情况下还可能引发诉讼，罚款通知书中监管机构发现的事实可能会为主张索赔者提供证据。

　　该等首批罚款很可能成为ICO在未来几年对网络安全和其他个人数据泄露执法的“基准”。尽管英国已脱欧，但欧盟监管机构很可能会参考ICO的考量方式，并且在处理网络安全事件时采取类似的实践。

　　以上为本报告部分内容，如需完整版，请联系大成上海合伙人戴健民律师：

　　邮箱 jianmin.dai@dentons.cn

[1]英航的罚款通知书请参见：https://ico.org.uk/media/action-weve-taken/mpns/2618421/ba-penalty-2020 1016.pdf；万豪的罚款通知书请参见：https://ico.org.uk/media/action-weve-taken/mpns/2618524/marriott -international-inc-mpn-20201030.pdf。

[2]这并非违反 GDPR 的最高罚款——例如，2019 年 1 月法国执法机构 CNIL 对谷歌处以 5000 万欧元的罚 款，原因是其缺乏有效的法律依据来处理其服务用户的个人数据（尤其是广告个性化），以及对谷歌和亚 马逊分别处以 1 亿欧元和 3500 万欧元的法国 CNIL 罚金。他们使用 web cookie 来跟踪用户活动，而无需 征得适当的同意。

[3] 特玛捷的罚款通知书请参见：

https://ico.org.uk/media/action-weve-taken/2618609/ticketmaster-uklimited-mpn.pdf。