涉外法律|典型剖析法国GDPR案例分析

2018 年5 月25 日，欧盟国家《通用性数据保护规章》(General Data Protection Regulation，GDPR)宣布起效，深入地危害了欧盟国家甚至世界范畴内本人数据保护和数字贸易发展潜力。法律方面，GDPR 已变成各关键国家选用或方案选用的数据保护相关法律法规标准，引起全世界法律标准进一步结合;稽查方面，GDPR 稽查实例做为反映管控趋势的关键参考，为跨国公司的数据保护合规工作中给予方向标。根据剖析欧洲地区关键国家，根据GDPR稽查的经典案例，能够给予大家发布的，有关公司数据合规的思索。此次大家将一起来看一下法国的的2个经典案例。

案例一：Google 定向广告推送事件

提要：

1. 处罚金额：5 千万欧元

2. 处罚依据：Art. 4 nr. 11 GDPR;Art. 5 GDPR;Art. 6 GDPR;Art. 13 GDPR;Art. 14 GDPR

3. 处罚时间：2019/1/21

案例概况：

1. 谷歌向用户提供的信息(例如数据处理目的，数据存储时间或用于广告个性化的个人

数据类别)，过度分散于多个文件中，需要用户经过五六个步骤才能访问;

2.对于广告个性化投放的数据处理目的、基于不同目的收集和处理的数据类别的描述过于笼统和含糊。用户无法据此了解谷歌到底适用用户的同意还是根据公司自身利益来处理数据。Google 还预先勾选了广告个性化的显示框，但是，根据GDPR 的规定，只有用户明确的肯定行动(例如勾选未预先勾选的显示框)，同意才是明确的;

3.谷歌要求用户必须完全同意隐私政策中的服务条款和数据处理条款，而非区分各种不

同目的(如个性化广告或语音识别等)来同意各项条款。

违规分析：

1. 违反透明性原则，用户无法轻易访问Google 提供的信息。谷歌在用户访问个人数据上缺乏透明度，一方面，用户无法了解谷歌“大规模的、侵入性的”数据处理达到了什么样的程度;另一方面，即使是谷歌已经提供的信息，对用户来说也是不易获得的，原因是这些信息过度分散于多个文件中，需要用户经过五六个步骤才能访问。

2.违反了为广告个性化处理提供法律依据的义务。首先，用户的“同意”并未充分了解情况。比如Google 对广告进行了稀释操作，打散在Google 搜索、You tube、Google 主页、Google地图、Playstore、Google 图片中，个人信息在多个文件中被过度传播(预计20 个)。其次，用户的“同意”既不是具体的也不是明确的。创建帐户后，用户可以通过单击“更多选项”按钮修改与帐户关联的某些选项，在“创建帐户”按钮上方访问。实际上，用户不仅必须点击“更多选项”按钮来访问配置，而且还预先勾选了广告个性化的显示。但是，根据GDPR 的规定，只有用户明确的肯定行动(例如勾选未预先勾选的方框)，同意才是“明确的”。最后，在创建帐户之前，要求用户勾选“我同意Google 的服务条款”框和“我同意如上所述处理我的信息，并在隐私政策中进一步说明”才能完成创建帐户的过程。

合规启示：

1. 企业应当以简单明了、透明以及易获得的形式将GDPR 第13 条和第14 条要求提供

的信息提供给数据主体，特别注意相关信息不应过度分散，确保用户能够通过相对容易的操作访问其个人数据;

2. 对数据收集和处理的目的描述应当是明确而清晰的;

3. 选择和适用恰当的合法性基础;

4. 在获取用户的同意时，应当确保该同意是明确而具体的，即针对不同的处理行为获取相应的同意，禁止”一揽子“授权同意。

案例二：SERGIC 数据泄露事件

提要：

1. 处罚金额：40 万欧元

2. 处罚依据：Art. 32 GDPR

3. 处罚时间：2019/5/28

案件概述：

SERGIC 公司专门从事房地产的推销、购买、销售、租赁和物业管理服务，拥有486名员工，2017 年营业额约为4,300 万欧元。

CNIL 的处罚决定基于两个理由：缺乏基本的安全措施和违反存储限制原则。关于第一

个问题，无需任何身份验证程序便可以在线访问租赁者上传的敏感个人数据，包括身份证、健康卡、税务通知单、家庭津贴发放单、离婚判决、账单报表等。尽管该漏洞自2018 年3月以来就为公司所知，但直到2018 年9 月才最终得到解决。此外，该公司的文档存储时间超过了必要限制。

CNIL 在作出处罚决定时考虑了以下因素：违规行为的严重性、公司规模及其财务状

况。

违反规定剖析：

1.不用身份认证程序流程便可线上浏览租赁方提交的比较敏感文档，技术性和组织措施不够，没法保证本人数据的安全系数和机密性。

2. 数据存留及储存限期超出了解决效果所有必要的限定。

合规启发：

1. 采用相应技术性和组织措施，保证本人数据的安全系数和机密性，比如对浏览数据的申请人开展身份认证;

2. 解决数据泄漏事情时， 事先产生相对性健全的数据泄漏回应规章制度，采用防护措施，事中采用立即调研、积极汇报、积极主动股票止损的方法，与管控组织保持稳定紧密的沟通交流，将危害操纵在尽量小的范畴内;

3.遵循数据储存限定标准，以可鉴别数据行为主体真实身份方式存放的本人数据储存時间不可以超出完成解决效果所必不可少的的時间。