据彭博社2021年7月30日报道,因违反欧盟《通用数据保护条例》(GDPR),亚马逊可能面临欧盟有史以来最大数据隐私泄露罚款,共计7.46亿欧元(约合57.3亿元人民币)。亚马逊之所以遭到7.46亿欧元的巨额罚款,源于2018年5月法国隐私保护组织La Quadrature du Net对亚马逊提出的控诉。该组织宣称,他们代表欧洲消费者的权益,确保消费者的数据安全,避免发生被大型科技公司出于某种政治或商业目的操纵消费者的行为。对于亚马逊以商业目的“操纵”消费者的指控,该组织表示,未经同意擅自使用消费者隐私数据的操作,是严重违法的。当时被起诉的除了亚马逊外,还包括苹果、Facebook、谷歌和领英等大型科技公司。从那时起,卢森堡当局开始介入对亚马逊行为的调查。经过3年多的调查,该事件的处理结果初见端倪。2021年6月10日,《华尔街日报》援引知情人士消息称,卢森堡国家数据保护委员会(CNPD)已起草了针对亚马逊泄露隐私行为的处罚建议草案,并分发给欧盟其他26个国家的数据保护机构。草案中对亚马逊的罚款预计超4.25亿美元(约合27.48亿元人民币)。然而,7.46亿欧元的最终罚款额是先前预计罚款额的2倍还多,成为欧盟《通用数据保护条例》自生效以来的最大罚单。这笔罚款也超过了谷歌2020年12月遭到法国数据保护机构开出的1亿欧元罚单金额,刷新了全球科技巨头在数据隐私保护领域的罚款纪录。亚马逊周五(7月30日)在一份监管文件中,披露了卢森堡国家数据保护委员会7月16日的决定。该决定称,亚马逊“对个人数据的处理不符合欧盟《通用数据保护条例》”,并要求亚马逊整改某些商业行为。对此,亚马逊发言人在接受美国消费者新闻与商业频道(CNBC)记者采访时表示:“保护用户的信息安全,以维系他们的信任,是我们的首要准则。我们没有将任何用户的数据泄露给第三方。我们坚决反对CNPD的指控,并将进一步上诉。关于我们是如何向用户投放相关广告这一点,仅仅是CNPD依赖对于欧洲隐私法的主观臆断,对我们作出的判决,况且,就算这项解释成立,罚款金额也远远高出对应标准。”通过亚马逊发言人的上述表态,我们大致可以总结为以下几点:一是亚马逊不承认在数据泄露方面负有责任,是被冤枉的;二是即便亚马逊存在违反欧洲隐私法的行为,也不该罚这么多;三是亚马逊将继续上诉。《通用数据保护条例》(General Data Protection Regulation,简称GDPR),其前身是欧盟在1995年制定的《计算机数据保护法》。GDPR于2016年4月14日经欧盟议会通过,并于2018年5月25日在欧盟成员国内正式生效实施。该条例堪称史上最严厉、最翔实的一部保护用户数据安全的法案,其目的在于遏制个人信息被滥用,保护个人隐私。该条例适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如,即使一个主体不属于欧盟成员国的公司(包括免费服务),但只要满足下列两个条件之一:(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息;(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息;
其就应受到GDPR的管辖。
自欧盟《通用数据保护条例》生效以来,欧盟数据保护监管机构的权力得到极大提升。此次卢森堡国家数据保护委员会开出7.46 亿欧元的罚单是欧盟迄今根据其隐私法做出的最严厉处罚。在此之前,最大的罚款是法国隐私监管机构——国家信息与自由委员会(CNIL)对谷歌开出的1亿欧元(约合7.68亿元人民币)罚单。值得注意的是,此次也并非亚马逊第一次因违反欧盟《通用数据保护条例》被罚。2020年12月10日,法国国家信息与自由委员会(CNIL)发布公告称,由于亚马逊法国网站未经用户的事先同意及未提供充分信息的情况下,通过amazon.fr网页在用户电脑中放置用于广告目的的cookies,涉嫌违反GDPR。该机构常委会决定对亚马逊欧洲公司处以3500万欧元(约合2.8亿元人民币)的罚款。任何一件事要想成功必须具备“天时”、“地利”、“人和”三个条件,缺一不可。下面就从这三个方面分析这起“天价罚单”事件。在没有明确的法律条例出台前,任何部门都难以对企业搜集用户数据的行为进行法律意义上的判定和做出处罚。2018年5月25日,《通用数据保护条例》在欧盟成员国内正式生效实施,这为欧盟隐私监管机构开具罚单,提供了合法化的依据。借GDPR刚刚生效实施的“东风”,2018年5月法国隐私保护组织La Quadrature du Net以出于商业目的“操纵”消费者的名义,指控包括亚马逊在内的5家大型科技公司涉嫌侵犯消费者隐私,要求做出处罚。所谓“新官上任三把火”,新条例生效实施伊始就遇到涉事案件,自然会引起相关部门的高度重视。(二)“地利”:卢森堡国家数据保护委员会是干什么的?根据卢森堡国家数据保护委员会(The National Data Protection Commission,简称CNPD)的官网介绍,作为一家欧盟主要隐私监管机构,CNPD是一个独立的行政实体,对《通用数据保护条例》以及与保护个人数据有关的其他法律和监管规定的遵守情况进行控制和监督,以捍卫自然人在处理其个人数据方面的权利和自由。由于亚马逊的欧洲总部位于卢森堡,因此卢森堡国家数据保护委员会自然而然就成为亚马逊在欧盟的主要隐私监管机构。这也是为什么由该委员会起草对亚马逊处罚建议草案的原因。自从2018年欧盟《通用数据保护条例》生效以来,亚马逊并非唯一违规的巨头。这项条例极为严苛地限制了敏感数据被应用、存储、处理的条件。所以,谷歌、英国航空、H&M、万豪酒店集团等大型企业都曾面临欧洲各国政府对他们违规使用数据的处罚。由此我们不难发现,在信息时代,数据已经成为了像石油一样重要的资源和生产要素。互联网企业利用用户数据,就等同于在油田开采石油。过去的谷歌和如今的亚马逊所做的行为,如果继续拿开采石油来比喻,就等同于在没有取得开采权的前提下开采石油,或者在开采权之外的区域开采石油。这种违规行为必将受到严厉的惩罚。根据欧盟《通用数据保护条例》规定,如果没有特定的、明确的、合法的目的,企业收集了用户的数据,或者虽然用户同意但企业搜集并达成目的后未立即删除的,就属于违法行为。违反GDPR的行为,最高或将面临全球年度销售额4%的处罚。数据显示,2020年亚马逊的全球销售额为3860.64亿美元。虽然此次罚款高达8.8亿美元,但是仅占亚马逊2020年全球销售额的0.2%,相对于年度销售额4%的最高处罚标准来说还差得远呢。从57亿的天价罚单,我们能够看出欧洲国家对数据安全的重视程度,那我国是如何保护数据资源的呢?一直以来,我国非常重视数据安全工作,对于侵犯个人隐私的行为我们也是有所察觉并进行有效监管的。根据我国工业和信息化部信息通信管理局2021年7月19日通报,亚马逊购物等145款APP存在侵害用户权益的行为。其中亚马逊购物涉及的问题包括违规收集个人信息,APP强制、频繁、过度索取权限等。《中华人民共和国数据安全法》将于2021年9月1日起正式实施。该法的实施标志着我国数据安全领域将有法可依,该法可为各行业数据安全提供监督依据,为个人信息安全保驾护航。等到《数据安全法》正式实施时,对于这些侵害用户权益的企业可能就不会单单是通报批评这么简单了,会不会像亚马逊、谷歌这样收到天价罚单也犹未可知。让我们拭目以待。本文参考文章均来源于网络及相关公众号,仅供读者了解和掌握相关情况参考,不用于任何商业用途。如果相关作者认为摘选不妥,请联系我们删除。
