GDPR：去年罚款增加了40％，而且还会增加很多

不合规的企业要当心：分析师表示，监管机构将对GDPR实施施加更大的挑战。

欧盟开始实施通用数据保护条例（GDPR）已有两年半了，尽管起步很胆小，但新法律正在加快步伐-仅对不合规的企业处以更高的罚款。 

律师事务所DLA Piper的数据保护团队发布的一份新报告正好与欧洲委员会的数据保护日同时发布，发现过去一年 GDPR相关罚款总额为1.427亿英镑（1.934亿美元），几乎是自新法律生效以来的前20个月相比，增长了40％。自从GDPR开始适用以来，报告的罚款总额达到2.45亿英镑（3.32亿美元）。 

违规通知的数量也在增长，在过去的12个月中，每天平均报告331次数据违规，而去年为每天278条。自2018年5月以来，总共有超过281,000个数据泄露通知。  

尽管这些规则原则上是统一适用于所有加入国的统一规则，但实际情况却有所不同。拥有不同的人力，财力和技术资源，不同的国家采用不同的方法来执行法律。  

差异显示在数字中。例如，自GDPR推出以来，德国负责77,747起违规通知，而意大利同期仅记录了3,460起违规通知，这一统计数字也可能与文化差异有关。麦基恩说：“这不仅是一部GDPR法规，还是一部GDPR法规，在所有这些国家/地区中对它的解释都不同。” 

纵观GDPR导致的头条大笔罚款，很明显，新规则的实施仍存在不确定性。例如，英国因违反GDPR要求而处以第四和第五大罚款，但在这两种情况下，由于上诉，原始金额均被大大降低。 

英国航空公司（ British Airways ）去年 因黑客窃取了成千上万客户的个人详细信息而被 罚款2000万英镑（合2700万美元），比最初提出的1.834亿英镑减少了90％。 2019冠状病毒病大流行。出于同样的原因，连锁酒店万豪酒店 在发现属于3.39亿客人的信息被盗后，还被罚款1,840万英镑（合2500万美元），占其最初罚款的20％。 

根据GDPR的规定，迄今为止最大的罚款是法国监管机构CNIL于2019年发布的，该 公司因违反透明性规则而对Google处以5000万欧元（合6100万美元）的罚款。  

DLA Piper的报告指出，在解释GDPR时，许多公开的法律不确定性可以部分解释为什么迄今为止所处的罚款额一直处于较低水平。可以肯定的是：这些成功上诉的例子表明，尽管罚款和违规通知总体有所增加，但监管机构“并没有完全按照自己的方式办事”。  

然而，根据麦基恩（McKean）的说法，监管机构建立足够的信心以更有力地执行GDPR法律只是时间问题。麦基恩说：“如果您看一看在某些公司中这些罚款可能达到的最高金额，那么您就处于数十亿美元之内。” “要到达那里还需要一段时间。现在还很早，但是罚款只是一个方向，而且可能要过几年才可以开始罚款。” 

麦基恩认为，尽管目前总和只是其总数的一个百分比，但不应低估GDPR的威慑作用。  

他说：“我们受到了大型技术以及任何受GDPR约束的公司的全力以赴。” “药物，金融服务也同样基于信任。如果您被罚款，那将是糟糕的一天，在办公室将是一个头疼的大难题。因此，即使尚未成为头条新闻，GDPR非常重视。” 

更重要的是：欧盟监管机构采取了一系列惩罚性措施，可以在罚款之外使用这些措施，以确保公司改变其不良的数据处理习惯。McKean说，引起许多组织真正关注的一个原因是有时完全暂停数据传输，这被认为是非法的，有时甚至比罚款还要大。

例如，去年，欧洲法院（ECJ） 废除了 为允许在美国发送和处理欧盟公民的个人数据而创建的数据桥，即所谓的隐私保护盾。该裁决是在决定整个大西洋的政府监视法律阻止组织以符合GDPR要求的方式保护个人数据后宣布的。 

原则上，欧洲法院的决定规定除非有其他数据传输机制，否则与美国交换个人数据是非法的。在实践中执行该裁决的例子仍然很少。但是根据麦基恩的说法，这一判决的现实后果将在今年开始显现。   

在围绕GDPR仍在不断发展的法律环境中，企业保持谨慎态度的另一个原因是，将来可能会出现新的，更严格的规则。在英国，一个正在进行的案件称为劳埃德诉谷歌（Lloyd vs Google），许多组织可能会密切关注。麦肯恩说：“所有人的目光都集中在劳埃德和谷歌上，以查看这类行动是否有腿。” “如果是的话，罚款只是一种杂谈，因为与累计损害赔偿要求相比，罚款将是苍白的。” 

因此，对于在符合GDPR的国家/地区中处理数据的任何组织，谨慎行事是迄今为止的最佳做法。GDPR才刚刚起步，并且将会变得更大。