巨额罚单背后：解密全球五大隐私保护法，企业如何避免触雷

随着数字化时代的到来，个人隐私保护越来越受到全球关注。最近，Uber被巨额罚款的事又冲上热搜，原因是荷兰数据保护局称Uber公司违反了欧盟GDPR — 通用数据保护条例 ，在没有遵守隐私保护规则的情况下，将欧洲出租车司机的数据传输到美国。

Uber收集位置信息、照片、付款信息、身份证明信息等，甚至在某些情况下收集司机的犯罪记录和医疗数据。因此，荷兰数据保护局也是对Uber开出了2.9亿欧元的巨额罚款。

图片

那除了耳熟能详的GDPR，全球还有哪些知名的隐私保护法案呢？本文就为大家简要介绍全球五大著名的隐私保护条例,并列举相关的罚款案例。

1. 欧盟《通用数据保护条例》(GDPR)

图片

GDPR于2018年5月正式生效,是目前全球最严格的隐私保护法规之一。它要求企业必须获得用户明确同意才能收集个人数据,并赋予用户"被遗忘权"等多项权利。

主要内容：

• 适用范围：适用于处理欧盟居民个人数据的所有组织，无论其位置。
• 同意要求：收集个人数据需获得明确同意。
• 数据主体权利：包括访问权、更正权、删除权（被遗忘权）、数据可携带权等。
• 数据泄露通知：发生数据泄露时，需在72小时内通知监管机构。
• 数据保护官：某些组织必须任命数据保护官。

罚款案例:

1. 2019年，法国数据保护监管机构CNIL对谷歌处以5000万欧元罚款,原因是谷歌未能充分告知用户其数据收集和使用方式。
2. 2023年，meta因将向美国传送用户数据，被罚款13亿美元。
3. 2021年，亚马逊对个人数据的处理不符合欧盟通用数据保护条例，因此对亚马逊罚款7.46亿欧元。
4. 2023年，爱尔兰数据保护委员会 (DPC) 日前宣布对字节跳动旗下的短视频应用 TikTok 罚款 3.45 亿欧元 ，原因是 TikTok 多次违反欧盟通用数据保护条例规定。

2. 美国《加州消费者隐私法》(CCPA)

图片

CCPA于2020年1月1日生效,是美国第一个全面的消费者隐私保护法。该法案赋予消费者知情权、选择权和控制权等多项权利。

主要内容：

• 适用范围：适用于在加州开展业务并满足特定条件的企业。
• 消费者权利：包括知情权、访问权、删除权、选择退出权等。
• 数据销售：企业必须允许消费者选择退出个人信息销售。
• 未成年人保护：对16岁以下未成年人数据的特殊保护措施。

罚款案例:

1. 2021年8月,美国化妆品零售商Sephora因违反CCPA被罚款140万美元,原因是未能正确处理消费者选择退出数据销售的请求。
2. 2020年，Marriott（万豪国际集团）因大规模数据泄露，影响了约500万客户的个人信息，被罚款2350万美元。
3. 2021年，Zoom（瞩目）因未经用户同意与第三方共享用户数据以及安全漏洞导致未经授权访问用户网络摄像头，被罚款8500万美元。

3. 中国《个人信息保护法》(PIPL)

图片

PIPL于2021年11月1日正式实施,是中国首部系统性规范个人信息处理活动的法律。该法案对个人信息的收集、使用、处理、共享等方面做出了明确规定。

主要内容：

• 域外效力：适用于中国境内外处理中国居民个人信息的活动。
• 收集原则：遵循最小必要原则，明确告知收集目的和方式。
• 敏感信息保护：对敏感个人信息的特殊保护要求。
• 跨境数据传输：规定了个人信息出境的条件和程序。

罚款案例:

1. 2022年7月,滴滴出行因违反《网络安全法》《数据安全法》和《个人信息保护法》被处以80.26亿元人民币罚款。
2. 2021年，美团因违规收集和使用用户个人信息以及未经用户同意向第三方共享用户信息，被罚款34.42亿人民币。
3. 2022年，阿里巴巴因未按要求申报经营者集中以及涉及个人信息保护问题，被罚款182.28亿人民币。
4. 2022年，豆瓣因未经用户同意收集个人信息以及强制要求用户提供非必要的个人信息，被罚款100万元人民币。

4. 巴西《通用数据保护法》(LGPD)

图片

LGPD于2020年9月生效,其结构和内容与GDPR相似,但更适合巴西国情。该法案适用于在巴西境内收集或处理个人数据的所有组织。

主要内容：

• 数据处理原则：包括目的限制、必要性、透明度等。
• 法律基础：规定了个人数据处理的合法基础。
• 数据主体权利：与GDPR类似，包括访问权、更正权等。
• 数据保护官：要求指定数据保护官。

罚款案例:

由于LGPD实施时间较短,目前尚未有重大罚款案例公布。但该法案规定,违规最高可处罚5000万雷亚尔(约合950万美元)。

5. 日本《个人信息保护法》(APPI)

图片

APPI最初于2003年制定,2017年进行了重大修订,2022年再次更新。该法案要求企业采取必要措施保护个人信息,并规定了跨境数据传输的条件。

主要内容：

• 个人信息定义：包括可识别特定个人的信息。
• 匿名加工信息：规定了匿名化数据的使用条件。
• 跨境数据传输：规定了向国外第三方提供个人数据的条件。
• 数据泄露通知：要求在发生数据泄露时通知相关方。

罚款案例:

1. 2019年,日本监管机构对招聘公司Rikunabi发出改正令,因其在未经求职者同意的情况下向客户提供个人信息。虽然没有直接罚款,但该公司因声誉受损而遭受了重大经济损失。
2. 2021年，LINE Corporation因将用户个人数据存储在中国的服务器上，而未充分告知用户以及允许中国员工访问日本用户的个人信息，被要求要求改进数据处理practices。
3. 2022年，Yahoo Japan因未经用户同意收集位置数据以及使用这些数据进行定向广告，被要求行政指导及改进数据收集和使用practices，未公开具体罚款金额。

值得注意的是，这些法规虽然在具体细节上有所不同，但都强调了以下几个共同点：

• 个人对其数据的控制权
• 企业在收集和处理个人数据时的透明度要求
• 数据主体的各项权利（如访问权、删除权等）
• 对敏感信息的特殊保护
• 跨境数据传输的规定
• 数据泄露通知的要求

这些法规的实施已经对全球企业产生了重大影响，促使它们建立更严格的数据保护机制。同时，巨额罚款案例也凸显了违反这些法规的严重后果，进一步强化了企业遵守隐私保护法规的必要性。