近十年隐私保护与监管处罚大事记

 安全内参 2023-07-05

2011年至今实施的重大隐私罚款、数据隐私法规的演变、备受关注的案例以及它们对企业和个人的影响。

7月5消息，过去十年来，数据泄露和隐私侵犯事件激增。从社交媒体巨头到金融机构，几乎所有行业都遭到网络犯罪分子窥视，蒙受了隐私保护措施不足的后果。

本文总结了2011年至今实施的隐私罚款、数据隐私法规的演变、备受关注的案例以及它们对企业和个人的影响。

2013年之前：数据隐私初入视野

数字时代伊始，隐私侵犯活动往往在公众意识之外悄然运行，却也日益引发关注。虽然技术快速进步、在线平台纷纷投用，人们并没有充分认识到个人数据处理不当的潜在风险。这一阶段奠定了我们今天面临的隐私格局——个人信息保护已经成为关键问题。

当时，隐私侵犯并没有像现在这样受到重点监管。但是，一些重大案例逐渐浮出水面，预示着那些未能保护个人数据的人会承担哪些后果。这些案例包括：

2011年，索尼PlayStation：大约7700万用户的个人信息，包括姓名、地址、电子邮箱，甚至信用卡信息，落入黑客手中，总损失约1.7亿美元。英国监管机构对此处以39.5万美元罚款。这次数据泄露凸显了个人数据脆弱性，也表明了加强安全措施的必要性。

2012年，谷歌：谷歌采集街景地图数据时，中从不安全的Wi-Fi网络收集个人数据，因此受到严格审查。几个国家对这家科技巨头的隐私侵犯行为进行罚款。其中，美国联邦通信委员会处以2.5万美元罚款。

与如今各类组织通常面临的罚款相比，上述罚款金额较低。但是，它们在塑造隐私法规和公众认知方面起到了重要作用。这些较早的罚款表明，隐私侵犯可能对个人和组织产生现实后果，促使人们更深入地理解隐私的价值。

随着隐私侵犯和数据泄露的新闻不断传播，个人逐渐认识到在网上分享个人信息会带来风险，并开始质疑他们的个人数据是否被安全收集、使用和共享。人们不再完全信任各类组织会负责任地处理个人数据，要求后者提供更强有力的隐私保护措施。

为了回应上述态势，各国政府开始制定、完善隐私法规。他们意识到，必须创建法律框架，跟上不断发展的技术，并应对数字时代的新兴挑战。

2013-2015年：数据隐私意识加强

2013至2015年间，公众对隐私问题的意识发生较大转变。随着技术继续快速发展，人们对个人数据安全的担忧也日益增长。智能手机、社交媒体平台和在线服务广泛应用，导致个人信息的收集、共享和存储数量呈指数级增长。日益增长的数据隐私意识促使个人、组织和政府更深入地审视隐私实践，考虑采取更强有力的保护措施。

在这一时期，人们对隐私问题的意识不断加强，数家侵犯隐私的组织被课以高额罚款。这些案例包括：

2013年，谷歌：美国联邦贸易委员会（FTC）与谷歌达成和解协议——谷歌实施了欺骗性的追踪行为，使用Cookie在未经用户同意的情况下收集用户数据；为此，这家科技巨头支付了2250万美元的罚款。这一里程碑事件在行业内引发巨大震动，说明数据收集实践中必须保持透明，并获取用户许可。

2015年，安森保险：这家健康保险提供商遭遇数据泄露，近7880万人的受保护健康信息（PHI）泄露。因为违反了《健康保险可移植性与责任法案》（HIPAA），安森保险支付了创纪录的1600万美元罚款。这次泄露事件对医保行业敲响了警钟，说明处理敏感患者数据时必须采取强大的安全措施。

2015年，AT&T：该公司位于墨西哥、哥伦比亚和菲律宾的呼叫中心的员工盗取了约28万名美国客户的姓名和完整或部分社会安全号码。美国联邦通信委员会（FCC）对该公司处以2500万美元罚款，理由是其未能保护客户的个人信息。截至当时，这是FCC针对数据安全和隐私侵犯问题开具的最高罚单。

这些事件充分说明，数据隐私和保护不到位会导致多么严重的后果。对这些事件的集体回应也为未来几年制定更严格的隐私法规、加大对网络安全的关注奠定了基础。

2016-2018年：引入《通用数据保护条例》

欧洲议会通过《通用数据保护条例》（GDPR）。这是个人数据保护和隐私权保护方面的里程碑事件。GDPR做出了一些重要规定。比如，若发生数据泄露，数据控制者和处理者将面临重罚；二者必须使用清晰明确的语言获取数据使用许可；发现数据泄露后，二者必须72小时内通知受影响个人。

GDPR自2018年正式实施以来，对违规行为引入了更高额的罚款。发生最严重违规行为的组织，将面临年度全球营业额的4%或2000万欧元（以较高者为准）的罚单。这一措施促使许多组织和各国政府将数据保护置于优先位置，并努力增强隐私保护机制。

下面是这一时期一些备受关注的案例：

2016年，嘉德诺健康集团：该集团未能保护400万名患者的电子受保护健康信息（ePHI）。美国卫生与公众服务部民权办公室（OCR）因未实施物理访问控制、未采用适当安全政策以及多项其他违反《健康保险可移植性与责任法案》（HIPAA）的行为，对该集团处以550万美元罚款。

2017年，Equifax：美国信用报告公司Equifax遭遇了一次大规模的数据泄露，导致1.47亿名客户的社会安全号码被曝光。公司与美国联邦贸易委员会（FTC）、美国消费者金融保护局（CFPB）以及50个州达成和解协议，支付总额达7亿美元的赔偿金。和解协议还要求艾贵发改进数据隐私实践，并定期评估安全系统。

2018年，Facebook（Meta）和剑桥分析：这一时期，社交媒体巨头Facebook和数据分析公司剑桥分析的数据隐私案件被广泛报道。8700万名Facebook用户的个人数据在未经其同意的情况下被收集并用于政治目的。英国信息专员办公室（ICO）对此开出50万英镑的罚单。这仅仅是一系列罚款中的第一笔。后续，美国联邦贸易委员会（FTC）提出了更严厉的50亿美元罚款。

2019-2021年：数据隐私“新常态”

GDPR实施后，许多国家效仿这一具有里程碑意义的法案，落实自己的隐私保护机制。因此，隐私法规的范围扩大到了欧盟以外的地区。GDPR为全面的隐私法律树立了先例，引发了全球性加强数据保护的运动。加州和巴西等地认识到有必要增强隐私权，并制定了自己的隐私保护法案。

加州《消费者隐私法案》（CCPA）和巴西《通用数据保护法》（LGPD）旨在为个人提供更多对其个人数据的控制权，为处理这些数据的组织制定了指南。在数字时代，隐私被认为是一项基本权利，监管也在同步发展。

随着隐私保护范围的全球化，一些组织因隐私违规行为受到重大罚款和处罚。这些案例包括：

2019年，谷歌：法国国家信息与自由委员会（CNIL）对谷歌处以5000万欧元的罚款，理由是谷歌在个性化广告方面存在透明度不足、信息不充分和未得到许可等多项违规行为。罚款依据是谷歌未能遵守GDPR关键条款，包括第13条（从数据主体收集数据时应提供的信息）、第14条（未从数据主体获得个人数据时应提供的信息）、第6条（数据处理合法性）、第5条（个人数据处理原则）。CNIL的决定说明，谷歌未能遵守GDPR关于数据保护和隐私的重要规定。

2019，万豪：一次网络攻击曝光超过3.39亿名客户记录的个人数据。随后，英国信息专员办公室（ICO）因万豪国际违反GDPR对其处以1840万英镑的罚款。ICO调查发现，万豪国际在收购喜达屋酒店集团时，未能进行充分的尽职调查，并未实施适当的安全和隐私保护措施。

2020年，英国航空公司：英航未能保护超过40万名客户的个人信息，ICO对其处以2600万美元的罚款。调查发现，该航空公司处理大量个人数据时未采取足够的安全措施。这一失误违反了数据保护法。后果是，2018年发生的一次网络攻击，超过2个月才被英航发现。

2020年，H&M：2020年，H&M因非法监视员工被德国汉堡数据保护机构罚款3500万欧元。该公司在员工休假后的复工会议进行录音，存储了过多个人数据。这些数据可被50多名管理人员访问。该行为违反了GDPR第5条和第6条有关数据最小化和合法处理的规定。这笔罚款警告各大组织，必须尊重员工隐私，并遵守GDPR相关规定。

2021年，亚马逊：卢森堡国家数据保护委员会（CNDP）对亚马逊处以迄今为止最高额的GDPR罚款，金额达到7.46亿欧元（8.88亿美元）。CNPD调查了亚马逊处理客户个人数据的方式，发现广告投放系统存在违规行为——该系统未获得适当许可，即悄然运行。

2021年，WhatsApp：WhatsApp是隶属于Meta的即时通讯服务应用。爱尔兰数据保护委员会（DPC）发现其未向欧洲用户告知个人信息的收集和使用方式，并与Meta共享数据，对其处以2.25亿欧元的GDPR罚款。

这些罚款累积影响大，削弱了消费者信任。这迫使企业重新评估数据处理实践，大幅加强合规性、隐私和安全措施的投入。

2022-2023年：隐私成为焦点

过去十年里，隐私监管发展迅猛，对全球商业事务的影响倍增。2022-2023年间，隐私罚款变得更加严厉和高昂，表明各大组织正面临日益严格的审查和执法。保护个人数据、严格落实数据保护措施不再是锦上添花，而是基本要求。这一事实在以下重大隐私罚款案例中得到体现：

2022年，Instagram：爱尔兰数据保护委员会（DPC）调查社交网络应用Instagram的儿童数据处理情况，随后对其处以4.02亿美元的罚款。调查重点关注13至17岁用户操作的商业账户，这些账户允许公开用户电话号码和/或电子邮箱，引发了对未成年人个人信息保护的担忧。

2022年，Clearview AI：法国监管机构CNIL发现面部识别公司Clearview AI非法处理并删除法国公民的数据，为此对其罚款2200万欧元。

2023年，Meta：欧盟监管机构最近对Meta处以12亿欧元（13亿美元）的创纪录罚款，理由是其违反了欧盟隐私法律。违规行为包括，将Facebook用户的个人数据转移至位于美国的服务器。这笔罚款由欧洲数据保护委员会决定并公布，决定依据是DPC的调查。DPC是负责监管Meta在欧洲运营的主要机构。

参考资料：