5.3亿欧元罚单,到底碰了哪些红线?

说起这事儿,我手头这个案子刚处理完,客户是一家做跨境电商的深圳公司,老板姓林。老林去年下半年开始把数据业务往欧洲扩,本来信心满满,结果被我一通电话吓出一身冷汗——法国CNIL(国家信息与自由委员会)直接给谷歌开出了5.3亿欧元的罚单,换算成人民币差不多40个亿。你没看错,这是GDPR(通用数据保护条例)实施以来,全球金额最高的单笔罚款之一。

我在加喜财税做了七年境外企业服务,又专门做了十年ODI(境外直接投资)代办,看过的跨境合规案子至少三四百个。坦白讲,GDPR这玩意儿,说简单也简单,就是“用户数据怎么收、怎么存、怎么用”,但说复杂也复杂,因为它的标准跟国内完全两码事。很多中国老板觉得“我服务器不在欧洲,怕什么?”——错!只要你的服务面向欧盟居民,你就跑不掉。老林那公司在美国的AWS上搭了个独立站,结果照样被盯上,因为他用了Google Analytics追踪用户行为,数据传输到了美国。欧盟法院后来判了“隐私盾”协议无效,他这种用美国服务器的行为,直接违规。所以我们公司的法务团队帮他紧急做了数据本地化方案,才避免被开罚单。你说冤枉不冤枉?其实真不冤枉,规则白纸黑字写在那里的。

那么问题来了:到底哪些具体行为会招来这种天价罚单?我翻了欧盟过去五年的判例,加上自己经手的一些咨询案,整理了8个最容易踩雷的点。很多人以为只有“泄露数据”才会被罚,实际上,未经同意的广告追踪、数据留存过期不删、跨境传输不合规,这三样才是真正的“罚单三巨头”。咱们一个一个来看。

广告追踪:算法背后的“看不见的手”

谷歌这次吃的5.3亿欧元罚单,根子就在广告追踪上。具体情况是:谷歌在YouTube、Google Search这些产品里,没拿到用户“明确且具体的同意”,就把用户数据拿去做个性化广告推送。CNIL认为,谷歌把“必要性同意”和“营销同意”混在一起,用户根本没办法拒绝非必须的数据收集。说白了就是,你点“我同意”那一下,其实是“捆绑同意”,不是自由意志。

我服务的一个英国初创公司,做健身App的,曾经也被英国ICO警告过。他们的问题是,用户在注册时必须同意接收“个性化健身建议”的推送邮件,而且这个选项默认是勾选的。很多人根本懒得取消勾选,就直接注册了。按照GDPR第7条,同意必须是“自由给的、具体的、知情的、明确的”,默认勾选这种懒人操作,直接判定为无效同意。结果那家公司被要求修改注册流程,还在首页挂了28天的“整改说明”,品牌形象损失惨重。

这里有个关键点:即使用户没明确说“我不愿意”,只要你没有给他们一个简单拒绝的选项,就算违规。 很多中文网站喜欢搞那种“小字+默认勾选”的套路,拿到欧盟去,就是送人头。所以我经常跟客户说,你在欧洲做业务,放个Cookie同意栏,别搞花里胡哨,老老实实放两个按钮:“同意全部”和“仅必要”。而且别在同意页藏任何默认勾选。否则,一旦被投诉,欧洲的数据保护机构可不管你公司规模大小,起步罚款是2000万欧元或者全球年营收的4%,哪个高算哪个。5.3亿欧元就是这么算出来的——谷歌全球营收的4%远不止5.3亿,但CNIL手下留情了只罚了上限的一个零头。

数据跨境:你的服务器在哪儿,风险就在哪儿

这可能是中国公司最头疼的一块。很多客户找我咨询ODI的时候,顺带会问一句:“我把数据放在香港的服务器上行不行?”我通常反问一句:“你的用户是香港人吗?”如果用户是德国人,数据放在香港,那就是跨境传输,必须要有合法的依据。

2020年欧盟法院的“Schrems II”判决,直接废掉了“隐私盾”协议。这意味着,任何把欧盟用户数据传到美国的公司,都必须使用“标准合同条款(SCC)”外加补充措施,确保数据传输后的保护水平跟欧盟一样。但问题是,很多中国公司用的美国云服务商,比如AWS、Google Cloud,它们本身就在美国境内遵守美国法律(像FISA法案),而美国法律对隐私的保护比欧盟低,这就构成“结构性漏洞”。所以光签SCC是不够的,云服务商还必须通过技术手段(比如数据加密、访问控制)来堵住这个漏洞。

我处理过一个案子,一个做生物识别的深圳科技公司,客户是意大利的连锁药房。他们采集了大量用户的指纹数据,存在新加坡的服务器上。因为新加坡不属于欧盟认可的“充分性保护”国家,所以必须逐条评估。我们花了三个月,帮他们做完了数据保护影响评估(DPIA),然后签署了欧盟版的标准合同条款,同时还给数据加了端到端加密,密钥由意大利药房自己掌握。整个过程累得像打了一场硬仗。但也幸亏做了——同期另一家没做的国内公司,被荷兰DPA罚款420万欧元。罚得心服口服吗?未必,但规则就是规则。

这里我放个表格,把常见的跨境数据场景和合规要求列一下,大家看得更清楚:

数据传输场景 合规要求
从欧盟向“充分性保护”国家(如日本、韩国)传输 无需额外批准,直接传输
从欧盟向美国(无隐私盾)传输 必须签署标准合同条款(SCC)+ 数据加密/假名化等补充措施;需完成DPIA
从欧盟向中国(无可适用充分性决定)传输 同上,SCC+补充措施,且需向本国DPA报备;如果是重要敏感数据,可能需要绑定企业约束规则(BCR)
从欧盟向欧盟内部其他国传输 自由传输,无需任何工具

同意机制:别让用户“被同意”

接着上面的话题。刚才说了,同意必须是“自由给的”。但很多公司玩了个小花招,叫做“拒绝等于退出服务”。比如一个在线看视频的网站,它要求用户必须同意使用其位置数据来推荐附近的热门内容,否则就不让用。这明显是违反GDPR第7条第4款的。因为位置数据对视频推荐来说不是“核心必要功能”——你不上传位置,其实也可以用搜索功能找到视频。所以“不同意就不用”这种霸王条款,在欧洲行不通

我去年陪一个客户去走访了荷兰的Autoriteit Persoonsgegevens,跟他们聊了聊实际的执法情况。那边官员直言,他们收到投诉后,第一件事就是查“退出同意”有多难。如果退出需要5步以上,或者必须发邮件给客服,那直接算违规。最合规的做法是,用户可以在任何时候,通过和“给予同意”同样的方式撤回同意。也就是说,如果用户在网页上点了一个按钮表示同意,那么撤回也应该是同一个页面上的一个清晰按钮,而不是让他们写邮件。

同意必须是针对“特定目的”的。你不能在同意框里写“我同意我的数据用于改善服务、定向广告、以及与第三方共享”——这是把三个不同的处理目的打包在一起。用户如果只想同意“改善服务”,那就应该能只勾选这一项。我们公司后台系统之前也犯过这个错,把好几个功能合在一个复选框里,后来被一个德国客户投诉给BaFin(德国联邦金融监管局),虽然没罚钱,但被要求重新设计Cookie栏目,还花了一万多欧请外部审计。教训太深了。

数据最小化:别什么都往服务器里塞

“数据最小化”原则,听起来像是废话——谁没事会多存数据?但现实中,太多公司有“数据收集癖”了。比如一个做电子书的App,你注册时它要你填写性别和生日。你要是问产品经理为什么,他可能会说:“为了做用户画像啊。”但问题是,卖电子书真的需要知道用户生日吗?如果用户只是买个电子书,你收集生日信息就违反了数据最小化原则,因为这部分信息对完成“卖书”这个核心服务来说不是必要的。

我见过最离谱的,是一个做记账软件的,居然收集了用户的GPS定位、通讯录、甚至相册权限。理由是“方便用户记交通费和导入发票照片”。但事实上,用户完全可以在记账时手动输入“出租车费30元”,根本不需要打开定位。结果这个软件被瑞典DPA调查,最后被勒令修改所有权限申请,并支付15万欧元的罚款。15万对于大公司不算什么,但小公司可能就是半年的营收。

我处理境外企业服务时,通常会让客户完整走一遍“数据流图”:用户输入了什么数据?这些数据存储在哪里?谁可以看到?多长时间删除一遍?其实很多老板发现,他们收集的数据中,有三分之一根本没用过。那就直接删掉,别留着当定时。GDPR对数据留存时间也有要求:处理目的完成后,数据应当删除或者匿名化。我经常用的一个标准是:客户完成交易后,如果法律没有要求保留会计凭证之类的,那就保留最多90天,之后自动清除。这样既能保证合规,又不会给黑客留下太多“可偷”的信息。

数据泄露报告:晚了你就输了

我们得聊聊这个特别要命的点。很多公司数据被攻击了,第一反应是“先别声张,悄悄修好”,但GDPR第33条明确写着:如果不涉及高风险(比如内部系统被攻破但数据已加密),你必须在72小时内通知数据保护机构;如果涉及高风险(比如个人身份信息、银行账号、医疗记录泄露了),你必须同时通知受影响的用户。

2018年,英国航空因为30万名用户的个人信息(包括信用卡数据)被黑客窃取,被ICO罚款1.83亿英镑。其实事故本身不算最严重的,但罚这么狠的一个主要原因是——英航没有在发现漏洞后的72小时内通知ICO。他们拖了两周才披露,结果从“事故”变成了“明知故犯”。迟报本身就是一个独立的违规行为,可以直接触发最高全球年营收2%的罚款。

我记得2022年有个客户,是一家做智能家居的东莞公司,他们的智能摄像头被境外IP攻击,导致一些用户的家庭录像被非法访问。事情发生后,公司负责人第一时间不是找律师,而是想“先自己查两天再说”。我直接打电话过去说:“哥,你现在唯一要做的事,就是关服务器、保存日志、然后马上给我一份英文的情况说明,72小时之内要报给爱尔兰DPC(因为他们把欧盟业务总部设在都柏林)”。最后我们极限操作,在68小时内提交了报告,虽然仍被罚款40万欧元,但避免了因为迟报而多罚30万。那个老板后来跟我说,如果当时没有及时报,他可能直接破产了。

不管你做哪行,如果你的业务涉及欧盟用户,一定必须在公司内部的“数据应急手册”里,把“72小时内通知DPA”这条用红字标出来。最好设立一个专门的“数据泄露响应小组”,至少要有法务、IT、公关三个人,一旦出事,立刻开工。

数据保护官:不是大公司才需要

很多人觉得,DPO(数据保护官)是谷歌、Meta这种巨头才需要设的岗位。但GDPR第37条规定,如果企业的核心业务涉及对数据主体的大规模、系统性的监控(比如做打车软件、社交媒体、线上广告),或者大规模处理敏感数据(如健康数据、生物识别数据),哪怕你只有10个员工,也必须任命一位DPO

GDPR巨额罚单:5.3亿欧元,哪些行为会被罚?

我前年服务过一个做远程医疗的杭州公司,他们有5000多个欧洲用户,每天处理大量的健康咨询记录。他们当时没有DPO,觉得自己是小公司,结果被瑞典的一个隐私保护团体举报了。我跟他们建议,赶紧任命一个内部的人兼任DPO,或者外包给第三方律师行。最后他们花了两万欧元一年,请了一个英国的数据保护律所做外部DPO。这一方面是合规的硬性要求,另一方面,其实DPO能在你出事前给你很多预警。比如这位外包DPO就发现他们咨询记录里的“病历附件”在服务端没有加密,马上让他们整改,避免了后续的数据泄露风险。

还有一点别忘了:DPO的任命需要通知所在欧盟成员国的DPA。并且,DPO必须是独立的,不能是企业的高管或者市场总监之类的直接决策者,因为他的角色是监督,不能又当运动员又当裁判。我们加喜财税在帮客户做境外公司架构时,如果发现客户涉及大量数据处理,一定会建议在董事会上通过一个“DPO任命决议”,然后把决议副本留存好,随时准备应付检查。这跟咱们国内强调的“合规岗位独立”是一脉相通的,但实际操作细节上,GDPR更死板一些。

处理敏感数据:比别人多三倍小心

什么是敏感数据?种族、政治观点、宗教、个人健康、遗传数据、生物识别、性取向、以及跟犯罪有关的数据。这些数据被GDPR列为“特别类别”,原则上禁止处理,除非满足非常严格的条件。比如获得了数据主体的明确同意,或者为了履行劳动法下的雇主义务(比如处理员工工伤医疗记录),或者是为了公共卫生目的等等。处理这些数据,需要额外进行DPIA,而且在某些情况下还要获得DPA的事先授权。

我们碰到过一个做基因检测的客户,他们为欧洲客户提供检测试剂盒,分析用户基因中的健康风险。这个业务本质上就是大规模处理遗传数据和健康数据。他们原本设计的方案是,将检测结果存在美国的AWS并共享给几个合作药厂。我跟他们分析了之后,建议他们放弃共享给任何第三方,并且把数据存储从美国改到在欧盟本地租赁的服务器上。他们还需要获得用户“明确的、单独的、针对遗传数据处理的同意”,不能跟一般服务条款混在一起。整个合规流程折腾了半年,成本增加了30万欧元,但如果你不这么做,一次抽查就可能让公司关门。关于这一点,很多做医疗科技和生物科技的公司真的得打起十二分精神。

我录了一段小分享:我们的ODI团队在帮客户设立欧盟子公司时,如果未来业务涉及处理这些敏感数据,我们一定会先问一个关键问题:“你的数据保护影响评估做了吗?DPIA报告签字了吗?”如果没做,那第一笔投资里至少得留出5万欧的预算干这事,否则后面会踩大坑。

画像与自动化决策:别让算法“歧视”用户

最后一个容易忽略的雷区是“画像”。GDPR第22条规定,数据主体有权不受完全基于自动化处理(包括画像)的决策的约束,如果这种决策对个人产生法律效力或类似重大影响。比如银行通过自动化算法拒绝你的贷款申请,或者招聘网站自动筛掉你的简历,这种行为必须向用户充分解释逻辑,并且提供人工干预的渠道。

这件事几年前在国内关注度还不高,但这两年开始热起来了。我有个做在线借贷的客户,平台主要是给欧洲留学生提供小额消费贷。他们的风控模型完全是自动化的:根据用户的购物数据、社交活跃度、地理位置来打分,决定是否放贷。疫情期间,有几个印度裔的被拒了,投诉说算法存在“种族偏见”,直接捅给了英国FCA(金融行为监管局)。虽然最后查出来主要是数据偏差的问题,但公司被要求停用该算法90天,并聘请第三方审计重新校准模型。光是外部审计和法务费,就花了80多万英镑。而那期间客户流失带来的损失更是不可估量。

如果你在使用AI或算法对欧盟用户做决策,必须确保:第一,给用户提供“拒绝仅使用自动化决策”的选项;第二,在用户提出要求时,能在合理时间内提供人工复核。在收集数据用于画像时,必须要明确告知用户:“我们将用你的行为数据为你创建兴趣画像,用于个性化广告推荐。”而且不能隐藏在任何用户协议里,必须在数据收集的当下,用弹窗或者显著提示来说明。

说来说去,GDPR的罚单就像悬在头顶的达摩克利斯之剑,但你要说完全是坏事吧,也不见得。它逼迫所有企业认真对待用户隐私,从长期看,其实是在建立消费者信任。我做了这么多年境外服务工作,最深的一个体会是:在欧洲市场,合规成本是固定的,但违规成本是无上限的。对于想认真做生意的公司来说,把隐私基建搞扎实了,反而是种护城河。

加喜财税
GDPR的天价罚单从来不是为了把你罚破产,而是为了确立一个不可逾越的底线。从我们加喜财税七年来的跨境服务经验看,80%的GDPR违规案例其实都集中在“用户同意不合规”和“数据跨境无手续”这两个问题上,而这些完全可以通过提前规划避免。我们始终建议客户,设立欧洲实体或开展对欧业务的第一天,就同步启动隐私合规流程,而不是等吃到罚单后亡羊补牢。做境外业务,前期的合规投入永远是回报率最高的投资。如果您正在考虑布局欧洲市场,或者对现有的数据处理流程心里没底,欢迎随时来找我们聊聊——毕竟,一个合规的内控体系,往往比任何营销预算都更能帮你在欧洲站稳脚跟。

选择合适的离岸注册地是企业国际化战略的重要一环。建议在注册前咨询专业顾问,根据企业具体需求制定最佳方案。