【数据法学】刘元兴：德国巴登符腾堡州数据保护局依据GDPR开出第一罚

B D A I L C 

 欢 迎 关 注 

Claude Monet

德国巴登符腾堡州数据保护局依据GDPR开出第一罚

译 / 京东数字科技研究院法律与政策研究中心研究员 刘元兴

编

者

按

据德国巴登符腾堡州数据保护局（Landesbeauftragter für Datenschutz und Informationsfreiheit  Baden-Württemberg）官网2018年11月22日消息，该局对该州境内社交媒体服务商knuddels.de依据GDPR开出第一罚，罚款数额为2万欧元。处罚理由是，该企业没有对其用户密码进行加密存储遭到黑客攻击而发生数据泄露安全事故。而该数据安全事故以及未加密存储的失误，恰恰是该企业向巴登符腾堡州数据保护局主动报告披露的。正因为该企业与监管机关积极合作，才避免了数据安全事故的进一步恶化，也为其减轻了处罚，罚款数额仅仅为2万欧元。此外，该案，还透露出德国本国法律《联邦数据保护法》与欧盟《一般数据保护条例》（GDPR）的不相协调性暴露出的立法缺陷——没有完全保障涉事企业不被强迫自证其罪的权利。

以下为编译内容：

与监管机关合作可以避免数据安全事故进一步恶化，也可获减轻处罚

因为违反GDPR第32条有关数据安全保障义务的规定，巴登符登堡州数据保护局（LfDI Baden-Württemberg）行政罚款处于2018年11月21日向巴登符登堡州社交媒体服务商knuddels.de开出了罚款2万欧元的处罚通知，并与该企业开展建设性合作以全方位地改善用户数据安全保障。

由于2018年7月的黑客攻击，社交媒体服务商knuddels.de的大约33万名用户的个人数据，包括密码和邮件地址被盗取并于2018年9月初遭公开泄露。该企业发觉此事后，于2018年9月8日，向巴登符登堡州巴登符腾堡州数据保护局报告了该起数据安全事故以向监管求助。同时，该企业依据GDPR毫不拖延地立即向用户全面通知了该次数据泄露事故。该企业，无论在数据处理和企业组织架构以及自己的疏忽失误方面都示范性地向巴登符腾堡州数据保护局作了报告。巴登符腾堡州数据保护局正是通过该企业的报告得以获悉：该企业将其用户密码只做了明文存储，而没有作加密和匿名化（哈希）处理。该企业投入使用所谓的“密码过滤器”后就大胆地使用明文密码，然而该“密码过滤器”只是貌似具有阻止用户密码被传给未授权的第三人以更好地保护用户的功能。

该企业，在几周之内采取了诸多措施以改善其IT安全架构，从而将其用户数据安全保障技术提高到了最新水平。在其后的几周之内，该企业也配合巴登符腾堡州数据保护局采取了其他措施以进一步改善数据安全保障。

依据GDPR第32条第1款第a项，该企业明文存储用户密码，是故意违反其在处理个人数据时的数据安全保障义务的行为，此处的数据安全保障义务主要是指对个人数据的加密或匿名化处理的义务。这可能构成GDPR第83条第4款的罚款条件，最高可被处以1000万欧元的罚款，或更高可至该企业一年度全球营业额的2%。

在GDPR第83条第4款的罚款规定框架下，与巴登符腾堡州数据保护局非常积极且良好的合作将会在某种程度上有利于该企业，即减轻处罚。Brink博士认为，该企业在披露信息以及配合监管机关方面表现出良好的积极性，例如积极将巴登符登堡州数据保护局的指令和建议进行执行和转化。以这种方式，该社交媒体服务商的用户数据安全保障就可以在短时间内很快得到改善，并在以后继续得以加强。在计算罚款数额时，在广泛考虑其他因素下，照顾到了罚款给该企业将造成的财政负担。依据GDPR，罚款不仅仅是处罚和警示而已，还应当符合比例原则。在考虑该企业已经采取的IT安全补救措施以及向监管机关报告披露的积极表现，该企业因违反GDPR数据安全保障义务所承担的罚款数额应该控制在六位数欧元以内。巴登符腾堡州数据保护局在界定罚款数额为2万欧元时，有以下评估和考量因素。

一丨该服务商充分向数据保护局报告披露，且与其进行充分合作。

二丨该服务商既履行了法律要求又执行了数据保护局的建议，并立即提高个人数据保护水平。

三丨评估该数据安全事故（包括罚款）对该服务商的整体财务影响，将罚款数额控制在六位数欧元。

四丨将服务商与数据保护局继续合作的意愿以及相应措施作为加分项进行考量。

“如果从损失中学到经验教训，并在改善数据保护方面积极参与并做到透明报告和披露，那么该企业于此同时也将因黑客攻击而变强得更强，并继续健康地发展下去。”Brink博士最后强调，“作为处罚机关，对于巴登符腾堡州数据保护局来说，和其他保护局比赛，看谁可以尽可能进行高额罚款，是不必要的。企业因此改善数据保护和安全措施从而最终有利于相关用户，才是最重要的。”

不被强迫自证其罪的权利

依据德国《秩序违反法》（Gesetz über Ordnungswidrigkeiten）规定，行政主管机关可以在行政犯罪处罚程序中要求行为人履行报告、通知或者其他相关性披露行为并将其披露信息内容作为处罚考量因素，但依据德国《刑事诉讼法典》（Strafprozeßordnung）第52条第1款所规定，必须事先获得当事人同意，也即当事人享有不被强迫自证其罪的权利。在该案中，巴登符腾堡州数据保护局在其作出处罚决定时，没有详细解释在何种程度上考量德国《联邦数据保护法》(“FDPA”)第43条第4款。依据FDPA第43条第4款规定，GDPR第33条的报告或第34条第1款的通知不能适用在针对数据控制者的行政犯罪罚款程序中，除非数据控制者同意。也即，GDPR第33条的报告或第34条第1款的通知所披露的内容一般不能作为数据保护局作出罚款决定以及界定罚款数额的考量因素。

因此，只能做如此推断——社交媒体服务商knuddels.de可能已经向巴登符腾堡州数据保护局提供了除GDPR第33条和第34条要求的报告和通知之外的其他信息内容，且州数据保护局恰恰依据这些信息内容对罚款决定和数额进行了正当化论证和评估，也即没有将GDPR第33条和第34条要求的报告和通知的信息内容作为行政犯罪处罚程序中的考量因素，所以是符合FDPA第43条第4款的规定的。鉴于数据保护局可以依据GDPR第58条第1款第a项要求数据控制者向其提供和开放为执行其监管任务所必要的所有个人数据和相关信息，所以对于数据控制者来说，在数据安全事故发生之后将报告或通知的信息内容限制在GDPR第33条和第34条第1款所规定的范围之内是不可能的，会不可避免地提供其他额外信息内容。如果德国数据保护机关采取一个严格的视角，即只有GDPR第33条和第34条第1款所提到的报告或通知的信息内容才能依据FDPA第43条第4款从行政犯罪罚款程序中的考量因素中被排除出去，那么FDPA第43条第4款对企业所提供保护在实际上来说是最小化的，是不足的，因为其没有完全保障其不被强迫自证其罪的权利。从本质上来说， GDPR第33条和第34条要求的报告和通知的信息内容之外其他的信息内容也不能作为行政犯罪处罚程序中罚款决定和数额的考量因素，除非数据控制者自我同意，自愿自证其罪。