国际法讯 | 第 6 期

50

（8）取得国内公司发行的债权，且自取得日至本金赎回日超过 1 年，该债

权的发行仅面向特定的外国投资者的（不包括居民外国投资者以日元计价购买

公司债权的情况）（在符合一定条件时）；

（9）政令规定的与上述情形类似的情形。

日本通过告示的方式，对需要进行事先备案的指定行业进行了规定。指定

行业又分为核心产业和非核心产业。核心产业是指危害国家安全等的可能性比

较大的行业（如：武器、飞机、人造卫星、核电；原油/天然气、炼油业；稀土；

药品/高度管制医疗器械；可转为军事用途的通用货物制造业）。非核心产业是

指可能危害国家安全等的行业（如：农林渔业；皮革/皮革制造业；燃料零售业；

石油仓储业；广播业）。

为帮助外国投资者判断其在进行对内直接投资时是否需要进行事先申报等，

财务省制作了《日本上市公司在外汇法下的对内直接投资等事先申报适用一览

表》。如果外国投资者对一览表中的公司进行对内直接投资，那么就需要进行

事先申报。

需要注意的是，如果被投资公司的子公司经营的业务含有需要事先备案的

行业，外国投资者也要进行事先备案。也就是说，外国投资者不但要确认被投

资公司，还要确认被投资公司的子公司是否经营需要事先备案的行业，以判断

是否需要进行事先备案。

事先备案应在交易或行为发生之日前的 6 个月内，通过日本银行按照规定

的格式向财务大臣及业务主管大臣进行。根据《外汇法》第 27 条第 2 款，对于

需要事先备案的交易，自财务大臣及业务主管大臣受理该备案之日起 30 日内，

不得进行与该备案相关的对内直接投资等。但是，该禁止期限通常会缩短至自

受理备案之日起 2 周内。但如果该备案事项被认为对日本的安全等造成威胁的，

财务大臣和业务主管大臣将听取海关、外汇等审议会的意见，为进行审查，该

禁止期限最长可延长至 5 个月。

如果审查结果认为有可能损害国家安全等的，相关大臣可以发出中止投资

的劝告等。根据《外汇法》第 29 条和第 70 条第 1 款第 22 项，对于未备案、虚

假备案或违反变更/中止命令的对内直接投资等，在一定情况下，财务大臣及业

国际法讯 | 第 6 期

51

务主管大臣可以发出出售股份等的事后措施命令，外国投资者甚至会面临 3 年

以下有期徒刑，单处或并处 100 万日元以下（但是，如果投资额的 3 倍超过 100

万日元的，则为投资额 3 倍以下）罚金的刑事处罚。

根据日本财务省国际局调查课投资企划审查室公布的数据，2015 年外国投

资者进行事先备案的案件数为 493 件，2021 年进行事先备案的案件数增长为

2859 件。

此外，财务省于 2020 年 12 月 25 日发布通知，通过日本银行进行的事先备

案可以线上进行。

外国投资者实际取得股份等后，还应在 45 日内通过日本银行向财务大臣及

业务主管大臣提交执行报告。

三、事先备案豁免制度

事先备案豁免制度于 2020 年引入。对于核心产业等危害国家安全风险较高

的投资以外的投资，以遵守豁免标准为前提，可以豁免在股份等的取得时的事

先备案义务。

豁免标准如下：

（1）本人或密切相关人员不担任高级管理人员；

（2）不自行向股东大会提出关于指定行业的业务转让等的提案；

（3）不接触与指定行业相关的非公开技术相关信息。

国际法讯 | 第 6 期

52

事先备案豁免制度分为面向证券公司、银行、保险公司等外国金融机构的

一揽子豁免和面向未违反过《外汇法》，且非国有企业等的所有其他外国投资

者的一般豁免。属于一揽子豁免对象的，无论其收购的股份的比例和是否是核

心产业，只要遵守豁免标准即可免除事先备案。在一般豁免中，为指定行业中

的非核心产业的，只要遵守豁免标准即可免除事先备案，属于核心产业的，则

在遵守附加条件的前提下，对于收购不到 10%的股份的情况，免除事先备案。

附加条件如下：

（1）不亲自参加关于核心产业业务的董事会或对其有重要决策权的委员会；

（2）对于核心产业业务，不提出书面提案，要求董事会等在规定期限内答

复/行动。

需要说明的是，一揽子豁免是针对上市公司的，对于非上市公司的对内直

接投资等，并不适用一揽子豁免制度。对于非上市公司的对内直接投资只有在

属于指定行业中的非核心产业的情况下，才能适用事先备案豁免制度。

《外汇法》对 27 条之 2 第 3 款规定，对于利用事先备案豁免制度进行对内

直接投资等的外国投资者违反豁免标准的，财务大臣及业务主管大臣可以对该

外国投资者发出劝告，要求其采取必要的措施遵守豁免标准。《外汇法》第 27

条之 2 第 4 款规定，外国投资者不遵守该劝告的，可以命令其采取与该劝告相关

的措施，违反该命令的，将成为措施命令的对象。

四、事后报告制度

对于外国投资者进行的对内直接投资等中，不属于事先备案行业，但该外

国投资者收购的股份达到 10%以上的，应在投资等行为进行之日起 45 日内进行

事后报告（普通事后报告）。此外，利用事先备案豁免制度的外国投资者也应

在进行对内直接投资等之日起 45 日内提交记载有承诺遵守豁免标准的事后报告。

对于一揽子豁免的，只有与密切相关方合起来的出资比例（实际持股）或表决

权（实际享有的表决权）达到 10%以上的情况才需要进行事后报告。对于利用事

先备案豁免制度的对非上市公司对内直接投资等的外国投资者，无论其出资比

例和表决权比例如何，均要进行事后报告。事后报告也是通过日本银行向财务

国际法讯 | 第 6 期

53

大臣及业务主管大臣进行。同样，事后报告也可以通过线上进行。

五、结语

通过上面的介绍，我们可以看出，外国投资者在进行对内直接投资时：

如果投资的是上市公

司，那么首先要考虑收购

的股权比例是否是 1%以

上。如果未达到1%，那么

无需事先备案，也无需事

后报告。如果达到 1%以

上，那么要考虑该公司的

业务中是否有需要事先备

案的行业。如果没有，那么无需事先备案。如果收购的股份达到 10%以上，那么

需要事后报告，如果未达到 10%，则无需事后报告。如果该公司业务中有需要事

先备案的行业，那么要考虑能否遵守豁免标准。如果不能遵守，则要事先备案，

且在交易完成后要提交执行报告。如果能够遵守，那么无需事先备案。如果该

外国投资者属于外国金融机构，那么只要遵守豁免标准，则无需事先备案。如

果该外国金融机构收购的股份达到 10%以上，则需要进行事后报告，否则，无需

事后报告。如果该外国投资者不是外国金融机构，那么要考虑其投资的是否是

核心产业，如果不是核心产业，那么无需事先备案，但需要进行事后报告。如

果属于核心产业，那么需要考虑能否遵守附加条件。不能遵守，则要进行事先

备案，且在交易完成后要提交执行报告。如果能够遵守，但收购股份的比例达

到10%以上的，则需要进行事先备案，且在交易完成后提交执行报告。未达到10%

的，则无需事先备案，只要进行事后报告。

如果投资的是非上市公司，那么首先要考虑该公司业务中是否有指定行业。

如果不含有指定行业，则无需事先备案。如果收购的股份比例也未达到 10%，那

么也无需事后报告。如果收购的股份的比例达到 10%以上，则需要进行事后报告。

如果该公司业务中含有指定行业，则要考虑其是否含有核心产业。如果含有核

国际法讯 | 第 6 期

54

心产业，则需要进行事先备案，且在交易完成后提交执行报告。如果不含有核

心产业，且能够遵守豁免标准，则无需事先备案，但要进行事后报告。如果不

能遵守豁免标准，则要进行事先备案，且在交易完成后提交执行报告。

此外，即使是对内直接投资，也有既不要事先备案也不要事后报告的情况。

比如：通过继承、遗赠、无偿配股、通过附收购条款的股份的收购事由发生取

得股份等；通过持有非上市公司股份或股权的法人的合并，合并后存续的法人

或新设的法人取得该股份或股权或与该股份或股权相关的表决权等。

以上是对日本外商投资管理制度一般规定的介绍，除此之外，日本还制定

有七个个别法（《采矿法》、《关于日本电信电话株式会社等的法律》、《广

播法》、《放送法》、《船舶法》、《航空法》、《货物运输业法》）对特殊

行业的外资准入进行了限制。如：《采矿法》规定外国人不能成为采矿权持有

人；《关于日本电信电话株式会社等的法律》规定，外国人等直接持有的表决

权比例和其通过国内法人间接持有的表决权比例之和达到 1/3 以上的，不得变

更股东名册中的名义等。

参考文献：

1. 日本财务省国际局调查课投资企划审查室 2022 年 6 月《关于对内直接投资等的

事先备案数量等（令和 3 年度/2021 年度版）》

（https://www.mof.go.jp/policy/international_policy/gaitame_kawase/press_release/20

220610.pdf）

2. 日本财务省 2020 年 12 月 25 日《开始实施基于外汇法的对内直接投资等的事先

申报相关手续的电子化》

（https://www.mof.go.jp/policy/international_policy/gaitame_kawase/gaitame/recent_r

evised/gaitamehou_20201225.html）

3. 株式会社大和综研 2015 年 8 月 10 日《日本资本市场对外开放的经验》

（https://www.dir.co.jp/report/research/capital-mkt/securities/20150810_010004.pdf）

国际法讯 | 第 6 期

55

GDPR 执法案例研究

陈丽梅 上海申浩律师事务所

陈丽梅

上海申浩律师事务所律师，福州大学硕士，英语专业

八级，具有外销员资格证书（1998 年），目前系上海市律

师协会国际法业务研究委员会委员，为多家跨国公司及外

资企业提供法律服务，主要执业领域为涉外法律服务及民

商事诉讼。

GDPR（General Data Protection Regulation，通用数据保护条例）于 2018 年

5 月 25 日正式生效。该法案的正式实施取代了欧盟曾在 1995 年推出的欧盟《数

据保护指令》（Data Protection Directive），且在个人隐私方面迈出了一大步。

它旨在保护欧盟公民的个人数据，并对企业的数据处理提出严格要求。GDPR

的全面实施，意味着欧盟对于个人信息的保护及监管达到了前所未有的高度，

GDPR 堪称史上最严格的数据保护法案。自 GDPR 实施以来，据统计，截止目

前罚款超过 100 万欧元的执法案件达 70 个1。该 70 个案例的罚款金额总计

2,077,668,635 欧元。

本文通过对 GDPR 实施以来罚款超过 100 万欧元的 70 个执法案例进行研究

分析，总结 GDPR 执法案例中出现的执法依据及相关法条，结合相关案例分析

数据处理中常见的问题，并对企业的数据合规提出建议。

一、从 GDPR 执法案例执法依据和执法力度国别性差异两个维度进行分析

1 数据来源于 GDPR Enforcement Tracker https://www.enforcementtracker.com/

国际法讯 | 第 6 期

56

0 5 10 15 20 25 30 35

Insufficient fulfilment of data subjects

rights未满足数据主体权利的实现

Insufficient fulfilment of information

obligations未履行充分性告知义务

Insufficient legal basis for data processing缺

乏数据处理合法性基础

Insufficient technical and organisational

measures to ensure information security缺乏保

障信息安全的技术和组织措施

Non-compliance with general data processing

principles违反数据处理基本原则

图1 GDPR执法案例处罚依据数量比分布图

43,650,000

234,100,000

472,922,034

91,005,000

1,235,991,601

- 500,000,000 1,000,000,000 1,500,000,000

Insufficient fulfilment of data subjects

rights未满足数据主体权利的实现

Insufficient fulfilment of information

obligations未履行充分性告知义务

Insufficient legal basis for data

processing缺乏数据处理合法性基础

Insufficient technical and organisational

measures to ensure information security缺

乏保障信息安全的技术和组织措施

Non-compliance with general data

processing principles违反数据处理基本原则

图2 GDPR执法案例处罚依据金额分布图

Fine(euro)罚金

国际法讯 | 第 6 期

57

从图 1、图 2、图 3 对 GDPR 实施以来罚金超过 100 万欧元的 70 个执法案

件的处罚依据进行分析，发现违反数据处理基本原则、缺乏数据处理合法性基

础、未履行充分告知性义务、缺乏保障信息安全技术和组织措施、未满足数据

主体权利是监管机构处罚的重灾区2，监管机构引用的高频执法条款按照由高到

低的顺序排列主要是 GDPR 第 5、6、32、13、12、14、25、21、9、24、35、

15、17、28 条；根据 GDPR 的结构设置结合案例将前述条款归结到所对应的处

罚依据3：

序号 高频度依据条款 所对应的处罚依据

1 Art. 5 GDPR 违反数据处理基本原则

2 Art. 6, 9 GDPR 缺乏数据处理合法性基础

3 Art. 32, 25, 24, 35, 28 GDPR 缺乏保障信息安全的技术和组织措施

4 Art. 13, 12, 14 GDPR 未履行充分告知性义务

2 划分依据来源于 GDPR Enforcement Tracker 执法案例中的（处罚）类型，因每个案例中的事件存在

多方面的违法情况，故处罚引用的条款很多，有些已超出了处罚的类型范围，该处罚类型只是监管机构依

据处罚的核心条款划定的。未满足数据主体权利的实现和未履行充分性告知义务的处罚依据，在法律体系

上并不是割裂的，而是一体两面，前者更侧重数据主体的权利，后者更侧重为实现数据主体的权利数据控

制者应履行的义务。

3 该归类更加偏重于 GDPR 结构设置，因每个案例中的事件存在多方面的违法情况，处罚引用的条款

很多，有些已超出了处罚的类型范围，若仅按照监管机构给出的案件的处罚类型所引用的条款划分，不是

很科学，且会产生误导。

2%

11%

23%

4%

59%

图3 GDPR执法案例处罚依据金额占比分布图

未满足数据主体权利的实现 未履行充分性告知义务

缺乏数据处理合法性基础 缺乏保障信息安全的技术和组织措施

违反数据处理基本原则

国际法讯 | 第 6 期

58

序号 高频度依据条款 所对应的处罚依据

5 Art. 21, 15, 17 GDPR 未满足数据主体权利

监管机构的执法重点包括 GDPR 第 5 条中的数据处理的基本原则、第 6 条

数据处理的合法性基础。其中，违反数据处理基本原则的执法力度最为显著。

在笔者统计的 70 个案例中，违反数据处理基本原则的案件罚款金额高达

1,235,991,601 欧元，占比 59%，数量 15 个。另外，缺乏数据处理合法性基础的

案件罚款金额高达 472,922,034 欧元，占比 23%，数量 30 个，未履行充分告知

性义务的案件罚款金额达 234,100,000 欧元，占比 11%，数量 5 个，缺乏保障信

息安全技术和组织措施及未满足数据主体权利的案件占比 6%，数量 20 个。因

每个处罚案例虽然只有一个处罚依据，但通常会引用多个 GDPR 条款，故有必

要从 GDPR 具体条款在这 70 个执法案例中的引用频率的维度进行分析，发现排

名前 8 位的条款占比近 70%，包括 Art.5（Principles relating to processing of

personal data ） , Art.6 （ Lawfulness of processing ） , Art.32 （ Security of

processing）, Art.13（Information to be provided where personal data are collected

from the data subject ） , Art.12（ Transparent information, communication and

modalities for the exercise of the rights of the data subject）, Art.14（Information to

be provided where personal data have not been obtained from the data subject）,

Art.25（Data protection by design and by default）, Art.21（Right to object）。（详

情请参考图 4

4）

4 罚款金额超过 100 万欧元的执法案例引用条款共计 28 条，图中所显示的条款为 14 条，引用次数占

比 86.9%；除了图中所显示的 14 个条款外，还有另外 14 个条款按引用次数排列依次为 Art. 7，Art. 30，

Art. 22，Art. 33，Art. 82，Art. 16，Art. 26，Art. 27，Art. 29，Art. 31，Art. 37，Art. 10，Art. 34，Art. 48，

占比 13.1%。

国际法讯 | 第 6 期

59

欧洲国家处罚力度排名前五位的分别是卢森堡（7.48 亿欧元）、爱尔兰

（6.47 亿欧元）、法国（2.865 亿欧元）、意大利（1.276 亿欧元）、德国

（6029.87 万欧元）。卢森堡 7.48 亿欧元的罚款均来自亚马逊，其中 2021 年 7

月 16 日对 Amazon Europe Core S.à.r.l.的罚款高达 7.46 亿欧元，成为截止目前史

上最高罚单，目前事件仍在上诉中；爱尔兰的罚款 6.47 亿欧元，其中 2022 年 9

月 5 日对 Meta Platforms, Inc（Facebook 的母公司）的罚款高达 4.05 亿欧元，成

为截止目前史上第二高的罚高，2021/9/21对 WhatsApp Ireland Ltd.（Facebook的

子公司）的罚款高达 2.25 亿欧元，成为截止目前史上第三高的罚单；法国的罚

款 2.865 亿欧元，其中对 Google 的罚款达 2 亿欧元；意大利的罚款 1.276 亿欧

元，其中来自 TIM (telecommunications operator)的罚款达 2780 万欧元；德国的

罚款达 6029.87 万欧元，其中来自 H&M Hennes & Mauritz Online Shop A.B. & Co.

KG 的罚款达 3525.87 万欧元。从这 70 个案例所处的行业来看，受 GDPR 处罚

21%

18%

10% 10%

6%

5%

5%

5%

4%

4%

4%

3% 3% 2%

图4 GDPR执法案例相关条款的引用频率占比

Art. 5 Art. 6 Art. 32 Art. 13 Art. 12 Art. 14 Art. 25

Art. 21 Art. 9 Art. 24 Art. 35 Art. 15 Art. 17 Art. 28

4270万260万130万

2.865亿

6029.87万

2920万

6.47亿

1.276亿

7.48亿

630万100万125万

4461万1333.1万645万

5948.1万

-

100,000,000

200,000,000

300,000,000

400,000,000

500,000,000

600,000,000

700,000,000

800,000,000

图5 欧洲国家GDPR执法案例处罚力度对比图

国际法讯 | 第 6 期

60

严重的行业主要集中在科技巨头的互联网行业，如 Amazon, Facebook, Google 以

及其他掌握了大量个人信息数据的行业如电信、航空、酒店、银行、邮政、票

务、零售、汽车等。

二、结合执法案例，介绍 GDPR 处罚案例高频引用的罚款依据及相关条款

（一）数据处理的基本原则（Art5. GDPR Principles relating to processing

of personal data）

截止目前，在 GDPR 执法案例中，处罚金额最高的 Amazon Europe Core

S.à.r.l.和第二高的 Meta Platforms, Inc.均因违反该原则而被处罚。

1. 数据处理的基本原则

包括合法、公正、透明原则(lawfulness, fairness and transparency)、目的限

定原则(purpose limitation)、数据最小化原则(data minimisation)、准确性原则

(accuracy)、存储限制原则（storage limitation）、完整性、机密性原则(integrity

and confidentiality)、问责制原则(accountability)。

企业处理数据的合法性基础主要来源于数据主体的“同意”。同意需要符

合自愿的原则，且数据主体有权随时自由地撤回自己的同意。征求同意的请求

应以可以理解，易于访问的形式做出，且需要符合明确、具体的要求。GDPR

给出如下解释，If the data subject’s consent is given in the context of a written

declaration which also concerns other matters, the request for consent shall be

presented in a manner which is clearly distinguishable from the other matters, in an

intelligible and easily accessible form, using clear and plain language. 除了数据主体

的同意，GDPR 还列出了其他一些数据处理的合法性基础，如（在数据主体是

合同一方时）为了履行合同的需要，或者为了公共利益的需要等。公正、透明

原则要求对个人数据的收集、使用、处理以及处理的程度、处理的目的、数据

控制者的身份等必须为数据主体知悉。

目的限定原则要求收集个人数据的目的应具体、明确、合法，且数据处理

不能与该目的相违背，GDPR 解释说“the specific purposes for which personal

data are processed should be explicit and legitimate and determined at the time of the

国际法讯 | 第 6 期

61

collection of the personal data.”数据最小化原则要求企业处理个人数据应当与目

的相符，收集、处理的个人信息应当是充分的、相关的，且与处理目的相关。

存储限制原则是数据最小化原则的应有之义。储存限制原则要求对个人数据的

存储期限不能长于完成处理目的，企业应建立数据删除的期限或定期对数据进

行审查。

数据准确性原则要求企业对其处理的数据保持适时地更新，并采取一切合

理的措施确保错误数据被及时清除或更正。完整性、机密性原则要求数据处理

应当以确保个人数据的适当安全性的方式进行，包括采取适当的技术和组织措

施以保护数据免遭未经授权或非法处理以及意外的丢失、销毁或破坏。问责制

原则是指企业应对履行 GDPR 的规定负责，且能证明其已经履行了前述规定的

原则。

2. GDPR 最高罚单：Amazon Europe Core S.à.r.l.案

从目前可以获得的信息来看，Amazon 案件的起因是 2018 年 5 月 10,000 名

个人通过一个法国隐私权保护组织 La Quadrature du Net 对亚马逊进行投诉，监

管机构对亚马逊如何对其顾客的个人信息进行处理展开调查后发现亚马逊的广

国际法讯 | 第 6 期

62

告定位系统没有获得顾客的同意而存在侵权，故对其处以 7.46 亿欧元的罚金。

There are certain requirements for compliant consent that need to be met in order to

stay in line with the GDPR, like using clear, plain language and explaining how data

is going to be used, why and by whom. 该处罚案例的细节因 Amazon 在上诉中，故

根据当地的法律，该案件处于保密阶段，直至上诉期结束。Amazon 强烈反对这

一处罚决定，理由是自己不存在数据泄露，而且也未把顾客信息披露给第三方。

有评论认为，Amazon 提出的理由，不会非常奏效。“GDPR focuses not only on

data security but also on the data privacy aspects– how companies use personal data,

if the company is transparent, and if the processing is lawful. So whether a data breach

occurred or not, may not be crucial in this case.”

根据 GDPR 关于数据处理基本原则的规定，Amazon 要想证明自己没有违反

该原则，难度非常大。Amazon 在回应该事件时只提到了自己没有泄露数据，也

没有披露给第三人，但没有正面回应是否获得顾客的同意，根据前述所介绍的

数据处理的的基本原则要求，数据的收集及处理必须征得数据主体的同意，而

且对个人数据的收集、使用、处理以及处理的程度、处理的目的、数据控制者

的身份等必须透明，是否有数据泄露等并不是判定自己没有违反该原则的依据。

3. 爱尔兰目前最高罚单：Meta 案

今年 9 月 5 日爱尔兰对 Meta Platforms, Inc（ Facebook 的母公司） 的罚款高

达 4.05 亿欧元，成为截止目前 GDPR 第二高的罚单。监管机构给出的原因是

Meta 违反了数据处理的基本原则，尤其是关于未成年人隐私保护的规定。据路

透社，Meta 允许 13-17 岁的未成年用户在 Instagram 上创建自己的商业帐户，这

意味着他们的邮件地址、电话号码会在应用程序中公开显示。The inquiry

examined, in particular, the public disclosure of email addresses and/or phone numbers

of children using the Instagram business account feature and a public-by-default

setting for personal Instagram accounts of children. 该案件最终经过 Concerned

Supervisory Authorities ( “ CSAs ” ) 及 the European Data Protection Board

(“EDPB”)审议决议确定了最终的罚款金额 4.25 亿。除了罚款之外，数据保护

委员会（“DPC”）还给予训诫及指令并要求 Meta 采取改正措施，规范数据处

理行为。“In addition to these administrative fines, the DPC has also imposed a

reprimand and an order requiring Meta Platforms Ireland Limited to bring its

国际法讯 | 第 6 期

63

processing into compliance by taking a range of specified remedial actions.”这个案

件从侧面反映出欧盟打击未成年人隐私泄露的决心和力度。

DPC 给出惩罚的理由时，除了引用了数据处理基本原则，如第 5(1)(a)条

（合法、公正、透明原则）第 5(1)(c)条（数据最小化原则），还引用了其他条

款第 6(1)条（同意），第 8(1)条（未成年人同意的有效方式），第 12（1）条

（透明原则的细化），第 13 条（收集数据时，应充分告知数据主体的信息），

第 24 条（数据控制者的责任：采取组织和技术措施保证并能证明其已符合

GDPR 的规定），第 25 条（设计和默认的数据保护）和第 35 条（数据保护影响

评估）。其他条款实质也是数据处理原则进一步的细化。

（二）数据处理的合法性基础

在 GDPR 执法案例中， Google 2019 年 1 月 21 日因违反该原则被法国处罚

了5000万欧元，2021年12月21日因违反该原则再次被法国处罚了1.5亿欧元；

意大利于 2020 年 1 月 15 日因 TIM (telecommunications operator) 违反该原则，处

罚 2780 万欧元。

1. 数据处理的合法性

数据处理合法性基础引用的主要条文是 Art. 6 GDPR Lawfulness of processing，

对企业而言，最主要的是数据处理应获得数据主体的有效同意；除了上文关于

数据处理的合法性原则提到的要点之外，尤其注意的是在考察用户是否自由作

出同意时，应该尤为注意企业是否设置了不合理的条件，如以不必要的个人数

据处理活动作为履行合同必要条件的情形。换言之，如果企业会要求用户同意

其采集一些和服务没有关系的非必要数据，或把必要数据用于其他目的，而用

户不同意就拒绝提供服务，就构成了未取得数据主体的有效同意而非法处理数

据的情形。

另外，GDPR 在第 8 条项下明确规定，对于 16 周岁以下的未成年人的个人

数据进行处理的合法基础在于未成年人的监护人做出有效同意。GDPR 中还存

在部分个人数据处理场景需要企业获得用户明确同意，例如处理第 9 条项下的

特殊种类个人数据，包括涉及种族或民族、政治观念、宗教或哲学信仰或工会

国际法讯 | 第 6 期

64

成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和

人的健康数据等，GDPR 明确规定禁止企业对这类数据进行处理，除非获得明

确同意；处理第 22 条项下对自动决策结果的适用（The data subject shall have the

right not to be subject to a decision based solely on automated processing, including

profiling, which produces legal effects concerning him or her or similarly significantly

affects him or her except that the decision is based on the data subject’s explicit

consent），以及第 49 条项下（缺乏充分性保护决定与适当保护措施）的跨境数

据传输等需要明确同意。

该条文经常和第 5 条项下数据处理基本原则及关于数据主体权利的条文一

起被引用。关于合法性原则上文已提到，数据主体的权利会在下文中单独提出，

此处不再赘述。

2. TIM (telecommunications operator)商业营销违反欧洲 GDPR

TIM 被处罚的原因在于不合法的数据处理、不合规的激进营销策略，未取

得数据主体的有效同意以及过长的数据储存期限。The fine was issued for

violation of the GDPR, with emphasis on unlawful data processing, non-compliant

aggressive marketing strategy, invalid collection of consents and excessive data

retention period. 监管机构最终认定 TIM 违反了第 5 条数据处理的基本原则

（Principles relating to processing of personal data），第 6 条数据处理的合法性

（Lawfulness of processing），第 17 条删除权（Right to erasure），第 21 条拒绝

权（Right to object），第 32 条数据处理安全（Security of processing）。

TIM 公司进行商业营销，未经数据主体的同意，且对于已经登记谢绝营销

的个人或者拒绝营销的个人还进行商业营销“promotional calls without proper

consent or despite registration of the contacted individuals in the public do not call

registry, and even after they exercised the right to object.”TIM 以纸质形式收集同

意时，用一个单一的选择性加入锁定多个目的，故数据主体的同意是无法辨识

且不明确，这违反了 GDPR 合法性原则中关于同意应以明确、可辨识的方式做

出的规定，“The company collected consents in paper forms with a single opt-in for

multiple purposes. Therefore, making consents indistinguishable and unspecific.”TIM

apps 及其营销项目收集信息时以同意作为获得该软件服务的前提条件，故为了

国际法讯 | 第 6 期

65

进入该程序并获得相应的使用权，客户不得不同意其营销目的，违反了 GDPR

关于同意应自由做出的规定。“There were also issue with the data collected

through TIM apps and promotional programs, like “TIM Party” that conditioned

consent for service. Therefore, to access the program and related benefits, customers

had to express consent to promotional purposes.”

未满足 GDPR 关于数据主体的权利要求，尤其是数据主体的访问权、拒绝

权。“Further complaints pointed to a failure to respond to the data subjects’

requests with regard to their GDPR rights, in particular regarding access to their data

and objection to the processing for promotional purposes.”

未正确管理数据主体的同意清单。“TIM failed to properly manage lists of

data subjects who wanted to be excluded from commercial campaigns.”

过长的数据储存期限，TIM 储存数据的期限超过了法律允许的最长期限十

年。“TIM stored data relating to customers of other Operators (to whom TIM

provided network and infrastructure service), in their CRM system, for a time exceeding

the limits required by law (10 years).”

3. Google 和 H&M

Google 2021 年被法国罚款 1.5 亿欧元，主要原因在于谷歌的系统所设置的

cookie 按钮接受很容易，拒绝却很复杂，这影响了网络用户是否做出同意表示

的自由，“The restricted committee, the CNIL body in charge of issuing sanctions,

judged that making the refusal mechanism more complex actually discourages users

from refusing cookies and encourages them to opt for the ease of the \"I accept\" button.”

德国 GDPR执法案例最高罚金是 2020年 10月 1日对 H&M Hennes & Mauritz

Online Shop A.B. & Co. KG 实施的 3526 万欧元罚款，该案是因 H&M 对员工信

息的不合法的监控引起的，即未经数据主体的同意而实施了个人数据的监控。

德国 GDPR 处罚金额一般比较保守，最大的罚单来自劳工领域，足以看出德国

对劳动者权利的保护。“Supervisors at the service centre had a practice of

collecting detailed private information from employees returning from holidays or sick

leave - even short absences - through \"welcome back talks\". “The information collected

was often highly personal, such as details of employees' holiday experiences and

国际法讯 | 第 6 期

66

sometimes included special category personal data such as symptoms of illnesses and

diagnoses.”最终，H&M 对受影响的员工给予了赔偿并道歉，并提出了一个综

合的数据保护方案，包括指定一位新的数据保护协调官，发布月度数据保护状

态更新，以及对吹哨人的保护等。

（三）企业应履行充分告知性义务

1. 充分告知性义务

该义务主要规定在 GDPR第 13条和 14条项下（两个条款的内容基本一致），

是指企业在收集数据之前应该向数据主体提供如下信息：控制者的身份与详细

联系方式， 数据保护官的详细联系方式，数据处理的目的，数据处理的合法基

础，数据的类型，数据的接收者，数据将被储存的期限或用来确定此期限的标

准，数据主体存的权利包括数据主体对数据的访问权、更正或删除权，或者限

制或拒绝权，数据可携权，可随时撤销同意的权利，向监管机构进行申诉的权

利，个人数据的来源。前述信息应当在合理时间内提供，如需要在进一步处理

数据之前，前向数据主体提供此类目的的信息，若需要将数据披露给第三方，

需要在披露之前向数据主体提供；但最晚在一个月以内提供。对于数据主体已

经拥有的信息，不需要再次提供。

GDPR 第 12 条明确规定对于与个人信息处理相关的第 13 条和第 14 条规定

的所有信息、或者对第 15 条至 22 条以及 34 条（数据泄露可能会给数据主体带

来风险时应即刻告知数据主体）所规定的交流，数据控制者应当以一种简洁、

透明、易懂和容易获取的形式，以清晰和平白的语言向数据主体提供；对于数

据主体是儿童的所有信息，尤其应当如此。

2. WhatsApp 违反信息披露透明的规定

WhatsApp 因未履行充分性告知义务，于 2021 年 9 月 2 日被爱尔兰罚款 2.25

亿欧元，DPC 调查主要围绕 WhatsApp 是否履行了其数据披露透明义务，尤其

是关于 WhatsApp 与其他 Facebook 公司分享和处理其收集的个人数据的透明度

（Facebook 在 2014 年收购了 WhatsApp）。DPC 确认 WhatsApp 对其服务的用

户和非用户都违反了 GDPR 第 12-14 条即未向数据主体明确、公开和透明地披

国际法讯 | 第 6 期

67

露其个人数据将被如何处理，例如 DPC 发现 WhatsApp 并未对其每一个数据处

理活动提供合法的基础，违反了 GDPR 第 13(1)(c)条。

关于罚金的计算，欧洲数据保护委员会 EDPB 决定 WhatsApp 的母公司

Facebook的收入与 WhatsApp的收入应合并计算，因为两家公司都是统一经营。

且根据欧盟法院 CJEU 的判例法，当母公司和子公司进行统一经营，该经营行

为因子公司触犯了法律而应承担责任时，该母子公司的总收入构成了所争议的

经营的财务能力。根据 GDPR 83 条第 5 款的规定，违反数据披露透明度应施加

最高 2000 万欧元或前一年度全球总营业额 4%两者取其高的一项进行罚款。

最后，EDPB 考虑到透明度原则的重要性，要求 WhatsApp 在三个月内采取

多项行动，以提高其数据披露的透明度，并完成相关整改。WhatsApp 必须对其

用户和非用户更新其隐私公告，该公告应涵盖 GDPR 第 13 条和第 14 条规定的

内容，包括用户如何对其处理活动向监管机构进行申诉的权利。

（四）企业应满足数据主体权利的实现

1. 数据主体的权利

GDPR 第 15 条-23 条规定了数据主体的权利，包括第 15 条数据主体的访问

权（Right of access by the data subject），第 16 条更正权（Right to rectification），

第 17 条删除权（Right to erasure to be forgotten），第 18 条限制处理权（Right to

restriction of processing），第 19 条便携权（Right to data portability），第 21 条

数据主体的拒绝权（Right to object）。

数据主体的访问权，是指数据主体有权从数据控制获得的信息，包括：数

据处理的目的，数据的类型，数据接收者或接收者的类型，个人数据将被储存

的预期期限，数据主体享有的更正权、删除权、限制处理权的存在，向监管机

构进行申诉的权利，数据来源的任何信息（当要处理的数据不是从数据主体直

接收集的），关于数据转移的保障措施，自动化的决策的存在及其处理的逻辑

及对于数据主体的预期后果和影响；

更正权：当数据主体要求更正错误个人数据时，企业应当及时响应数据主

体行权要求，及时更正与其有关的错误数据。删除权：当数据主体撤回同意或

国际法讯 | 第 6 期

68

当个人数据处理已不必要情况下，数据主体提出删除其个人数据的请求时，企

业应及时采取删除措施，清除与其相关的个人数据。拒绝权：为营销目的处理

个人数据的，应当征得数据主体同意。当数据主体明确拒绝为广告营销目的处

理其个人数据，企业不得向其推送广告。

限制处理权：当数据主体对个人数据的准确性提出质疑、数据处理违法情

况下数据主体要求限制数据使用或数据主体行使拒绝权的情况下，数据主体有

权限制企业的数据处理行为。数据可携权：当数据处理是基于数据主体同意或

合同约定合法性基础，或数据通过自动化方式进行处理的情况下，提供个人数

据的数据主体有权向企业要求提供结构化、通用化和可机读的与其有关的个人

数据。

2. Clearview Al Inc.收集数百亿人的图像，违反欧盟 GDPR

Clearview Al Inc.今年因其违反 GDPR 先后被意大利、英国、希腊、法国施

加了罚款，总金额达 6900 万欧元，虽然监管机构所给出的处罚类型稍有不同如

法国以未满足数据主体的权利进行罚款，其他三个国家则以违反数据处理的基

本原则，但所依据的核心条款之一都包括了数据主体的权利。

以法国监管机构 CNIL 给出的处罚理由为例：CLEARVIEW AI 从各网站包

括社交媒体收集大量照片及视频，数量达数百亿。该公司建立了自己的图像数

据库，并提供搜索引擎进行个性化搜索和匹配。CLEARVIEW AI 把这项服务提

供给执法当局用以识别罪犯或受害者，并还为此建立了以人的物理特性（主要

是人脸）的模版，这些生物学的数据都是非常的敏感数据，属于 GDPR 第 9 条

项下的特殊种类的数据，处理该类数据必需征得数据主体的明确同意。但是，

CLEARVIEW AI 数据库里的图像的数据主体并不知道自己的图像被收集并被在

其软件上使用，这些图像的数据主体无法合理的预知自己的图像会被一个公司

加工并应用于人脸识别系统，实施执法目的。故 CNIL 以 CLEARVIEW AI 违反

GDPR 第 6 条项下数据处理必需有合法的基础（包括明确的同意、合法的利益

等）及违反了 GDPR 第 12 条、15 条、17 条项下的规定，未以有效的令人满意

的方式保证数据主体的权利尤其是访问权，而对其进行处罚。CLEARVIEW AI

限制数据主体行使访问权，限制访问的对象为提出申请前 12 个内收集的数据，

并且无任何合法依据的将权利的行使限定为一年两次，且仅在从同一人收到大

国际法讯 | 第 6 期

69

量请求时才回应部分请求，而且对数据主体要求删除的回应非常的低效。在

CNIL 调查时， CLEARVIEW AI 配合度低，其仅回复了小部分调查表，且未对

CNIL 发布的正式的通知给予任何回复，而根据 GDPR 第 31 条的规定，数据控

制者应该对监管机构关于其数据处理的询问予以配合。故，鉴于 CLEARVIEW

AI 违反了 GDPR 第 6 条、12 条、15 条、17 条及 31 条的规定，对其施加罚款

2000 万欧元。

（五）缺乏保障信息安全的技术和组织措施

1. 保障信息安全的技术和组织措施

数据控制者应采取保障信息安全的技术和组织措施的规定主要体现在

GDPR 第 32 条数据处理的安全性（Security of processing）、第 24 条数据控制者

的责任（Responsibility of controller）、第 25 条设计的和默认的数据保护（Data

protection by design and by default）、第 28 条数据处理者（Processor）。

数据控制者应采取保障信息安全的技术和组织措施，主要包括：个人数据

的匿名化和加密；确保处理系统与服务的保密性、公正性、有效性性以及重新

恢复的能力；在发生物理的或技术的故障时，能及时恢复对数据的获取与访问；

建立定期测试、评估与评价技术性与组织措施有效性的流程，以保证数据处理

安全；在默认情况下，只有为特定处理目的所必要的个人数据被处理；在评估

安全性时，应考虑处理所带来的风险，特别是在个人数据传输、储存或处理过

程中可能发生的意外或非法破坏、丢失、篡改、未经授权的披露或访问所带来

的风险。企业可以设立行为准则或进行认证，证明自己已经履行了法定的义务。

2. Marriott International, Inc 数据泄露案

2018 年 11 月，万豪国际集团公开披露其旗下喜达屋酒店客房预订系统数据

泄露事件。该事件导致 3.39 亿酒店客户信息（包括姓名、邮件地址、电话号码、

护照号码、行程信息等）被黑客窃取，涉及到 3000 万来自 31 个欧洲经济区

（EEA）国家的居民，其中包括 700 万英国居民。万豪国际在 2016 年 9 月收购

喜达屋酒店。据英国监管机构 ICO 调查，喜达屋酒店客房预订系统因黑客攻击

导致的数据漏洞自 2014 年 7 月起便存在，直到 2018 年才发现此漏洞。

国际法讯 | 第 6 期

70

ICO 认为万豪国际在处理数据时，未采取确保个人数据安全的基数和组织

措施，以防范对数据进行未经授权、非法的处理及意外的损失、破坏、损害等，

故违反了 GDPR 第 15(1)(f)条及第 32 条的安全保障义务。ICO 依据 GDPR 第

5(1)(f)条、第 5(2)条、第 24条、第 28条、第 29条、第 32条、第 83条，于 2020

年 10 月 30 日对万豪国际集团做出了 2.045 亿欧元的罚款。

最后，再聊一下本案的管辖，万豪国际是一国际连锁酒店，业务总部在美

国。万豪国际证实根据 GDPR 第 4(16)条，万豪酒店是在欧盟成立的万豪的主要

机构，故该案件应适用 GDPR 的规定，根据 GDPR 第 3(1)条的规定 This

Regulation applies to the processing of personal data in the context of the activities of

an establishment of a controller or a processor in the Union, regardless of whether the

processing takes place in the Union or not，万豪国际的数据泄露案应适用 GDPR。

又，该事件涉及到 3000万来自 31个欧洲经济区（EEA）国家的居民，其中包括

700万英国居民，故该案件从所泄露的数据主体是欧洲经济区的居民及举重以明

轻的原则，也应适用根据 GDPR 的规定，依据是第 3（2）条“This Regulation

applies to the processing of personal data of data subjects who are in the Union by a

controller or processor not established in the Union”。

三、对企业数据合规的建议

根据 GDPR checklist，结合执法案例，笔者建议企业应建立一整套的数据合

规体系。企业应从四个维度构建数据合规体系，包括数据处理合法性的基础及

透明度、数据安全、责任和管理、隐私权。

国际法讯 | 第 6 期

71

（一）数据处理合法性的基础及透明度

企业应首先对所处理的数据做审计，以明确所处理的数据类型，以及谁对

这些数据具有访问权；对敏感类型的数据如银行账户、护照号码等进行加密，

对特殊类型的数据，需要获得数据主体的明确同意。应保证数据主体的访问权，

查看本企业谁对该数据具有访问权，是否有第三方对该数据具有访问权（位于

哪里），并确保与数据处理无关的人无权访问该数据，例如对访问数据的申请

者进行身份验证。

数据处理应有合法的基础，如是否获得数据主体的有效同意，并注意企业

在征求数据主体同意时不得设置不合理的条件，如不能要求用户同意其采集一

些和服务或处理目的没有关系的非必要数据；在获取用户的同意时，应当确保

该同意是明确而具体的，即针对不同的处理行为获取相应的同意，禁止“一揽

子”授权同意。在企业的隐私政策中提供关于数据处理及合法性基础的明确信

息。应核实数据处理的目的，仅能按照数据主体知悉并同意的处理的目的对数

据进行处理；若超过该目的，则需重新获得数据主体的同意。规划删除、审核

数据的时间节点。

（二）数据安全

任何时候都要对数据进行保护，从产品开发到每一次数据处理，都应贯彻

落实数据保护的理念；利用技术措施保护数据的安全性和机密性，如只要有可

国际法讯 | 第 6 期

72

能就要对个人数据采取加密、匿名、去名等措施；利用组织措施保护数据的安

全性和机密性，如限制所收集的数据的数量，并删除不再需要的数据；建立定

期测试、评估的流程，在系统安全方面采取更多、有效的保护措施；制定团队

内部的保护政策，养成保护数据的良好意识；知道何时应该进行数据保护影响

评估，并且制定评估决议程序及评估程序；发生数据泄露时应通知监管机构和

数据主体：根据 GDPR 第 33 条的规定，控制者在知悉后应当及时，至迟在 72

小时内，将数据泄露事件告知监管机构；根据 GDPR 第 34 条规定，若泄露会给

数据主体带来很大的风险时，应及时通知数据主体发生了数据泄露。

如在万豪数据泄露事件中，ICO 指出了数据处理中存在的主要错误：

insufficient monitoring of privileged accounts that would have detected the breach;

insufficient monitoring of databases; failure to implement measures to reduce the

vulnerability of the server (which would have restricted access to key aspects of their

databases)；另一方面，ICO 肯定万豪所采取的有利措施，(i) creating a bespoke

incident website in numerous languages, (ii) sending notification emails to data

subjects, (iii) establishing a dedicated call center, and (iv) providing web monitoring

to affected data subjects.

（三）责任和管理

指定特定的人负责 GDPR 合规事宜；如需第三方代为进行数据处理，应和

第三方签署数据处理的合同，签署的合同不应违反 GDPR 的相关条款；如果数

据控制者在欧盟之外设立，则应在欧盟内部的一个成员国指定一个代表；如需

要，则应任命数据保护官，数据保护官应被授权评估公司的数据保护政策及该

政策的实施。

（四）隐私权（数据主体的权利）

隐私权方面应做到如下：用户/客户（以下简称用户）即数据主体，很容易

发出请求并能收到公司所拥有的客户的所有数据；用户很容易更改、更新错误

的或不完整的数据；用户很容易请求删除其个人数据；用户很容易要求公司停

止处理其本人的个人数据；用户很容易收到其本人的一份个人数据，并且该数

国际法讯 | 第 6 期

73

据形式可以很容易传到另一家公司；用户很容易对公司处理其个人数据进行拒

绝；如公司决定对个人数据进行自动化处理，必须设立保护主体权利的程序。

确保能核实请求该数据的主体身份；并应该在一个月之内回应这些要求。

用户有权知道企业拥有的关于其本人的个人数据，并有权知道企业会如何

使用这些数据。用户有权知道企业计划保存这些数据的期限，并且知道保存期

限的原因。企业提供给用户的第一份数据应该免费，以后提供的数据可以收取

合理的费用。用户有权知道数据处理的目的、数据接收者或接收者的类型、向

监管机构进行申诉的权利、数据控制者及其联系方式、数据处理的合法基础等。

另外，企业须在兼并和收购背景下重视数据共享的重要性，将其视为潜在

的“优先事项”。只要标的公司的业务涉及数据，则应当把数据合规尽职调查

放到与公司其他资产尽职调查同等重要的地位，遵守 GDPR 的规定，从而避免

日后发生数据漏洞给企业带来的巨额损失。

国际法讯 | 第 6 期

74

“东风随春归，发我枝上花，诗酒趁年华。”

感谢您阅读《国际法讯》第六期，开启与我们同行的第二年。

欢迎您继续关注，发送见解、意见，与我们交流切磋。

如您有优质稿件、案例或经验分享，请不吝赐稿。

联系邮箱 intllaw_shbar@126.com。谢谢！