2022年5月16日,欧洲数据保护委员会(EDPB)通过了欧盟通用数据保护条例》(GDPR)下行政罚款计算的04/2022号指南(公众咨询版)(以下简称《公众咨询版指南》)。《公众咨询版指南》自2022年6月16日起至2022年7月27日之间征求公众意见。据EDPB公布的数据显示,期间共计收到反馈意见40条。2023年6月7日,欧洲数据保护委员会(EDPB)资讯显示,《公众咨询版指南》已通过最终版本(以下简称《指南》)。相较《公众咨询版指南》,最终通过的《指南》新增了附件内容,主要是包括一个概述方法的参考表和两个实际应用的例子。《指南》围绕“按性质对侵权行为进行分类、侵权行为的严重程度和企业的营业额”三个要素确定行政罚款的计算,协调了数据保护机构(DPA)用于计算罚款的方法。下文将从《指南》适用范围、罚款金额的计算步骤、GDPR第83条的适用、罚款金额的计算起点、处罚的加重与减轻情节、罚款金额的最高限额以及罚款的有效性、相称性与劝诫性七个方面对该《指南》简要进行解读。
1 指南的适用范围
EDPB制定《指南》的一个核心目标是统一各国监管机构行政罚款的计算,以确保GDPR的一致适用与执行。与GDPR第4条第(7)与第(8)款规定的主体范围一致,《指南》适用于所有类型的数据控制者或数据处理者,但不包括自然人个体。从行政处罚案件的地域范围上看,《指南》在欧盟范围内具有跨地域的统一适用性,无论是跨境案件还是非跨境案件,都可以依据《指南》规定的准则内内容计算确定行政罚款。此外,EDPB特别强调,《指南》规定的准则并不能作为监管机构在具体个案中作出行政处罚的理由依据。监管机构在作出具体行政处罚时,仍需从本国和欧盟法律中寻找充分依据。
2 罚款金额计算的五个具体步骤
GDPR第83条赋予监管机构特定情形下行政处罚的权力,同时第70条第1款e项也明确EDPB有义务通过实践指南、方针以及指导方针等方式促进GDPR的一致适用。正如上文提及的,协调各国监管机构对GDPR的适用是EDPB制定《指南》的主要目的。
GDPR第83条首先规定行政罚款的具体金额需符合有效性、相称性与劝诫性(dissuasiveness)。其次,第2款则具体列举了11项确定罚款金额时需要考量的因素,但对这些考量因素包含的具体范围未进一步说明。此外,GDPR第83条第4-6款还规定了不同类型行为下罚金的最高限额。具体到个案中如何确定罚款金额,如何有序实现第83条各项条款的适用,还需要参照EDPB在本次《指南》中设计的五个具体步骤,以确定行政罚款金额的计算。
第一,确定案件中的数据处理操作(“处理”指对个人数据或者数据集的收集、存储、记录、改编或者传输披露等),并评估GDPR第83(3)条的应用;
第二,进一步确定计算罚款金额的起点,主要从以下三个方面进行:
(1)评估是否属于GDPR第83条第4-6款中的分类的行为;
(2)根据GDPR第83条第2款中a、b、g项的规定,评估侵权的严重程度;
(3)根据GDPR第83条第1款的规定,将营业额作为评估确定罚款金额的考量因素。
第三,评估数据控制者/处理者过去或者当前行为所关联的加重或减轻情节。
第四,确定不同的处理操作所对应的法定最大值,在上一步或者下一步的应用中增加的罚款金额不能超过这个最大数值。
第五,分析计算出的最终罚款金额是否符合GDPR第83条第1款要求的有效性、适应性与劝诫性,并相应地增加或减少罚款金额。
行政处罚罚款金额除按照上述步骤计算外,某些情况下,监管机构还会对某些情况下的侵权行为规定一个预先确定的罚款金额。监管机构可以根据侵权行为的性质、严重程度以及行为的持续时间来确定哪些类型的侵权行为符合上述情形。如果上述情形被禁止或者与成员国的法律相冲突,那么监管机构就不能按照预先确定的固定罚款金额做出处罚决定。同时,《指南》强调,就某些侵权情形适用固定金额并不排除GDPR的适用,尤其是GDPR第83条的适用,监管机构仍应保持对合作性与一致性以义务的遵守。固定罚款金额虽然是由监管机构酌情确定,但该固定金额的确定应考虑特定成员国的社会与经济情况,并适当考虑GDPR第83条第2款a、b、g项所解释的侵权严重性,同时也应事先告知固定金额的申请情况。
3 共同侵权及GDPR第83条第3款的具体适用
数据控制者或数据处理者的数据处理行为往往是复合、连续性的。因此,事实上的数据处理行为与性质上被判定为违法的侵权行为之间不是单纯的一对一关系,可能是一对多甚至是多对一的关系。各国监管机构在具体计算行政罚款数额前,有必要辨识清楚每一行政罚款所对应的侵权行为。同时,侵权行为的样态也很复杂,多个侵权行为之间的关系可能是相互并列或者互相排斥的,而不同侵权样态下行政处罚罚款金额的计算是有区别的。结合欧盟法院的判例以及成员国对共同侵权规则的共识,共同侵权大致可分为以下三种情形:
第一,侵权竞合。主要指一种数据处理行为触发多种侵权行为,但侵权行为之间相互排斥,一种侵权行为排除/替代了另一种侵权行为的适用,此时只存在一项可制裁的行为。换言之,法律条文抽象层面出现了竞合,致使现实发生的同一行为满足多条法律条文的规定。此时一般是依据特殊性原则(Principle of specialty)、辅助性原则(Principle of subsidiarity,又称丛属原则)及消耗原则作出行政处罚决定。上述原则一般适用于多项侵权行为所追求的目标一致的情形,强调对同一合法利益的保护。
第二,统一行动。主要指多项侵权行为的同时发生,但不同侵权行为所追求的目标不同,且相互之间不是互相包含或者替代排除的关系。尽管如此,还是仅存在一项可制裁的行为。GDPR第83条第(3)款所规定的相关联的处理行为导致产生多次侵权的情形即是如此。在这种情况下,行政罚款的总额不得超过对最严重的违法行为规定的金额。
第三,多项行动。在这种情况下,存在多个数据处理行为,且每一数据处理行为单独构成一项侵权,也即存在多项可制裁的行为。对上述多项侵权应单独进行处罚,当然对每项侵权行为作出的行政处罚也需遵循《指南》所规定的最高限额规定。
其逻辑顺序为:首先,明确是一项还是多项可制裁行为。其次,如果是一项可制裁行为,是存在单独的侵权行为还是多项侵权行为。再而,如存在多项侵权行为,多项侵权行为之间是排除关系还是相互并列的关系。
上述针对共同侵权的类型分类与处理情况可总结为下图:
图1:共同侵权及GDPR第83条(3)的适用解读
根据GDPR第83条第3款规定:“如果数据控制着或处理者故意或过失地给予相同或者关联的处理操作,违反了本条例的多条规定,对其施加的行政罚款的总数不得超过最严重违法行为的特定数额。”尽管存在多个处理操作行为,但由于处理操作行为之间的关联性甚至一致性,被视为构成同一行为,也就是说此时只存在一项可制裁的行为。判断是否只存在一项可制裁行为是做出行政处罚决定的第一步,也是识别单一侵权与多项侵权的前提。根据法条的规定,“相同或者关联的处理操作”可能构成同一行为。根据GDPR第4条第2款的规定,“处理”被定义为“对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动手段,例如收集、记录、组织、建构(structuring)、存储、改编或更改、恢复、查询、使用、通过传播分发 (dissemination)方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁(destruction)的操作。“关联”则强调单一侵权行为不同部分对单一意志的执行。如时间与空间上的关联、上文与下文的关联。为了更好地说明“相同或关联的处理操作”的认定,《指南》通过示例进行了说明。
表1:相同或关联处理操作认定示例
认定构成同一行为,进行单项制裁时,还需要区分单项制裁行为背后存在者单一侵权行为还是多重侵权行为。如果仅存在单一侵权行为,则可以按照该侵权行为对应的法定最高限额计算罚款。但是如果单一处罚行为下存在多种侵权行为,则需要明确多种侵权行为之间是相互排斥还是同时适用的关系。如侵权行为之间相互排斥,以至于一项侵权行为为另一项侵权行为所排除或替代,那么监管机构的行政处罚应仅针对其中一项侵权行为作出。如侵权行为之间互不包含也互不排除,则作出行政罚款时需要将所有的侵权行为纳入考量范围,同时也需遵守法定最高限额的规定。《指南》对何为同时适用的多项侵权行为进行了举例说明。有如,数据控制者无具体法律依据情况下,在同一天分不同批次向不同的数据主体发送了大量营销性电子邮件。此时,数据控制者相当于在多次行动中多次违反追求相同目标的同一条款,尽管法律利益的维护具有相同的考量,罚款金额的确定也应该将所有的侵权行为考虑在内,在法定最高限额下做出罚款金额的做种决定。
除了上述情形以外,可以认定存在多项可制裁行为。多项可制裁行为并非GDPR第83条第3款中规定的相同或者关联的处理操作。多项可制裁行为表明数据处理者或者控制者违反了多项法律规定,因此需要依据其违反的不同法律规定分别单独进行罚款的计算。此时,因无需适用GDPR第83条第3款的规定,行政处罚的罚款总金额可能会超过最严重侵权情形对应的罚款金额。
4 罚款金额计算起点的确定
罚款金额计算起点的确定能够协调罚款计算的层级定位,使最终计算出来的罚款金额更加协调统一。根据《指南》的规定,确定罚款金额计算起点时,主要依据GDPR第83条4-6款侵权行为的分类、第2款侵权行为严重性判断的考量因素以及营业额确定。通过对侵权行为的前期定位,以准确、迅速找到侵权行为对应的罚款依据,明确罚款层级。
(一)GDPR第83条4-6款下的侵权行为分类
GDPR第83条第4款至第6款对数据处理者/控制者不同义务违反下的侵权行为进行了分类,一共分为两大类:一类是第4款规定的违反GDPR第4、41、42、43等规定时的侵权行为,对此最高可以处1000万欧元或者企业年营业额2%的罚款;另一类通过第5与第6款进行了归档,罚款金额最高可达2000万欧元或者企业年营业额4%的罚款,最终罚款金额以较高者为准。
(二)对个案中侵权行为严重性的判断
GDPR第83条第2款具体列举了11项决定是否予以行政处罚以及罚款数额确定时应考量的因素。《指南》以该条款的内容为基础,从侵权的性质、严重性和持续时间、侵权的故意或者过失、受侵权行为影响的个人数据种类三个方面为侵权行为严重性的判断提供了参考标准。
第一是侵权的性质、严重性和持续时间。对侵权性质的分析需要结合具体的案件情况进行,可以审查侵权行为对应条款背后寻求保护的利益,分析该条款在数据保护框架中的位置。另外,监管机构还可以思考侵权行为在何种程度上阻碍了该条款的有效适用或者对目标实现的影响。侵权行为的严重程度主要通过数据处理行为的性质、所涉范围、处理目的,以及受影响的数据主体数量和遭受的损害程度进行衡量。首先,不同数据处理行为的功能实现及背后的风险隐藏各有差异,数据处理行为的性质与行为背后的风险性、数据主体的角色有关,当数据主体为员工学生或者是易受攻击的儿童群体时,该数据处理行为的性质认定就会因为特殊数据主体的存在而被特殊认定,监管机构考量时的权重占比也会更大。其次,数据处理的范围从小到大依次涉及有本地范围、国家范围或跨境范围,数据处理涉及的范围指向处理者或控制者掌握资源的实际范围,处理范围越大,监管机构考量时对这一因素的重视程度越高。再次,数据处理目的可能关涉数据处理的核心活动,此时数据处理目的关涉的核心活动越多,此项数据处理行为的违规性越强。再而,处理行为涉及的数据主体数量是比较直观的数据。数据主体数量越多,监管机构评定是否给予处罚以及确定罚款金额时对该因素的考量比重就越大。而且当涉及的数据主体数量总数达到一定程度,侵权行为还可能会被评估为“系统性”侵权行为。最后,遭受的损害程度主要指侵权行为对个人权力和自由的影响程度,并且所遭受的损害需为可能或已遭受的物理、物质或非物质性的损害。对于侵权行为持续的时间。如侵权行为持续的时间越长,监管机构在作出是否予以行政处罚的决定或者确定罚款金额时,这一因素会被着重关注。
第二是侵权的故意或过失。故意与过失如何认定?按照EDPB的观点,故意是指明知故意,与我国刑法中的直接故意相似。而过失则指数据控制者/处理者无意违反了注意义务,最终导致了侵权结果的发生。但此处的无意并不等同于非自愿的。即数据处理者或者控制者对注意义务的违反以及侵权结果的发生持有放任、消极的心态,内心对结果的发生并非完全拒绝的心态,这与我国刑法上间接过失的认定有相似之处。对于故意与过失的区分,《指南》还进行了示例,如侵权的这一非法的数据处理行为是得到最高管理层明确授权的,或者是在无视数据保护官建议/现有政策规定基础上做出的。故意与过失的认定属于主观因素的判定,为避免主观认定倾向,应根据具体案件情况从案件事实中收集客观性的行为要素作为认定素材。
第三是受侵权行为影响的个人数据种类。GDPR第9、10条对个人数据进行了分,第10条规定了与刑事犯罪相关的个人数据,第9条则将包含健康数据、生物特征信息、宗教信仰等方面的数据划为特殊数据。侵权行为影响的个人数据种类越繁杂,侵权行为本身的损害越严重,也会直接影响监管机构对行政处罚的决定。
通过对上述因素的评估,监管机构根据侵权行为严重程度分为低、中或高等类别,旨在根据侵权行为的严重程度调整罚款的起始金额。如违法行为情节较轻,属于低等级类别时,监管机构将依据GDPR第83条第5款的规定在法定最高限额的0%-10%之间确定罚款的起始金额。如侵权行为严重程度属于中等级类别,监管机构将在法定最高限额的10%-20%之间确定罚款的起始金额。侵权行为严重程度较高的,则按照法定最高限额的20%-100%之间确定罚款的起始金额。
图2:侵权行为严重程度的分级及对应起始金额
(三)营业额影响罚款起始金额的起算
GDPR第83条第1款规定:“每个监管机构应当确保在每个个案中根据本条规定对违反本条第4、5和第6款规定的违法行为所处以的行政罚款是有效、适当且具有劝诫性的。”《指南》也一直强调行政罚款需要是实现有效性、相称性以及劝诫性。考虑到企业规模的不同,《指南》选择了营业额作为实现罚款公平性的调和支点,根据个案情况,结合被处罚企业的营业规模酌情调整罚款金额。相比2022年5月的《公众咨询版指南》,2023年最终通过的《指南》对营业额与罚款起始金额确定之间的档位切分及调整幅度均有细微调整。具体如下:
表2:营业额与起始金额之间的调整档次及幅度(比对版)
上述表格数据表明,对被处以行政处罚的企业而言,营业额越高则行政罚款确定的起始金额越高。另外,从《公众咨询版指南》与最终版《指南》确定的档位区分来看,两个变化比较明显:一是起始金额的调整幅度从固定的数值转为了数值区间,保留了起始金额调整的裁量空间;二是在起始金额调整所适用的企业范围上,最终通过的《指南》明确营业额在5亿欧元以上的企业不再调整已确定的起始金额。
5 影响最终罚款金额的减轻或加重情节
《指南》所列的减轻或者加重情节主要依据GDPR第83条第2款所列的各项内容。同时,《指南》强调对GDPR第83条第2款加重或者减轻要素的考量不能通过表格或者百分比预先确定,而要根据案件的实际情况进行量化,对调查过程中收集到的要素进行考量,与此同时可适时参考监管机构以往的罚款经验。《指南》列举的处罚时可作为加重或减轻情节予以考量的情节有7种,此外还有一个兜底的情形列举。
第一,数据控制者或数据处理者为减轻数据主体遭受的损害而采取的措施。这是GDPR第83条第2款c项的规定,属于行政罚款的减轻情形,可以减少罚款金额。监管机构在具体适用中需要对控制者或者处理者所采取的措施进行评估,期间措施采取的及时性与有效性的最为关键的评估要点。及时性强调措施的采取必须是事前自发实施性的,应当是在监管机构开始调查前就实施。
第二,数据控制者或数据者处理者的责任程度。根据GDPR第83条第2款d项的规定,必须考虑处理主体的责任程度,同时考虑其根据第 25 条和第 32 条实施的技术和组织性措施。根据第25条的规定,为减少对数据主体权利和自由的风险损害,处理者或者控制者应采取匿名化、数据最小化等技术与组织措施。同样,第32条也强调数据主体享有的安全水平应该与风险程度一致,个人数据假名化、加密措施以及定期测试与评估等都是必要的。责任程度的评判与控制者或处理者所负的义务等级有关,依据GDPR设定的义务等级比较高,控制者或处理者所负的责任程度也愈高,其采取的技术或者组织措施多数情况下属于义务范畴之内的职责,一般的组织或者技术措施不能达到减轻责任的效果。由此“控制者或者处理者的责任程度”不一定能成为减轻情节,除非特殊情况下控制者或者处理者采取的措施实际超出了其所承担的义务范围。
第三,数据控制者或数据者处理者先前的侵权行为。对先前侵权行为的考量,首先考量的是先前侵权行为发生的时间点。先前侵权行为与目前正在发生的侵权行为的时间间隔越长,两者的相关性越低,监管机构考量时给予的关注也愈少。但也有一些国家的法律规定监管机构在规定期间内对侵权行为记录的删除义务,这阻止了监管机构行政罚款时对先前侵权行为的考量可能。其次考量的时先前侵权行为与当前侵权行为主题的相似度。同一主题的先前侵权行为更加接近于目当前发生的侵权行为,对控制者或处理者义务遵守态度的考察也更加准确,另外,不同主题的侵权行为也需要考虑,主题不相同但如前后侵权行为的的实施方式相同,则表明控制者或处理者组织内部存在持续存在的问题。例如无视数据保护官的建议而导致出现以相同方式实施的侵权行为。先前的侵权行为属于行政罚款考量时的加重情节,但不存在先前侵权行为并不能被视为减轻情节,因为按照《指南》的理解,遵守数据处理的合规义务,保障数据主体的权利与数据安全是常态性的,是应当履行的基本义务。
第四,与监管机构的合作程度以纠正侵权并减轻侵权可能产生的不利影响。GDPR第31条对控制者与监管机构的一般合作义务进行了规定,如控制者或处理者未履行监管义务,根据GDPR第84条将受到罚款处罚。因此《指南》明确只有当控制者或者处理者与监管机构的合作具有限制或避免可能发生的对个人权利产生负面影响时,才能被认定为此处的减轻情节。
第五,侵权行为被监管机构知晓的方式。这是GDPR第83条第2款f项的规定,目的是考量控制者或者处理者在监管机构知悉侵权行为前是否有主动履行通知义务。一般来说,监管机构知悉侵权行为前,控制者或处理者主动履行通知义务的可被视为此处的减轻情节,除非根据法律规定,控制者或处理者具有特定的通知义务。另外,监管机构通过投诉或调查知悉侵权行为的,则被认为是中立的考量因素,既不属减轻情节也非加重情节。
第六,遵守先前就同一事项所下令采取的措施。根据GDPR第83条第2款i项的规定,控制者或者处理者可能因相同的事项被监管机构依据GDPR58条第2款采取了警告、临时限制等措施。此时会对控制者或处理者存在合理期待,期待其遵守上述措施以防止在未来发生相同的侵权行为。如控制者或处理者不遵守先前发布的措施要求,此时会被视为加重情节予以考量。但《指南》规定相同的不合规行为不能导致两次处罚,这与我国行政处罚中的规定的“一事不再罚”原则相似。
第七,遵守批准的行为准则或批准的认证机制。根据GDPR第83条第2款第j项的规定,控制者或处理者遵守GDPR第40条的行为准则以及第42条规定的认证要求是是否处以行政罚款以及确定罚款金额的重要考量因素。控制者或处理者遵守行为准则、认证机制会被认为属于处罚考量的减轻情节,而当控制者或处理者不遵守行为准则的行为与侵权行为相关时,会被监管机构认定为处罚考量的加重情节。
除了上述明确列举的其中减轻或者加重情节,《指南》还进行了兜底性规定。强调根据个案情节考量可能存在的减轻或加重情节。
6 罚款金额的法定最大值
GDPR第83条第4款对罚款最高限额进行了规定。罚款的最高金额分为静态的最高额限定与动态的最高金额限定。第4-6款直接规定了法定最高限额的具体数目,第4款规定最高处1000万欧元的罚款而第5与第6款规定最高处2000万欧元的罚款,上述金额限定属于静态的最高金额限定。动态的最高金额限定与控制者或处理者的营业额有关,以不同企业的营业额为基础上下浮动形成动态的法定最高限额。第4款规定的动态最高限额标准为控制者或处理者上一财政年度全球营业总额的2%,第5与第6款规定的动态最高限额标准为控制者或处理者上一财政年度全球营业总额的4%。静态的最高限额与动态的最高限额如何适用,《指南》确立了这样一个原则:考虑静态最大金额或动态营业额的最大金额。即两者取其高,当计算出的动态营业额的最大金额高于对应的条款所规定的静态最大金额时,适用动态营业额的最大金额。
动态营业额的最大金额与企业上一年度营业收入有关,此处提及的企业是从经济角度判定的,被认为是一个经济单位,与经济实体的法律地位与融资关系无关。根据欧盟的判例,当一个经济实体能够对其他经济实体实施决定性影响或者具有主导性的控制地位时,几个法人主体可能共同组成一个经济单位。有如母公司与子公司在法律上具有独立的法人资格,法律地位是独立的,但从经济角度来看会被视为一个经济整体。营业额被定义为销售的所有商品与服务的总和;根据欧盟2013年通过的有关会计的第2013/34/EU号指令,营业额属于净营业额,需要扣除销售回扣、增值税等税费。营业额具体数值的确定,具体可参考企业年度财务报表中所列的数据。
7 行政处罚的有效性、相称性与劝诫性
行政罚款应当具备有效性、相称性与劝诫性。这是《指南》依据GDPR第83条第4款所确定的处罚原则。这说明监管机构确定罚款金额不是空穴来风的,需要根据具体的侵权行为具体确定,监管机构有责任核实并判断罚款金额是否适合,并决定是否进行罚款金额的调整。当给予控制者或处理者的罚款达到规定的预期目标时,行政罚款可以被认为是有效的,通过行政罚款惩罚控制者或处理者的不合规行为以达到重申规则、强调规则遵守的作用。相称性是比例原则的要求,要求监管机构采取的罚款及罚款金额与立法目标相适应。监管机构对控制者或处理者处以行政罚款,目的在于使其遵守与处理个人数据有关的自然人保护规则和与个人数据自由流动有关的规则。应以这一目标为依据参考,考虑是否对控制者或处理者作出行政罚款及确定适当的罚款金额。监管机构在企业无力支付罚款的情况下,还可以进一步降低罚款,这是比例原则的一种特殊衍生。企业无力支付的认定需要从经济可行性出发,结合价值损失证明(即证明罚款与企业重大资产损失之间的因果关系)和特定的经济与社会背景进行判断(如企业自身产能过剩或社会失业率整体下降等)。劝诫性强调罚款的威严性与震慑力。例如,为了起到震慑作用,对于严重的侵权行为,可增加罚款金额。
8 总结
以罚款为主的监管措施能有效监督数据控制者或数据处理者遵守数据处理的规则,履行数据处理义务。互联网时代下,数据处理行为往往具有很强的空间跨越性,同一数据处理行为所触发的侵权可能与不同国家的监管机构相关联。因而在具体执行过程中,只有协调好各国监管机构对行政处罚的统一适用才能持续发挥行政监管在数据监管中的作用,否则很容易导致行政监管的错乱无序。此外,在统一适用基础上,《指南》还追求行政罚款的“科学性”,要求各国监管机构作出的行政处罚应具备效性、相称性以劝诫性。相比2022年5月发布的《公众咨询版指南》,2023年6月最终通过的《指南》在保持总体框架不变的基础上,对许多的细节规定进行了完善调整,这表明行政罚款指南的具体内容是不断完善、不断补充更新的。
参考文献:
[1] EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR(Version 2.1),https://edpb.europa.eu/system/files/2023-06/edpb_guidelines_042022_calculationofadministrativefines_en.pdf。
撰稿 | 伍旋航,清华大学智能法治研究院实习生
文章来源:“清华大学智能法治研究院”微信公众号