I. 摘要
2025年,欧洲和美国的隐私执法领域呈现出显著的活跃态势。监管机构持续加大对违反数据隐私法规行为的打击力度,重点关注新兴的技术领域和长期存在的合规挑战。
在欧洲,《通用数据保护条例》(GDPR)的执行依然是核心议题,欧洲数据保护委员会(EDPB)主导的协同执法框架(CEF)将焦点投向了"被遗忘权"。与此同时,欧盟各成员国的数据保护机构(DPAs)也积极开展执法行动,针对数据跨境传输、隐私声明透明度、高管个人责任以及数据安全等问题开出了巨额罚单。
在美国,加州隐私保护局(CPPA)积极执行《加州消费者隐私法案》(CCPA),而美国卫生与公众服务部(HHS)下属的民权办公室(OCR)则在《健康保险流通与责任法案》(HIPAA)框架下,对医疗行业的网络安全和患者数据访问权限进行严格监管。此外,联邦贸易委员会(FTC)也持续关注企业是否存在欺骗性的隐私行为和不充分的数据安全措施。
整体而言,2025年的隐私执法趋势表明,监管机构对于保护个人数据权益的决心日益增强,企业需要采取积极的合规措施以应对日益严格的监管环境。
II. 欧洲GDPR执法重点
A. EDPB 2025年协同执法框架:聚焦删除权
欧洲数据保护委员会(EDPB)于2025年启动了其协同执法框架(CEF)行动,旨在加强各数据保护机构(DPAs)之间的执法和合作。继2024年对访问权进行为期一年的协同行动后,2025年CEF的重点转向了另一项重要的数据保护权利,即删除权或"被遗忘权"(GDPR第17条)的实施。
EDPB在2024年10月的全体会议上选择了这个主题,因为它既是GDPR中最常被行使的权利之一,也是DPAs经常收到个人投诉的方面。在2025年期间,欧洲共有30个数据保护机构(DPAs)以及欧洲数据保护监管机构(EDPS)将参与此项行动。
参与的DPAs将很快联系欧洲不同行业的众多控制者,可能通过启动新的正式调查或进行事实调查。在后者情况下,如果需要,他们也可能决定采取额外的后续行动。DPAs将检查控制者如何处理和响应他们收到的删除请求,特别是他们如何适用行使这项权利的条件和例外情况。
DPAs还将保持密切联系,以便在全年分享和讨论他们的调查结果。这些国家行动的结果将被汇总和分析,以更深入地了解该主题,从而可以在国家和欧盟层面进行有针对性的后续行动。
CEF是EDPB在其2024-2027年战略下的关键行动,旨在简化DPAs之间的执法和合作。此前三年,CEF已针对公共部门云服务的使用、数据保护官的指定和职位以及控制者对访问权的实施等不同主题开展了三次行动。
EDPB对删除权的重点关注表明,监管机构优先考虑赋予个人对其数据的控制权,并确保组织拥有处理此类请求的健全机制。这意味着各组织应积极审查和更新其数据删除政策和程序,以确保合规。
B. 各国显著的罚款和执法案例
1. 爱尔兰
爱尔兰数据保护委员会(DPC)于2025年5月对TikTok处以5.3亿欧元的巨额罚款,原因在于该公司未能充分保护欧盟用户传输至中国的数据。此次罚款是基于DPC的调查结果,该调查发现TikTok在没有实施足够保障措施的情况下,允许其位于中国的员工访问欧盟和欧洲经济区(EEA)用户的数据,这违反了GDPR第5(1)(a)条、第5(1)(f)条、第12(1)条、第13(1)(f)条以及第五章的规定。
DPC认为,TikTok依赖标准合同条款(SCCs)和补充措施不足以确保数据传输的安全性。此外,TikTok最初告知监管机构欧盟用户数据并未传输至中国,但随后承认,位于中国的员工可以远程访问存储在新加坡和美国的用户个人数据,而这并未在其2021年的隐私政策中披露。
DPC还发现,该公司的隐私政策未能清晰地告知用户,他们存储在新加坡和美国的个人数据可能在中国被访问,也未解释此类传输的法律依据,这违反了GDPR的透明度义务。
TikTok表示不认同DPC的调查结果,并计划提起上诉,同时强调其旨在加强数据安全的"Project Clover"倡议下的改革。
这起巨额罚款凸显了监管机构对国际数据传输的严格审查,特别是向中国等具有不同法律框架的国家传输数据时。进行此类传输的组织必须实施超出标准合同条款的强大保障措施,并确保与用户和监管机构进行充分透明的沟通。
2. 荷兰
荷兰数据保护局(DPA)在2024年的执法行动为2025年的企业提供了重要的经验教训。其中,一家知名的在线流媒体服务因其隐私声明未能提供清晰完整的个人数据收集和使用目的、法律依据、数据共享对象及原因、数据保留期限以及欧洲境外数据传输的安全措施等信息,被处以475万欧元的罚款。
此外,一家人工智能公司因在未提供适当通知或获得同意的情况下收集和使用特殊类别的个人数据,被处以3050万欧元的罚款,荷兰DPA主席还警告称,如果公司领导层明知违规行为,有权阻止但未能采取行动,则可能承担个人责任。
另一起重大案件中,一家出行共享应用因在没有适当保障措施的情况下,不当将包括敏感信息在内的个人数据从欧盟传输至美国,被处以2.9亿欧元的罚款。
荷兰DPA强调,企业不能认为非约束性指南就足够提供保护,必须独立评估数据传输机制以确保合规,并在向欧盟境外传输任何个人数据之前确认已采取适当的保障措施。
荷兰DPA在2024年的执法重点清晰地表明了2025年的监管方向,即强调隐私声明的透明度、企业高管的责任以及国际数据传输的复杂性。各组织应主动审查其隐私声明,确保管理层积极参与GDPR合规工作,并严格评估其数据传输机制。
3. 西班牙
西班牙数据保护局(AEPD)在2025年1月和4月表现出高度的GDPR执法活跃度。4月份,AEPD对多家公司处以罚款,其中包括因未经授权将个人数据处理分包给第三方IT系统提供商而被罚款50万欧元的Marina Salud;因SIM卡交换事件违反GDPR第六条第一款而被分别处以20万欧元罚款的两家Vodafone España S.A.U.;因发生勒索软件攻击导致未经授权访问个人数据而被处以20万欧元罚款的Orange Bank S.A.;以及因员工伪造客户签名签署数据保护协议而非法处理客户个人数据而被处以12万欧元罚款的Banco Bilbao Vizcaya Argentaria S.A. (BBVA)。
3月份,Beedigital AI因未能实施足够的数据保密措施而被罚款12万欧元。1月份,Generali España因数据安全措施不足和缺乏隐私设计而被罚款400万欧元;Cartonajes Bañeres因在未进行数据保护影响评估的情况下使用面部识别系统而被罚款22万欧元;Club Atlético Osasuna因非法使用生物特征面部识别进行门禁控制而被罚款20万欧元。
AEPD持续且多样的执法行动,涵盖了数据安全、同意、透明度以及生物识别数据的使用等问题,表明其对GDPR合规采取了广泛而积极的态度。在西班牙运营或处理西班牙居民数据的组织应密切关注这些先例,并确保其做法符合AEPD的期望。
4. 意大利
意大利数据保护局(Garante)于2025年1月紧急限制杭州深度求索人工智能和北京深度求索人工智能处理意大利用户个人数据的行为,原因是其违反了GDPR且未能充分配合调查。Garante对该公司的数据收集方式、数据存储地点(中国)、缺乏透明度以及未能任命欧盟代表等问题表示担忧。
3月份,Garante还对两名医生分别处以1万欧元的罚款,原因是他们将患者数据用于竞选宣传。
Garante对DeepSeek的迅速行动凸显了监管机构对人工智能服务的关注以及对用户数据保护的重视,特别是当数据由欧盟境外的公司处理时。对医生的罚款则强调了处理敏感健康数据的严格规定以及将其用于医疗保健以外目的的限制。
5. 法国
法国国家信息与自由委员会(CNIL)于2025年发布了加强数据安全建议,以应对2024年数据泄露事件的增加。CNIL建议采取多因素身份验证、记录数据流、定期进行安全培训以及加强对子处理者的监管。
CNIL还发布了其2025年工作计划,重点在于支持专业人士遵守GDPR,包括创建关于人工智能和GDPR交互的实用指南、子处理器处理标准和健康数据处理的基准、商业活动中数据保留的指南以及关于多设备同意、电子邮件像素和基于年龄的数据处理的建议。
此外,CNIL还公布了其2025-2028年欧洲和国际战略,重点在于简化欧洲合作、促进高标准的国际数据保护以及巩固其影响力网络。
CNIL通过提供指南和建议,积极主动地支持各组织遵守GDPR,其对人工智能和国际合作的重视反映了不断发展的数据保护形势。
6. 德国
德国新政府计划将私人部门的数据保护监管职责集中到联邦数据保护与信息自由专员(BfDI)处,并减轻中小企业的监管负担。BfDI也宣布已准备好承担联邦层面的数据保护监督职责。BfDI将于2025年6月主办国际信息专员会议(ICIC)。
此外,包括莱茵兰-普法尔茨州、巴登-符腾堡州、图林根州、萨克森-安哈尔特州、黑森州、不莱梅州和柏林州在内的几个德国州数据保护监管机构,对一家人工智能提供商展开了协同调查,以确保其遵守GDPR关于在欧盟境内指定代表的规定。
德国潜在的数据保护监督集中化可能会提高执法的连贯性,并为各组织提供更明确的指导。减轻中小企业的负担则表明监管机构认识到小型企业在遵守GDPR方面面临的挑战。
III. 美国隐私执法重点
A. 加州隐私保护局(CPPA)的CCPA执法
CPPA在2025年积极开展CCPA执法行动,其中包括与男装零售商Todd Snyder达成和解,原因是该公司在选择退出机制和其他隐私请求处理方面未能遵守CCPA。
和解协议的关键内容包括:Todd Snyder未能正确配置其个人信息出售和共享(特别是用于行为广告)的选择退出机制;该公司对某些请求收集了"超过必要的信息",并对选择退出请求施加了验证要求,这都违反了CCPA。此外,和解协议还要求Todd Snyder实施定期的综合隐私培训计划。
CPPA此前也对本田采取了类似的执法行动,这些行动表明加州正在积极执行其隐私法,并向企业施加压力以确保合规。
CPPA关于网络安全审计、风险评估、自动化决策技术(ADMT)和保险公司的拟议规则制定仍在进行中,公众评议期已于2025年2月结束。CPPA还发布了一项关于"暗模式"属于侵犯隐私行为的执法公告。此外,根据《删除法案》,数据经纪人需要在2025年1月31日之前向CPPA注册。
CPPA积极执行CCPA,重点关注消费者关键权利,如选择退出权。持续的规则制定表明其致力于应对新兴的隐私挑战,包括与技术和自动化决策相关的挑战。
B. 美国卫生与公众服务部(HHS)民权办公室(OCR)的HIPAA执法
OCR在2025年初便积极开展HIPAA执法,针对勒索软件攻击、网络钓鱼事件和患者访问权等问题达成了多项和解协议。例如,与Solara Medical Supplies达成300万美元的和解协议,原因是发生了网络钓鱼事件;与Northeast Surgical Group达成1万美元的和解协议,原因是发生了勒索软件攻击。
俄勒冈健康与科学大学因未能及时提供患者记录而被处以20万美元的罚款。此外,2025年HIPAA安全规则的拟议更新重点在于强制加密、多因素身份验证、定期漏洞扫描和更快的违规通知期限。OCR强调风险分析和管理对于预防HIPAA违规至关重要。
OCR持续严格执行HIPAA,重点关注勒索软件和网络钓鱼等网络安全威胁,并确保患者有权访问其健康信息。拟议的安全规则更新标志着医疗行业正在朝着加强网络安全标准的方向发展。
C. 联邦贸易委员会(FTC)的执法行动
2025年5月,FTC对Facebook公司采取了行动。4月,FTC对GoDaddy公司采取行动,原因是其涉嫌数据安全措施松懈。2月,FTC对Avast公司采取行动,包括针对其出售浏览数据相关的欺骗性隐私声明启动退款索赔程序。同月,FTC还对Aqua Finance公司采取行动,原因是其存在欺骗性销售行为。
1月,FTC对Cognosphere LLC提起诉讼。同月,FTC还对通用汽车公司采取行动,原因是其在未经同意的情况下共享了驾驶员数据,并对Snap公司采取了行动。此外,FTC还对Mobilewalla公司采取行动,原因是其出售敏感位置数据,并对Intellivision公司采取行动,原因是其对人脸识别软件做出了虚假声明。
FTC仍然是保护消费者隐私的积极执法者,针对各行业的公司采取行动,原因是其存在欺骗性行为、数据安全措施不足以及未经授权的数据共享行为。FTC对位置数据和人脸识别等问题的关注反映了该机构对新兴隐私风险的重视。
D. 州级执法:德克萨斯州数据隐私与安全法案(TDPSA)
2025年5月,德克萨斯州总检察长办公室向多家与中国及中国共产党有关联的公司发出通知,指出其可能违反了《德克萨斯州数据隐私与安全法案》(TDPSA),涉及数据处理披露、选择退出权和数据删除权等问题。
德克萨斯州总检察长办公室强调了TDPSA的广泛适用性以及其对外国势力获取美国个人数据的关注。
州级隐私法的重要性日益凸显,像德克萨斯州这样的州正在积极执行其法规,即使是针对在美国境外运营的公司。这一趋势表明,各组织需要了解并遵守日益增长的州级隐私法。
IV. 主要执法趋势与分析
A. 监管机构对跨境数据传输的关注日益增强
爱尔兰对TikTok的巨额罚款以及荷兰DPA对出行共享应用的行动都突显了监管机构对欧盟/欧洲经济区以外数据传输的严格审查。各组织必须确保其拥有健全的法律机制,并实施补充措施,以保证接收国提供同等水平的保护。
B. 人工智能隐私影响日益受到重视
意大利Garante对DeepSeek采取的行动以及德国进行的协同调查表明,监管机构越来越关注人工智能及其与数据保护法的合规性。这包括透明度、处理训练数据的法律依据以及任命欧盟代表等问题。
C. 数据安全措施和违规应对准备工作持续受到强调
西班牙AEPD开出的众多罚单以及OCR对勒索软件和网络钓鱼攻击的关注,都强调了实施充分的技术和组织安全措施以保护个人数据的持续重要性。各组织必须优先考虑风险评估、加密、多因素身份验证和事件响应计划。
D. GDPR之外数字监管格局的变化
欧洲《数字服务法案》(DSA)的实施表明数字领域存在更广泛的监管趋势。虽然本报告主要关注GDPR和美国隐私法,但各组织应了解并准备遵守其他相关的数字法规。
E. 企业高管个人责任的考量日益增加
荷兰DPA警告称,企业高管可能因数据隐私违规行为承担个人责任,这预示着监管机构可能会更加直接地追究公司领导层在GDPR合规方面的责任。这一趋势可能会促使董事会和高层管理人员加强监督和参与。
V. 结论
2025年的隐私执法事件和趋势表明,监管环境活跃且不断发展。积极主动的合规措施至关重要,包括健全的数据传输机制、强大的数据安全实践以及对个人权利的全面理解。展望未来,隐私执法的监管审查可能会继续加强,尤其是在跨境数据流动和人工智能等新兴技术领域。
VI. 附录:2025年主要罚款表
表1:2025年欧洲重大GDPR罚款
| 罚款日期 | 国家 | 监管机构 | 被罚公司 | 罚款金额(欧元) | 罚款原因(简述) |
|---|---|---|---|---|---|
| 2025年5月3日 | 爱尔兰 | DPC | TikTok | 530,000,000 | 未能保护传输至中国的数据 |
| 2025年4月 | 西班牙 | AEPD | Marina Salud | 500,000 | 未经授权分包数据处理 |
| 2025年4月 | 西班牙 | AEPD | Vodafone España S.A.U. | 200,000 | SIM卡交换事件 |
| 2025年4月 | 西班牙 | AEPD | Orange Bank S.A. | 200,000 | 数据安全漏洞 |
| 2025年4月 | 西班牙 | AEPD | Vodafone España S.A.U. | 200,000 | SIM卡交换事件 |
| 2025年4月 | 西班牙 | AEPD | Banco Bilbao Vizcaya Argentaria S.A. | 120,000 | 非法处理个人数据 |
| 2025年3月 | 波兰 | UODO | Poczta Polska S.A. | 6,440,000 | 非法转移和处理个人数据 |
| 2025年3月 | 西班牙 | AEPD | CaixaBank | 3,500,000 | 系统错误导致数据泄露 |
| 2025年3月 | 西班牙 | AEPD | Liga Nacional de Fútbol Profesional | 1,000,000 | 未进行数据保护影响评估 |
| 2025年3月 | 西班牙 | AEPD | Ibermutua | 600,000 | 数据泄露 |
| 2025年3月 | 西班牙 | AEPD | Beedigital AI | 120,000 | 数据安全故障 |
| 2025年1月 | 西班牙 | AEPD | Generali España | 4,000,000 | 数据安全故障,缺乏隐私设计 |
| 2025年1月 | 芬兰 | Tietosuojavaltuutetun toimisto | Sambla Group Oy | 950,000 | 通过不安全链接暴露个人数据 |
| 2025年1月 | 西班牙 | AEPD | Cartonajes Bañeres, S.A. | 220,000 | 未进行数据保护影响评估 |
| 2025年1月 | 西班牙 | AEPD | Club Atlético Osasuna | 200,000 | 非法使用生物识别面部识别 |
| 2025年1月 | 西班牙 | AEPD | Vodafone España | 200,000 | 员工不当行为导致数据泄露 |
| 2025年1月 | 西班牙 | AEPD | Correo Inteligente Postal, S.L. | 200,000 | 数据安全措施不足 |
表2:2025年美国主要隐私执法行动
| 行动日期 | 监管机构 | 涉及公司/实体 | 违规类型 | 行动简述 |
|---|---|---|---|---|
| 2025年5月6日 | CPPA | Todd Snyder | CCPA | 因选择退出机制和隐私请求处理不合规达成和解 |
| 2025年5月2日 | FTC | Facebook, Inc. | FTC Act | 具体细节未提供 |
| 2025年4月25日 | FTC | GoDaddy Inc. | FTC Act | 因涉嫌数据安全措施松懈采取行动 |
| 2025年2月24日 | FTC | Avast | FTC Act | 针对欺骗性隐私声明(出售浏览数据)启动退款索赔程序 |
| 2025年2月19日 | FTC | Aqua Finance | FTC Act | 针对欺骗性销售行为采取行动 |
| 2025年1月17日 | FTC | Cognosphere LLC | FTC Act | 具体细节未提供 |
| 2025年1月16日 | FTC | General Motors LLC | FTC Act | 因在未经同意的情况下共享驾驶员数据采取行动 |
| 2025年1月16日 | FTC | Snap Inc. | FTC Act | 具体细节未提供 |
| 2025年1月14日 | FTC | Mobilewalla Inc. | FTC Act | 针对出售敏感位置数据采取行动 |
| 2025年1月13日 | FTC | Intellivision | FTC Act | 针对人脸识别软件的虚假声明采取行动 |
| 2025年5月6日 | Texas AG | 多家中国公司 | TDPSA | 因可能违反TDPSA关于数据处理披露、选择退出权和数据删除权等规定发出通知 |
| 2025年4月25日 | HHS OCR | Neurology Practice | HIPAA | 因勒索软件网络安全调查达成和解 |
| 2025年4月23日 | HHS OCR | Health Care Network | HIPAA | 因网络钓鱼攻击事件达成60万美元和解 |
| 2025年4月17日 | HHS OCR | Public Hospital | HIPAA | 因勒索软件网络安全调查达成和解 |
| 2025年4月4日 | HHS OCR | Northeast Radiology | HIPAA | 因HIPAA安全规则调查达成和解 |
| 2025年3月21日 | HHS OCR | Health Fitness Corporation | HIPAA | 因HIPAA安全规则调查达成和解 |
| 2025年3月6日 | HHS OCR | Oregon Health & Science University | HIPAA | 因未能及时提供患者记录处以20万美元罚款 |
| 2025年2月20日 | HHS OCR | Warby Parker | HIPAA | 因HIPAA网络安全黑客攻击调查处以150万美元民事罚款 |
| 2025年1月15日 | HHS OCR | Northeast Surgical Group, P.C. | HIPAA | 因勒索软件攻击事件达成1万美元和解 |
| 2025年1月15日 | HHS OCR | Memorial Healthcare System | HIPAA | 因患者记录访问问题达成HIPAA和解 |
| 2025年1月14日 | HHS OCR | Solara Medical Supplies, LLC | HIPAA | 因网络钓鱼网络安全调查达成300万美元和解 |
| 2025年1月8日 | HHS OCR | USR Holdings, LLC | HIPAA | 因删除电子保护健康信息达成HIPAA安全规则调查和解 |
| 2025年1月7日 | HHS OCR | Virtual Private Network Solutions | HIPAA | 达成第九次勒索软件调查和解 |
| 2025年1月7日 | HHS OCR | Elgon Information Systems | HIPAA | 达成第八次勒索软件调查和解 |
© 2025 Kaamel. 本报告仅供信息参考,不构成法律建议。
扫一扫
2659
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
