80亿摘桂！全球2022数据合规天价罚单可视化分析

引言

近年来，进入互联网大数据时代后，互联网用户在享受科技给生活带来的便利的同时，逐步也感受到了个人信息泄露的隐患，仿佛置身于“楚门的世界”，变成了网络透明人，一举一动皆被“窥伺”。

如今，数据安全和个人信息保护已经成为全球的重点监管领域，各国的相关法律法规日益完善，执法监管也趋于强化、精准和全周期。对此，本团队整理了2022年全球范围内的数据合规处罚典型案例，以期协助各类互联网平台增强数据合规意识，筑起牢固的数据安全防护体系。

一、 2022年全球数据合规十大处罚典型案例

1.  滴滴公司因个人信息及数据处理活动违规被处以80.26亿人民币罚款

• 【国家】中国
• 【日期】2022年7月21日
• 【罚款金额】80.26亿人民币
• 【关键词】个人信息主体权益保护
• 【事由】滴滴全球股份有限公司被查明存在侵犯个人信息权益的问题、严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等违法违规问题，被国家互联网信息办公室处罚80.26亿人民币。
• 【原文链接】http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm
• 【拓展阅读】《滴滴数据合规8宗罪，互联网平台“同病相怜”》

2.  侵犯儿童隐私，游戏《堡垒之夜》经营者Epic Games遭5.2亿美元罚金

• 【国家】美国
• 【日期】2022年12月29日
• 【罚款金额】5.2亿美金（约35.15亿人民币）
• 【关键词】儿童个人信息保护、黑模式诱导消费
• 【事由】Epic Games是游戏《堡垒之夜》的经营者，美国联邦贸易委员会（FTC）表示，将因其违反《儿童在线隐私保护法》（COPPA）、更改默认隐私设置而处以2.75 亿美元罚款；并因通过“黑模式[1]”设置诱骗用户进行不必要的收费需退款 2.45 亿美元，合计5.2亿美元。
• 【原文链接】https://www.ftc.gov/news-events/news/press-releases/2022/12/fortnite-video-game-maker-epic-games-pay-more-half-billion-dollars-over-ftc-allegations
• 【拓展阅读】《“黑模式”究竟属于什么“违禁品”？——黑模式合规监管系列一：黑模式主要类型及典型示例》《黑模式合规监管系列二：未来已来（上）：黑模式的合规监管在欧盟》《黑模式合规监管系列三：未来已来（下）：黑模式的合规监管在美国》《黑模式合规监管系列四：黑模式进行时，平监管的下一个风口》

3.  侵犯未成年人个人信息，Meta被罚款4.05亿欧元

• 【国家】爱尔兰
• 【日期】2022年9月2日
• 【罚款金额】4.05亿欧元（约合29.67亿人民币）
• 【关键词】儿童/未成年人个人信息保护
• 【事由】因Meta 经营的Instagram对运营商业账号的未成年人用户的数据处理方式及该平台的用户注册系统未能妥善尽到未成年人及儿童个人信息保护义务，爱尔兰数据保护委员会 (DPC) 对Instagram处以 4.05 亿欧元的罚款和一系列纠正措施。
• 【原文链接】https://www.dataprotection.ie/sites/default/files/uploads/2022-09/Decision%20IN-20-7-4%20Instagram%20Children%27s%20data%20Summary.pdf

4.  Google就位置隐私诉讼与美国40州达成3.92亿美元和解

• 【国家】美国
• 【日期】2022年11月14日
• 【和解金额】3.92亿美元（约26.48亿人民币）
• 【关键词】个人信息主体权益保护、个性化广告
• 【事由】Google曾被指控对其用户位置跟踪设置进行误导性陈述，误导Google用户认为他们已经“关闭”了他们在Google上的位置跟踪功能，但Google仍继续通过其他服务持续收集用户位置信息并用于广告，违反了40州的消费者权益保护法。Google同意支付3.92亿美元以解决该诉讼，并修复了对其位置历史设置实际作用的错误描述。
• 【原文链接】https://www.theverge.com/2022/11/14/23458460/google-392-million-settlement-location-tracking-lawsuit-attorneys-general

5.   Meta公司因非法投放定向广告被处罚3.9亿欧元

• 【国家】爱尔兰
• 【日期】2023年1月4日
• 【罚款金额】3.9亿欧元（约28.57亿人民币）
• 【关键词】个性化广告
• 【事由】DPC认为，Meta没有向用户清楚详尽地表述如何处理其个人信息用于投放定向广告，违反了GDPR对透明度义务的要求，因此对其Facebook（2.1亿欧元）和Instagram（1.8亿欧元）两项总共罚款3.9亿欧元，并要求在3个月内使数据处理业务符合GDPR的规定。欧盟数据保护委员会（EDPB）支持了DPC关于Meta违反透明度义务的认定结果。
• 【原文链接】https://dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland
• 【拓展阅读】《个性化推荐：头部平台割舍不下的“唐僧肉”》

6.   T-Mobile为数据泄露事件支付3.5亿美元和解

• 【国家】美国
• 【日期】2022年8月
• 【和解金额】3.5亿美元（23.66亿人民币）
• 【关键词】数据泄露
• 【事由】2022年8月，美国移动通信巨头T-Mobile同意支付2021年大规模数据泄露事件后的索赔、法律费用和管理费用，共计支付3.5亿美元。该数据泄露事件暴露了估计7600万人的个人信息，包括客户名称，社会保险号，电话号码，地址和出生日期。除向受影响客户的现金支付外，T-Mobile还同意投资1.5亿美元来加强其数据安全。
• 【原文链接】https://tmobilebreach.com/

7.  因黑客爬取用户数据，Meta被处以2.65亿欧元的罚款

• 【国家】爱尔兰
• 【日期】2022年11月28日
• 【罚款金额】2.65亿欧元（约19.41亿人民币）
• 【关键词】数据泄露
• 【事由】黑客在Meta旗下软件Facebook中使用爬虫技术，将5.33亿Facebook用户个人信息泄露至黑客论坛。DPC 认为，Meta违反了GDPR中要求采取旨在保护用户数据的技术和组织措施的规定，向Mate处以 2.65 亿欧元的罚款。除了罚款外，Meta还受到DPC的谴责和命令，要求其在特定时间范围内采取一系列指定的补救措施，使其处理合规。
• 【原文链接】https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-in-facebook-data-scraping-inquiry
• 【拓展阅读】《一文读懂个人信息爬虫技术合规风险》《爬进“不正当竞争”的虫，代价不菲》《爬虫之责：反不正当竞争案中的胜诉机会在哪里？（上）》《爬虫之责：反不正当竞争案中的胜诉机会在哪里？（下）》《爬虫犯罪的“脱罪利器”——ISO37301》

8.  Twitter因欺骗性定向广告策略被美国联邦贸易委员会罚款1.5亿美元

• 【国家】美国
• 【日期】2022年5月25日
• 【罚款金额】1.5亿美元（约合10.14亿人民币）
• 【关键词】个人信息主体权益保护、个性化广告
• 【事由】FTC表示，自2013年开始，Twitter就要求用户提供电话号码和电子邮件地址等来提高账户安全性，从2014年到2019年，超过1.4亿用户据此提供了个人信息。然而，FTC发现，Twitter在未告知用户的情况下，允许广告商使用上述个人信息发送定向广告。因此，Twitter既违反了《联邦贸易委员会法》，也违反了司法部和联邦贸易委员会2011年一项和解协议的命令， Twitter 必须支付 1.5 亿美元的罚款。
• 【原文链接】https://www.ftc.gov/news-events/news/press-releases/2022/05/ftc-charges-twitter-deceptively-using-account-security-data-sell-targeted-ads
• 【拓展阅读】《个性化推荐：头部平台割舍不下的“唐僧肉”》

9.   点击拒绝Cookie不够便捷，微软被罚6000万欧元

• 【国家】法国
• 【日期】2022年12 月22日
• 【罚款金额】6000万欧元（约合人民币4.40亿元）
• 【关键词】个人信息主体权益、个性化广告
• 【事由】法国数据保护机构（“CNIL”）发现，微软Bing搜索引擎在未经用户明确同意的情况下在用户计算机中投放广告Cookie，且未能使拒绝同意使用Cookies与接受同意使用Cookies一样容易，这违反了法国的数据保护法。因此，CNIL宣布对微软爱尔兰子公司处以6000万欧元的罚款。
• 【原文链接】https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-microsoft-ireland-operations-limited

10. 因未能保护儿童隐私，Tik Tok或将被处以2700万英镑罚款

• 【国家】英国
• 【日期】2022年9月26日
• 【罚款金额】2700万英镑（约2.25亿人民币）
• 【关键词】儿童个人信息保护
• 【事由】英国信息专员办公室（“ICO”）发现，TikTok存在未经父母适当同意，处理了13岁以下儿童的数据、未能以简洁、透明和易于理解的方式向用户提供适当的信息；以及在没有法律依据的情况下处理特殊类别数据的情形，违反英国数据保护法，可能会面临2700万英镑的罚款。
• 【原文链接】https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/09/ico-could-impose-multi-million-pound-fine-on-tiktok-for-failing-to-protect-children-s-privacy/

二、全球数据合规处罚典型案例可视化分析

1.  各国案例数量排名

在上述数据合规处罚十大案例中，美国占比最多，有4个案例上榜，排名第一；爱尔兰由其对Mate公司的三项处罚案例排名第二。

2.   被处罚平台类型统计

我们根据《常见类型移动互联网应用程序必要个人信息范围规定》中对于常见类型App的分类，将上述被处罚平台类型分析如下图，发现网络社区类平台被处罚风险最高：

3.  被处罚事由分析

通过各大平台被处罚事由分析（同一案例可能存在重复统计），我们发现，由于个性化广告投放及个人信息主体权益保障（包括知情同意、拒绝权等）相关的案例最多，各有4例；其次儿童/未成年人个人信息的保护需要引起各大互联网平台的重视。

同时，我们发现，国外的监管案例中的执法要点在国内立法角度也对应体现。如在美国，FTC就Epic Games使用黑模式诱导消费做出处罚；在我国，已公布的《中华人民共和国反不正当竞争法（修订草案征求意见稿）》中，亦规定了“黑模式专条[2]”，可见在我国，对于黑模式的监管“未来已来”。

三、结语

前车之鉴，后车之师。我们希望，通过2022年全球数据合规处罚典型案例的汇总与分析，使得我国互联网平台明确监管重点，探析监管趋势，以参照履行数据与个人信息保护相关的合规义务，共建安全的数据与个人信息信任世界。

——

[1] 黑模式目前尚无统一定义，参照国际经合组织（OECD）于2022年10月发布的论文《Dark Pattern Commercial Patterns》，主要是指“一种使用数字选择架构（digital choice architecture，指影响用户在数字环境中做出的选择）的商业实践（尤其是在用户界面中使用），其颠覆或损害消费者的自主性、决策或选择，经常欺骗、胁迫或操纵消费者，并可能以各种方式直接或间接损害消费者利益，尽管在许多情况下这种损害可能很难或无法进行衡量”。

[2] 《中华人民共和国反不正当竞争法（修订草案征求意见稿）》第十五条  经营者利用网络从事生产经营活动，应当遵守本法的各项规定。

经营者不得利用数据和算法、技术以及平台规则等，通过影响用户选择或者其他方式，扰乱市场公平竞争秩序。

前款所称影响用户选择，包括违背用户意愿和选择权、增加操作复杂性、破坏使用连贯性等。