Day 7 从个资隐私裁罚案例中学习

今天将探讨欧盟资料保护法(GDPR)的裁罚案为例，依据罚金高至低了解前几名的判例，从中获取learning curve为何，以此等案例为戒，运用在设计服务的隐私规画之中，避免重蹈前人的覆辙，就跟大家来分享目前知名(天价罚金)的判例吧。

以欧盟料保护法(GDPR)的裁罚案例为借镜

欧盟资料保护法GDPR(General Data Protection Regulation)上路後也间接让企业将消费大众资料外泄的事件公开在阳光下，而违规的企业也必须受到一定的罚款，且GDPR为人周知的是超级天价的罚金，因此，将透过GDPR施行约三年多时间几件重罚违规的案例依据罚金排序整理如下表所示。

这些判例中最着名为2019年夏天的「英国航空（British Airways）」与「万豪酒店（Marriott International）」海量个资外泄案，之所以受到注目除了外泄个资量笔数多，另一个就是巨额罚金，依当时判决分别需裁罚的金额为2.1亿欧元(年营收1.5％)与1.1亿欧元，震惊全球各大企业，逼得各企业不得不绷紧神经重新检视自家的隐私保护的机制策略等，但正逢全球陷入疫情风暴之中，数据监管单位当局考量COVID-19对经济所带来的冲击，因此都将罚金大幅度降低至少1/5以上。而GDPR上路以来目前最高额的罚金为Amazon Europe Core被卢森堡数据监管单位(National Commission for Data Protection (CNPD))裁决需判罚7.46亿欧元的天价罚金(注3)

天价罚金，没有一家企业跟自己口袋过不去

GDPR施行以来之所以让全球企业绷紧神经，除了缜密的隐私个资，合规定义与繁琐的隐私工程规画之外，另个即是天价的罚金，因此没有一家企业跟自己的口袋过不去，能事先做好防范无论是主动或是被动的防护等相关规划等就先「超前部属」为上上策，越早知道做好任何隐私防护，对自家产品只有加分没有减分。

参考资料

1. British Airways Faces Significantly Reduced £20M Fine for GDPR Breach ：https://www.natlawreview.com/article/british-airways-faces-significantly-reduced-20m-fine-gdpr-breach
2. ICO fines Marriott International Inc £18.4million for failing to keep customers’ personal data secure：
   https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-marriott-international-inc-184million-for-failing-to-keep-customers-personal-data-secure/?utm_source=twitter&utm_medium=iconews&utm_term=190d3f65-917a-4355-b766-abe4812b048d&utm_content=&utm_campaign=
3. Luxembourg DPA issues €746 Million GDPR Fine to Amazon：https://dataprivacymanager.net/luxembourg-dpa-issues-e746-million-gdpr-fine-to-amazon/