为什么爱尔兰主导欧盟执法
爱尔兰数据保护委员会(DPC)是大多数欧盟大型科技公司的主导监管机构,这并非偶然。
爱尔兰的低税率吸引了苹果、谷歌、Meta、LinkedIn和TikTok在此设立主要欧盟办事处。
GDPR第60条使DPC成为这些公司的主导监管机构,由此产生三个效应:德国用户对Facebook的投诉由爱尔兰DPC受理,而非德国BfDI;DPC与其他欧盟机构协作处理跨境案件;DPC对Meta作出的裁定在整个欧盟范围内适用。
结果不言而喻——DPC开出的罚款金额超过所有其他欧盟机构的总和。关于这一格局如何影响供应商选择,请参阅我们的GDPR合规概览。
2024—2025年的三项标志性罚款
对TikTok处以5.3亿欧元罚款(2025年5月): 中国工程师访问了欧盟用户数据,违反了GDPR第44—46条关于向无充分性认定国家传输数据的限制性规定。中国目前没有获得欧盟充分性认定,TikTok声称已配置了充分的管控措施,但DPC认定并不充分。
对LinkedIn处以3.1亿欧元罚款(2024年10月): LinkedIn依赖「合法利益」对用户行为进行分析,DPC认定这一依据无效——相关处理活动超出了声明目的的必要限度,平衡性测试结果也不利于LinkedIn。
对Meta处以2.51亿欧元罚款(2024年11月): Facebook 2018年数据泄露事件未在规定时间内向DPC报告,且审计日志缺失导致无法评估泄露规模。
上述三起案件是继2023年5月DPC开出的12亿欧元Meta罚款(因非法欧美数据传输,迄今最大GDPR罚款)之后的又一批重大执法行动。
DPC在2024年处理了超过8,500件跨境案件。关于零知识设计如何应对上述各类违规行为,请浏览我们的安全与合规页面。
每项罚款揭示了什么
跨境访问管控失败
这三起案件有一个共同的核心问题:个人数据对缺乏欧盟级别隐私保护的国家工作人员开放。
TikTok案最为直接——尽管声称有管控措施,欧盟用户数据仍流向了中国工程师。
对供应商选择的启示: 询问非欧盟工程师能否在日常工作中访问欧盟托管的数据。供应商可能在都柏林托管数据,但美国支持人员仍可访问欧盟用户记录。仅凭欧盟驻地本身并不足够。我们的实体处理指南展示了访问控制如何对应GDPR第46条要求。
合法依据选用错误
LinkedIn被罚并非因为发生了数据泄露,而在于其处理行为的合法性论证方式。
「合法利益」不是万能挡箭牌,数据控制者须记录真实的平衡性测试,证明其利益高于用户权利。我们的合规页面介绍了如何审查供应商的合法依据主张。
日志与通知缺失
Meta被罚的2.51亿欧元中包含一项关键认定:审计日志缺失导致无法评估数据泄露规模。
GDPR第33条要求在72小时内发出数据泄露通知,该通知须包括受影响数据的规模。无法评估规模,就无法履行通知义务。
在评估潜在供应商时,请询问其审计日志的结构设计。如果供应商无法在事件发生后回答「哪些数据被泄露了?」,则无法满足第33条第3款第(b)项的要求。
DPC 案件的共同规律
纵观四起重大DPC罚款案件,可以发现一个一致的规律:监管机构针对的是允许供应商工程师查看用户内容的系统设计,每起重大罚款案件都涉及对个人数据的管控不当。
零知识设计从根本上回应了每起案件的核心关切——用户内容经过加密,供应商不持有解密密钥。
针对TikTok和Meta的数据传输案件:非欧盟工程师访问服务器,但看到的只是密文,没有可读的数据被暴露。针对Meta数据泄露案件:整个服务器遭到攻击所能获取的有效信息微乎其微,可量化的泄露规模大幅缩小。针对LinkedIn案件:从未接触明文数据的供应商,便无法对其进行行为分析。
这正是对每项DPC执法行动的直接回应。详情请参阅我们的安全概览,或参阅创始人声明了解anonym.legal从设计之初的初心。
「主要机构」的含义
一些企业试图通过调整在欧盟的架构来控制具体由哪个数据保护机构管辖。DPC在这一问题上有其明确立场。
「主要机构」不仅仅是公司注册地址,而是指欧盟核心管理职能所在地——对数据控制者而言,是作出处理目的决策的地方。
隐私团队设在伦敦的企业在欧盟可能没有「主要机构」,这种情况下,任何成员国的数据保护机构均可就本地投诉主张管辖权。
评估 SaaS 供应商的核心问题
在评估处理个人数据的SaaS供应商时,请提出以下问题。
管辖权与数据访问:
- 供应商的欧盟主要机构在哪里?
- 非欧盟工作人员在日常工作中能否访问欧盟用户数据?
- 供应商的母公司是否受《云法案》或中国网络安全法律约束?
技术设计:
- 欧盟用户内容是否存储在欧盟托管的服务器上?
- 加密密钥由供应商持有还是由客户控制?
- 审计日志的颗粒度是否足以评估数据泄露规模?
传输记录:
- 供应商对欧美数据流采用了哪种GDPR第46条机制?
- 供应商是否完成了传输影响评估?
- 采取了哪些额外技术措施?
DPC在执法上的一贯性表明:即便拥有专业隐私团队和数据保护官的企业,当其技术设计与合规声明不符时,仍会面临巨额罚款。请参阅我们的案例研究和FAQ了解更多详情。
anonym.legal使用位于欧盟的Hetzner服务器,采用零知识架构设计。服务器仅存储AES-256-GCM密文,即便遭到完全攻击也不会暴露任何可读数据。桌面应用程序在本地设备上处理所有内容,不建立任何外部连接。
参考资料
- 爱尔兰DPC — 官方执法决定 — 经核实外部链接
- EDPB — 「一站式」机制 — 经核实外部链接
- GDPR原文 — 第33、44—46、60条 — 经核实外部链接