赵啸宇
北京康瑞律师事务所
摘要
2026年1月13日,法国国家信息与自由委员会(CNIL)对Iliad集团旗下两家子公司 —— FREE MOBILE及FREE —— 分别处以2700万欧元及1500万欧元的行政罚款,合计4200万欧元。处罚缘起于2024年10月发生的大规模数据泄露事件,逾2400万份用户订阅合同(含IBAN银行账号)遭非法访问。CNIL认定两家公司在以下三个维度存在GDPR违规:其一,数据安全措施不足,违反GDPR第32条;其二,对数据主体的泄露通知内容不完整,违反GDPR第34条;其三,FREE MOBILE超期留存已注销用户数据,违反GDPR第5条第1款(e)项。本文以上述案件为研究对象,系统梳理GDPR与数据安全保护相关的合规要求,并为中国企业出海GDPR合规实践提供参考建议。
关键词:GDPR;数据安全保护;数据泄露通知;存储限制原则;出海合规
一、引言
2026年1月13日,法国数据保护机构CNIL对FREE MOBILE及FREE两家公司作出合计4200万欧元的行政处罚决定1, 成为CNIL自《通用数据保护条例》(GDPR)2018年5月正式施行以来,针对法国电信行业所开出的巨额行政罚单之一。
本案涉及数据安全领域的“基础性失职” —— VPN多因素认证缺失、异常行为检测机制形同虚设、数据留存期限长期游离于合规框架之外2。当前数据保护监管机构对“基本合规义务”的容忍底线正在持续收紧,任何规模的企业均难以以“技术复杂性”或“合规资源不足”作为免责理由。
本文将在梳理案件事实的基础上,系统解析GDPR第32条(数据安全措施)、第33-34条(数据泄露通知义务)及第5条第1款(e)项(存储限制原则)的核心合规标准要求,对已经或将要在欧洲市场开展业务或处理欧盟/欧洲经济区(EEA)居民个人数据的中国企业提出具体的合规建议。
二、案件背景
FREE MOBILE与FREE均为法国第二大电信运营商Iliad集团(Iliad Group)的全资子公司,分别运营移动通信服务与固网宽带服务,互为独立的数据控制者(data controllers)。两家公司共同管理着逾2400万份用户订阅合同的个人数据,其中大量用户同时持有移动及固网服务合同,其个人信息(包括IBAN银行账号)在两家公司的系统中均有留存。
2024年9月28日,攻击者通过企业VPN获得初始未授权访问权限,并在10月6日开始系统性导出数据,批量窃取用户个人信息及国际银行账户号码(IBAN)。10月17日,被盗数据出现在某黑客论坛,某用户公开声称掌握43.6GB数据,其中约25%涉及IBAN信息,而此时两家公司对此并不知情。
直到10月21日,攻击者主动向两公司发送邮件通知之后,两公司才知悉入侵事件,而非凭借自身信息安全监控发现,两公司的信息安全异常行为检测机制出现系统性失效,整个攻击过程持续约25天。在攻击行为停止之后,两公司向法国国家信息与自由委员会(CNIL)进行数据泄露通报。
2024年底至2025年,CNIL启动专项检查,并收到逾2500份受影响用户投诉。2026年1月8日,CNIL限制委员会作出处罚审议(délibération)。1月13日,CNIL对外公告处罚决定,两家公司在以下三个维度存在GDPR违规:其一,数据安全措施不足,违反GDPR第32条;其二,对数据主体的泄露通知内容不完整,违反GDPR第34条;其三,FREE MOBILE超期留存已注销用户数据,违反GDPR第5条第1款(e)项。并根据GDPR第83条第4款针对包括第32条安全义务在内的违规行为,规定最高可处以1000万欧元或企业全球年营业额2%的行政罚款(以较高者为准);以及,根据GDPR第83条第5款针对违反第5条核心原则(包括存储限制原则)的行为,规定最高可处以2000万欧元或全球年营业额4%的行政罚款进行处罚。
CNIL在量定罚款时考量了如下因素:其一,企业财务能力。Iliad集团2024年营业收入约达100亿欧元,CNIL以此为基准评估达到惩罚效果的罚款额度。其二,违规主体对基本安全原则的认知程度。作为处理数千万用户数据的大型电信运营商,两家公司对VPN认证等基本安全原则应有充分认知,其未予落实的行为难以被认定为“无过失”。其三,受影响数据主体的规模。逾2400万份订阅合同的个人数据遭到泄露,影响范围极广。其四,数据的高度敏感性及特定类别数据泄露所带来的金融风险。IBAN属于金融账户信息,其泄露可能直接导致未经授权的账户扣款等财产损失。此外,CNIL还将两家公司在监管程序期间采取的积极整改措施(包括加强安全认证、启动数据清理等)列为减轻情节。
最终,FREE MOBILE被处以2700万欧元罚款,FREE被处以1500万欧元罚款。
三、GDPR关于数据安全保护措施的合规标准
GDPR第32条确立了数据安全保护义务的核心规范。该条第1款规定,数据控制者及处理者须“综合考虑技术发展现状、实施成本、处理活动的性质、范围、背景及目的,以及可能给自然人权利和自由造成的不同可能性及严重程度的风险”,实施“适当的技术和组织措施”以确保与风险相称的安全水平。
该条第2款进一步规定,在评估安全保护水平是否适当时,须“特别考虑与处理相关的风险,尤其是个人数据的意外或非法销毁、丢失、篡改、未授权披露或访问所带来的风险”。
第32条第1款(b)项明确列举“确保处理系统和服务的持续保密性、完整性、可用性和弹性”以及“及时恢复数据可用性和访问权限”作为应考量的安全措施类型。
由此可见,GDPR第32条采用开放式的、基于风险的规范架构(risk-based approach),而非设定固定的技术标准清单,在实操层面缺乏明确的指引性。
CNIL认定,在数据泄露发生之日,两家公司均未部署“若干可以增加攻击难度的基本安全措施”。 具体体现为以下两个层面的缺失:
(a)VPN身份认证机制不足。供员工远程访问使用的VPN,其认证程序“不够强健”。 在多因素认证(MFA)已成行业标准的当下,两家公司VPN系统仍依赖单因素认证,为攻击者提供了可乘之机。攻击者正是通过这一薄弱入口完成初始入侵,继而访问了FREE MOBILE的用户管理系统(Subscriber Management Tool)。
(b)异常行为检测机制失效。两家公司部署的异常行为检测措施被CNIL定性为“无效”(ineffective)。攻击者历时近25天的系统性数据导出行为未触发任何告警,足以证明两家公司的安全监控能力远未达到GDPR第32条对持续保密性和完整性保障的要求3。
CNIL同时指出,“虽然不可能完全消除所有风险”,但鉴于两家公司所处理数据的规模与高度敏感性(尤其是IBAN的金融属性),其安全措施的配置水平显然未能达到GDPR要求的“与风险相称的安全水平”。
根据CNIL的观点,数据安全保护义务合规评估的基准是“与风险相称”,而非“技术上零风险”。具体而言,从实操的层面可以参考如下方面:
• 多因素认证(MFA)的强制部署:对所有远程访问入口(尤其是VPN)、特权账号及涉个人数据系统,须强制启用MFA。单纯的用户名+密码认证已被监管机构认定为不符合“足够强健”的认证标准。
• 建设有效的安全监控能力:安全信息和事件管理(SIEM)、用户行为分析(UEBA)等安全监控系统须能在合理时间内识别异常访问行为(如批量数据导出、异常登录频率)并触发告警,而非仅仅成为工具或摆设。安全系统的“有效性”将是监管机构的重要审查维度。
• 定期进行数据保护影响评估(DPIA):对于高风险处理活动,须依据GDPR第35条开展DPIA,并将评估结果与安全措施的更新保持动态对应,留存完整文档记录。
• 定期安全测试:渗透测试、漏洞扫描及安全审计须形成制度,测试结果须纳入修复跟踪机制,并保存处置记录。
四、GDPR关于数据泄露通知义务的合规标准
GDPR第33条规定,数据控制者须在“意识到数据泄露后72小时内”向主管监管机构通报 —— 前提是该泄露“可能给自然人的权利和自由造成风险”。第34条在此基础上进一步要求,若泄露“可能给自然人的权利和自由造成高度风险”,控制者还须“不得无故迟延地”向受影响的数据主体直接发出通知。
GDPR第34条第2款明确规定,对数据主体的通知须包含:(a)数据保护官或其他联系点的姓名及联系方式;(b)对数据泄露可能产生的后果的描述;(c)控制者已采取或拟采取的应对措施的描述,包括“酌情采取减轻泄露不利影响的措施”。
CNIL认可两家公司确实采取了若干通知措施 —— 包括发送通知邮件、设立免费客服专线及数据保护官(DPO)请求受理系统,但所发送的电子邮件未包含GDPR第34条第2款规定的全部必要信息,从而“使受影响的数据主体无法直接理解泄露的后果,也无法了解其可采取的自我保护措施”。
因此,根据CNIL的观点,通知义务的合规判断标准并非“是否已发送通知”,而是“通知内容是否足以使数据主体充分理解风险并采取有效的自我保护行动”"。CNIL所关注的,是通知邮件在实质性内容层面的不足 —— 邮件未清晰说明IBAN泄露可能带来的具体风险(如账户欺诈、钓鱼攻击),亦未提供用户可以采取的具体防范步骤。
欧洲数据保护委员会(EDPB)就数据泄露通知发布的第01/2021号指南4为数据主体通知内容提供了实操参考。结合本案,需要关注如下各个方面:
• 区分“已发送通知”与“合规通知”:前者是形式要件,后者是实质要件。GDPR所要求的是能够帮助数据主体"采取行动"的通知,而非仅完成告知程序。
• 通知内容须具体、可操作:对于泄露后果的描述须结合被泄露数据的类型和敏感性,提供具体的风险场景(如:IBAN泄露可能被用于未经授权的直接扣款或账户欺诈);对于自我保护措施的建议须具体、可执行(如:请立即联系您的银行,检查近期是否存在异常授权交易,并考虑更换与该邮件账号关联的密码)。
• 预先制定数据泄露响应预案(Incident Response Plan):预案须明确内部报告链条、监管通报责任人及时间管理机制(72小时时钟的启动条件),以及数据主体通知的内容模板和审批流程。
• 72小时时限的管理:监管通报与数据主体通知是相互独立的两项义务,企业须分别跟踪管理,避免因聚焦监管通报而遗漏对数据主体的实质性通知。
五、GDPR关于数据留存期限的合规标准
作为GDPR七项核心原则之一,GDPR第5条第1款(e)项确立了存储限制原则(storage limitation principle):个人数据的保留形式不得超过“实现处理目的所必要”的期限;超出处理目的所需的数据,须被删除或匿名化处理。
CNIL在对FREE MOBILE的检查中发现,公司在检查日仍未建立对前用户数据进行筛选分类的机制,导致大量已无处理必要性的历史数据长期留存于系统中,且与仍具合法保留依据(如会计义务所需)的数据混同存储。
CNIL认定,FREE MOBILE对其前订阅用户的数据“无正当理由地留存了过长的时间”, 其中包括已注销时间超过10年的约280万份合同的用户数据。这批本应早已删除的“僵尸数据”在此次泄露事件中被一并暴露,大幅扩大了实际影响范围。
值得注意的是,FREE MOBILE在监管程序进行过程中,已主动启动数据筛选和清除工作。CNIL对此给予了积极评价,并在最终处罚决定中将其列为减轻情节之一。 然而,这一事后补救行为并不能免除对此前长期违规状态的处罚责任。
根据CNIL的观点,“以防万一”的数据积累思维在GDPR框架下已被明确定性为违规行为。具体而言,实操层面至少需要审查如下各个方面:
• 制定涵盖最长保留期限的数据保留计划(Retention Schedule):须针对每类业务数据,结合法律义务(如会计法定保留期)与业务目的,明确规定数据的最长保留期限,而非仅规定最短期限。
• 区分不同类别数据的保留依据:须建立机制,将仍具合法保留依据的数据(如满足会计义务所需的10年留存数据)与应予删除的历史数据(如超出合同关系终止后合理期限的数据)区分管理。
• 部署自动化删除机制:应在系统层面实现数据到期自动清除,避免依赖人工干预,降低人为遗漏的风险。
• 定期数据审计:至少每年开展一次数据库审计,验证保留政策的实际执行情况,并留存审计记录以备监管检查。
GDPR第3条确立了广泛的域外管辖权。根据该条,无论数据控制者或处理者是否在欧盟境内设立,只要其处理活动涉及在欧盟境内的数据主体(无论其国籍)的个人数据,且该处理与向欧盟境内数据主体提供商品或服务相关,或对其行为实施监控,GDPR即具有适用效力。所有向欧盟用户提供产品或服务的中国企业,均须在GDPR框架下承担相应的合规义务。
六、针对中国出海企业的具体合规建议
结合本案的违规认定及GDPR执法趋势,本文就以下六个维度提出具体建议:
1. 以MFA部署作为数据安全合规基线
单因素VPN认证已不符合GDPR第32条的“适当安全措施”标准。中国出海企业应将MFA强制部署纳入欧洲业务合规基线,尤其是对所有远程访问入口、特权账号及涉及个人数据处理的内部系统。
2. 建立真正有效的安全监控能力
监管机构的关注重点已从“是否部署了安全系统”转向“安全系统是否真正有效”。企业须确保SIEM、UEBA等安全监控工具能够在合理时间内识别并响应异常行为(如批量数据导出、非正常时间段的大量登录尝试),而非仅作为形式合规的凭证。安全系统的有效性须通过定期渗透测试和红队演练加以验证。
3. 建立欧洲业务数据泄露应急响应预案
GDPR第33条规定的72小时通报时限对跨境经营的企业具有极高的操作挑战性,尤其是在跨时区运营、事件发生在非工作时间的情况下。企业须预先制定专项的数据泄露响应预案(Incident Response Plan),明确泄露识别标准、内部报告链条、监管通报责任人、数据主体通知内容模板及审批流程,并定期开展桌面演练,确保团队成员熟悉72小时时钟的启动条件与应对机制。
4. 确保泄露通知内容的实质合规性
向用户发出通知不等于满足GDPR第34条的合规要求,通知内容必须真正帮助数据主体理解风险并采取保护行动。这对习惯于“最小化信息披露”的企业而言是一项实质性的合规升级要求。企业应在数据泄露响应预案中预先设计通知内容模板,并针对不同类别数据的泄露场景(如金融账号、密码、健康信息等),分别拟定包含具体风险描述和自我保护建议的通知模板。
5. 系统梳理欧洲业务数据,解决数据积压问题
许多中国出海企业存在数据积累惯性 —— 无论出于商业分析目的、人工智能训练目的还是“以防万一”的考量,倾向于最大化数据保留。这一做法在GDPR框架下已被明确认定为违规。企业须对欧洲业务数据存量进行系统梳理,按数据类别和业务目的制定分层保留策略,建立自动化删除机制,并在保留年度审计日志的基础上验证政策的实际执行情况。
6. 建立以GDPR为基线的双轨合规体系
同时须满足中国《个人信息保护法》(PIPL)与GDPR的中国出海企业,可考虑以GDPR的较高标准为基线构建统一的数据保护合规体系,并在此基础上针对中国业务的特殊要求进行差异化调整(如境内数据本地化存储、安全评估备案等)。这一策略可在实现双轨合规的同时最大化资源效率,避免分别维护两套独立合规体系所带来的重复成本。
1.CNIL (Commission Nationale de l'Informatique et des Libertés), "Data breach: FREE MOBILE and FREE fined €42 million", 14 January 2026, available at: https://www.cnil.fr/en/sanction-free-2026.
2.The Register, "France fines telcos €42M for issues leading to 2024 breach", 14 January 2026, available at: https://www.theregister.com/2026/01/14/france_fines_free_free_mobile (accessed 26 March 2026).
3.ICLG, "Free Mobile and Free fined EUR 42 million for GDPR failings", 13 January 2026, available at: https://iclg.com/news/23444-free-mobile-and-free-fined-eur-42-million-for-gdpr-failings.
4.EDPB, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, Version 2.0, adopted on 14 December 2021, available at:
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en.
