最新针对GDPR和数据泄露的调查报告显示，GDPR罚款总额同比大幅增加。该报告提出，这一增长表明监管机构对处罚违反GDPR的企业（尤其是对大型技术供应商）越来越有信心，也越来越愿意处以高额罚款，而且还受到欧洲数据保护委员会（EDPB）高度通胀的影响。“毫无疑问，当地数据保护机构一直在关注GDPR的一致性机制，并将知道EDPB尚未缩减其主管监管机构提出的任何罚款。EDPB的所有关于罚款的决定都导致最终罚款的大幅增加，”该报告补充道。

调查报告还强调了数据保护监管机构今年做出的一些有重要影响力的决定，这些决定参考了Schrems II和第五章GDPR要求在特定国际个人数据传输中的应用。

英国数据保护和网络安全集团（UK Data Protection and Cybersecurity Group）主席罗斯·麦肯恩（Ross McKean）表示，爱尔兰DPC今年针对社交媒体平台的广告所采取的大量罚款行为，对自由环境下的互联网“大交易”来说，可能会有深远的影响。考虑到所面临的风险，他表示期待这些企业的上诉和诉讼结果。他认为，法律在这些问题上还远远没有完善。

截至2018年5月25日，爱尔兰（1303514500欧元）、卢森堡（746345675欧元）和法国（428238300欧元）位居GDPR罚款总额榜首，英国（59242800欧元）位居第七。

报告指出，数据保护监管机构正在加大对人工智能的关注，以及个人数据在训练人工智能技术方面的作用。报告中提到，人工智能正在影响每一个领域，包括流程自动化、机器学习、聊天机器人、面部识别、虚拟现实等等。而个人数据通常是组织使用人工智能的燃料，它可以调整搜索参数、发现行为趋势，并预测未来可能的结果。由于许多人工智能系统使用个人数据，对这些系统的监管通常属于GDPR的范围。今年，多个数据保护监管机构发布了关于人工智能使用个人数据的指导意见。

2022年5月，英国信息专员办公室（ICO）对人脸识别公司Clearview AI Inc处以755.28万英镑的罚款，因为该公司违反了数据保护法，使用了人脸图像和公开信息中的数据。ICO声称，该公司从全球互联网和社交媒体平台上公开的信息中收集了200多亿张人脸图像和数据，以创建在线数据库，但未能告知人们他们的图像正以这种方式被收集或使用。

■ HTML走私活动冒充知名品牌传播恶意软件