近日,瑞典隐私保护局(简称IMY)发布公告称,由于著名流媒体音乐服务平台Spotify未能充分保障用户的个人数据访问权,违反了欧盟《通用数据保护条例》(GDPR)相关要求,决定对其处以5800万瑞典克朗的罚款。Spotify方回应称坚决反对这项决定,未来将提出上诉。
公开资料显示,Spotify是一家在线流媒体音乐播放平台,也是目前全球最大的音乐流媒体服务提供商之一。Spotify广泛流行于欧洲大部分地区以及非洲、美洲、亚洲和大洋洲等地,截至2023年3月,其每月活跃用户超过4.8 亿,其中包括2.1亿付费用户。
事情的起因可追溯至2019年初。彼时GDPR刚施行不久,非营利组织NOYB(Non Of Your Business)向一批大型网络科技公司提起诉讼,其中就包括Spotify。起诉理由是上述公司未能充分保障用户个人数据访问权,未在用户提出要求时向其提供完整的有关用户数据来源、接收者,用户数据处理目的或数据传输情况等信息。
根据GDPR规定,数据主体有权要求数据控制者告知其个人数据是否正在被处理;如果是,数据主体有权访问控制者所持有的信息。这些信息包括数据处理目的;正在处理的数据类别;将接收其数据的第三方或第三方的类别;数据的预估存储期限;数据传输至欧盟以外第三方时采取的现行保障措施;数据将被用于自动化决策的相关情况、决策的重要性以及预估后果等。
IMY调查发现,尽管Spotify会根据要求向用户提供其处理的个人数据,但“没有足够清楚地告知公司如何使用这些数据”,此举涉嫌违反GDPR。公告指出,Spotify提供的关于其如何处理用户个人数据以及处理目的等信息应更加具体;如果披露的部分数据偏技术化,Spotify不仅需要用英语作出说明,还需使用用户母语进行解释,从而保证用户能充分理解数据。
不过,IMY也对Spotify的部分做法表示肯定。根据公告,Spotify目前将用户个人数据进行分级分类,以应对不同程度的数据访问要求。比如,初级数据包括Spotify认为的用户最感兴趣的信息,如用户联系方式、付款信息、关注的歌手以及一段时间内的听歌记录等。如果用户希望访问技术日志等更详细的信息,可以提出更多要求。
IMY指出,保障数据访问权的目的是让用户有机会检查其个人数据的处理情况是否合法。“用户获得足够的信息通常是行使其他权利的先决条件,例如更正或删除错误信息等。由于Spotify提供的信息不够清楚,用户很难了解其个人数据的处理方式,也很难检查其个人数据的处理是否合法。”
经过四年多的协商,在综合考虑Spotify注册用户数量以及其营业额等因素后,IMY以违反GDPR为由决定对Spotify处以5800万瑞典克朗的行政罚款。
据报道,Spotify很快对此作出回应,称其已为所有用户提供有关个人数据处理方式的全部信息,IMY在调查期间发现的只是他们认为需要改进的一个小问题。因此,Spotify坚决反对该决定,并计划提出上诉。
文|樊文扬
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。