文/麻策律师‍‍‍‍

在数据保护历史以及封建迷信的两重历史之上,这都是一例活久见的案例。

数据保护法应该没有评估过,如果惹恼了弄神占卦的人会有什么后果;而弄神占卦者们兴许也很难预料,占卦终究不如人算,数据保护想你的风终究吹到了他们这里。

2024 年10 月 10日,法国国家数据保护委员会(CNIL)公布了对 COSMOSPACE 和 TELEMAQUE两家在线通灵占卜公司进行罚款的新闻,主要原因是这些在线通灵占卜平台存在过度存储个人数据、未经有效同意收集敏感数据以及未遵守商业推销规则。

从历史上来看,CNIL似乎对在线通灵占卜的数据保护的处罚情有独钟,早在2023年6月,CNIL就对另一家灵媒平台KG COM 处以 15 万欧元罚款,原因也是其未能遵守《通用数据保护条例》(GDPR)和《法国数据保护法》的规定。特别是,该公司收集了过多的数据,以及未经事先明确同意收集的敏感数据,并且未能充分保障数据的安全。

封建迷信要不得,占卜通灵是虚设。数据违规遭惩戒,GDPR终成赢家。‍

案件情况

COSMOSPACE公司(或简称“公司”)总部位于法国,这是一家提供在线远程占卜服务(塔罗牌、星座、千里眼)的公司,服务内容包括免费或已付费。

截至2021年11月30日,该公司拥有154名员工。2021 年 3 月至 2022 年 3 月期间,该公司其营业额约为 2640 万欧元,净利润为 50 万欧元。次年,这一数字约为 2660 万欧元,净亏损为 146 万欧元。

公司主要通过电话提供个性化的占卜通灵咨询,由员工或外部合作者的通灵呼叫中心顾问提供咨询,其中一些占卜通灵者位于法国境外(在西班牙,但也在欧盟以外的国家,如巴厘岛、突尼斯或美国)。尽管收到的大多数电话来自在法国的用户,但从公司提供的信息来看,大约 5% 来自欧盟其他国家或第三国。

此外,该公司还发布了多个网站以及多个移动应用程序。除了电话中的千里眼(麻策律师注:指通过感觉、情感和心理情绪来获取信息的通灵能力)服务外,这些网站和应用程序还通过其合作伙伴 TELEMAQUE 公司提供的即时对话(“聊天”)或短信提供千里眼服务。后者还负责COSMOSPACE 的 IT 和数字服务的开发、供应和维护。两家公司之间的关系受数据处理协议和处理某些个人数据的共同责任协议的约束。

为了推广其产品,COSMOSPACE 通过电子邮件和短信开展商业勘探活动,既面向其客户,也面向其联系方式由其直接(主要通过其网站)或 TELEMAQUE。

COSMOSPACE 拥有自己的数据库,截至 2021 年 12 月 7 日,其中包括超过 673 000 个客户状态的唯一联系人和超过 278 000 个潜在客户状态的联系人),以及与 TELEMAQUE 公司的联合数据库, 包含两家公司的所有客户和潜在客户的数据,截至 2022 年 10 月 6 日,这两家公司服务了 150 多万个独特人员并存储 700 多万条联系记录。

COSMOSPACE报告称,在 2022 年前三个季度,它发送了近 630 万条短信和超过 7560 万封商业潜在客户电子邮件。

2021 年 11 月 15 日,法国国家信息与自由委员会CNIL的一个执法团队使用 COSMOSPACE 和 TELEMAQUE 公司发布的五个网站进行了在线数据合规审计,目的是核实是否遵守数据保护法,例如GDPR及《法国邮政和电子通信法》。

跨境处理

根据 GDPR 第 4(23)(b) 条,“跨境处理”包括“在欧盟境内单一控制机构的活动中进行的个人数据处理”或处理者,但对多个成员国的数据主体产生重大影响或可能产生重大影响。”

CNIL认为,该公司对个人数据进行跨境处理,以致其一些客户能够访问欧盟其他国家提供的服务。该公司还向调查团发送了一份文件,显示每月提供的电话咨询数量,并按国家/地区细分客户,这证明了平台服务的跨境性质。

该公司在辩护中认为,该公司的服务仅以法语提供,并且其网站的内容只能以该语言访问。而CNIL指出,从文件的内容来看,在通过电话进行服务咨询的情况下,该公司在 2022 年每个月都会收到来自欧盟不同国家的 350 至 400 个电话。这种情况足以表征跨境处理的存在,因为它影响或可能严重影响 GDPR 第 4 条第 23 款 b) 项含义内的多个成员国的数据主体,无论其措辞如何。这些客户在服务中还表达披露了自己的国籍甚至出生地。

违规一:未履行最小必要

GDPR 第 5(1)(c) 条规定,个人数据必须“充分、相关并仅限于处理目的所需的数据(数据最小化)”。

COSMOSPACE 系统记录了所有灵媒、客户和话务员之间的电话录音。公司认为,这样的录音是为了监控服务质量、用于员工培训目的,以证明合同的签订和正确执行,并回应法律请求,最后是为了保障人类生命安全。

从文件内容来看,COSMOSPACE 公司以完整、系统的方式记录了提供咨询的千里眼与客户之间的对话,以及客户之间的对话。每礼拜结束后,50% 的录音都会被自动删除,其他数据保存期限为六个月(诉讼除外)。另外,该公司记录总机接线员与客户或潜在客户之间的所有对话(与收集客户银行详细信息有关的部分除外),并保存十三个月。

CNIL认为,电话交谈录音本身就构成个人数据的处理,处理全部录音通话记录不符合最小必要原则。这些目的不足以证明以完整和系统的方式进行通话录音的合理性,并明确指出,这些录音应限于一方面验证服务质量以及确保员工培训的对话样本,另一方面限于与客户或潜在客户之间的通话,特别是与合同签订部分相关的通话。CNIL还认为,在接到处于困境中的人的电话时,员工可以手动启动录音。

违规二:未履行最小存储期限

GDPR 第 5(1)(e)条规定,个人数据必须 "以可识别数据主体的形式保存,保存时间不得超过处理数据的目的所需的时间(......)"。

根据这些规定,数据控制者有责任根据处理目的确定保留期限。一旦达到目的,必须删除数据或使其匿名化,或在必要时将其存档一段特定时间,例如为了履行法律义务或为了诉前或诉讼目的。

但是,COSMOSPACE 从商业关系结束之日起保留了客户数据六年的时间,以便能够发送商业推广通讯。这和CNIL建议为目的保留数据的时间限制为三年的要求有巨大偏差,公司未能证明需要将数据保留时间延长至两倍的具体合理性。

CNIL认为,如果在商业关系结束时某些客户数据需要保留(例如,用于诉讼或诉讼前目的),公司有责任对这些数据进行筛选,仅保留为实现这些目的所必需的部分,并通过临时存档来限制对其的访问。

违规三:有违特殊敏感数据处理

根据 GDPR 第 9 条第 (1) 款,“处理揭示种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的个人数据,以及处理遗传数据、用于唯一识别自然人的生物特征数据、有关健康的数据或有关个人性生活或性取向的数据被禁止“,除非此类处理符合同一条第 2 款 a) 至 j) 款规定的条件之一。“如果数据主体已明确同意出于一个或多个特定目的处理此类个人数据,则可以进行处理,除非欧盟法律或会员国法律规定数据主体不能解除第 1 款中提及的禁令”。

本案中,在电话、聊天或短信咨询过程中,客户可能被要求透露与他们的性取向或性生活、宗教信仰或健康状况相关的数据。此外,COSMOSPACE 和 TELEMAQUE 的在线用户可以通过填写表格来预测他们与所选人员的匹配度,从而推断出他们的性取向。

CNIL指出,从 2021 年 11 月 15 日在 cosmospace.medium.fr 网站上进行的在线检查中可以明显看出,在创建用户帐户(至少需要电子邮件地址、名字、姓氏、性别和出生日期)后,用户还必须在所述表格中输入用户的名字、出生日期和性别,以及他/她伴侣的名字、出生日期和性别。

而在 2022 年 8 月 1 日的判决中,欧洲联盟法院(“欧盟法院”)认为,即使有争议的数据就其性质而言不构成敏感数据,但如果它们能够间接披露、 当事人的性取向,则仍构成性取向数据的处理。

在本案中,在爱情相容的背景下,平台会同时收集当事人及其伴侣的性别,因此可以推断出当事人的性倾向。因此,收集的数据必须归类为 GDPR 第 9 条所指的敏感数据(麻策注:这个合规细节非常有意思)。

公司应事先明确获得其客户的同意,以处理其敏感数据。CNIL指出,仅仅愿意接受占卜服务并自发提供敏感信息不能被视为明确的同意。公司还应提供关于收集这些敏感数据的具体信息。

违规四:有违商业广告营销同意

根据 CPCE 第 L. 34-5 条,“通过自动电子通信系统......、传真机或使用自然人联系方式的电子邮件直接发送广告......他之前没有表示同意以这种方式接受直接营销。就本条而言,同意是指任何人同意将有关他或她的个人数据用于直接营销目的的任何自由、具体和知情的意愿表达......“.根据 CPCE 第 L. 34-5 条和 GDPR 第 4(11) 条的综合规定,以电子方式进行商业营销的机构必须获得相关人员的自由、具体、知情和明确的同意。

为进行电子邮件和短信的商业通讯,COSMOSPACE 和 TELEMAQUE 拥有一个共同的数据库,其中包含所有客户和潜在客户的数据。这些数据主要通过两家公司建立的网站上的表格收集而来。

2024 年 4 月 23 日进行的一项在线审查确实发现,用于收集同意的复选框旁边附有文本“我明确同意通过电话、电子邮件、短信或 WhatsApp 接收占卜服务报价”。CNIL认为,一方面,虽然合作伙伴的名单现在显示在表格的同一页上,但仅在“明确”一词旁边附有一个数字,以小脚注的形式出现,字体非常小,几乎难以辨认,它指向位于表格远处(且在表格显示时页面不可见部分)的脚注,其中包含了上述名单。CNIL认为,考虑到这些因素,用户很容易看不到这个数字,不会注意到它,或者不会仔细阅读它,因此不会参考脚注的内容。

因此,如果 COSMOSPACE 公司没有获得 TELEMAQUE 公司收集的个人数据的明确同意,以通过电子方式开展商业营销活动,则构成违反法国《消费者权益保护法》第 L.34-5 条的行为。即,平台并未使相关人员明确了解他们的数据可以被这些公司中的任何一家随意使用。因此,COSMOSPACE 不能依赖 TELEMAQUE 代表其获得的同意,反之亦然。

CNIL指出,自检查以来,TELEMAQUE 公司再次修改了该同意的表格。根据最新提供的信息,现在附带的文本明确指向了 COSMOSPACE 公司(“我明确表示同意接收由 TELEMAQUE 公司及其合作伙伴 COSMOSPACE 提供的电话、电子邮件、短信或 WhatsApp 占卜服务报价,……,……,以及……”),这是符合规定的。

最终,CNIL 对 COSMOSPACE 公司处以二十五万欧元(250,000)的行政处罚。

建议数据合规人,赶紧给公司的数据保护水平算一卦!‍‍

-作者微信:macelawyer-

声明:本文来自互联网法律匠,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。