← 返回信息流
AI 资讯Hacker News·17 小时前

因强制同意违法,Elkjop五年后被罚180万欧元

原标题:I told them forced consent was unlawful. 5 years later it cost Elkjop €1.8M

速览

挪威零售商Elkjop因在用户注册时强制要求同意数据收集条款,被认定违反数据保护法规。尽管违规行为发生在五年前,监管机构最终对其处以180万欧元的罚款。此案凸显了数据合规的长期风险及强制同意机制的法律后果。

AI 深度解读

强制同意是违法的:五年维权路,一家挪威零售商为此支付 180 万欧元罚款

背景

2021 年夏天,作者作为 Elkjop 集团在北欧运营的会员俱乐部 Elgiganten Kundklubb 的成员,深受营销邮件轰炸之苦。出于常理,作者试图寻找关闭这些营销邮件的方法,却震惊地发现:唯一停止接收营销邮件的方式,竟然是彻底取消会员资格。

这意味着,若想行使法律赋予的“拒绝营销”的权利,就必须放弃会员身份及其附带的所有权益。作者随即于 2021 年 7 月 30 日致信该公司的数据保护官(DPO),明确指出这种“捆绑式同意”违反了《通用数据保护条例》(GDPR)及《电子隐私指令》。然而,公司的回复不仅未予改正,反而在书面记录中承认:“为了接收营销/优惠,成为会员俱乐部成员是一项必要条件。”

这一回应成为了后续长达五年法律博弈的起点。

核心内容

法律争议与初步交锋

作者指出,根据 GDPR 第 21 条第 2 款,每个人拥有绝对的反对直接营销的权利。同时,根据《电子隐私指令》,电子邮件营销仅在用户给予同意或存在现有客户关系且提供简单退出机制时才合法。关键在于,GDPR 第 4 条第 11 款和第 7 款规定,同意必须是“自由给予”的。将退出营销与取消会员资格捆绑,使得同意不再是自由的,而是被迫的。

面对作者的投诉,Elkjop 集团不仅拒绝整改,还采取了拖延战术:

  1. 引用模糊政策:仅指向一份模糊的隐私政策。
  2. 延长响应期限:在作者依据 GDPR 第 15 条提出完整的数据访问请求(包括法律依据、合法利益平衡测试、接收方、子处理者、国际传输、画像等详细信息)后,公司以“复杂性”和“内部资源有限”为由,将响应期限延长至 90 天。

管辖权转移与“一站式”机制

由于该会员俱乐部由挪威母公司 Elkjop Nordic AS 运营,且该公司对数据处理的目的和方式拥有真正的决策权,根据 GDPR 第 56 条第 1 款的“一站式”(One-stop-shop)机制,主管监管机构应为控制器主要设立地所在的监管机构。

因此,瑞典监管机构 Integritetsskyddsmyndigheten (IMY) 于 2022 年 9 月决定将此案移交给挪威数据保护局 Datatilsynet。此后,案件陷入长达数年的沉寂。

最终裁决:挪威监管机构重罚

2026 年 6 月 1 日,沉寂被打破。Datatilsynet 对 Elkjop 集团处以 2000 万挪威克朗(约合 180 万欧元)的罚款,并确认了作者五年前的指控。裁决要点包括:

  • 同意无效:公司依赖的同意并非有效,属于“强制同意”,不具特异性,且未充分告知会员。
  • 二次使用数据违法:公司将通过俱乐部收集的个人数据用于广告和转化追踪,但未进行 GDPR 第 6 条第 4 款要求的兼容性评估。
  • 多项违规:裁决涉及 GDPR 第 4(11)、5(1)(a)、5(2)、6(1)(a)、6(1)(f) 和 6(4) 条,涵盖了合法性、公平性、透明度和问责制。

监管失职与后续行动

尽管 GDPR 第 77 条第 2 款明确规定监管机构有义务向投诉人通报案件进展和结果,但作者并未从 IMY 或 Datatilsynet 收到任何通知。他是通过志愿者运营的 GDPRhub 维基网站才得知这一裁决的。

鉴于监管机构未履行法定通知义务,作者已正式致信 IMY 要求解释,并设定了五个工作日的回复期限。若回复不如预期,作者计划启动欧盟的侵权程序(infringement procedure),向欧盟委员会投诉监管机构失职。此外,作者还保留了对 Elkjop 集团提起民事诉讼的权利,以追偿因非法数据处理造成的损失。

关键要点

  • 强制同意(Forced Consent)违法:如果用户无法在不放弃既定权利或利益的情况下拒绝营销,则其同意不被视为“自由给予”,因此无效。
  • GDPR 第 21 条赋予绝对权利:用户有权随时反对直接营销,企业不得将此权利与会员资格或其他服务捆绑。
  • 数据二次使用需评估:将收集的数据用于原始目的之外的广告或追踪,必须进行兼容性评估(Article 6(4)),否则违法。
  • 监管机构有通知义务:根据 GDPR 第 77 条,监管机构必须告知投诉人案件进展和结果,未履行此义务可被起诉。
  • “一站式”机制的管辖权:跨国数据处理案件由控制器主要设立地的监管机构主导,瑞典 IMY 将案件移交给挪威 Datatilsynet 符合程序。
  • 维权成本与收益:作者通过五年的坚持,不仅获得了巨额罚款的裁决依据,还揭露了监管机构的失职,为后续民事索赔奠定了坚实基础。

意义与影响

对数字经济的警示

“要么同意全部,要么无法使用服务”的模式在数字经济的许多领域仍是默认设置。本案明确宣告,这种“捆绑式同意”和“付费或同意”(pay-or-consent)模式在法律上是站不住脚的。企业若继续采用此类策略,将面临巨大的合规风险和财务处罚。

对监管体系的反思

本案暴露了 GDPR 执行过程中的一个严重漏洞:监管机构未能有效履行对投诉人的通知义务。这不仅损害了公民的信任,也削弱了监管的透明度。作者威胁启动欧盟侵权程序,可能促使欧盟委员会重新审视成员国监管机构在保护公民权利方面的履职情况。

对数据保护官(DPO)的提醒

作者以自身经历警告所有 DPO:当收到关于合规性的投诉时,不应采取防御性或拖延态度。忽视合法投诉不仅会导致品牌声誉受损,还会引发更严重的监管罚款和民事诉讼。合规不仅是法律要求,更是商业可持续性的基石。

个人维权的典范

作者作为前 GDPR 起草参与者之一,展示了如何通过严谨的法律手段维护个人数据权利。这一案例证明,即使面对大型跨国企业,个体公民也能通过法律途径获得正义,并推动系统性变革。

相关推荐

查看原文 →thatprivacyguy.com