ICO 因非法电话营销罚 RHAP 6.5 万英镑

ICO 因非法电话营销罚 RHAP 6.5 万英镑

Kaamel Lab
Kaamel Lab 2023年10月18日

英国信息专员办公室(ICO)于 2023 年 9 月 20 日依据《隐私和电子通信条例》(PECR)对 RHAP 有限公司处以 6.5 万英镑罚款,并发出强制执行通知。原因是该公司在 2021 年 1 月至 8 月间,向已在电话偏好服务(TPS)登记号码的个人拨打了 15288 通未经请求的直接营销电话,违反 PECR 第 21 条和第 24 条。

TL;DR

处罚内容与依据

ICO 认定 RHAP 违反 PECR 第 21 条(对已登记 TPS 或此前拒绝的号码拨打营销电话)与第 24 条(未提供来电身份信息)。强制执行通知要求 RHAP 在 30 天内停止对两类号码拨打营销电话:此前已明确要求 RHAP 不要再拨打的用户,以及登记 TPS 满 28 天且未另行同意的用户。若继续通过公共电子通信服务做直接营销,RHAP 须向接收方提供来电方姓名,以及一个可免费联系的地址或电话。

PECR 于 2003 年制定,用以实施欧盟《电子隐私指令》(2002/58/EC),与英国《数据保护法》(DPA 2018)和英国 GDPR 并行,专门规范营销电话、邮件、短信等电子通信中的隐私权。英国脱欧后,欧盟正在制定的《电子隐私条例》不会自动适用于英国。

这不是个案:ICO 的电销整治行动

RHAP 并非孤例。ICO 近期在国家贸易标准局协助下已对五家公司累计罚款 59 万英镑,这些公司向老年人和弱势群体拨打了约 190 万通垃圾营销电话。自 2021 年 10 月起,ICO 已向 16 家使用高压手段推销白色家电的公司累计开出 145 万英镑罚款,其中大量电话打给了已通过 TPS 屏蔽骚扰的用户。这类持续、成规模的执法节奏,说明监管把电销骚扰当作系统性问题来处理,而非零星个案。跨境的电销执法趋势可参考海外直接营销执法综述,以及澳大利亚 DoorDash 垃圾邮件罚单案

GDPR 下的合法性基础

ICO 2018 年发布的《直接营销指引》具有法定参考效力,而非仅为最佳实践。其核心是同意与合法利益的取舍:若企业已依 PECR 取得符合 GDPR 标准的同意,该同意即构成 GDPR 下的合法性基础;在 PECR 不强制同意的场景(如 B2B 营销),企业通常援引”合法利益”,但须通过三项检验——目的检验(是否存在合法利益)、必要性检验(处理是否为实现目的所必需)、平衡检验(该利益是否压过个人权益)。指引明确指出,在最初收集数据时未给予明确拒绝机会、或大规模合并多来源数据建立用户画像的情形,不能主张合法利益。企业若使用公开来源数据,应据 GDPR 审查流程并记入数据保护影响评估(DPIA)。

对出海企业的启示

在英国和欧盟开展电话或短信营销,企业需要守住三点。第一,先比对 TPS 等抑制名单,号码登记满 28 天即不得再拨打营销电话。第二,直接营销的合法性基础要事先确定——是同意还是合法利益,并保留可举证的记录,举证责任在企业一方。第三,退订和拒绝渠道要简明有效,接到拒绝后须立即停止。这套逻辑与美国的电销监管思路一致,可对照美国 Do Not Call 免打扰政策德州对非法自动拨号开出 1.4 亿美元罚单一并理解。

ICO 处罚决定与 PECR 原文见 https://ico.org.uk/

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.