一、瑞典斯德哥尔摩上诉法院确认对 Spotify 违反 GDPR 的制裁决定
发布日期:2025年6月3日
发布机构:瑞典斯德哥尔摩上诉行政法院(Kammarrätten i Stockholm)
适用法律:《通用数据保护条例》(GDPR)第12条、第13条、第15条
2025年6月3日,斯德哥尔摩上诉行政法院裁定,Spotify AB在处理个人数据过程中未充分履行 GDPR 规定的信息透明度义务,维持瑞典隐私保护局(Integritetsskyddsmyndigheten, IMY)于 2023 年对其作出的 5800 万瑞典克朗行政罚款决定。法院指出,Spotify 未能以清晰、易懂和易于访问的方式向数据主体说明其数据处理活动,具体缺失信息包括处理目的、数据类别、接收方类型、数据存储期限或确定该期限的标准,以及个人数据传输至第三国时所采取的保障措施。这种不完整的信息披露构成对数据主体知情权和访问权的实质性限制,违反了 GDPR 第12条与第15条关于透明度与访问的核心要求。
尽管 Spotify 在监管调查启动后采取了一系列补救措施,例如改善其隐私政策界面和内容呈现方式,但法院认为,这些改进不影响其原先违法行为的事实与性质。司法机关强调,即使是跨国大型平台,也必须严格遵守 GDPR 设定的信息披露标准,保障个人对自身数据处理的掌控权。该案确立了在瑞典司法体系下对“透明度义务”实质内涵的明确解释,对企业履行信息义务的标准提出了更高要求,同时对未来欧盟范围内类似合规争议具有重要参考价值。
二、德国联邦数据保护和信息自由专员办公室(BfDI)因沃达丰有限公司(Vodafone GmbH)违反数据保护规定,对其处以 4500 万欧元罚款
发布日期:2025年6月3日
发布机构:德国联邦数据保护与信息自由专员办公室(BfDI)
适用法律:欧盟《通用数据保护条例》(GDPR)第28条、第32条
2025年6月3日,德国联邦数据保护和信息自由专员办公室(BfDI)专员 Louisa Specht‑Riemenschneider 对Vodafone(沃达丰) GmbH 施以总额4500万欧元的罚款,此为德国迄今对 GDPR 违规行为的最高处罚标准。罚款分为两部分:沃达丰未能充分审查并持续监督其授予销售代理的合作方(委托处理者),导致这些合作方实施了伪造合同的行为,以及对客户的不利变更行为,这些行为显然显然违反GDPR第28(1)条。基于此,BfDI对其处以 1500万 欧元罚款;另外3000万欧元罚款源自其 “MeinVodafone” 与客户热线联合身份验证流程存在重大安全漏洞,该漏洞使未授权第三方能够访问用户 eSIM 配置,违反了 GDPR 第32条保障技术与组织安全控制的要求。此外,BfDI 对该公司在某些销售系统中的安全缺陷发出正式警告。
Vodafone 对处罚决定表示接受,并已全额向联邦国库缴纳罚金。在调查期间,公司不仅全面配合监管审查,还主动披露自有过错并启动系统性整改机制,包括替换或升级认证流程、加强对合作代理的审计流程、与出现问题的代理解除合作,并重新构建隐私与合规策略。BfDI 也将对此次整改措施的落实情况开展后续复核。专员强调,这一处罚案件体现了“数据保护并非IT成本障碍,而是赢得客户信任的竞争优势”。该案不仅强化了德国在委托处理者监管与身份验证安全方面的GDPR执行标准,也为欧盟相关领域提供了有力判例支持。
三、波兰 UODO 主席就 Santander 银行数据泄露案提起最高法院上诉
发布日期:2025年6月9日
发布机构:波兰个人数据保护局(UODO)
涉及法律条款:《通用数据保护条例》(GDPR/RODO)第33条、第34条
2018年,波兰 Santander 银行发生涉及客户信息的文件遗失事件,构成个人数据泄露。然而,该银行未按照《通用数据保护条例》(RODO)第33条与第34条规定,在法定时限内向监管机构报告事件,也未通知受影响数据主体。波兰数据保护局(UODO)因此作出行政决定,对该银行处以超过144万兹罗提的罚款,并命令其履行通知与报告义务。Santander银行提起诉讼后,华沙行政法院以超出国内法规定的诉讼时效为由撤销处罚决定,认为监管机构无权在通知义务履行数年后仍追责。
UODO 主席 Mirosław Wróblewski 不服该裁决,于 2025 年 6 月 9 日向波兰最高行政法院(NSA)提起上诉,主张法院在处理 RODO 义务的持续性与处罚时效方面适用法律错误。
UODO 主席在上诉中强调,数据控制者未履行通知义务时,其违法状态具有持续性,应当从实际履行之日或违法状态终止之日起计算处罚时效,而非从法定期限届满之日起算。他指出,如若接受行政法院的观点,将意味着数据控制者可以通过拖延履责逃避监管责任,严重削弱 RODO 中“及时通报”机制的效力,损害数据主体的知情与补救权利。该立场亦得到了欧洲数据保护委员会(EDPB)相关指南的支持。该案不仅关系波兰国内对 RODO 义务与处罚逻辑的理解,更可能成为欧盟范围内界定“持续性违规”与处罚时效起算点的重要判例,影响日后数据保护监管的统一性与实效性。
四、企业出海启事
这三起案件分别聚焦于 GDPR 几项核心的合规要求:信息透明义务(Art. 12–15)、数据委托关系监管责任(Art. 28)、安全技术与组织措施(Art. 32)以及数据泄露通报机制(Art. 33–34)。
GDPR 第12条强调了信息提供的透明度要求。企业在向数据主体说明其数据处理行为时,必须以简明、清晰、可获取的方式传达关键信息,包括数据处理的目的、类型、接收方、存储期限和跨境传输依据。信息应以结构化、非技术性语言呈现,确保数据主体能够真正理解其个人数据的流转方式。GDPR 第28条规定控制者与其处理者(如供应商、外包机构)之间必须签署符合法律要求的数据处理协议(Data Processing Agreement, DPA)。该协议需明确数据处理的范围、性质、种类、安全义务、再委托条件和数据处置方式等关键内容。控制者还须对处理者的行为负最终责任。GDPR 第32条要求企业针对数据处理的性质和潜在风险,采取恰当的技术和组织性安全措施。这包括但不限于数据加密、假名化、权限最小化、系统监控、备份与恢复机制以及员工安全培训等。企业需建立信息安全管理制度(如ISMS),确保安全控制具备持续性与动态适应能力。GDPR 第33条要求控制者在知悉泄露后,须在72小时内向主管机关通报,报告内容应包括事件性质、受影响人数、已采取措施和拟定的缓解计划;若事件对数据主体构成高风险,还需依第34条向其个人发出通知。因此,企业需在内部建立快速响应机制、指派数据保护官(DPO)或设立专门小组,确保在突发事件发生时能够依法合规、及时处理。
综上所述,首先,企业需要制定合规的隐私政策、使用多语种支持,并确保用户在首次接触服务时就能被告知,仅仅提供形式上的隐私说明已不足以满足Art. 12的“清晰、透明、易获取”标准,企业必须确保用户能实际理解其数据被如何处理、由谁处理、将保留多久,并建立可行的数据访问与查询通道。其次,企业与其外包商或代理之间的数据委托关系必须通过符合Art. 28 要求的书面 DPA(Data Processing Agreement)明确界定职责,并通过持续监控确保第三方合规操作,任何因监管缺失导致的滥用行为将由数据控制者承担主体责任。因此,企业不仅需在初期开展尽职调查,还应设置定期审查与审计机制,确保所有外部数据处理活动在控制之下进行。尤其在平台、金融、通信等行业,与销售渠道、服务商的委托合同需特别审慎,以免因监管盲区而产生系统性风险。最后,一旦发生数据泄露,企业必须在72小时内依据Art. 33向主管机关通报,并酌情依据Art. 34通知受影响个人,逾期上报或信息不完整均将被追责。
