瑞典對 Spotify 的 GDPR 資料存取投訴進行罰款
音樂串流巨頭 Spotify 面臨著約 5 百萬歐元(5.4 百萬美元)的罰款,幾年前由於未能在回應個人請求時提供有關個人資料的全部訊息而被指控違反歐盟使用者的資料存取權利。雖然罰款的規模不太可能引起很多關注,但這個事實終於發生了,這是進一步證實歐洲使用者為維護其資料保護權利而要爬過的高山。
GDPR 第 15 條的違規行為發現是在 noyb 隱私權業務不向盈利機構提出投訴的四年多之後。該公司在 2019 年初提出的投訴聲稱,Spotify 未能對投訴的主體存取請求(SAR)提供充分詳細的訊息,因而未能提供所有所需的個人資料,也沒有提供有關處理目的、接收方、國際轉移等訊息。雖然最初該投訴是在奧地利提出的,GDPR 的一站式機制(旨在簡化跨國資料處理的案件處理)意味著投訴被轉到了 Spotify 的歐盟主要機構所在地瑞典。同樣就該問題提出的另一項投訴也在瑞典的案件中被合併。
波折與追訴後的結果
盈利機構 noyb 表示投訴案件被懶惰地不作為數年之久,瑞典當局開展了一項與此同步的調查,投訴人卻不在其當中——盡管 GDPR 規定資料控制者必須在一個月內回應存取請求。經過一番法律訴訟後,noyb 控告瑞典資料保護當局(IMY)沒有做出決定。去年該公司成功挑戰了 IMY 的立場,即投訴人不是程式當事人的立場。斯德哥爾摩行政法院裁定,投訴人有權在六個月後要求做出決定。儘管此訴訟仍在進行(在高級法院),但去年 11 月,行政法院的決定命令 IMY 進行調查和處理投訴,這似乎催生了當局的決定。
IMY 下令 Spotify 最終提供完整的資料集,並認定其未能提供個人隱私保護有關的整體程式,因而進行了行政罰款。IMY 對 Spotify 作出的罰款金額為 5800 萬瑞典克朗(約合 550 萬歐元),決定涉及違反了 GDPR 法第 12.1、15.1 的 a-h 項以及第 15.2 項。IMY 案件還涉及了三起投訴,當中兩件顯示 Spotify 未能正確處理所需求的資料存取,因此不應被視為單一案件。當時 IMY 已對此作出譴責決定。IMY 表示本案件是一個複雜而全面的案件,不僅評估了 Spotify 處理個人存取請求的一般程式,還評估了其在多個單獨情況下的行為。由於 Spotify 在多個國家都有業務和使用者,所以該調查還涉及與歐盟其他資料保護當局的合作。IMY 稱這種合作以及對相似處理在整個歐盟的要求,也意味著監督的重心必須轉向,這不幸地延遲了其處理。IMY 宣告表示歐盟的合作與 GDPR 一同出現,對我們來說是相對較新的事物,歐盟內部仍在進行工作,以使合作得到簡化——這是我們認為需要的。
noyb 的實驗
noyb 提出了一系列針對音樂和影片平臺的投訴,該公司尋求測試 GDPR 的適用性。公司認為,在其測試的八個平臺中,使用者的 GDPR 資料存取權利的結構性侵犯是不常規的。noyb 找出了這些平臺:http://Amazon,AppleMusic,DAZN,Flimmit,Netflix,Spotify,SoundCloud 和 YouTube。這個公司發現,它們中的許多平臺設定了自動系統來回應使用者的存取請求,但沒有提供所有歐洲人合法獲得的訊息。四年多之後,noyb 對這些歐洲使用者的資料存取權利結構性侵犯狀況在多大程度上得到了改善還是不清楚。不過在 Spotify 問題上,行政懲罰的事實——儘管緩慢——顯然推動了事件發展的程式。noyb 的創始人和主席 Max Schrems 證實,IMY 的決定包含了命令 Spotify 遵守存取要求的內容。他還暗示,該平臺在調查期間已改善了其系統的情況。他說,「現在我們期待完整的回應。所以,我們需要看看他們將傳送什麼以及這是否足夠。」 。
最後的結論
五年多之後,GDPR 成為了一個應用的拼圖,因為各國當局在維護歐洲人的隱私權利方面存在著不同的方法、程式(有時還有資源)而導致結果極大地不同。盈利機構 noyb 對 Spotify 提出的投訴案件是一系列投訴案件中的其中之一,旨在測試這部法律的應用情況。noyb 認為,在其測試的八個平臺中,使用者的 GDPR 資料存取權利的結構性侵犯是一種不常規的情況。除了 Flimmit 已在程式期間修正其程式而被關閉外,如果在其它的投訴案件中,有至少一半的投訴沒有得到有關 DPAs 的任何回應,那麼報告中對 noyb 早期制定的拍照系統的系統性資料存取權利的侵犯的情況是否有實質性的改變還不清楚。盡管如此,針對 Spotify 的行政執法,雖然緩慢,但顯然已經推動了事件發展的程式。
延伸閱讀
- Spotify 隱密將歌詞移至付費牆後
- SoundCloud 推出新的“熱門播放列表”功能,挑戰 Spotify 的 Discover Weekly
- 亞馬遜旗下的 Audible 將利用 Prime Video 資料進行有聲書推薦,與 Spotify 競爭加劇
- 雷蛇因聲稱口罩能發光「N95」遭美國聯邦貿易委員會罰款 110 萬美元
- 美國對電信公司因未經同意分享客戶位置資料處以 2 億美元罰款
- Spotify 全力打造企業與開發者工具,成為重要玩家
- Spotify 向蘋果提交新更新,提供歐盟使用者的定價訊息
- 消費者金融保護局對 BloomTech 處以罰款,因其虛假宣稱
- Amazon Music 跟隨 Spotify 推出自己的 AI 播放清單生成器 Maestro
- AI 中心化資料存取與分析平臺結合差分隱私技術 PVML
