Garante制裁APP的过度监控行为及多项数据保护违规
意大利数据保护局(Garante per la protezione dei dati personali,简称Garante)发布通报,已对意大利邮政(Poste Italiane S.p.A.,罚款6,624,000欧元)及其子公司Postepay(Postepay S.p.A.,罚款5,877,000欧元)处以两笔罚款,总额达1250万欧元。
意大利邮政是是一家大型的意大利邮政企业,同时也提供金融服务。Postepay作为其子公司,专门从事数字支付服务。
Garante认定,两家公司均非法处理了其银行APP数百万用户的个人数据。
意大利邮政公开拒绝接受这一处罚,并表示将寻求法律救济。
案情提要:APP监控作为使用前提
案件导火索是监管机构自2024年4月起收到的大量投诉。调查对象主要是BancoPosta和Postepay APP的运行方式及其权限要求。
调查发现,在使用这些APP之前,用户须同意对其设备数据进行广泛监控。其中尤其包括访问终端设备上所有已安装及活跃APP的相关信息。
上述两家公司解释称,这是出于欺诈预防以及遵守监管要求的需要,特别是欧洲支付服务指令PSD2(Payment Services Directive 2)的相关规定,该指令要求支付服务提供商确保支付流程的安全性。
已查明的数据保护违规行为概览
Garante认为,此类全面监控对于欺诈预防而言并非绝对必要,因而构成对个人数据的不当侵害。
此外,在调查过程中还发现了其他数据安全缺陷:
- 透明度不足:未向用户充分提供数据处理相关信息
- 缺失数据保护影响评估:尽管存在高风险,却未进行适当的数据保护影响评估
- 安全措施不足:技术与组织措施方面存在缺陷(GDPR第32条)
- 缺乏删除机制:未制定明确的存储和保留规则
- 委托处理方面的瑕疵:未充分落实GDPR第28条的相关要求
监管机构的处置措施及企业的后续应对
除罚款外,Garante还责令两家公司停止有争议的数据处理活动,并遵守数据保留方面的相关规定。
意大利邮政从实体和程序两个层面对该决定做出批评,认为其存在错误。该公司援引拉齐奥行政法院此前作出的一项裁决。该裁决涉及同一反欺诈系统,但确认了相关做法的合法性,并未认定存在不正当商业行为。
意大利邮政宣布,将向罗马的管辖法院对该决定提起诉讼。
法律背景:欧盟PSD2义务与GDPR的边界
银行APP的运营商根据欧盟各国对支付服务指令PSD2的本国转化立法,有义务保障支付流程的安全性,并采取有效的反欺诈措施。具体义务可由各国的相关法律规定。在存在法定义务的情况下,为履行该义务所必需的数据处理原则上可以以GDPR第6条第1款c项作为法律依据。
然而在实务中,问题并不在于法律依据本身,而在于具体措施的设计与实施。无论是支付服务法还是数据保护法,相关法规通常并未规定详细的具体要求,而是采用基于风险的方法。
因此,企业必须自行评估哪些反欺诈措施既必要又符合比例原则。这里产生了一个核心冲突:一方面,相关措施必须足够有效以满足监管要求;另一方面,又不得超出数据保护法所允许的范围。
由于往往缺乏具体的行为指引,这种利益权衡在实践中导致了相当大的不确定性。企业面临的风险是:要么未能充分履行监管义务,要么因措施过度而违反GDPR。
实践意义
该案例凸显了审慎审查安全措施并将其限制在必要范围内的重要性。企业尤其应当审视所选择的措施是否能够达到目的,以及在GDPR的意义下是否为达成目标所必需,或是否存在干预程度更低的替代方案。
与此同时,该决定也表明,相关利益权衡在实践中仍具有相当难度。尽管已有现行法律框架,但对于哪些措施可被视为适当且符合比例原则的问题,仍然普遍存在不确定性。
针对某一特定处理活动的投诉增多,往往是结构性缺陷的明确信号。企业应高度重视此类预警,及时对内部流程进行审查,并结合用户需求作出相应调整。
此外,企业还应认识到,仅一次监管机构的调查就可能足以暴露此前尚未察觉的其他薄弱环节。因此,相关流程不应仅在问题出现时才被动应对,而应纳入常态化的定期审查机制。
实务建议
- APP权限应限制在必要范围内:审查哪些设备数据对于所追求的目的而言确属必要且适当。寻求干预程度更低的替代方案,并及时记录所采取的措施。
- 及时全面地开展数据保护影响评估:一旦某项处理活动可能引发高风险(例如大规模监控设备数据),必须在处理活动开始前强制开展数据保护影响评估,并定期予以更新。
- 确保对用户的透明度:必须以易于理解且完整的方式告知用户有关数据处理及其处理目的的信息。
- 以合法合规的方式设计委托处理:审查是否已与所有在该APP框架内处理个人数据的服务提供商,依据GDPR第28条订立委托处理协议。
- 落实数据删除机制:针对在安全措施框架内所收集的全部数据,制定明确的存储期限,并确保其在技术层面得到落实。
