涉嫌违法电话营销，意大利电信公司遭2780万欧元重罚

国王长了驴耳朵

来源：欧洲数据保护委员会（EDPB）

翻译：张楠奇，上海交大凯原法学院本科生

由于多项非法营销的数据处理行为，意大利数据保护机构（Garante per la protezione dei dati personali，以下简称“ Garante”）对TIM SpA（一家以“意大利电信”名义运营的意大利电信公司）处以总计2780万欧元的罚款。侵权涉及到数以百万计的个人。

从2017年1月到2019年初，Garante收到了数百起有关TIM的投诉，尤其是未经客户同意（或客户已经在选择退出的（opt-out）名单（Public Opposition Register）上进行了注册）就主动拨打营销电话；甚至在客户已经明确拒绝接听此类营销电话时，该公司仍然进行电话营销。投诉中还提到了关于奖品竞赛和TIM提交给用户的有关表格中存在不公平的处理做法。

在意大利金融警察局的一个专门部门的支持下，Garante还开展了复杂的调查，并发现了数起严重违反个人数据保护法规的行为。

事实证明，TIM对他们正在进行的行为之基本特性不够熟悉，并且公司普遍不遵守问责制原则。

在6个月的时间里，数以百万计的营销电话中有很多被打给了“非客户”，Garante可以确定，TIM所依赖的呼叫中心运营商在没有任何同意的情况下联系了数据对象。在一个案例中，一个人在一个月内被联系了155次。在大约20万个案例中，“名单外”的号码被拨打，也就是不包括在TIM营销列表中的号码。同时被发现的还有其他类型的非法行为，例如TIM未能监督某些呼叫中心的活动或未能正确管理和更新其黑名单（列出不希望接收市场营销电话的个人），以及加入“Tim Party”激励折扣计划的强制条件是用户同意接受TIM的营销活动。

针对客户的某些应用程序提供了不准确、不清晰的数据处理信息，并且获得客户同意的安排也不够充分。在某些需要填写纸质表格的情况下，往往一份同意书却用于多种不同的目的，其中包括同意营销。

数据泄露管理系统也被证明是无效的，并且没有适当的实施和管理系统来处理个人数据，这在设计上不符合隐私要求。TIM的黑名单被发现与承包商呼叫中心的黑名单不一致，二者关于“口头订单”即电话合同的记录也不一致。TIM以网络提供商的身份持有其他电话运营商的客户号码，这些号码被存储的时间超过了法律允许的期限，且未经客户同意就用于营销活动。

除了罚款外，Garante还对TIM实施了20项纠正措施，包括禁令和命令。特别值得一提的是，Garante禁止TIM出于营销目的，使用那些在呼叫中心联系时拒绝接听营销电话的用户、黑名单中的用户以及没有同意接听的“非客户”的数据。

未经用户自由、明确的同意，TIM公司不得再将通过“MyTim”，“TimPersonal”和“TimSmartKid”app收集的客户数据用于提供相关服务以外的目的。

Garante发布的命令包括TIM有义务检查其黑名单的一致性，并及时获取呼叫中心汇总的黑名单，以便更新他们自己的黑名单。TIM将不得不重新考虑“TimParty”计划，使客户在无需同意营销活动的情况下即可使用折扣计划和有奖竞赛。TIM还需要检查app的激活程序；必须以清晰易懂的语言，详细说明他们所进行的活动，以及有关的目的和处理机制；并取得有效同意。TIM须就资料当事人的合法要求实施技术及组织措施，并加强措施以确保在其各自系统中处理的个人数据的质量，准确性和及时更新。

TIM的措施和执行方案安排必须到位，并根据特定时间表通知Garante，同时罚款必须在30天内支付。