我告诉他们强制同意是非法的。5年后,Elkjop为此付出了180万欧元的代价。

Hacker News Top 新闻

摘要

一位隐私权倡导者针对Elkjop强制同意营销行为的投诉,在五年后导致其被处以180万欧元罚款,凸显了GDPR的违规问题。

<a href="https://web.archive.org/web/20260618212028/https://www.thatprivacyguy.com/blog/elkjop-forced-consent-fine/" rel="nofollow">https://web.archive.org/web/20260618212028/https://www.thatp...</a><p><a href="https://archive.ph/I4zjA" rel="nofollow">https://archive.ph/I4zjA</a>
查看原文
查看缓存全文

缓存时间: 2026/06/18 23:52

# 我告诉他们强制同意是非法的。五年后,这让 Elkjop 付出了 180 万欧元的代价 来源:https://www.thatprivacyguy.com/blog/elkjop-forced-consent-fine/ 2021 年夏天,我是 Elgiganten Kundklubb(Elkjop 集团在北欧运营的客户俱乐部)的会员,和许多会员一样,我被营销邮件淹没了。于是我做了理所当然的事——去找关闭它们的方法。但我发现的却是一个花了五年才纠正的问题——停止营销的唯一方法就是完全取消我的会员资格。 7 月 30 日,我给他们数据保护官(DPO)写信,直白地说明了为什么这种安排违法。根据 GDPR 第 21(2) 条,每个人都有绝对的反对直接营销的权利。根据 ePrivacy 指令,通过电子邮件进行营销只有在以下情况下才合法:我给予了同意,或者存在现有客户关系,并且在收集我的信息时以及每封后续邮件中都提供了简单的退订方式。而同意,要想具有任何价值,必须是自由给予的——根据第 4(11) 条和第 7 条,这意味着同意不能捆绑在或其他东西的条件下。强迫我放弃会员资格及其附带福利,仅仅是为了行使我已经拥有的权利,这就是教科书式的非自由同意案例。 ## 他们将违规行为白纸黑字写了下来 几天后收到的回复给了我一个好处:将违规行为记录在案。用他们自己的话说,他们的立场是“为了接收营销/优惠,成为客户俱乐部会员是条件”。这一句话就是整个案件。他们把一个我有权免费行使的权利,变成了入场的代价。 所以我升级了。我根据第 18 条提交了正式的处理限制请求,根据第 15 条发出了完整的主体访问请求——他们依赖的法律依据、合法利益平衡测试、接收者、子处理者、国际传输、画像分析,全部都要——并向瑞典监管机构 Integritetsskyddsmyndigheten (IMY) 提出了投诉,参考编号为 DI-2021-6660。公司对此的回应是指向一份模糊的隐私政策,然后,当这招不管用时,将我的访问请求的截止日期延长到 90 天,理由是“复杂性”和“内部资源有限”。 ## 瑞典的投诉如何变成挪威的罚款 这就是 GDPR 机制发挥作用的地方。客户俱乐部由挪威母公司 Elkjop Nordic AS 运营,事实上,母公司拥有对处理目的和方式的真正决策权。因此,2022 年 9 月,IMY 认为它根本不是处理此事的正确机构。根据第 56(1) 条的一站式服务机制,主管监管机构应该是控制者主要营业地所在的机构,而这个营业地在挪威。IMY 将调查和我的投诉移交给挪威数据保护局 Datatilsynet,后者接受了此案。然后,正如这类事情常见的那样,事情沉寂了很长时间。 2026 年 6 月 1 日,沉寂被打破。Datatilsynet 对 Elkjop 集团处以 2000 万挪威克朗(略高于 180 万欧元)的罚款,并且认定这正是我在 2021 年告诉他们的内容。该公司为其客户俱乐部所依赖的同意无效——它是强制性的,不具体,并且会员没有得到充分告知。除此之外,该公司还通过俱乐部收集的个人数据,将其进一步用于广告和转化追踪,却从未进行第 6(4) 条要求的兼容性评估——该评估要求在如此重新利用人们的数据之前必须进行。该决定涉及第 4(11)、5(1)(a)、5(2)、6(1)(a)、6(1)(f) 和 6(4) 条——整个安排的合法性、公平性、透明度和问责制。 我想明确说明为什么这件事意义重大,远不止一家零售商和一笔罚款。强制同意、付费或同意、捆绑同意,整个“要么同意一切,要么无法使用服务”的模式——它无处不在,并且是数字经济的巨大组成部分的默认操作方式。它也是非法的,每次都是出于同样简单的原因——如果你不能在不失去你本应保留的东西的情况下说“不”,那么你并没有自由地同意任何事情。五年后,七位数的罚款,这一点现在已写入公开的决定,供任何人阅读。 ## 我竟然是在一个维基百科上读到这个消息的 然而,这个故事中有一部分我不打算放过,因为它本身就是一桩小丑闻。 我不是从 IMY 知道这个决定的。我不是从 Datatilsynet 知道的。我是从 GDPRhub 知道的,一个由志愿者运营的维基百科,在一个随机的星期四早上,距离我提出投诉已将近五年,并且决定早已做出。 根据 GDPR 第 77(2) 条,监管机构有具有约束力的法律义务,向投诉人通报其投诉的进展和结果。这不是礼貌,也不是酌情决定的——这是法律明文规定的。我向 IMY 提出投诉,IMY 将其转交,案件以数百万欧元的执法行动告终,而涉及的监管机构中没有一个想到要通知发起此事的人。 所以今天早上我写信给 IMY,要求他们书面解释。我给了他们五个工作日。如果答案和我预想的一样,我将根据欧盟的侵权程序提出申诉,因为一个连对它所保护的人的最基本义务都无法履行的监管机构,正是委员会应该关注的事情。以前我就曾带领委员会走这条路,针对 Phorm 和英国未能正确实施欧盟关于通信保密的规则,我完全愿意再做一次。 多年来我一直在说隐私是个人的,而且我是以最字面的意思说的。这是我的俱乐部会员资格、我的收件箱、我的数据和我的投诉。法律在 2021 年支持我,现在也支持我。那个告诉我要么离开要么忍受的公司已经为这个选择付出了代价。 唯一悬而未决的事情是,本应全程支持我的监管机构的解释,以及在监管程序结束后对 Elkjop 集团提起的民事诉讼——现在由于我们掌握了进一步非法处理这些个人数据的更多细节,这场诉讼将会广泛得多。 如果他们在 2021 年听我的,他们本可以避免罚款,使他们的处理合法化,避免品牌损害和由此产生的诉讼。 当我作为 DPO 写信向你们提出投诉时,你们最好留意。我不是外行,我是这门法律的专家,我帮助创造了它,我不会仅仅因为这些行动带来不便就停止,这是我毕生的事业。注意了,当我写信给你们时,我是在免费提供建议,你们应该这样对待,而不是采取防御姿态并拒绝改变。

相似文章