蘋果或違反GDPR用戶訪問請求規定 監管機構展開第三輪調查

向來以重視數據隱私保護著稱的蘋果公司，在去年歐盟《一般數據保護條例》（GDPR）施行以來，正在面臨第三輪隱私權相關調查。

當地時間7月2日，路透社獲悉，愛爾蘭數據保護局（DPC）發言人表示，在數周前，已對蘋果公司展開第三輪隱私調查。此次調查的重點是查明蘋果公司是否遵守了GDPR中與“用戶訪問請求”（access request from a customer）有關的規定。

按照GDPR規定，用戶有權要求查閱公司收集的個人信息（包含處理目的、個人數據類型、數據接收者以及所收集的個人信息的副本），也可以要求刪除、糾正個人信息。而且，公司必須在一個月內對用戶的要求進行響應，若情況複雜可延長至兩個月。

《麻省理工科技評論》曾對此分析稱，用戶要求的數據可能會在不同的伺服器上，而且可能有多種不同格式。因此，公司為GDPR合規所做的整改工作很大一部分將來自重建數據庫的基礎設施，從而響應用戶的這類要求。

由於蘋果、Facebook和谷歌等美國科技巨頭都把歐洲總部設在了愛爾蘭，因此都要受到DPC監管。公開資料顯示，目前DPC已經對這些跨國科技公司展開了20多項調查。

其中Facebook面臨八項獨立調查，其子公司WhatsApp和Instagram分別面臨一項調查，Twitter涉及三項調查，谷歌、微軟旗下的領英以及美國數字廣告公司Quantcast也各面臨一項調查。而涉嫌違反知情同意權、刪除權、用戶訪問請求權以及數據處理合法性，是這些科技公司被調查的主要原因。

據DPC2018年年報顯示，截止2018年底，DPC已根據調查結果發出23項正式申請，要求涉事公司提供能證實其遵守GDPR要求的詳細信息。

比如：谷歌處理位置數據的問題、微軟處理其Office產品收集遙測數據的問題、WhatsApp與其他Facebook公司共享個人數據的問題，以及第三方向Facebook傳輸個人數據和與外部研究人員合作等問題。雖然目前還沒有開出大額罰單，但DPC表示，對於上述問題一直在持續監督中。

值得注意的是，根據DPC官網顯示，前兩輪針對蘋果的調查是基於個人或者企業投訴啟動的，不是由DPC自行發起，而且目前仍未給出結果。

其中一項調查涉及蘋果在進行用戶行為分析和推送定向廣告時，對個人數據的處理是否合法。另外一項則是關於其隱私政策和其他在線文件中包含的信息是否足夠透明。

按照GDPR的規定，監管機構有權對違規公司處以相當於全球營收4%或2000萬歐元（大約2200萬美元）的罰款，以金額較高的一項為準。

文/南都個人信息保護研究中心研究員 李慧琪