正文
2024年11月13日,
意大利
个人数据保护机构(
Garante
)
对
Glovo 集团旗下公司Foodinho做出500万欧元的罚款决定,理由是
其通过数字平台非法处理了超过 3.5 万名骑手的个人数据。在罚款之外,处罚决定还禁止
Foodinho
进一步处理骑手的生物识别数据(面部识别),这些数据此前被用于骑手的身份验证。
意大利
个人数据保护机构
采取措施的同时,欧盟官方公报在2024 年11月11日公布了欧盟第 2024/2831号指令,即《
关于改善平台工作条件的指令》,
该指令旨在通过数字平台改善工作条件。
早在2021年7月,
意大利个人数据保护机构Garante就以违反欧盟《通用数据保护条例》(GDPR)为由,先后对两家跨国外卖公司Deliveroo和Foodinho开出290万欧元(约合人民币2217万元)和260万欧元(约合人民币1987万元)的罚单。
监管机构依据GDPR第22条的规定认为,外卖平台完全通过算法为骑手进行评级、排名甚至处罚,而缺乏人工干预机制,会影响骑手的工作机会,并且有可能对骑手造成歧视。
根据调查结果,Foodinho被要求在两个月之内纠正所有严重的违规行为,并再用一个月来修改其算法系统的运作方式。Garante要求,算法功能必须确保遵守GDPR和意大利本国的相关法规。
然而,尽管有上述处罚。在
2021年10月1日晚,依然发生了一起引发舆论广泛关注的骑手送餐途中遭遇交通事故致死案。当时,
26 岁佛罗伦萨骑手塞巴斯
蒂安・加拉西(
Sebastian Galassi
)
骑着摩托车为
Glovo公司
工作,他正要去取最后一份订单,结果在罗韦扎诺(位于德尼古拉大街和戈贝蒂大街之间)一个有信号灯控制的十字路口被一辆越野车撞倒。
26 岁的他从摩托车上被甩了出去,摔倒在地上,最后被另一辆车碾压。
救援非常及时,但这名年轻人几小时后在卡雷吉医院去世。
由检察官费代莱・拉泰尔扎协调进行的调查,根据鉴定结果:
驾车者在德尼古拉大街和戈贝蒂大街的十字路口以每小时 71 公里的速度行驶,远远超过了每小时 50 公里的限速,并且闯了黄灯。最终,
驾车者因道路交通肇事罪被判处 10 个月零 10 天监禁。
该刑罚在驾车者从事 6 个月公共服务工作的条件下缓期执行。
Sebastian Galassi
死亡后,
媒体报道该骑手的账户被外卖平台停用,有一组计算机专家也举报了
外卖平台公司对该骑手账号做的一系列异常操作,最终激发了舆论对该案件的关注。
因媒体报道骑手Sebastian Galassi死亡事件,监管机构展开调查。
2022 年 12 月至 2023 年 7 月,多次对公司进行检查,涉及数据访问、文件审查及员工询问。
调查机构发现,
Sebastian Galassi
死亡后,
Glovo
公司手动停用其账户,系统自动发送停用通知,后称此为错误操作。调查机构认为,
Glovo
公司向骑手发送的状态变更通知存在问题,如未区分不同情况且缺乏针对性信息。
Glovo
公司列举了多种账户停用原因,但部分在意大利未实际使用,如 “Many reassignments” 和 “Bad rating”。
调查机构还发现,
Glovo
公司收集了骑手的多种数据,包括个人信息、订单相关数据、地理位置数据等,但部分数据的收集目的和法律依据不明确。
同时,
Glovo
公司对某些数据处理活动未进行必要的评估。
Glovo
公司与谷歌等第三方服务提供商共享骑手数据,但部分共享行为缺乏合法依据。调查机构发现,
Glovo
公司对通话数据的保留期限达到36个月存在不合理之处。
Glovo
公司的隐私政策存在信息不完整、不准确、不透明等问题,如未明确提及某些数据处理活动,对数据处理的目的和法律依据表述模糊。
Glovo
公司在检查后更新了隐私政策,但仍存在一些问题,如部分内容与实际情况不符。
Garante此次的调查指出,
尽管
Glovo
公司在 2021 年已被该局处罚,但仍发现了众多严重违反《通用数据保护条例》(GDPR)的行为。
该局还在与税务警察特别部队进行检查后确认,该公司使用的平台在停用或封锁账户时,会自动发送一条标准消息,但该消息并未告知可对该决定提出异议并要求恢复账户的可能性。
通过直接访问系统,
Garante/
Foodinho
还证实该公司还对骑手的数据进行了其他自动化处理,例如通过所谓的卓越系统(允许优先预订工作班次的得分)和工作班次内的订单分配系统。所有这些都没有采取 GDPR 规定的使用自动化系统的措施,特别是骑手获得人工干预、表达自己的意见并对通过系统做出的决定提出异议的权利。
调查
发现公司在数据处理过程中存在诸多问题,如信息不完整、不准确、不透明,以及对部分数据处理行为缺乏合法依据等。
Glovo
/
Foodinho
在未告知相关方的情况下,将骑手的个人数据,包括地理位置,发送给第三方公司。特别是地理位置数据,即使骑手不工作、应用程序处于后台运行状态,以及在 2023 年 8 月之前,即使应用程序未激活时,也会被发送。
Glovo
公司对部分违规行为进行了解释,如称某些数据处理行为是基于业务需要,部分是由于技术问题或人为错误导致。
公司还提出了一系列整改措施,如制定特定信息通知、修改相关文本、提高数据处理透明度、删除不适用的账户停用理由、提供生物识别数据处理的合法依据、进行数据保护影响评估等,并承诺在规定期限内完成整改。
Garante最终做出决定
,
Glovo
/
Foodinho
尤其需要重新制定在账户停用或封锁时发送给骑手的消息,并确保算法做出的决定由经过适当培训的操作员进行核实。此外,还需在骑手的设备上激活一个指示全球定位系统处于活动状态的图标,并在应用程序处于后台运行时将其关闭。
Glovo
/
Foodinho
还需采取适当措施,避免基于客户反馈的声誉机制被不当使用和歧视,并履行《工人宪章》在远程控制方面的规定。
Garante认为,
Glovo
公司的行为违反了《通用数据保护条例》(GDPR)第 5 条第 1 款 a)、c)、d)、e) 项,第 6 条,第 9 条第 2 款 b) 项,第 12 条,第 13 条,第 22 条,第 25 条,第 28 条,第 32 条,第 35 条,第 88 条;《意大利隐私法》第 2-septies 条和第 114 条;以及《意大利第 152/1997 号法令》第 1-bis 条(经《意大利第 104/2022 号法令》修订)和《意大利第 81/2015 号法令》第 47-quinquies 条。
处罚结果数据保护机构认定公司违反了相关法律法规,要求公司采取纠正措施,包括修改信息通知、完善数据处理流程、加强数据保护措施等。
意大利
个人数据保护机构
采取措施的同时,欧盟官方公报在2024 年11月11日公布了欧盟第 2024/2831号指令,即《
关于改善平台工作条件的指令》,
该指令旨在通过数字平台改善工作条件。
数字劳动平台不得通过自动化监控系统或自动化决策系统:
