近日，法国数据保护管理机构——国家信息自由委员会（The Commission nationale de l'informatique et des libertés，以下简称CNIL）依据《通用数据保护条例》（下称GDPR）对法国跨国电商Spartoo作出了25万欧元的罚款决定，这也是CNIL作为主要监管机构对涉及跨境加工的公司开出的第一张罚单。

来自Carlton Field律师事务所的Christina Gagnier对这一处罚决定进行了评论和解读，Christina认为，在其作出的执行决定中，CNIL着重关注了Spartoo对《通用数据保护条例》中以下内容的违反：

1、违反了数据最小化原则

GDPR第5-1 c)条规定，个人数据必须是充分的，相关的，并应限制在处理目的所需的范围内。

CNIL指出，Spartoo记录了客户和支持团队之间的所有电话对话，其目的是用于 "员工培训和评估"，但实际上没有必要对所有电话都进行录音；少数电话录音中有客户的银行信息，这些银行信息非是为实现培训目的所必需的；此外，Spartoo以“打击诈骗”为由，在意大利收集客户的身份证和健康卡信息，但收集身份证已经足以确定客户身份，健康卡的收集违反了数据最小化原则，并且是过度的，与所追求的目的无关。

2、违反了存储限制原则

GDPR第5-1 e)条规定，个人数据以允许识别主体形式保存的时间，不得超过处理这些数据的目的所需的时间。

经调查，CNIL发现Spartoo缺少有效的数据保留政策和相应的删除客户信息的时间框架，具体表现为其积压了大量客户的个人信息，对于超过2500万名三年以上没有在该网站上活动的用户，其记录没有被及时清理。

3、未能提供适当的通知

根据GDPR第13条的规定，数据控制者在收集数据时应提供与其身份和联系方式有关的信息、数据保护人员的身份、处理目的及其法律依据、接收者的身份、个人数据的传输，个人数据的保留期限、个人享有的权利以及向“监管机构”提出投诉的权利。

CNIL指出，Spartoo的隐私声明并未提及客户数据正在被传输至马达加斯加，而关于电话录音的员工隐私政策也没有提及处理目的、处理的法律依据、接收者、保留时间、个人权利以及向CNIL投诉的可能性。因此，这构成了GDPR中通知义务的违反。

4、违反执行技术和组织措施的义务

GDPR第32-1条规定，考虑到知识水平、实施成本、处理的性质、范围、背景、目的以及风险、概率和严重程度、自然人权利和自由，控制者和处理者应实施适当的技术和组织措施，以保证与风险相适应的安全水平，特别是确保持续保密性、完整性、可用性、处理系统和服务的弹性。

CNIL认为，Spartoo作为数据控制者，允许用户使用相同字符创建一个6位数字的密码，该密码被修改为至少8个字符，相同类别字符的8位密码保密性很弱，不能达到强密码的标准。此外，Spartoo还通过未加密的电子邮件收集了客户银行卡的扫描件，并将其与其他支持文档一起保存，而未采取其他安全措施。因此，该公司未采取适当的安全措施来保护客户的银行数据，且违反了GDPR第32-1条。

对于这一决定，有评论称，CNIL此次执法行动可能会为GDPR执法打开闸门。随着越来越多的欧盟数据保护机构发布关于GDPR特定条款的指南，无论是Cookie还是数据传输机制的合法性，企业都应确保其可以应对来自各个数据保护机构的调查和执法行动。

本文原载于“jdsupra.com”，作者Christina Gagnier。