法国跨国零售商家乐福(Carrefour)因多重数据保护失误被罚款300万欧元。

数据保护机构CNIL对家乐福集团(Carrefour Group)的两家公司处以罚款，原因是它们在多个领域违反了GDPR，包括通知个人的义务、使用cookie、限制数据保留、促进权利行使的义务以及不尊重权利。

零售公司家乐福法国(Carrefour France)被罚款225万欧元，其银行子公司家乐福银行(Carrefour Banque)被罚款80万欧元。

在接到投诉后，CNIL于2019年5月至7月对这些公司进行了检查。

CNIL表示，其提供给公司网站用户的信息不容易访问或理解，而且未能包含有关数据保留期限的完整信息。“关于欧盟以外的数据传输以及处理（文件）的法律依据，信息也不充分”。

CNIL发现，家乐福在获得用户同意之前已自动将cookie放置在用户的计算机上。并且，法国家乐福没有遵守其设定的数据保留期限，保留了超过2800万5至10年不活动客户的数据。CNIL还批评两家公司的4年的数据保存期“过长”。

家乐福还要求提供身份证明，以行使数据权，这一措施被CNIL批评为“不合理”，而且其未能在规定的时间内处理行使权利的请求。

家乐福法国公司没有回应那些希望访问他们数据的人的数次请求，而且也有几次在被要求删除数据时没有予以回应。

CNIL还发现，家乐福银行（Carrefour Banque）表示，当客户订阅通行卡信用卡计划时，除姓名和电子邮件地址外，其他信息均不会传达给“家乐福忠诚度”。但实际上，还传输了其他数据，包括邮政地址，电话号码和家庭中的孩子人数。

然而，法国国家数据保护委员(CNIL)决定不发布禁令，因为家乐福已做出“重大努力”，以“使所有已查明的违规行为合规”。

CNIL表示，自从发现问题以来，家乐福已投入大量资源来确保合规。

现在，家乐福已经修改了其网站上的信息和通知，改变了其使用Cookie的方式，删除了旧数据，部署了大量人力和组织资源，对不到一个月的时间内收到的所有请求做出响应，并“彻底检修”了其在线订阅流程，以准确告知用户数据传输情况。

综上可见，GDPR虽然被称为史上“最严”数据保护法，但其目的并非是置公司于“死地”。GDPR惩戒数据违规、保护了个人数据安全，旨在信息世界里打通一条数据的活路，值得我们每个人的加入和学习。（本文出自SCA安全通信联盟，转载请注明出处。）