法国数据保护监管机构对某本地服务平台处以罚款

　　【合规资讯】

　　2025年5月21日，法国数据保护监管机构（CNIL）依据《通用数据保护条例》（GDPR）对某本地服务平台企业处以90万欧元罚款，因其在处理用户个人数据时存在多项合规缺陷。调查显示，该企业在未经用户明确同意的情况下长期收集、存储并用于定向广告推送个人数据，且未建立有效的数据访问控制机制，导致部分用户信息存在泄露风险；同时，该企业未能及时响应数据主体的删除请求，违反GDPR关于数据主体权利的规定。（资讯分类：境外，数据和隐私保护；资讯来源：欧盟数据保护委员会）

　　【合规提示】

　　建议企业关注如下要点：一是在法国经营企业若涉及欧盟用户数据的商业营销，需严格遵循GDPR第7条及法国《电子通信代码》要求，确保用户同意的“自由、明确与知情”：不得通过预勾选、默认同意或隐蔽条款获取授权，需以清晰独立的弹窗或表单区分必要与非必要数据处理（如营销短信与核心服务功能），并为用户提供逐项选择的权利。二是企业需在隐私政策中详细披露数据来源、使用目的、共享对象及跨境传输路径，核查上游收集环节的合规性。建议建立“数据供应链合规台账”，要求供应商提供原始同意记录、数据收集声明等文件，确保从源头满足GDPR“合法性基础”要求。对于电子营销场景，需单独说明营销频次、退订方式及数据保留期限，避免因披露模糊被认定为“非法处理”。三是根据GDPR相关规定，企业需结合业务规模评估违规风险，每年至少开展一次GDPR合规审计，重点核查同意记录的完整性、营销数据的合规性及跨境传输的标准合同条款（SCCs）有效性。

[ 期号：20250516-20250531]