2026 年 5 月 12 日,比利时数据保护局(DPA)宣布第102/2026号决定,因比利时Société Wallonne des Eaux公共水务公司(SWDE)违规对员工的电话录音,违反多项欧盟《通用数据保护条例》(GDPR)和比利时《电子通信法》(LCE)的条款,对其处以总计 86,000 欧元的罚款。
SWDE公司做了什么?
比利时DPA于2020年4月16日收到了SWDE公司的一名员工的投诉,投诉人称SWDE对其员工的工作电话进行有系统地录音,员工没有被充分告知其被录音的个人信息的处理情况,同时公司将电话录音形成的员工评价表还转交给比利时以外的一家公司。
SWDE承认他们在员工电话的前端和后端实施了通话录音。但SWDE抗辩称,实施电话录音是为了监控公司“呼叫中心”的服务质量,并基于评估对员工进行工作培训。
比利时DPA的法律依据和调查结果
比利时DPA经调查,认定该公司违反了GDPR下的个人信息保护义务。
【法律依据】
🇪🇺 GDPR第5(1)(a)条、第6(1)条、第12(1)条、第13条。
第5(1)(a)条:处理数据主体的个人信息,应当以合法的、合理的和透明的方式来进行处理。
第6(1)条:只有数据主体已经明确同意一项或多项的数据使用目的,对个人信息的处理才属于合法。(数据处理的合法原则之一)
第12(1)条:数据控制者在实施第13条的义务时,应当以简洁、透明、易懂和容易获取的形式,以清晰、平白的语言向数据主体提供信息。(交流模式的透明性)
第13条:在收集和使用数据主体的个人信息前,数据控制者应当向数据主体提供数据控制者的身份与联系方式、数据保护官的联系方式、数据处理目的与合法基础等信息。(个人信息使用的透明性)
🇧🇪 LCE第124条。
第124条:任何人在未经他人的允许下,不得有意获取与他人相关的电子通信数据。
【DPA的调查结果】
比利时DPA首先认定,该争议的SWDE部门不属于法律定义上的“呼叫中心”,因为该部门员工平均每天处理的客户电话不到一次,且主要管理案件档案,而非提供一线客户支持。因此SWDE对员工进行电话录音并不具备GDPR第6条(1)(b)条合同履行必要的合法性基础,SWDE在2020年10月至11月间录制的三次测试录音均属于非法。
此外,SWDE未能获得来电用户的有效同意。即使SWDE在电话录音中提示“为了提升我们的服务,此通话可能被录音”,但DPA认定这并不构成GDPR下的有效同意请求,因为SWDE并未提供来电用户主动拒绝电话录音的可选项,而只是告知电话会录音。
最后,DPA还发现SWDE也并未按照GDPR第13条向员工说明电话录音中收集到的员工个人信息的处理目的、收集范围和存储期限等。即使在2022年10月对电话录音的预提示改进后,也未完全尽到GDPR要求的透明性义务。
案件结果
比利时DPA判决SWDE公司:
因违反电话录音中对员工和用户的告知义务与透明性,判处8.5万欧元罚款;
因未签署数据处理协议而被罚款1000欧元;
对SWDE非法测试录制、违规数据保存、未通知数据泄露以及未进行数据保护影响评估的行为给予谴责;
在四个月内完成对GDPR第12条、第13条的整改,要求使来电用户能够直接被告知个人信息的处理情况,而非像之前必须登录SWDE官网查看隐私政策才能了解。
此案件对出海企业有哪些风险警示?
"呼叫中心例外"是什么?为何在本案中反复提及?
“呼叫中心”是欧盟ePrivacy指令及比利时LCE对通信保密的特殊例外。
原则上,公司被禁止未经用户与员工的双方同意而进行电话录音;但作为例外,被认定为“呼叫中心”在严格条件下可对员工的通话进行录音以用于培训、质量管控等合同限定目的,同时必须在录音后1个月内将录音删除。
SWDE公司显然希望通过被认定为“呼叫中心”以获取例外保护,但DPA根据其业务特定否认了其属于“呼叫中心”的抗辩。
从本案中,可以分析“呼叫中心”至少具备以下特点:
1、业务形态上,呼叫中心的主要工作是高频、批量的电话处理。其日均处理用户电话数通常在10次通话以上,并且电话业务至少持续数月。
2、工作任务上,呼叫中心的工作目的是专门处理客户投诉、质量监控,其客户通话的工作是常态化任务而非临时工作。
企业电话录音容易踩的合规红线是什么?
根据本案比利时DPA对SWDE公司的处罚判决,垦丁王捷律师团队总结出以下几点出海企业在进行电话录音时容易踩到的合规红线:
仅在线上官网的隐私政策中披露必要信息,无实时告知渠道(如通话前语音播报、短信提醒等);
未设置一键拒绝录音的实时选项;
在认定为“呼叫中心”或获取录音同意后,录音超1个月未删除,未设立自动清理录音的自动化机制;
外包数据处理无书面协议,权责不清;
同意条款模糊,未区分员工与客户,未明确同意撤回的退出机制。
出海企业若被认定为违规电话录音,可能面临哪些风险:
1、高额罚款风险:GDPR罚款上限为全球营业额4%或2000万欧元(取较高者)。SWDE案虽罚款金额不高,但其属于典型警示案例。后续若有企业再次因违规电话录音被处罚,罚款金额可能会显著提高;
2、业务暂停风险:欧盟各国监管机构可下达整改令,若未按时合规,可暂停呼叫中心、运营客服等核心业务;
3、当地声誉与信任风险:数据隐私违规容易引发当地用户投诉、媒体曝光,尤其欧盟用户对隐私敏感度极高,后续可能影响品牌在当地的运营,影响品牌形象;
4、合规成本叠加风险:事后整改需重构录音系统、完善隐私告知、补签协议、开展员工培训、补设自动化清除数据的系统,成本远高于事前合规投入。
近期比利时DPA判决频出,反映了什么趋势?
近期比利时DPA的执法判决频出(同日发出的还包括Isabel公司被罚12万欧元案、某公司被罚17.6万欧元的邮箱案),除了反映欧盟已进入高频监管时期,各国监管机构近期处于活跃状态外,垦丁王捷律师团队认为这可能反映了欧盟执法将像以下趋势发展:
1、重点考察企业的角色定位:如Isabel案中DPA强调其为数据控制者而非数据处理者,本案中DPA强调SWDE公司不具备“呼叫中心”的法律定位。
2、主要监管对象不再只是“行业巨头”,普遍追责可能成为日后监管重点:如这三个案件中的被追责企业都是当地中小企业。
3、监管场景将紧盯 “高频、日常、易忽视” 的工作场景:如这三个案件的监管场景都是电话录音、员工邮箱、平台数据等日常工作场景。
8.6万欧元! 比利时DPA因违规电话录音对一公司处以罚款
作者:王捷 王子系 钟浩辉来源:出海互联网法律观察

2026 年 5 月 12 日,比利时数据保护局(DPA)宣布第102/2026号决定,因比利时Société Wallonne des Eaux公共水务公司(SWDE)违规对员工的电话录音,违反多项