背景资料

最终裁决日期:2022年2月8日

跨国案件或国家案件:国家案件

控制者:布达佩斯银行 

法律参考: 处理的合法性（《通用数据保护条例》第5条第（1）款（a）项、第6条第（1）款、第6条第（4）款）、目的限制（《通用数据保护条例》第5条第（1）款（b）项）、透明度（《通用数据保护条例》第12条第（1）款、第13条）、反对权（《通用数据保护条例》第21条第（1）款、第21条第（2）款）、适当措施（《通用数据保护条例》第24条第（1）款）、设计和默认数据保护（《通用数据保护条例》第25条第（1）款）、第25条第（2）款）

决定:行政罚款

关键词:人工智能、新技术、手机录音分析、情感分析、银行、合法权益评估、透明信息、反对权、设计隐私与默认隐私、行政罚款

决定摘要

案例起源

在另一个案例中，匈牙利数据保护机关发现数据控制者会对客户服务电话进行自动分析。由于这种数据处理并没有明确告知数据主体，匈牙利数据保护机关于2021年开始对数据控制者进行依职权调查，以审查数据控制者利用自动分析进行的一般数据处理工作。

主要发现

数据控制者会记录下当天所有的客户服务电话，并在晚上利用软件自动分析所有的新录音。该软件通过人工智能来查找关键词，根据客服电话录音猜测客户在通话时的情绪状态，得到一份按照客户不满、愤怒的可能性进行排序的人员名单，并将分析结果和语音通话一起在系统内存储45天。根据分析结果，由指定员工标记出需要客服致电的客户，评估他们不满意的原因。但数据主体并没有收到关于这种特殊数据处理的消息，从技术上来说也不可能有反对权。而这种数据处理正是利用这一点计划并进行的。

对数据控制者的影响评估还证实，被审查的数据处理使用人工智能对数据主体的基本权利造成了很高的风险。但无论是影响评估还是合法利益评估都没能提出任何实际的风险缓解措施，即便存在，仅仅停留在纸面上的措施(信息、反对权)也是不充分的。从本质上来说，很难用透明和安全的方式使用人工智能，因此还需要额外的保障措施。且由于其内部工作，也很难通过人工智能处理个人数据，极易存在偏差。

决定

匈牙利数据保护机关确定了数据控制者长期以来严重违反了《通用数据保护条例》的众多条款，命令其停止分析客户的情绪状态，只有符合《通用数据保护条例》才能继续数据处理，并对其处以折合约650000欧元的匈牙利福林行政罚款。