《通用数据保护条例》在平台经济的适用——Glovo-Foodinho被罚案评析

doi:10.12677/ojls.2026.143069

期刊菜单

《通用数据保护条例》在平台经济的适用——Glovo-Foodinho被罚案评析
Application of the “General Data Protection Regulation” in the Platform Economy—A Commentary on the Fine Imposed on Glovo-Foodinho

DOI: 10.12677/ojls.2026.143069, PDF, HTML, XML, 科研立项经费支持
作者: 管小维：无锡学院马克思主义学院(法学院)，江苏无锡
关键词: 《通用数据保护条例》；平台用工；数据处理原则；数据保护影响评估；General Data Protection Regulation； Platform Labor； Data Processing Principles； Data Protection Impact Assessment

摘要: 2017年7月Glovo-Foodinho公司被罚案在平台经济发展中具有重要里程碑意义。本案核心在于平台作为数据控制者，在处理骑手个人数据时未能满足条例在数据基本处理原则、限期存储及自动化决策等方面的严格要求。具体违规行为包括：信息告知书缺乏对地理位置数据收集方式及算法评分系统的具体说明，违反透明原则；未履行充分告知义务，违反公平原则；未区分数据类型与使用目的设置差异化存储期限，违反限期存储原则。此外，平台未进行数据保护影响评估，且其通过算法对骑手工作分配与评分实施自动化决策的行为缺乏透明度与人工干预机制。本案中监管机构通过援引国内劳动法规范，将条例第88条关于“雇佣语境下数据处理”的规定与劳动法衔接，强化了对平台用工场景中劳动者数据权益的保障。研究此案对我国平台经济的算法管理具有重要意义，在平台经济蓬勃发展的背景下，有必要在《个人信息保护法》框架下细化算法透明度要求，推动数据保护与劳动法、人工智能治理等领域的协同监管，并通过完善个人信息保护影响评估制度，提升平台企业在数据处理活动中的合规水平。

Abstract: The July 2017 fine case against Glovo-Foodinho holds significant milestone significance in the development of the platform economy. The core of this case lies in the plat-form’s failure, as a data controller, to comply with the stringent requirements of the General Data Protection Regulation (GDPR) regarding fundamental data processing principles, storage limitation, and automated decision-making when handling riders’ personal data. Specific violations include: the information notice lacking detailed explanations on how geographic location data is collected and the algorithmic scoring system, violating the principle of transparency; failure to fully inform, violating the principle of fairness; and not setting differentiated storage periods based on data type and purpose, violating the principle of storage limitation. In addition, the platform did not conduct a data protection impact assessment, and its automation of decision-making regarding rider job allocation and scoring through algorithms lacked both transparency and human intervention mechanisms. In this case, the regulatory agency invoked domestic labor regulations, linking Article 88 of the regulation on “data processing in the employment context” with labor law, thereby strengthening the protection of workers' data rights in platform employment scenarios. Studying this case is of great significance for algorithmic management in China's platform economy. Under the background of the burgeoning platform economy, it is necessary to refine algorithm transparency requirements within the framework of the Personal Information Protection Law, promote coordinated regulation across data protection, labor law, and artificial intelligence governance, and enhance compliance levels of platform enterprises in data processing activities through improving the personal information protection impact assessment system.

文章引用：管小维. 《通用数据保护条例》在平台经济的适用——Glovo-Foodinho被罚案评析[J]. 法学, 2026, 14(3): 75-83. https://doi.org/10.12677/ojls.2026.143069

1. 引言

2021年7月，意大利数据保护机构(Garante per la protezione dei dati personali)对西班牙外卖公司Glovo的意大利子公司Foodinho处以260万欧元的罚款，理由是该公司严重违反了《通用数据保护条例》(General Data Protection Regulation, GDPR)和劳动法，侵害了员工权益。Glovo-Foodinho被罚案是《通用数据保护条例》在平台用工语境下适用的重要判例。自《通用数据保护条例》2018年生效以来，欧盟数据保护委员会(EDPB)和各国数据监管机构通过不同执法手段，对众多违规行为进行了处罚。本案通过合理适用GDPR及相关劳动法，对雇主在用工过程中出现的数据侵权行为实施了惩罚。随着全球范围内数字经济的高速发展，数字经济用工模式下雇员个人信息风险已经成为我国已然面临的现实问题[1]。当前对于平台经济的相关理论研究已关注到此种经济模式对传统劳动关系的突破，力图从劳动关系角度寻求答案[2]。对于算法监管的重视度不足，仅有少量研究中提及透明性的重要性，并未有深入、可操作性的建议提出[3]。而此问题不仅具有重要的现实意义，更是平台经济背景下我国劳动法知识体系构建不可或缺的内容之一[4]。

本文重点关注裁决书中与劳动者数据处理的相关内容，以期为我国平台经济法律规制提供具有可操作性的指引。

2. 案情回溯

Foodinho是一家意大利公司，也是西班牙公司GlovoApp23的子公司。该公司在米兰运营着一个按需送餐的数字平台。该平台以零工形式雇佣骑手提供送餐服务。截至该裁定作出时，Foodinho平台上约有19,000名外卖骑手。

2019年7月16日和17日，监管机构对Foodinho公司外卖员个人数据处理等情况进行了现场检查。监管机构的关注内容包括数据保护官的任命、骑手报酬的计算方法、骑手的评分机制、骑手平台数据的保存和访问、运营商的访问权限等。根据监管机构的调查及公司提供的相关文件，意大利数据保护机构认定公司涉嫌违反了GDPR第5条第1款(a)、(c)、(e)项、第13条、第22条、第25条、第30条、第32条、第35条、第37条、第88条，以及第114条的规定。在法律适用上，数据监管机构既援引了原则性条款如透明、合法、公开原则，也涉及对原则性条款具体化规定，如第13条的适用。本文对该处罚案中的重点内容进行分析，以充分理解GDPR适用可能带来的风险并积极应对。

3. 违反数据处理原则的判断

GDPR第5条个人数据处理原则中规定了数据处理的合法、透明、公正原则：当涉及数据主体个人数据的处理时，公司需要以合法、合理和透明的方式来进行处理。监管机构对这三项原则进行了较为详细的阐释。监管机构认为，作为数据控制者的公司，对大量数据主体(截至进行检查时共18,684人)进行了数据处理。其中涉及了多处违反数据处理原则的行为。

(一) 信息告知书的内容违反了透明原则

公司依据信息告知书《Foodinho s.r.l合作者个人数据处理说明》是监管机关在审查公司处理骑手数据问题的重要依据。监管机构指出该文件存在着违反透明原则规定的情形，主要问题在于对以下两项内容未作说明：(1) 具体处理地理位置数据的方式。在核查过程中监管机构发现：地图上显示了骑手所行路线，且每15秒系统性收集数据，而文件对此部分仅作了笼统说明“数据控制者可接收移动设备地理位置信息”；(2) 收集的数据类型。特别是通过聊天、电子邮件和电话与呼叫中心进行的通信数据，以及经营者和客户对骑手的评价未作说明¹。

数据处理的透明原则要求数据控制者(本案中的公司)必须对数据主体(骑手)透明，除了处罚书中援引的GDPR第5条涉及透明原则，GDPR第13、14条还进一步规定了数据控制者需要向数据主体提供的最低信息要求，这些要求也可以被认为是透明性原则的具体规定。监管机构对于该份告知书的审查过程中也涉及了对GDPR第13条规定的适用。

信息告知书对于保存期限仅提供了笼统说明“数据处理仅限于实现收集目的所必须的时间”²，但调查发现公司即使在劳动关系终止后仍会继续保存数据。监管机构故此认为公司违反了GDPR第13条第2款(a)的规定。信息告知书中并未提及对于数据的自动处理，而这些数据处理的目的是为骑手进行评分，以此确定时段预定优先级。再次，监管机关还指出信息告知书中并未提供数据保护官的联系方式³。监管机构根据以上内容的缺失判定信息告知书违反了GDPR第13条第2款f项、第13条第1款b项。

数据监管机构在GDPR第5条透明原则的基础上，同时适用了具体条款作为衡量标准直接进行合法性判断。另外，监管机构还强调透明性是GDPR中的原则性要求，且该要求贯穿数据收集、处理和利用的全过程。透明原则是GDPR的新增内容，体现了欧盟当局对于数据主体行使权利和监管可行性的考虑和要求[5]。

(二) 未履行告知义务违反了公平原则

根据GDPR第5条第1款a项、第12条第1款的规定，数据控制者必须采取“适当措施”，以简明、透明、易懂且便于获取的形式，使用简单明了的语言向相关当事人提供第13条和第14条的所有信息。信息应以书面或其他方式提供，必要时可采用电子方式。若数据主体提出要求，可口头提供信息，但需通过其他方式核实数据主体身份。

监管机构一直强调，向雇员告知的义务是公正性原则的要求。针对未说明地理位置数据具体处理方式的问题，公司在辩护意见书中解释：骑手使用的应用程序具有“多功能性”，“详细说明地理位置的运作方式将使隐私声明难以理解”。且为符合《条例》第12条第7款的规定，此类信息“在注册应用程序前的面谈中、及在骑手入职培训环节均已提供”⁴。

根据GDPR对透明性和公正性的要求，公司本应以书面形式或其他可记录的恰当形式，使用通俗易懂的语言向相关方提供包括地理位置数据处理的相关信息。数据监管机构认为，本案中骑手“单纯知晓可能被地理定位”与“充分了解定位地理数据的具体处理”之间存在着本质差异。只有通过透明、完整、清晰且易于获取的信息披露，使数据主体充分知晓其数据处理情况，数据控制者才能被认为充分履行了《条例》第5条第1款a项与第13项规定的义务。

(三) 信息披露违反了合法、公正和透明原则

在公司与西班牙数据保护机构(AEPD)的合作中，由西班牙数据保护机构向意大利数据保护机构(Garantia)提交了另外一份公司起草的信息披露模板，该模板被发现已经用于意大利公司与一名骑手签订的合同中，签订日期为2020年12月2日，然而公司提交的文件材料中并未提及该信息披露模板。此项信息披露同样不符合《条例》的规定，特别是违反了条例第5条和第13条的规定。

公司未说明通过数字平台处理数据的具体方式，特别是“卓越系统”和“订单分配系统”。公司对此两项内容的说明是：Glovo将不定期接收快递员地理位置信息；地理定位功能的激活被描述为“接收和完成配送任务所必须”，同时声明“激活该功能即表示同意处理通过定位功能收集的数据”。监管机构认为，公司并未明确说明处理数据的法律依据，仅提及骑手的同意、合同履行及公司的合法利益并不合法。

关于数据保存期限，公司仅提供了笼统的说明，声明数据将“在合作关系终止后立即处理，除非涉及履行合同、法律或其他法规义务所需数据，或对保护Glovo有用的数据。此类数据的保存期限或者与权利有效期一致(10年)，或遵守法律规定的文件保存期间(如税务相关文件保存5年)”⁵。监管机构认为此种说明模糊不清、不够明确。说明的模糊之处还在于，公司指出地理位置数据将在收集后30天内自动“匿名化”，但涉及产品交付给最终消费者过程中的“关键环节”数据除外。即取货日期、地点和时间，以及送货地点和时间不受此限制，由于这些数据用于确定报酬，将在收集后10年自动“匿名化”。⁶

由于公司处理“关键环节”相关的地理位置数据，所指明的保存期限与调查过程中及答辩文件中声明的期限并不一致，因此“匿名化”一词的使用不仅不恰当，且具有误导性。另，该文件仅在基于Foodinho s.r.l合法利益追求目的时笼统提及了“算法”，并未提及Foodinho s.r.l实施何种自动化处理，亦未提及《条例》第22条规定的权力。

综上，由于公司在不同时期编制的信息文件存在着内容割裂、表述模糊不清等问题，监管机构判断公司无法向相关方清晰传达其复杂处理流程的核心要素，认为公司违反了《条例》第5条第1款a项(合法性、合理性和透明性)和第13条(收集数据主体个人数据时应当提供的信息)的规定。

GDPR第5条数据处理的基本原则一直是GDPR执法的“重灾区”，作为原则性条款，第5条内容几乎涵盖了GDPR其他条款中的细化规定。这也是多数案件援引该条款作为处罚依据之一的重要原因[6]。在本案中，GDPR第5条被重点援引，同时该条款与条款13多次同时出现。相关实证研究数据同样显示出数据监管机构执法过程中善将条款5与细化条款同时援引的执法特点[7]。可以合理推断，13条作为个人数据处理原则的细化条款，在数据监管机构执法过程中起到了重要作用。

从本案执法结果来看，数据监管机构在对具体处理原则的处理上，采取了较高的标准。在透明度的判断上，监管机构要求平台对骑手地理位置数据的处理必须进行精细化的说明，对于数据收集的类型也需要进行充分说明。否则将被视为透明原则的违反。监管机构将平台向雇员告知的义务作为公正性原则的要求，而平台告知的内容要满足条例第13条、14条的要求。此两项条款列举了多项数据相关内容：数据控制者(公司)的信息、数据保护官的信息、处理数据的法律基础、个人数据处理的期限、数据主体的权利、数据主体享有的申诉权，并区分了不同情形下个别规则内容的适用情形。第13条、14条的规定内容对数据控制者设置了较高的标准。从判决内容来看，公司想要达到监管者认为的“合法性”标准绝非易事。特别是对于本案所涉及的平台用工，个人数据庞大，涉及数据主体隐私性较强，数据监管机构显示出了保护数据的审慎原则，这也与GDPR看重数据主体知情权的特点相符[4]。

4. 数据保存过程中限期储存原则的适用

除第5条第1款规定的合法、公正、透明性要求之外，GDPR第5条中的其他原则性要求同样需引起注意：包括数据的“目的限制”、“数据最小化”、“准确性”、“限期储存”、“数据的完整性与保密性”、“可问责性”要求。在GDPR执法案例中，不乏对这些要求的适用。如GDPR数据处理第一案中便援引了第5条中的“数据最小化”原则。2019年5月，丹麦数据保护机构对出租车公司“Taxa 4 X 35”(Taxa)进行的数据执法中，发现公司尽管在合法保留客户的姓名和地址两年后将其删除，却在无正当理由的情况下违法保留了900多万名客户的电话号码保留了5年。丹麦数据保护机构认为Taxa没有遵守GDPR中规定的“数据最小化”原则。此案中Taxa公司辩称，其已删除与电话号码相关的名称来满足最小化要求，并且其系统没有技术能力将有关出租车的匿名数据从电话号码转化为唯一ID。丹麦数据保护机构认为，计算机系统创建新账号的困难不是借口，并且毫不含糊地说，与将个人数据迁移到新的匿名数据结构相关的成本并不能证明继续使用电话号码是合理的[8]。

根据《条例》第5条第1款e项的规定，“对于能够识别数据主体的个人数据，其储存时间不得超过实现其处理目的所需要的时间”。本案中，涉及多种不同类型的数据存储，理应对应不同的存储时间。如监管机构检查中发现的每笔订单的骑手行驶路线图、客户服务部门拨打电话的数据及其他数据等。对于涉及数据主体的个人数据，公司采取的做法是将终止劳动关系后4年设置为统一保存期限，该期限适用于不同类型数据、多种目的的数据处理活动。其中部分数据涉及受法律特别保护的通信内容，如聊天记录、电子邮件和通话记录。很明显，公司未能针对不同数据处理的目的，为骑手数据设置差异化保存期限。

数据保护机构认为，公司需要根据不同类型个人数据的具体处理目的确定合理保存期限，数据控制者不应仅限于划分一个时间段。需要注意的是，数据保护机构对于合理期限的认定要求是需要提供符合目标需求的具体理由。在公司提供了骑手路线地图存储期限为10个月，并提供了补充说明的情况下，监管机构仍然指出公司未能阐明期限符合目标需求的具体理由⁷。

5. 雇佣语境下相关法律的合理运用

《条例》第88条规定了雇佣语境下的数据处理问题。成员国可以通过法律或协定制定特定规则，确保雇佣语境下处理雇员个人数据时雇员的权利与自由。本案援引了国家立法机关出台的规范数字平台雇佣关系的相关法律法规，并强调了个人数据保护法规同样适用于数字平台上的劳动者数据处理(第81/2015号法令)⁸，且无论骑手工作关系性质，均享有不可剥夺的基本权利。

数字监管机构认为公司与骑手签订的合同符合意大利《民法典》中对于劳务合同的规定。骑手使用自有交通工具，自行承担费用，在合理的日期和时间段，通过公司提供的应用程序，为餐饮店/商户提供送餐服务。骑手开展工作依赖Glover应用程序，骑手可在程序上预定送餐时段，直至时段满额为止。对骑手进行管理的是名为“卓越系统”的机制。其中因订单量较大被公司定义为“高需求时段”的部分通常被划走，而系统预先设定积分较高的骑手享有优先的时段选择权。尽管公司声称每个时段都会保持一定数量的可用名额，与骑手积分无关。但随着享有优先权的骑手表达偏好，可用时段逐渐耗尽，其他骑手获得时间段和订单的机会随之递减。(巴勒莫劳动法庭在2020年11月24日针对Foodinho s.r.l.的第3570号判决书中得出相同结论)。

数字平台分配不同时段后，公司通过Jarvis算法进行订单分配，管理整个订单执行阶段。且公司可以通过“唤醒快递员”功能向已预约时段但未在该时段活跃的骑手发出通知。骑手的报酬由公司根据标准计算。

在认定雇佣关系问题上，监管机构通过援引判例、相关法律法规肯定了骑手与平台之间雇佣关系的存在。在援引相关法律法规时数据监管机构强调了意大利国家立法机构对于数字平台涉劳动关系的重视，列举了相关法令中对于数字平台劳动关系的逐步完善。包括数字平台定义的引入、数字平台劳动权益保障的相关规定等内容。显示出意大利对于平台劳动者权益保护的立法进步。

值得注意的是本案在论证公司行为违反了GDPR第88条时，充分强调了国内法规的内容。如第300/1970号法令规定“视听设备及其他可实现远程监控员工活动的工具，仅可用于组织生产需求、保障工作安全及保护企业资产之目的，且需经工会签订集体协议后方可安装”。

公司通过多种技术(数字平台、应用程序及客户服务渠道)对数据进行处理，从而能够对骑手的工作表现进行细致监控，但未能落实第300/1970号法律第4条第1款的相关规定。而该劳动法规是《条例》第88条所指的“确保在雇佣语境下处理雇员个人数据时保护其权利和自由而制定的最具体”的国家法律规范之一。监管机构由此认为，构成了对数据处理合法性原则(GDPR第5条第1款a项)及第88条适用规范的违反。

6. 数据保护影响评估

GDPR第35条第1款规定，当“适用新技术的处理很可能会对自然人的权利与自由带来高风险时，在考虑了处理的性质、范围、语境与目的后，控制者必须在处理之前评估计划的处理进程对个人数据保护的影响”。第3款a项进一步规定了数据保护影响评估必须的情形，“基于自动化处理(包括画像)对自然人个人特征进行系统性全面性的评估，且评估决策对自然人产生法律影响或类似影响时”，必须进行此类评估。

本案中，监管机构认为Foodinho s.r.l开展的数据活动具有以下特征：创新性地使用数字平台，收集和存储与订单管理相关的多种个人数据，包括地理位置信息、聊天和电子邮件通信记录，以及骑手与客户服务人员通话内容的访问权限，对大量“脆弱”数据主体进行画像分析和自动化处理。该处理活动“对自然人的权利和自由构成高风险”，因此有必要在数据处理前根据第35条进行影响评估。

监管机构考察Foodinho s.r.l数字平台运作机制后，认为公司所用技术具有创新性，该技术对相关主体权利造成高度风险。首先，公司通过数字平台管理工作，而该平台的运作是建立在复杂算法之上，公司仅部分公开其运作机制；其次，该技术创新性还在于实施自动化处理(包括画像分析)，由此对相关主体产生巨大影响；再次，公司通过数字平台进行的数据处理还可能危及相关人员的权利和自由，因为这些数据处理涉及个人特征的评估，包括通过分析或预测骑手的工作表现、位置或移动情况，以创建或使用个人档案；处理可能会涉及弱势群体的数据，以及数据处理可能造成歧视。基于这些理由，数据监管部门认为公司违反了《条例》第35条。

GDPR第35条规定了“数据保护影响评估”机制，当发生高风险数据处理的情况时，企业需要对系统进行自我评估。数据保护影响评估制度被认为是重要的风险管理工具之一，与问责制等原则协调配合，帮助数据控制者和处理者降低个人数据处理活动对数据主体带来的威胁和风险。类似的数据保护影响评估机制在域外已积累了多年经验。GDPR条文对于数据保护影响评估机制的表述较为笼统，但在实践中发展出了较为细致的指南、标准、实施框架等文件，我国《个人信息保护法》第55也引入了个人信息保护影响评估制度。

本案中，公司否认其实施的数据处理属于必须进行影响评估的范畴，认为其所使用的应用程序和地理定位系统不属于“新兴”技术。数据监管机构通过考察核心数字平台运作机制，驳斥了公司主张。值得注意的是，监管机构还通过国家立法者对数字平台相关立法的举措证实基于公司算法处理的平台处理大量不同类型的数据，涉及众多相关方，将供需双方进行匹配的做法具有明显的创新性⁹。针对数据保护影响评估机制的处罚还见于德国大众被罚案中，公司在驾驶辅助系统路测中通过摄像头收集车辆周围的交通情况，但并未就该高风险数据处理活动开展数据保护影响评估、未向数据主体尽告知义务等违规行为而被当地数据保护机构处以高额罚款，并严重影响了品牌声誉。

7. 案件的意义与启示

欧盟《一般数据保护条例》被认为是“全球最严格的个人隐私数据法规”。近年来GDPR的执法受到了各国的高度关注，高处罚额的案例并不少见。研究本案的重要意义在于GDPR执法机构提供了数字平台劳动场景下劳动者作为数据主体的实现权益保护的路径选择。具体而言，意大利数据保护机构对Glovo-Foodinho的处罚案，清晰地展示了在数字零工经济背景下，数据保护法规如何与劳动法规交织适用，以规制平台算法管理行为，保护劳动者权益。该案的核心在于，平台作为数据控制者，在处理骑手个人数据时，未能满足《通用数据保护条例》在合法性、透明度、数据最小化、限期存储以及自动化决策等方面的严格要求。本案的重点违规行为，至少在以下方面对我国在平台数据治理方面具有重要借鉴意义。

(一) 数据处理基本原则的违反与高标准的透明度要求

本案中，GDPR第5条规定的数据处理基本原则是意大利数据保护机构重点审查内容之一，本文重点关注了合法性、公平性、透明性和限期存储原则。数据保护机构对透明原则的解读采取了非常严格的标准。尽管平台已经为骑手提供了隐私政策，但数据保护机构认定这些内容模糊、不完整。例如对于地理位置数据的收集、订单分配算法的逻辑以及“卓越评分系统”如何影响骑手工作机会等关键信息，均未提供清晰、具体、易懂的说明。监管机构特别强调了简单的“知情”与“充分理解其数据处理的具体方式”之间存在本质区别，而平台有法定义务通过通俗易懂的方式披露复杂算法的核心运行逻辑及对骑手的潜在影响。

在判断数据存储期限的合理性问题上，数据监管机构要求数据的保存期限需要与具体处理目的高度匹配，且需要提供令人信服的理由。本案中，平台为不同类型的数据(如骑手路线地图、通话记录)设置了统一、且过长的存储期限(36个月)，但未能证明所设置的存储期限是为实现特定目的(服务质量评估、解决纠纷等)所必需的。

(二) 雇佣关系下的数据保护：GDPR与劳动法的交叉与适用

此案的一个重要特点在于雇佣关系语境下的劳动者权益保护。数据监管机构明确将骑手视为受劳动法保护的劳动者，并在这一前提下适用了GDPR第88条关于“雇佣语境下处理”的规定。

监管机构在案中援引意大利国内劳动法规范，论证使用工具远程监控员工需满足一定条件，如为了满足组织生产、安全保障的需要，且需要经过工会协商。案涉平台通过应用程序对骑手进行细致监控，却未能遵守劳动法相关规定，构成了对GDPR合法性原则的违反。另外，数据监管机构还指出，平台对于生物识别数据的处理缺乏法律依据。在劳动场景下，生物识别数据是受到严格限制的，通常需要法律授权或集体协商同意。平台使用面部识别技术对骑手进行身份验证，仅提供“防止人员替换”作为理由显然并不充分。

(三) 数据保护影响评估的重要性

监管机构对数据保护影响评估的关注深刻揭示了数据保护影响评估并非一项可选项，而是数据控制者在进行高风险处理活动前必须履行的法定义务。数据监管机构认为，公司平台使用的技术具有创新性，处理大量数据并对骑手权利构成了高风险，因此必须在数据处理前实施数据保护影响评估。

数据保护影响评估作为一种前瞻性的风险管理工具，其重要价值在于项目前端的风险预防。公司应该在项目启动前，就系统性识别和评估数据处理活动可能对骑手个人权益造成的风险，提前部署缓解措施。本案中，如果公司对所涉平台进行严谨的数据保护影响评估，完全可能在算法运行前发现公平性和透明度缺陷，极有可能规避法律风险。

(四) 工会组织职能的发挥

平台经济下零工劳动者分散化、非标准化的就业特征，使其个体难以与平台企业就数据处理、算法管理等问题进行平等协商，而工会作为劳动者的代表组织，是衔接数据保护法规与劳动法、实现平台用工协同治理的关键主体，其职能的充分发挥是保障平台劳动者数据权益的重要支撑。

在我国平台经济的数据治理中，可考虑将平台数据处理的核心环节纳入工会集体协商的法定范畴，参考本案中意大利的监管要求，明确平台对劳动者开展地理定位、算法监控、自动化决策、生物识别数据收集等行为，必须与工会进行集体协商并签订协议。在协议中细化约定数据收集的范围、频率、存储期限，算法评分、订单分配的核心逻辑，远程监控的启动条件与适用场景等内容，从源头避免平台利用信息优势进行过度数据处理，解决平台数据处理不透明、监控无约束的问题。同时，将协商结果应作为平台开展数据处理活动的合规依据，纳入数据保护影响评估的重要内容。

8. 结语

平台经济蓬勃发展背景下，GDPR的严格执法引发大量关注甚至质疑。本案中，数据监管机构依然秉持了GDPR传统的权利保护模式。在构建我国的数据保护制度过程中，有必要进行系统性反思，形塑更符合我国监管现状的法律制度。

首先，我国《个人信息保护法》中已经存在部分与GDPR的类似规定。如“告知–同意”为核心的信息处理规则、对自动化决策的要求。此案的处罚决定对于我国的监管实践具有重要提示意义，监管机构需要提高数据处理原则如透明度标准的可操作性，确保企业告知义务的履行采用更加细化、清晰的算法告知条款，特别是对于任务分配、绩效考核和行为监控的规则内容。

其次，此案展示了数据保护机构与劳动监察部门协同执法的可能性[9]。对我国而言，要格外关注法律法规的衔接。平台经济带来的复杂挑战，单一部门法出现独立应对乏力的困境，需要推动劳动法、个人信息保护法、人工智能相关法等多部门法协同治理体系。

再次，我国《个人信息保护法》第五十五条规定了个人信息保护影响评估机制，此案对于数据保护影响评估的重视提示了我们应将平台经济涉及的经营企业纳入重点监管范围，对其就算法管理、位置监控等处理活动开展影响评估。相关行业组织、监管部门也应合作出台个人信息保护影响评估的实施指南，帮助企业更好履行法定义务。

意大利Glovo-Foodinho案表明，平台经济背景下，数据保护法已成为规制平台权力、保障劳动者权益的重要工具。从我国立法现状来看，《个人信息保护法》在平台责任、告知同意等方面与GDPR有诸多共通之处。对我国而言，借鉴此案经验，应进一步强化平台在算法透明度、人工干预和数据处理合法性方面的责任，并加强《个人信息保护法》《劳动合同法》等法律法规在平台用工场景下的协同落地与执法，以推动数字经济迈向更加公平、规范发展的未来。

基金项目

教育部产学合作协同育人项目“以促进可持续发展为导向的《国际投资学》案例教学创新与实践”(项目编号：2409115416)；江苏省高校哲学社会科学研究一般项目“‘人工智能+’时代劳动场景法律风险协同治理研究”(项目编号：2025SJYB0668)。

NOTES

¹p. 16 Ordinanza ingiunzione nei confronti di Foodinho s.r.l.—10 giugno 2021 [9675440].

²同脚注1。

³在本次检查之前，母公司已经指定了数据保护官，只是在信息告知书中并未提供数据保护官的联系方式。

⁴p. 17 Ordinanza ingiunzione nei confronti di Foodinho s.r.l.—10 giugno 2021 [9675440].

⁵p. 20 Ordinanza ingiunzione nei confronti di Foodinho s.r.l.—10 giugno 2021 [9675440].

⁶同脚注5。

⁷p. 23 Ordinanza ingiunzione nei confronti di Foodinho s.r.l.—10 giugno 2021 [9675440].

⁸p. 25 Ordinanza ingiunzione nei confronti di Foodinho s.r.l.—10 giugno 2021 [9675440].

⁹数据保护机构主要通过国家对于“零工经济”的立法变化来证明此种技术的创新性及由此带来的相关权利风险，包括意大利在第81号法令中专门增加“数字平台劳动保护”内容，欧洲委员会专门针对此类新型就业形式的劳动者权利保障出台文件，欧洲议会与理事会的文件中亦有专门提及数字平台工作者，以及国家层面的司法判例。

参考文献

[1]	武长海, 黄静怡. 欧盟数据治理模式扩张与中国因应[J]. 科技与法律(中英文), 2024(6): 34-43.
[2]	魏丽君. 从“工厂纪律”到“算法规训”——数字资本的权力扩张与法律矫正[J/OL]. 南方金融: 1-14. https://link.cnki.net/urlid/44.1479.F.20260128.1101.002, 2026-02-10.
[3]	董志强. 迈向共同利益的均衡: 平台劳动者保护的困境和路径[J]. 求索, 2025(05): 13-20, 207.
[4]	娄宇. 平台经济背景下中国劳动法自主知识体系构建[J]. 求索, 2025(5): 71-81.
[5]	欧盟《通用数据保护条例》的原则条款及其评[EB/OL]. https://www.secrss.com/articles/9192, 2025-11-22.
[6]	盈理律师事务所GDPR执法统计盘点、重点案例分析及应对方案(下篇) [EB/OL]. https://www.yenlex.com/news/content_246.html, 2026-01-20.
[7]	吴俊, 房祥静. 欧盟GDPR五年执法反思: 成效、挑战与经验[J]. 上海交通大学学报(哲学社会科学版), 2024, 32(3): 82-99.
[8]	GDPR数据处理第一案: 丹麦Taxa案如何执行GDPR第5条的数据最小化、目的及存储限制等原则[EB/OL]. https://www.smart-alliance.com/zh-cn/news_ms_3873.html, 2026-01-20.
[9]	梁宇, 李潇翔. 欧盟全球数据治理机构: 权责特点、运行模式与经验借鉴[J]. 图书馆, 2025(10): 26-33, 43.

为你推荐

友情链接