21世纪经济报道 见习记者 郑雪 北京报道
3.9亿欧元,2023年伊始,Meta便在欧洲领到一张高额罚款。当地时间1月4日,爱尔兰数据保护机构DPC宣布了针对Meta两起投诉的最终处理决定:因违反GDPR相关规定, 对Meta旗下的Facebook处以 2.1亿欧元罚款,Meta旗下的Instagram则需缴纳1.8亿欧元罚款。最终决定的罚款金额远高于2021年决定草案的2800万至 3600万欧元罚款。
Meta需在3个月内让数据处理行为合规。始于GDPR 生效之日(即2018年5月25)的投诉,聚焦于“履行合同”是否可以成为个人信息用于定向广告的法律依据。从此次结果来看,Meta必须征求用户同意而不能再依赖合同的必要性声明。
【资料图】
中国社会科学院大学竞争法研究中心执行主任韩伟解释在接受记者采访时表示,此案有助于澄清在欧洲个人数据处理的合法性边界,也可能重塑部分企业在欧洲的个性化广告模式。
汇业律师事务所高级合伙人李天航在接受记者采访时表示,此案也反映全球范围内正在形成一种共识,即在承认个人信息自决权的基础上,企业要承担更高的合规义务,保障企业合规发展。
“合同履约”绕不过GDPR两起投诉面临着相同的问题:“合同履约”,是否可以作为Meta将用户个人数据用于定向广告提供的合法化依据。即便是在欧洲监管层面,达成共识也经历了多次讨论和沟通。
2021年DPC针对这些投诉做了全面调查并准备了决定草案,其中认定:
一是Meta 违反透明度义务,未向用户明确说明法律依据相关信息,导致用户不清楚其如何操作个人数据,用于什么目的,以及参考 GDPR 第 6 条确定的六个法律依据中的哪一个。DPC 认为,此类基本问题上缺乏透明度违反了 GDPR 第 12 条和第 13(1)(c) 条。它还认为这相当于违反了第 5 条第 1 款 (a) 项,该条规定了必须合法、公平和透明地处理用户个人数据的原则。
二是,DPC认为,在Meta并未依赖用户同意为其处理个人数据合法依据的情况下,投诉中的“强制同意”方面无法成立。DPC 发现 Meta 不需要依赖同意;原则上,GDPR 并未排除 Meta 对合同法律依据的依赖。
47个欧盟同行监管机构(CSA)中10个CSA对决定草案的部分内容并不认可,尤其是在法律依据上持不同看法。在他们看来,“履行合同”并不能作为合法性基础,提供个性化广告并不是为用户提供服务的核心要素。
但在DPC 看来,合同履行作为法律基础,这一现实是用户与其选择的服务提供商之间达成的讨价还价的核心,并且构成了用户接受服务条款时签订的合同的一部分。
在无法达成共识的情况下,争议点交由欧洲数据保护委员会(EDPB)进行裁定。EDPB 于 2022年12月5日发布其决定,支持了Meta 违反透明度义务的立场,并要求增加罚款金额;但在“法律依据”方面, Meta无权依赖“合同”依据,通过个人数据提供行为广告。
DPC的决定并不包括这一项。DPC进一步表示,这个调查方向在管辖权方面存有问题,并且与 GDPR规定的合作和一致性安排的结构不一致。如果该指令可能涉及 EDPB 的越权行为,DPC认为向欧盟法院提起撤销诉讼以寻求撤销 EDPB的指令是适当的。
Meta回应:强烈反对并提出上诉针对DPC的最终决定,Meta发言人表示强烈反对。在他看来,Meta根据合同来提供定向广告的相关行动完全遵守GDPR,将对决定的实质内容提出上诉。
同时表示,“如果没有事先征求每个用户的同意,Meta就不能在欧洲范围内提供个性化广告的说法是不正确的。”发言人表示,在这个问题上,监管机构和决策者之间缺乏明确的监管,在特定情况下,围绕哪种法律基础最合适的争论已经持续了一段时间。
李天航从制度建构层面做了解释。基于欧洲的数据保护实践以及相应的文化积累,EDPB确保GDPR的一致应用以及保护欧洲经济区的个人数据保护权利。同时EDPB将作为争议解决机构解决争议。
韩伟对21世纪经济报道记者解释称,不同观点的出现,一定程度上源于GDPR第6条确定的六种个人数据处理的合法性基础的内涵不确定性,特别是如何理解该案涉及的“取得数据主体同意”以及“履行合同所必需”这两种依据之间的关系。
“Meta的欧盟总部位于爱尔兰,尽管爱尔兰DPC是该案的主导执法部门,基于GDPR的‘一致性机制’,最终决定与初步决定存在实质差异,最终决定很大程度上体现了EDPB的意见,对‘合同履行所必需’采取从严解释,一定程度受限于‘取得数据主体同意’,且重视透明度义务的落实,关注公平原则。”韩伟进一步解释。
数据已经成为影响企业市场竞争的重要因素之一,不管是数据控制者,还是数据处理者,其对数据的合规处理在某种程度上将会影响其商业模式。李天航表示,这个案子也反映了全球范围内正在形成的一种共识,在尊重个人信息自决权的基础上,企业需要履行更高的合规义务。
根据相关规定,Meta可以在两个月内向欧洲法院(CJEU)提起撤销诉讼,Meta的上诉又是否会受到法院支持?
韩伟表示,从欧盟法院近年处理的涉及大型科技公司的反垄断案件看,比如欧委会查处的谷歌案、德国卡特尔局查处的Facebook案(该案还涉及对GDPR的考量),欧盟法院对竞争秩序的维系非常重视。由于欧盟法院层面需要协调好数据保护、竞争、消费者利益等不同目标,欧盟法院后续如何平衡个人数据保护与其他法律制度之间的关系,值得期待。
李天航表示,从司法体制来看,欧洲法院是审判机构,在判决过程中会综合各方因素形成自己考量。考虑到当前对数据处理者以更高合规义务的期待正在形成全球共识,个人比较倾向欧盟法院会支持DPC的裁定,至少是部分支持。
DPC的裁决,意味着Meta最为核心的广告业务尤其是定向广告业务将会受到影响。用户将拥有一个关闭个性化广告的按钮。
对于Meta来说,随着亚马逊、TikTok等日益受到广告商的青睐,苹果隐私新政的实施,数字广告的外部市场争夺异常激烈。据报道,近十年来,谷歌和Meta两家公司首次不再占据美国数字广告收入的大部分份额,业内人士预计这种下降趋势在未来几年将持续下去。
根据研究公司Insider Intelligence的统计,两家公司在2022年合计占美国数字广告市场的48.4%。Insider Intelligence表示,自2014年以来,它们在美国的市场份额合计从未低于50%,比2017年的总和峰值下降了大约6%。预计该数字今年将降至44.9%。
对于Meta来说,市场份额开始出现一定程度下滑甚至预期也将降低,市场监管上又面临处罚整改的压力,Meta如何开局?