2018年5月25日,随着“史上最严”数据保护法案从欧盟总部布鲁塞尔发出,一时间GDPR生效的消息通过互联网传遍了世界的每一个角落。依据这部法案向各大跨国互联网公司发出的挑战书接踵而至,让他们不胜其烦。
在五花八门的挑战中,最有组织、有纪律的挑战都来自民间数据保护的非盈利组织。巧合的是,他们的矛头还都不约而同地指向了各大互联网巨头的保护盾——GDPR中的合法依据。
除了上一季中,马律师带领的“不关你的事”组织在GDPR生效几个小时后,在奥地利向Facebook和Google滥用“同意”合法依据发出的咄咄逼人的挑战书。
在GDPR生效三天后,作为欧盟总部邻国的法国也不再风平浪静。法国个人数据保护组织La Quadrature du Net(以下简称“LQ”)肩负着12000名网友的重任,向法国个人数据保护机关Commission Nationale de l 'Informatique et desLibertés(以下简称“CNIL”)发出了针对Facebook和Amazon的挑战书,对他们“履行义务之必需”的合法依据开刀,鞭辟入里的分析了它的不靠谱性。
这里需要特别插播的第一则彩蛋是:从产品设计的用户体验角度来考虑,依赖“同意”作为合法依据的互联网产品设计中,往往需要不断弹出的恼人的同意勾选框,这会让产品用户体验效果大打折扣;而相反的,如果采用“履行义务之必需”作为合法依据,互联网产品的设计者可以选择在产品以外的地方进行合法依据的单独呈现,从而使得产品用户体验得到保证。这一点可能是采用后者作为合法依据的互联网企业所看重的。
在挑战书中,LQ首先指出Facebook和Amazon在运营中都通过“行为分析”(“BehavioralAnalysis”)和“个性化广告投放”(“Targeting Advertising”)的方式处理了用户的个人数据,并声称自己的这些数据处理行为是“履行义务所必需”。
接下来,LQ通过大量的干货分享,通过逻辑严密的法律分析指出Facebook和Amazon上述合法依据完全是不靠谱的。他们依靠这种不靠谱的法律依据处理用户数据的行为,就因此丧失了GDPR中合法依据的保护盾,将成为众矢之的。
在挑战书的第一部分,LQ展示了从Facebook和Amazon产品流程和文案中扒出的实锤。
详情如下:
Facebook的做法可谓十分高调。他们采取开辟网站专栏的形式,在其网站上列举了个人信息处理的合法依据,以此寻求“GDPR牌”保护伞的庇护。其中,对行为分析和个性化广告投放,Facebook提供的合法依据是,该等处理是为Facebook和用户之间的合同所必需的。(见图1.1和图1.2)[1]
图1.1
图1.2
Amazon
不同于Facebook的大张旗鼓,Amazon则采取了十分保守的做法。Amazon只是在用户协议中简单的写道,“为用户提供的服务包括根据用户的喜好和兴趣,通过向用户推荐产品、服务和其他要素,以及推荐第三方广告,而为用户提供个性化定制服务”。(见图2) [2]
除此之外,LQ并没有找到Amazon以任何其他方式提供合法依据的蛛丝马迹。因此合理的推断出:Amazon针对行为分析和个性化广告投放所进行的数据处理中,其合法依据也是“对于履行和用户之间的合同来说是必需的”。
在挑战书的第二部分,LQ分析道,“履行合同义务所必需”应当进行严格的限制解释,而Facebook和Amazon利用用户数据进行的行为分析和个性化广告投放,不能泛泛归属于该合法依据之下,从而摆脱掉用户授权同意之苦。
至于为什么要进行严格的限制解释,还是要从GDPR的前身Directive95/46/EC(以下简称“95指令”)说起。在95指令中,欧盟对于前述“必需”就采取了严格解释的立场。除了“95指令”之外,WP29工作小组指南中对此进行了详细的阐述。认为,即使某一合同的条款涉及到某种或某几种个人信息处理,该些个人信息处理并非自然而然就被视为是“履行该合同而必需”。
WP29工作小组指南进一步说明,在判断“必需”时,应该重点考虑用户签署合同时希望达成的目的,若非用户希望达成的目的,就不应视为“履行合同所必需”,否则控制者(“controller”)仅仅通过合同就可以轻易满足GDPR的合法依据要求,用户同意等其他合法依据机制实际上也失去了存在的意义
读到这里,大家可能已经对从天而降的WP29工作小组感到十分疑惑了,我们为什么要相信这样一个莫名其妙的组织发布的指南?不要担心,马上就插播第二则彩蛋来消除疑虑:WP29小组是欧盟负责独立保护隐私数据安全的工作小组,组成成员中不乏欧盟国家的数据保护监管机构的代表,已发布多个指引性文件对于GDPR的执行具有很强的参考价值。所以他们发布的指南,可以放心使用。
LQ还摆出了CNIL在实践中支持上述立场的事实。在2017年4月27日,CNIL曾针对Facebook做出处罚。在处罚理由中,CNIL指出:用户使用Facebook服务的主要目的是Facebook提供的社交网络服务,用户行为分析和个性化广告投放与前述主要目的并不相符,因此并非“履行合同所必需”。
LQ由此认为,用户使用Facebook服务的主要目的是Facebook提供的社交网络服务,而并非接受Facebook的行为分析和获得所谓“个人定制化”体验。同样,用户使用Amazon的主要目的是网上购物,而并非接受Amazon的行为分析获得“个性化广告投放”。因此,Facebook和Amazon都不能以“履行合同所必需”作为其处理个人信息的合法依据。
启示
GDPR实施以来,具体的实施细则并不明确,相关国家数据保护法律的落地也尚待时日。类似“履行合同义务之必需”如何解读这样的问题,也将会层出不穷。LQ的挑战思路告诉我们:企业在探索GDPR合规的过程中,不能盲目使用规则条文。
解读GDPR的合规要求,应当结合先前的立法以及权威的指引,还原GDPR的立法精神和立法理念。只有将规则和理念结合,才能真正做到将合规植入企业的DNA,做到默认保护用户数据和隐私,有的放矢地开展GDPR相关的工作。
[1] 由于LQ并未在投诉书中给出援引的Amazon用户协议的具体条款,此文配图是作者基于LQ投诉书的内容自行匹配的Amazon英国的相关协议条文,仅供参考。详情见:https://www.amazon.co.uk/gp/help/customer/display.html/ref=footer_cou?ie=UTF8&nodeId=201909000
[2] 由于LQ并未在投诉书中给出援引的Facebook个人信息处理政策的具体条款,此文配图是作者基于LQ投诉书的内容自行匹配的Facebook中文版的相关协议条文,仅供参考。详情见:https://www.facebook.com/about/privacy/update
· APUS研究院,致力于研究数据合规的前沿问题,持续跟进高新行业的合规热点和动态