文|王金钧 中国信息通信研究院互联网法律研究中心助理研究员
一、案情简介
2022年12月31日,爱尔兰数据保护委员会(DPC)认定Meta基于行为广告(behavioral advertising)的数据收集缺乏合法性,即不能适用GDPR第6条(1)款(b)项(履行合同所必须的数据收集),并要求Meta在三个月内改正其行为。随后,挪威数据保护机构Datatilsynet经调查发现,Meta进行数据收集的合法性基础已由GDPR第6条(1)款(b)项更改为(f)项(正当利益条款),但Datatilsynet认为Meta仍不能满足此类数据收集行为的合法性,并于2023年5月要求临时禁止Meta的此类数据收集行为。由于Datatilsynet自身权限,这一禁令仅在挪威国内实施。2023年7月,欧盟法院(CJEU)裁定Meta当前的数据收集行为并不符合GDPR第6条(1)款(b)项、(f)项要求,缺乏数据处理的合法性。Datatilsynet于2023年9月向欧洲数据保护委员会(EDPB)提出申请,认为Meta须对违规行为进行整改,并请求将临时禁令的效力扩至整个欧洲经济区。2023年10月27日,EDPB发布决定,禁止Meta在全欧洲范围以行为广告为目的进行数据收集。
二、争议条款分析
行为广告,或称基于行为的营销,可以简单定义为根据用户的行为、兴趣、意图、地理位置和其他指标以定位产品受众的方法,这些用户数据通过网络分析、cookie、搜索历史和其他参考项来收集。Meta作为Facebook和Instagram的母公司,收集了大量用户的社交数据及用户和用户间的关系数据,其可以通过分析这些数据掌握用户喜好,实现精准的广告推送。在爱尔兰DPC作出相关决定之前,Meta此类数据收集行为的法律依据是GDPR第6条第1款(b)项,后更改为(f)项。CJEU就其裁决提出了两项理由,一是Meta的前述数据收集行为不能满足(b)项中所陈述的“必要性”,二是其行为也并不构成(f)项中“正当利益(legitimate interest)”。下文主要就案件的两项核心争议条款进行分析。
(一)GDPR第6条第1款(b)项——履行合同所必须
此项完整表述为,“数据处理对于完成以数据主体为一方当事人的合同是必要的,或在订立合同前基于数据主体的要求而进行的预处理。”简言之,此项适用的场景是,当数据主体无法提供其个人数据时,以数据主体为参与者的合同就无法履行。此项与其他五项数据处理合法性基础的关系是平行的,“执行合同所必须”并不等同于第6条第1款(a)项基于数据主体的同意所进行的数据处理,而此项规定也当然不能豁免GDPR其他条款所赋予处理者的义务,如第5条中所规定的合法性、透明性及最小化义务。EDPB在相关指南中特别指出,“由于科技进步使得数据控制者收集和处理个人数据变得越来越容易,其可能利用(合同中的)一般条款尽可能多地收集用户数据”[1],由此强调了“履行合同所必须”的语境中“目的限制”及“数据最小化”两项义务的重要性。
此项核心在于对合同的“必要性(necessity)”的理解。EDPB指出,必要性概念必须置于欧盟法的语境中理解,而不仅仅是对合同中某一条款的评估。第一,控制者应以清晰明确的方式告知数据主体数据处理的基本目的。第二,此项中所描述的“合同”必须满足合同法的相关要求,数据控制者应当能够证明(1)合同是存在的,(2)根据特定成员国合同法的规定,该合同是有效的,以及(3)数据处理对于履行合同是客观必须。第三,对合同必要性的评估必须是“客观的”、“以事实为基础”,相比于其他方式,此种方式所进行的数据处理具有更小的侵犯性(less intrusive)——也意味着,如果事实上存在具有更小侵犯性的选择,那么此种方式就不具备必要性。对于必要性的证明,不仅需要考虑控制者的视角,也应考虑数据主体的视角,必须以双方所共同理解的合同目的为基础,因此有必要在评估中加入一般数据主体的视角,以确保合同双方对于条款有相同的理解。
在另一种情形中,控制者就数据主体的请求对其数据进行预处理,此时数据处理的目的在于合同订立。尽管此时合同尚未订立,但只要证明数据主体向控制者询问了其所提供服务的相关信息,且此时的数据处理对进入下一步骤是必须的,即可满足此项要求。
EDPB在指南中明确表达了对于“行为广告”的态度,“以行为广告为目的的数据处理行为对于合同履行来说并不是必要的。正常来讲,不能说因为没有行为广告,(控制者和用户之间)签订的合同就无法履行。GDPR第21条明确规定,数据主体拥有反对直接以市场营销为目的的数据处理的权利,也证明了这一点。”
(二)GDPR第6条第1款(f)项——“正当利益”
此项完整表述为“数据处理对于控制者或第三方所追求的正当利益是必要,除非需要通过个人数据保护实现数据主体的相关利益或基本权利与自由具有优先性,尤其当数据主体是儿童时。”根据这一表述,则至少应当了解(1)数据主体或第三方的“正当利益”是指什么,(2)此种正当利益的实现是否优先于数据主体的相关利益,或法定的权利和自由。WP29工作组在其发布的《95指令中有关“正当利益”的意见》(以下简称“《意见》”)明确了正当利益条款在合法性条款中所具备的地位,“(正当利益条款)代表了(除获得用户同意之外的)补强性保护手段……因此它不应当被视作是数据保护中的‘最弱一环’,或能够使除其他合法性条款之外所有数据处理活动合法化的工具”[2]。
1.“利益”的概念
“利益”与“目的(purpose)”的概念相近,在数据保护的语境中,目的是指数据处理活动的特定目标或者意图,利益的范围更加广泛,是指数据控制者或者社会从数据处理活动中获得的好处。前文已经提到,正当利益条款的适用必须通过一项平衡测试(a balancing test),即控制者或第三方在数据处理活动中的利益与数据主体间的利益比较。为完成此项测试,控制者或第三方的利益必须被明确界定,此种利益必须是真实和现时的,而非某种模糊的、推定的利益。此项的另外一个限定是“正当(或译作合法)”,根据WP29工作组的意见,正当的界定非常广泛,只要控制者不违反数据保护及欧盟其他法律,则此种利益就是可被接受的(acceptable),其中传统的市场营销和其他形式的营销或广告策略可被为一种类型的正当利益。WP29工作组明确表示,只要控制者采取了适当的保护措施,则正当利益条款可以作为其实现市场营销活动的法律基础。
有趣的是,WP29工作组对《95指令》的正当利益条款作了澄清,其指出法条原文中“为实现基本权利及自由的利益(the interestsfor fundamental rights and freedoms)”的正确表述为“利益或基本权利和自由(the interestsor fundamental rights and freedoms)”,GDPR中的正当利益条款已经更改为后一种表述。WP29工作组希望强调的是,不仅是控制者的正当利益,在关于此项的平衡测试中,数据主体的利益也应被纳入更加广泛的考量范围。根据这一解释逻辑,数据主体的利益并未加上“正当”限定,鉴于控制者和数据主体在信息权力方面的差距,即便数据主体从事非法活动,也应保障其在数据处理活动中的基本权利和自由。如,小偷在超市发生偷窃行为后,超市可能也无权公布其家庭地址或肖像信息。
2.必要性评估
与上文所描述的“必要性”类似,如果此种数据处理方式是实现正当利益的唯一方式,则必要性成立;如果并非是唯一方式,则根据处理方式的侵入性来判断,如果存在其他更小侵入性的手段,则必要性不成立。
3.平衡测试
此项测试主要包含四个步骤,控制者的正当利益类型、对数据主体的影响评估,与其他条款的关系,控制者为防止对数据主体产生不利影响所采取的保护措施。
(1)控制者正当利益类型
控制者的正当利益界定十分广泛、可大可小。《意见》中列举了几项,一是基本权利的行使,如言论自由、科学及艺术自由,及财产权、获得司法救济及公平审判的权利等等,在此种情形中,数据处理对于《欧洲权利宪章》《欧洲人权公约》中所规定的基本权利行使是“必须”且“适当”的。二是公共利益或广泛社群的利益,如公益组织以医疗为目的处理个人信息、或为向公众报道贪污腐败事件而进行的数据处理,《意见》指出,此种利益所涉及的群体数量越广泛,其所具备的分量就越突出,越有可能在平衡测试中获得优先地位。三是其他类型的利益,《95指令》第7条(b)(c)(e)项所规定的合法性基础(合同、法定义务、公共利益)与(f)项正当利益之间的区分有时并非那么明显,当无法适用其他条款时,可依赖平衡性测试适用此项规定,如特定的数据处理行为与合同的履行相关,但不具有严格的必要性。四是法律或文化认可的利益,如公共部门或权威机构发布的指导文件中所承认的利益,以及虽然未体现在权威文本或立法文件中,但具有文化意义上的公众期待,此种利益仍可能在平衡测试中具有相应分量。
(2)对数据主体的影响
《意见》强调,“影响(impact)”是比“伤害(harm)”更为广泛的概念,在评估活动中需要考察数据处理所有可能产生的影响,既包括负面的影响也包括积极的影响。此项评估具体可以从数据的性质、数据处理的方式、数据主体的合理期待及控制者与数据主体的状态等多个角度开展。一是评估数据的性质,如是否包含了未成年人的数据或敏感数据,一般而言,敏感数据的处理应当依据GDPR的专门条款,且在平衡测试中,对基本权利和自由的保护通常优先于处理敏感数据获得的正当利益。二是数据处理的方式所产生的影响越是负面,或者越具有不确定,则此种数据处理越是不能被视为正当利益,例如某平台对用户的行为预测可能具有较高的不确定性,极有可能侵犯用户权利。三是数据主体可能根据控制者提供的服务性质产生预期,如平台在用户不知情的情况下收集其数据并用于行为广告,则显然用户对于平台的行为没有任何预期,且用户也无法预料平台在此种情形下采取了怎样的保护措施,平衡测试应根据实践情况将这一因素纳入考察范围。四是控制者和用户之间的关系,平台的性质和规模大小一定程度上反映了平台与其用户之间的权力关系,如大型跨国网络平台比中小型平台更有支配力,更有可能使用户相信其不当的数据处理属于平台的正当利益;而用户身份及状态也会对评估产生影响,如用户是否成年以及是否属于社会弱势群体等。
(3)与其他条款的关系
《意见》指出,遵守比例原则和透明原则等一般义务是适用正当利益条款的必要条件。这与EDPB在2/2019号指南中表达的意见一致,即满足特定合法性条款并不排除GDPR其他横向条款所规定的控制者义务。换言之,只有在控制者充分遵守其义务性规定的前提下,即控制者为数据处理提供了充分的保障措施,才能适用正当利益条款。《意见》特别强调了,无论是否存在相关规定,控制者都应采取保护措施,尽可能降低其数据处理产生的负面影响,如为数据主体提供易于操作的退出机制。
(4)控制者采取的其他保护措施
控制者是否采取了适当的保护措施,将对控制者利益在平衡测试中是否具有优势地位产生影响。数据处理可能对数据主体产生的影响越大,则越是需要对数据控制者采取的保护措施进行考察。控制者所采取的保护措施越完善,则数据主体的权利受到侵犯的可能性就越低。《意见》列举了几项保护措施,如功能分离、匿名假名技术的广泛使用、隐私设计及隐私增强技术、无条件的选择退出、为实现数据可携权采取的相关措施等。该项评估因素的重点在于,控制者是否为数据主体反对权、可携权等权利实现提供了完备机制,且如果控制者在相关规范的要求之外采取了额外的保障措施,则更有可能在平衡测试中取得优势。
三、案件结果
EDPB曾在其《3/2022号具有约束力的决定》中对Meta依据GDPR第6条第1款(b)项进行行为广告的数据收集作出了回应,纠正了爱尔兰DPC相关决定草案中的观点,认为“Meta在其服务协议中依据第6条第1款(b)项以行为广告为目的进行数据处理是不恰当的”,[3]并由此认为Meta的数据处理行为缺乏合法性。在Meta将合法性依据更改为第6条第1款(f)项后,CJEU在7月份的判决中作出回应,“GDPR背景陈述第47条明确了,当数据主体对控制者的数据处理没有预期时,数据主体的基本权利和相关利益(与控制者正当利益相比)更具优先性”,“尽管社交平台的服务是免费的,但平台不能在未经用户同意的情况下以行为广告为目的对其数据进行处理。在此情形下,用户的基本权利和利益显然优先于平台基于此数据处理而产生的商业利益。因此,此类处理不适用第6条第1款(f)项”。[4]
Meta案还牵扯许多执法权限方面的争议,该案涉及爱尔兰DPC、挪威Datatilsynet、EDPB等多方监管机构,Meta曾在Datatilsynet对其发布禁令后起诉至挪威地方法院,其请求取消禁令的原因之一便是认为Datatilsynet没有发布禁令的权限,因而涉及一些GDPR中有关执法协调的规定(最终挪威地方法院支持了Datatilsyne所作决定)。在遭受一系列监管压力之后,Meta也于8月宣布将在欧洲提供无广告订阅服务(在CJEU的裁决中,法院明确订阅模式是行为广告数据处理的合法形式),且将依据GDPR第6条1款(a)项数据主体的“同意”继续行为广告方面的数据收集。但即便如此,欧洲数据监管机构仍就此提出质疑——付费订阅模式使得用户走向了另一个陷阱,“不同意以行为广告为目的的数据收集行为就必须付费”,数据主体的权利似乎仍然受到了限制。
引注:
[1]Guidelines 2/2019 on the processing of personal data underArticle 6(1)(b) GDPR in the context of the provision of onlineservices to data subjects, p.6.
[2]Opinion 06/2014 on the notion of legitimate interests of the data controllerunder Article 7 of Directive 95/46/EC, p.10.
[3]Binding Decision 3/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Facebook service (Art. 65 GDPR), p.36.
[4] JUDGMENT OF 4 July 2023, case C-252/21, paragraphs 112&117, at https://curia.europa.eu/juris/document/document.jsf?text=&docid=275125&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=513418
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
