2024年10月24日,爱尔兰数据保护委员会(DPC)宣布了其针对领英爱尔兰无限公司(LinkedIn)开展的一项调查的最终决定。该调查始于2018年8月20日,由法国非营利组织“网络公民权利保护组织”(La Quadrature Du Net)提起投诉。投诉最初提交给法国数据保护局,随后提供给DPC,因为DPC是领英的主要监管机构,而领英则是涉事个人数据处理的控制者。
此次调查审视了LinkedIn对创建领英个人资料的用户(会员)进行行为分析[1]和定向广告[2]目的的个人数据处理情况是否合法、公正和透明。由数据保护专员德斯·霍根博士和戴尔·森德兰作出的这一决定,已于2024年10月22日通知领英,涉及此类处理的合法性、公正性和透明度。该决定包括谴责、要求领英使其处理行为合规,以及总计3.1亿欧元的行政罚款。
GDPR要求个人数据的处理必须基于GDPR第6条(1)项中概述的合法依据之一,如同意、合同必要性或合法权益。根据控制者选择的合法依据,必须满足某些条件。例如,所获得的任何同意都必须符合GDPR要求的标准,即必须是自由给出的、具体的、知情的且明确无误地表明数据主体的意愿。
GDPR还要求处理个人数据的方式必须公正。公正是一项总体原则,要求个人数据的处理不得对数据主体造成有害、歧视性、意外或误导的影响。缺乏公正性可能会导致数据主体对其个人数据的自主权丧失,使其无法行使其他GDPR权利,并影响其基本的隐私权和个人数据保护权。
透明度是数据保护的另一个关键方面,它使数据主体能够控制其个人数据的处理。控制者遵守透明度规定,可以确保数据主体在处理其个人数据之前充分了解处理的范围和后果,并有能力行使其权利。
2024年7月,DPC根据《通用数据保护条例》(GDPR)[3]第60条的要求,向GDPR合作机制提交了决定草案。DPC的决定草案未遭到反对。DPC感谢其欧盟/欧洲经济区同行监管机构在本案中的合作与协助。
DPC的最终决定记录了以下违反GDPR的调查结果:
GDPR第6条和GDPR第5条(1)(a)项,要求个人数据处理必须合法,而领英:
并未有效依据GDPR第6条(1)(a)项(同意)处理会员的第三方数据,以进行行为分析和定向广告,因为领英获得的同意并非自由给出、充分知情、特定或明确无误。
并未有效依据GDPR第6条(1)(f)项(合法权益)处理会员的第一方个人数据进行行为分析和定向广告,或处理第三方数据进行分析,因为领英的利益被数据主体的利益及基本权利和自由所覆盖。
并未有效依据GDPR第6条(1)(b)项(合同必要性)处理会员的第一方数据,以进行行为分析和定向广告。
GDPR第13条(1)(c)项和第14条(1)(c)项,关于领英向数据主体提供的信息,涉及其依赖GDPR第6条(1)(a)项、第6条(1)(b)项和第6条(1)(f)项作为合法依据。
GDPR第5条(1)(a)项,公正性原则。
DPC副专员格雷厄姆·多伊尔评论道:
“处理的合法性是数据保护法的基本方面,在没有适当法律依据的情况下处理个人数据,是对数据主体基本数据保护权利的明显且严重侵犯。”
DPC将在适当时候公布完整决定及更多相关信息。
[1] Behavioural analysis is the entire process whereby information which is provided by, inferred from or observed about an individual is used to inform the advertisements that are targeted to that individual, or is aggregated with other information for the purpose of conducting targeted advertising.
[2] Targeted advertising is the process by which specific advertisements are targeted to an individual, based on information which is held about the individual, whether provided by them or inferred and/or observed about them.
[3] Article 60 of the GDPR regulates the cooperation procedure between the Lead Supervisory Authority and the other Concerned Supervisory Authorities.
爱尔兰是许多科技大厂的欧洲总部所在地,包括微软(Microsoft)、苹果(Apple)、谷歌(Google),以及脸书(Facebook)母公司Meta的欧洲总部都在该国。
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。