《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 重大案件 | WhatsApp被罰2.25億歐元一案核心事實與爭點述評

重大案件 | WhatsApp被罰2.25億歐元一案核心事實與爭點述評

2021-10-19
來源:數(shù)字科技說
關(guān)鍵詞: WhatsApp

  2021年9月2日,愛爾蘭數(shù)據(jù)保護當(dāng)局頒布WhatsApp一案最終決定:對WhatsApp違反《一般數(shù)據(jù)保護條例》(以下稱GDPR)第5、12,、13,、14條的多項行為,合計罰款2.25億歐元,。本案歷時近三年,,核心爭點涉及理論和實務(wù)上的一系列疑難,包括個人數(shù)據(jù)的認(rèn)定,、告知的具體范圍,、罰款金額裁量因素等等。本案堪稱經(jīng)典,,包括主要監(jiān)管機構(gòu)和合作監(jiān)管機構(gòu)的意見以及歐盟數(shù)據(jù)保護委員會(以下稱EDPB)對此其中的爭議評述,,對理論和實務(wù)皆有價值。本文從愛爾蘭數(shù)據(jù)當(dāng)局的最終決定[1]和EDPB頒布的,、論述各數(shù)據(jù)當(dāng)局分歧的有約束力決定[2](以下合稱“決定”)出發(fā),,解析了其中重點的疑難問題。

  一,、程序性事實

  1,、調(diào)查前事實

  以2018年12月、愛爾蘭數(shù)據(jù)保護局對WhatsApp發(fā)起調(diào)查為分界點,,本案事實歷程可以大致分為“調(diào)查前”和“調(diào)查后”兩部分,。“調(diào)查前”系指:在正式調(diào)查前發(fā)生,、但對案件決定有實質(zhì)性影響的事實,;“調(diào)查后”系指:調(diào)查開始后,案件各主要程序的時間節(jié)點,。

  2018年12月以前發(fā)生的關(guān)鍵事實,,主要有二:一是實質(zhì)影響WhatsApp違法行為的動機認(rèn)定、進而影響罰款計算的先行調(diào)查,。2012年時,,加拿大隱私專員辦公室和荷蘭數(shù)據(jù)保護局聯(lián)合對WhatsApp發(fā)起調(diào)查,調(diào)查范圍直指非WhatsApp注冊用戶(即non-user)電話號碼數(shù)據(jù)的處理問題,。調(diào)查結(jié)論之一,,便是將非WhatsApp注冊用戶的電話號碼認(rèn)定為個人數(shù)據(jù)。決定據(jù)此認(rèn)定:WhatsApp因此知曉相應(yīng)非WhatsApp注冊用戶的手機號碼應(yīng)當(dāng)被認(rèn)定為個人數(shù)據(jù)的性質(zhì),,這一點又在一定程度上說明了“WhatsApp的漫不經(jīng)心[過失]”,。由于“故意抑或過失”是GDPR第83條規(guī)定的、計算罰款金額的裁量因素之一,,這影響了與非用戶數(shù)據(jù)相關(guān)的違法行為的罰款計算,。二是2014年Facebook并購WhatsApp和后續(xù)的數(shù)據(jù)共享,這是本案的核心爭點之一,實質(zhì)影響到違法行為的認(rèn)定和罰款金額的計算,。

  2. GDPR項下的一站式和合作與一致性機制

  根據(jù)GDPR規(guī)定,,數(shù)據(jù)控制者或處理者跨境處理數(shù)據(jù)的,則主要營業(yè)場所或單一營業(yè)場所的監(jiān)管機構(gòu)有權(quán)作為主要監(jiān)管機構(gòu)(Lead Supervisory Authority),,根據(jù)GDPR規(guī)定的合作機制與其他的相關(guān)監(jiān)管機構(gòu)(Concerned Supervisory Authorities)進行合作,,保證一致性。在此適用條件下,,主要監(jiān)管機構(gòu)應(yīng)當(dāng)是進行跨境數(shù)據(jù)處理活動的數(shù)據(jù)控制者或處理者的唯一對話者,。該機制被稱為一站式。

  然而,,為了保證一致性,,GDPR又規(guī)定了合作條款。主要監(jiān)管機構(gòu)應(yīng)當(dāng)與其他相關(guān)監(jiān)管機構(gòu)按照合作條款的要求努力達成共識,。主要監(jiān)管機構(gòu)應(yīng)當(dāng)向其他相關(guān)監(jiān)管機構(gòu)提交決定草案,,并咨詢他們的意見,考慮他們的觀點,。其他相關(guān)監(jiān)管機構(gòu)可以在規(guī)定時間內(nèi)對決定草案提出相關(guān)且合理(relevant and reasonable)的反對意見,。主要監(jiān)管機構(gòu)如果不遵循該相關(guān)且合理的反對意見,或者認(rèn)為該反對意見既不相關(guān)也不合理的,,則應(yīng)將案件提交到EDPB,,由EDPB作出有約束力的決定,該決定應(yīng)當(dāng)關(guān)注所有相關(guān)且合理的反對意見針對的事項,,尤其是是否違反GDPR的規(guī)定,。

  在本案中,愛爾蘭數(shù)據(jù)保護局是主要監(jiān)管機構(gòu),。2018年12月愛爾蘭數(shù)據(jù)保護局開始調(diào)查,在2019年時形成了調(diào)查報告初稿,、在2020年底形成了決定草案并提交給相關(guān)的監(jiān)管機構(gòu),。隨即,德國,、德國巴登-符騰堡州,、法國、匈牙利,、意大利,、荷蘭、波蘭,、葡萄牙等地數(shù)據(jù)保護局就決定草案提出了“相關(guān)且合理”的反對意見,。2021年6月由于愛爾蘭數(shù)據(jù)保護局既未接受反對意見、又未能說明相應(yīng)意見不相關(guān)或?qū)崯o理據(jù),根據(jù)GDPR第61條和第65條,,則應(yīng)當(dāng)由EDPB就案件相關(guān)且合理的反對意見作出有約束力的決定,。2021年7月,EDPB作出決定,。2021年8月,,愛爾蘭數(shù)據(jù)保護局根據(jù)EDPB決定、作出最終決定,。2021年9月2日,,愛爾蘭當(dāng)局正式頒布最終決定。

  二,、愛爾蘭數(shù)據(jù)保護局的最終決定

  愛爾蘭數(shù)據(jù)保護局的最終決定包含四類違法行為,,具體包括如下:

  1、針對WhatsApp非注冊用戶的場景下是否滿足透明性要求

  該行為主要針對的是通訊錄匹配功能,,如果WhatsApp注冊用戶同意開啟通訊錄匹配功能,,WhatsApp會收集并使用聯(lián)系人的電話號碼。經(jīng)過匹配會發(fā)現(xiàn)未注冊用戶,,則將未注冊用戶的電話號碼進行有損哈希(lossy hash),,刪除原始的電話號碼。WhatsApp抗辯有損哈希構(gòu)成匿名化,,因此不需要履行GDPR項下相應(yīng)的義務(wù),。

  愛爾蘭數(shù)據(jù)保護局認(rèn)定:

  在有損哈希前,非注冊用戶的手機號構(gòu)成用戶數(shù)據(jù),,因為該電話號碼可以間接識別用戶身份,。在有損哈希后仍然構(gòu)成用戶數(shù)據(jù)。WhatsApp處理非注冊用戶的數(shù)據(jù)時可以認(rèn)定為控制者,,但未履行GDPR提供信息義務(wù),。

  2、 針對WhatsApp注冊用戶的場景下是否滿足透明性要求

  愛爾蘭數(shù)據(jù)保護局認(rèn)定:

  因WhatsApp提供的信息就其質(zhì)量來說,,無法讓人識別具體的處理行為與其相應(yīng)的合法性基礎(chǔ),、以及追求合法利益下相應(yīng)的數(shù)據(jù)類型等詳細(xì)信息,而且從提供信息的方式來看,,盡管合法性基礎(chǔ)一節(jié)鏈接到了“我們?nèi)绾问褂脭?shù)據(jù)”,,但是鏈接到的“我們?nèi)绾问褂脭?shù)據(jù)”并未獲得更多新的或更詳細(xì)的信息,因此不符合GDPR第13條第1款第(c)項要求提供處理個人數(shù)據(jù)的目的以及其合法性基礎(chǔ),,以及(d)項如果基于追求合法利益的目的來處理數(shù)據(jù)的,,則要求提供數(shù)據(jù)控制者或第三方所追求的合法利益的規(guī)定。

  關(guān)于數(shù)據(jù)分享部分內(nèi)容,,如下圖所示,,從WhatsApp提供的信息質(zhì)量來說,,不符合透明性原則指南,未能使用戶理解什么類型的用戶數(shù)據(jù)將被傳輸給哪些第三方,,基于什么目的而傳輸,,以及對數(shù)據(jù)主體的后果。同時從信息提供方式來說,,需要用戶在不同的鏈接之間進行跳轉(zhuǎn),,內(nèi)容似乎散落在隱私政策、服務(wù)協(xié)議,、合法性基礎(chǔ)通知以及相關(guān)的文檔和常見問題等,。因此,WhatsApp違反了GDPR第13條第1款第(e)項要求提供個人數(shù)據(jù)的接收者或接受者的類別,。

  關(guān)于跨境傳輸部分,,WhatsApp未明確說明是否依賴充分性認(rèn)定來進行跨境傳輸,僅用了其“it may rely on, if applicable”的模糊用語,。而且WhatsApp沒有提供給數(shù)據(jù)主體有意義的方式去了解充分性認(rèn)定或者其他跨境傳輸機制,。簡單來說,僅僅鏈接到歐盟委員會的官方頁面是不足夠的,,因此違反了GDPR第13條第1款第(f)項“應(yīng)提供數(shù)據(jù)控制者向第三國或國際組織傳輸數(shù)據(jù)的事實以及歐盟委員會是否作出充分性認(rèn)定的情況或者GDPR第46條,、第47條、第49條第1款第2項規(guī)定的轉(zhuǎn)移情形下獲取相應(yīng)副本和相應(yīng)的安全保障措施的信息”,。

  關(guān)于數(shù)據(jù)存儲部分,,WhatsApp在隱私政策中數(shù)據(jù)保留到用戶刪除賬號或滿足處理目的,以先發(fā)生的為準(zhǔn),。對于用戶未刪除部分,,WhatsApp簡單地說明保存期限基于逐案分析的方式判斷,參考因素如數(shù)據(jù)類型,、收集使用的原因以及相關(guān)法律要求保存期限,。但是另外在常見問題中又說明了即使刪除賬號后,有部分?jǐn)?shù)據(jù)仍然保存,,如log records,,而常見問題未被鏈接到隱私政策。愛爾蘭數(shù)據(jù)保護局認(rèn)定,,WhatsApp未提供了有意義的信息用以判斷當(dāng)用戶注銷賬號后是否會刪除以及多久會刪除,關(guān)于刪除后仍然保留的數(shù)據(jù)以及說明log records雖然會保留但是不會關(guān)聯(lián)到用戶的說明未納入到隱私政策中,,因此不符合GDPR第13條第2款(a)項要求提供“用戶數(shù)據(jù)的存儲期限,,若不可能,則應(yīng)提供決定存儲期限的標(biāo)準(zhǔn)”,。

  關(guān)于撤回同意部分,,WhatsApp在隱私政策中“如何行使你的權(quán)利”部分未說明撤回同意方式,,而是寫入了合法性基礎(chǔ)的“你的同意”部分,而且未說明清楚撤回同意的后果即不影響撤回前已經(jīng)合法處理的數(shù)據(jù),。因此不符合GDPR第13條第2款(c)項要求提供“數(shù)據(jù)主體有權(quán)隨時撤回其同意,,該撤銷不具有溯及力”。

  關(guān)于說明個人數(shù)據(jù)是基于何種合法性基礎(chǔ)以及數(shù)據(jù)主體是否必須提供,,不能提供的后果部分,,WhatsApp在隱私政策中說明了所收集的數(shù)據(jù)是基于使用何種服務(wù),以及采用了“must”,、“may”不同的用語表示是否為強制,,同時在合法性基礎(chǔ)通知的合同履行的必要部分,另在服務(wù)條款里通過關(guān)于我們的服務(wù),,說明注冊等服務(wù),。上述內(nèi)容散見在各個文件,且并未明確指出必須提供的數(shù)據(jù)類型以及不提供的后果,。因此違反了GDPR第13條第2款第(e)項,。

  3、針對WhatsApp和Facebook之間分享數(shù)據(jù)的場景下是否符合透明性要求

  WhatsApp對告知規(guī)定的違反,,體現(xiàn)在至少四個方面,。首先,WhatsApp的隱私政策未能詳盡地告知數(shù)據(jù)事宜,。盡管Facebook網(wǎng)站上確有一比較完整地告知共享的頁面(FAQ),,WhatsApp的隱私政策里,只在“我們?nèi)绾闻c其它Facebook公司合作”一節(jié)鏈接了一次FAQ,,而沒有在用戶更有可能去尋找數(shù)據(jù)共享內(nèi)容的,、“你和我們共享的信息”一節(jié)鏈接到FAQ。因此,,僅僅按照各節(jié)目錄瀏覽政策的用戶,,將錯過“關(guān)于數(shù)據(jù)共享”的最完整的信息。其次,,有關(guān)何為“Facebook公司”,,列舉“Facebook公司”“Facebook產(chǎn)品”“Facebook商業(yè)工具”的若干頁面彼此不一致,導(dǎo)致難以確定這一范圍內(nèi)究竟包含哪些實體,。例如,,難以確定Oculus是否屬于Facebook公司。再次,,告知并未明確WhatsApp與Facebook間究竟是“控制者-處理者”關(guān)系還是“控制者-控制者”關(guān)系,。又次,假使二者關(guān)系確屬后者,,僅告知“為了安全[而共享]”,、而不告知為了安全所需的具體處理行為,,不能滿足對信息質(zhì)量的要求。最后,,WhatsApp實質(zhì)上未基于安全原因與Facebook進行數(shù)據(jù)分享,,所以陳述內(nèi)容存在誤導(dǎo),其他關(guān)于分享的陳述過于概括,,并不具有實質(zhì)意義,。

  因此,愛爾蘭數(shù)據(jù)保護局認(rèn)定WhatsApp對于如何與Facebook公司分享數(shù)據(jù)部分的內(nèi)容不符合透明性要求,,違反GDPR第13條第1款(c)和(e)項以及第12條第1款,。而且進一步指示,除非WhatsApp有具體的計劃包括具體的開始時間,,基于安全原因?qū)崿F(xiàn)控制者對控制者的數(shù)據(jù)分享,,否則應(yīng)當(dāng)刪除在合法性基礎(chǔ)通知和Facebook常見問題里的誤導(dǎo)性陳述。

  4,、WhatsApp是否遵守公開透明原則

  在上述違反第13條和第12條的規(guī)定基礎(chǔ)上,,EDPB通過有約束力的決定要求愛爾蘭數(shù)據(jù)保護局修改決定草案,認(rèn)定違反了GDPR第5條第1款(a)項的透明性原則,。具體請見本文第3部分,。

  三、EDPB論述的主要爭議點

  相較初稿,,EDPB決定在以下關(guān)鍵爭點上有實質(zhì)不一致:個人數(shù)據(jù)認(rèn)定,、WhatsApp告知不充分是否違反GDPR第5條、以及罰款金額的計算,,等等,。

  1、有損哈希(Lossy Hash),、可識別性與個人數(shù)據(jù)的認(rèn)定

  核心爭議點在于有損哈希是否足以實現(xiàn)匿名化,,使得哈希值不構(gòu)成個人數(shù)據(jù)。由于WhatsApp堅持認(rèn)為有損哈希值不構(gòu)成個人數(shù)據(jù),,于是,,WhatsApp并未履行假定哈希值屬于個人數(shù)據(jù)時、應(yīng)當(dāng)履行的一系列義務(wù),。愛爾蘭數(shù)據(jù)保護局的調(diào)查同樣聚焦于哈希值是否屬于個人數(shù)據(jù),。就有損哈希而言,這一技術(shù)最重要的特性有二:首先,,哈希是不可逆的加密方式,,從有損哈希反求手機號碼的原始值,“在計算[能力]上屬于不可能”,;其次,,有損哈希和手機號碼(或者說,位數(shù)給定的數(shù)字)之間并非“一對一”的關(guān)系,,而是“一對十六”的關(guān)系——每一有損哈希值,,對應(yīng)于十六個可能的電話號碼。WhatsApp據(jù)此辯稱,,哈希值無法合理地關(guān)聯(lián)到個體,,從而不構(gòu)成個人數(shù)據(jù)。愛爾蘭數(shù)據(jù)保護局也在初稿中贊同了這一觀點[3],。如果哈希值不屬于個人數(shù)據(jù),,則WhatsApp也就不再需要履行GDPR下的告知等一系列義務(wù)。

  然而,,EDPB基于至少四個方面的論證,,最終決定推翻了愛爾蘭當(dāng)局的初稿觀點,認(rèn)為有損哈希值仍然屬于個人數(shù)據(jù),。首先,,EDPB指出,在認(rèn)定個人數(shù)據(jù)時,,不能“孤立地考慮[有損哈希]這一技術(shù)步驟”,,而是需要考慮“所有的客觀場景因素”、以判斷識別或再識別的概率,。其次,,盡管每一有損哈希值理論上可以對應(yīng)十六個號碼,實踐中,,由于號碼格式和號段使用率等原因,,對應(yīng)的數(shù)量可能遠少于十六個,“甚至只有一個”,。再次,,WhatsApp聲稱有損哈希可以實現(xiàn)匿名化,,但有損哈希值又可以實現(xiàn),、也實際用于識別特定用戶,這是“自相矛盾的”,。最后,,在識別或重識別特定用戶時,WhatsApp不僅使用了哈希值,,還使用了基于號碼存儲而建立的社交關(guān)系數(shù)據(jù),,二者聯(lián)合,可以構(gòu)造出具備識別能力的“關(guān)系簽名”,。綜上,,考慮“客觀場景因素”,,有損哈希值應(yīng)當(dāng)認(rèn)定為個人數(shù)據(jù)。

  這一點至少引起了三方面的思考,。首先,,恰如部分研究者指出:“匿名化”是個法律概念,不能僅僅通過技術(shù)上的判斷得到認(rèn)定,。因此,,不能因為采用了在理論上可以抵抗重識別攻擊的技術(shù)措施,就認(rèn)為無須遵從個人數(shù)據(jù)/信息保護的相應(yīng)規(guī)定,。其次,,如果合規(guī)架構(gòu)建立在對特定匿名化技術(shù)的信任之上,則需結(jié)合現(xiàn)有案例,、并綜合考慮法律上有所本的“所有客觀場景因素”,,對技術(shù)是否足以在法律上認(rèn)定為匿名化作出論證。最后,,也是更加具體的一點,,如果在通訊錄匹配、反作弊等“目的即[至少部分地]在于識別”的功能中采用匿名化技術(shù)以合規(guī),,當(dāng)警惕“自相矛盾”的問題,。

  2、透明性原則下的告知要求要做到什么程度,?

 ?。?)WhatsApp對數(shù)據(jù)處理的告知不符合透明性要求

  從GDPR第13條,尤其是第13條第1款下(c)和(d)規(guī)定的告知義務(wù)出發(fā),,愛爾蘭數(shù)據(jù)保護局決定詳盡地調(diào)查了WhatsApp對處理目的,、合法性基礎(chǔ)和合法利益(如適用)的告知方式,并詳盡地闡述了三類告知義務(wù)所要求的具體告知范圍,。簡言之,,值得關(guān)注的有至少兩方面:一方面,決定對信息質(zhì)量相關(guān)要求的闡述,;另一方面,,信息展示方式,包括隱私政策以及相關(guān)頁面間的鏈接結(jié)構(gòu)和文字表述的差異性,,足以影響數(shù)據(jù)保護當(dāng)局對處理者是否違反GDPR第13條相應(yīng)條款的判斷,。

  信息質(zhì)量層面,從第13條第1款下(c)出發(fā),,處理者應(yīng)就每一類別個人數(shù)據(jù)告知相應(yīng)的處理行為,,并就每一處理行為告知相應(yīng)的合法性基礎(chǔ)。告知的信息質(zhì)量,應(yīng)當(dāng)使得主體“足以理解為何需要出于[相應(yīng)]目的而處理他/她的個人數(shù)據(jù)”,,在更加基礎(chǔ)的意義上,,還應(yīng)當(dāng)使得主體“可以行使GDPR下的權(quán)利”。例如,,僅僅告知“出于[為合同所必須的]安全措施……處理您的個人信息”,,無法滿足對信息質(zhì)量的要求。反之,,告知“出于同意……為了提供特定的產(chǎn)品特性和服務(wù),而收集和使用位置信息”,,在“告知相應(yīng)處理行為”方面,,就更加符合決定的要求。然而,,如果在收集和處理方面還有其它處理行為,,但又未能告知,則同樣不滿足GDPR,。對第13條第1款下(d)項,,首先,不能使用類似“維持服務(wù)”的寬泛表述進行告知,,而需澄清“服務(wù)”的具體含義,;其次,同樣需要告知每一合法利益所對應(yīng)的處理行為,。

  信息展示方式層面,,決定注意到了WhatsApp在不同場景中至少四方面的不足。第一,,即使WhatsApp告知了信息質(zhì)量層面所要求的許多內(nèi)容,,這些內(nèi)容分散在隱私政策頁面和其中散布的多個鏈接中,“缺乏一個整合的文本或分層的示意圖”,,來讓數(shù)據(jù)主體理解針對特定數(shù)據(jù)的相應(yīng)處理行為和合法性基礎(chǔ),。第二,WhatsApp在不同的文本(散布在前述鏈接中)中用相似的表述告知實則不同的內(nèi)容,,容易導(dǎo)致數(shù)據(jù)主體的困惑,、難以發(fā)現(xiàn)其間的差異之處。第三,,WhatsApp將“并不復(fù)雜的[有關(guān)向Facebook共享數(shù)據(jù)的]”內(nèi)容分散在隱私政策,、服務(wù)協(xié)議、合法性基礎(chǔ)告知和外部幫助,、答問文檔(FAQ)中,,而非“整合信息……并以清楚、簡潔的形式展示”。第四,,WhatsApp沒有在隱私政策中包含一個有助于理解個人數(shù)據(jù)共享的鏈接,。第五,隱私政策和其它頁面間存在不一致的內(nèi)容,。

  綜之,,對數(shù)據(jù)合規(guī)而言,此處決定至少引起兩方面的思考,。首先,,在個人數(shù)據(jù)類別、處理行為,、合法性基礎(chǔ)之間建立完整的映射關(guān)系,,日益必要。實際上,,按WhatsApp案決定,,這已經(jīng)成為合規(guī)的“底線”。其次,,無論是告知的內(nèi)容,,還是告知的形式,都應(yīng)當(dāng)采取“用戶中心”的視角——考慮用戶“會不會困惑”,,考慮用戶“能不能理解應(yīng)當(dāng)告知”,,以及尤其重要的、考慮用戶“能不能順利地行使自己的權(quán)利”,。具體到實踐中,,則應(yīng)避免決定指出的多種問題,盡量以“整合的文本或分層的示意圖”,,清晰,、簡潔地告知數(shù)據(jù)類別、處理行為和合法性基礎(chǔ)間的映射,,并告知GDPR規(guī)定的其它內(nèi)容,。

  (2)第13條信息提供義務(wù)與透明性原則的關(guān)系

  來自EDPB的決定進一步闡明了在何種條件下,,對告知義務(wù)的違反同樣構(gòu)成對透明性原則的違反,。決定明確了透明性的兩方面特性:一方面,透明性應(yīng)是“以用戶為中心”,、而非“拘泥法律”的,,需要“通過一系列對數(shù)據(jù)控制者和處理者施加實踐要求的條款來實現(xiàn)”;另一方面,,透明性原則既是公平原則的表達,,又與可問責(zé)性原則存有內(nèi)在聯(lián)系,,因之,透明性是GDPR中居于體系高位的概念,,由此可以展開諸多條款與義務(wù),。當(dāng)然,違反透明性原則下展開的義務(wù),,未必導(dǎo)致對原則本身的違反,。本案中,WhatsApp在告知信息質(zhì)量和方式等各方面的諸多欠缺,,導(dǎo)致用戶“未能獲得足以行使主體權(quán)利的信息”,、“無法作出是否繼續(xù)使用服務(wù)的決定”,是“完全的失敗”,??傊b于WhatsApp違反GDPR的嚴(yán)重程度,,以及相應(yīng)違反及其影響的廣泛程度(以至影響到WhatsApp開展的全部數(shù)據(jù)處理),決定認(rèn)為存在對原則本身的違反,。

  如上,,對數(shù)據(jù)合規(guī)而言,此處決定亦至少有兩方面啟發(fā),。首先,,依然是“以用戶為中心”:按照決定,僅從法律要求出發(fā),、將所有要求的信息展示在用戶可見的頁面上,,僅此依然不足以完全合規(guī)。充分的合規(guī),,應(yīng)當(dāng)以用戶為中心,,保障用戶體驗,隱私合規(guī)也是一種產(chǎn)品體驗,。其次,,具體義務(wù)違反和抽象原則違反間后果上的差異(據(jù)GDPR第83條第5款,后者處罰更重),,令合規(guī)工作的考量變得更加復(fù)雜,。例如,即使完全的合規(guī)面臨各方面的挑戰(zhàn),,避免嚴(yán)重且廣泛的違反,、以免違反原則性條款,依然應(yīng)該是合規(guī)的重點,。

  3,、如何計算罰款

  綜合考慮GDPR第83條第2款列舉的各項裁量因素后,,決定作出如下處罰:就WhatsApp違反第5條透明性原則,罰款9000萬歐元,;就WhatsApp違反第12,、13、14條的各項告知義務(wù),,分別罰款3000萬,、3000萬和7500萬歐元,以上合計2.25億歐元[4],。決定此處有意義的內(nèi)容很多,,本文重點討論其中三方面:如何裁量對違反原則的行為的處罰;存在先行調(diào)查時,,第83條第2款下(b)“動機(包括故意和過失)”如何裁量,;以及,在Facebook并購WhatsApp后,,如何計算與罰款金額有關(guān)的營業(yè)額,。

  盡管決定在定性的層面強調(diào)了“違反原則之下義務(wù)”和“違反原則本身”的區(qū)分,在定量計算罰款金額時,,決定很大程度上混同了二者:“……由于各[對具體義務(wù)的]違反都與透明性有關(guān),,又由于這些違反有著相同的特性目的、很可能在第83條第2款的語境下產(chǎn)生相同或相似的后果……我[來自愛爾蘭數(shù)據(jù)當(dāng)局的調(diào)查者]會同時評估各項違反[對第5,、12,、13、14條的違反],,并統(tǒng)稱其為‘違反’……”隨后,,決定相當(dāng)“直截了當(dāng)”地評估了WhatsApp對第5條原則的違反,如前,,由于“WhatsApp違反GDPR的嚴(yán)重程度,,以及相應(yīng)違反及其影響的廣泛程度”,WhatsApp對原則的違反,,不可謂不嚴(yán)重,。此外,決定還考慮了WhatsApp對第12,、13等各條的整體遵從情況:“[WhatsApp]僅僅提供了41%的規(guī)定需要提供的信息[5]……距離滿足WhatsApp的義務(wù)有很大差距……這是第5條違反的裁量因素的加重因素……”

  在評估WhatsApp動機時,,對部分具體義務(wù)和原則性條款[6],決定認(rèn)為:WhatsApp違反系出自位于故意與一般過失間的“高度過失”,。簡言之,,在缺乏證據(jù)說明故意的前提下,決定從一般過失出發(fā),,通過考慮部分加重因素,,最終得到了高度過失的結(jié)論,。相應(yīng)加重因素至少有二:其一,得到不利結(jié)論的先行調(diào)查,。如前,,加拿大和荷蘭曾經(jīng)在2012年對WhatsApp通訊錄匹配所涉的個人數(shù)據(jù)處理開展調(diào)查,并得出對WhatsApp不利,、與本案爭點密切相關(guān),、且在本案中得到進一步確認(rèn)的結(jié)論。盡管先行調(diào)查發(fā)生在GDPR生效前多年,,WhatsApp也始終不認(rèn)可相應(yīng)結(jié)論,,這一點仍足以說明:WhatsApp在知曉歐盟內(nèi)數(shù)據(jù)當(dāng)局不太可能贊同其立場的前提下,依舊違反了相應(yīng)義務(wù),。于是,,應(yīng)認(rèn)定WhatsApp違反出于高度過失。其二,,整體角度下信息缺失的嚴(yán)重程度,,足以認(rèn)為對第5條的違反亦屬于高度過失。

  最后,,由于罰款金額的上限依賴于“公司的全球營業(yè)額”,,又由于Facebook已經(jīng)并購了WhatsApp,以哪個公司——是WhatsApp,,還是“Facebook公司”——的全球年營業(yè)額作為計算基準(zhǔn),將對罰款金額產(chǎn)生實質(zhì)影響,。此處,,首先,由于Facebook(通過一子公司)全資擁有涉案的WhatsApp公司,,可以推定Facebook對WhatsApp擁有“決定性的影響”,。又因WhatsApp未能反證這一推定,故WhatsApp與Facebook構(gòu)成“單一經(jīng)濟實體”,。其次,,根據(jù)歐盟法院(一般簡稱CJEU)的一系列判決:如果子公司和母公司構(gòu)成單一實體,則母公司可以對子公司的違法行為承擔(dān)責(zé)任(包括罰款),,且母公司的年營業(yè)額可以作為子公司違法罰款上限的計算基準(zhǔn),。因此,包括Facebook集團各組成公司在內(nèi)的全球年營業(yè)額,,應(yīng)作為本案的基準(zhǔn),。這一基準(zhǔn)最終厘定為859.65億美元,是相應(yīng)實體2020年的年營業(yè)額,。

  結(jié)語

  以上,,本文從五個角度述評了WhatsApp被罰2.25億美元一案,。首先,以調(diào)查開始為節(jié)點,,簡要整理了節(jié)點之前有實質(zhì)影響的關(guān)鍵事實和節(jié)點之后調(diào)查的關(guān)鍵時點,。其次,述評了決定對個人數(shù)據(jù)的認(rèn)定思路和對有損哈希這一匿名化技術(shù)的分析和結(jié)論,。再次,,從信息質(zhì)量和信息展示方式出發(fā),述評了決定對告知范圍的分析,。又次,,對關(guān)鍵點WhatsApp與Facebook間的數(shù)據(jù)共享,展開了決定對WhatsApp為何違反具體義務(wù)和為何違反原則條款的分析,。次之,,在前述各項內(nèi)容的基礎(chǔ)上,重點敘述了決定裁量罰款金額的部分考量,。對幾乎每一部分,,也從實務(wù)視角出發(fā),提出了少許初步的思考,。

  盡管決定大體上僅與告知有關(guān),,而幾未涉及數(shù)據(jù)共享行為本身的合法性,亦未涉及數(shù)據(jù)共享與競爭法間的復(fù)雜聯(lián)系,,理解Facebook并購WhatsApp后綿延至今的數(shù)據(jù)合規(guī)風(fēng)波,,難以脫離對后兩項議題的思考。例如,,2017年時,,由于Facebook作出有關(guān)并購的虛假陳述——盡管Facebook實有能力自動化匹配同一個體的WhatsApp賬戶和Facebook賬戶,F(xiàn)acebook卻對歐盟委員會否認(rèn)這一點,,歐盟委員會對其罰款1.1億歐元[7],。又如,在大西洋的另一側(cè),,聯(lián)邦貿(mào)易委員會(一般簡稱FTC)針對并購案的訴訟也仍在進行中[8],。于是,完整理解這一并購的數(shù)據(jù)合規(guī)意義,,需要更寬的視野和更多的時間,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]