Meta“合约模型”是与监管机构沟通的结果
在GDPR中,处理个人数据是一种需要有效法律依据的活动。“用户同意”以及“合同必要性”是根据GDPR处理个人数据最常用的法律依据。
然而,这种方法受到了NOYB的抨击。NOYB是奥地利活动家MaxSchrems领导的非政府组织,也是此次向欧盟当局投诉Meta的机构。根据NOYB在2021年发布的内部文件,Facebook和爱尔兰DPC之间曾经举行过十次会议,就“绕过GDPR”(GDPRbypass)达成了一致,即将用户的“同意条款”转移到Facebook的条款和条件中,并声称这将绕过GDPR第6(1)(a)条下的同意规则,但使第6(1)(b)条适用。
也就是说,NOYB认为,“合约模型”是DPC和Meta之间沟通的结果。监管机构与公司讨论如何适用法律英美法体系中相对普遍,但在欧洲的大陆法系则要少得多。
欧盟监管机构内部的分歧:仅爱尔兰站Meta,其他10个反对
爱尔兰的DPC在其最初决定中认为,Meta未能遵守GDPR的透明度义务,因为提供给用户的信息不足以明确说明他们的个人数据是如何被处理的、出于什么目的以及在什么法律基础上;但是在处理数据的法律基础方面,爱尔兰DPC站在了Meta的立场,认为“合同”法律依据是用户同意的可行替代方案,并非投诉所声称的“强制同意”。
此外,EDPB认为,Meta与其用户之间的关系“不平衡”,称其“严重违反”透明度义务“影响了用户的合理期望”,并批评这家科技巨头“以误导的方式”向用户展示其服务,即违反了GDPR的公平原则以及透明度原则。
EDPB与DPC的合作与独立性问题
这一处理方式,表明这个案件当中存在着某种紧张关系或政治角力。在独立的机构之间寻求合作,是很难平衡的。
对Meta的影响
Meta表示,这些变化反映了家长和专家的反馈,并将符合几个国家针对年轻人的内容的新规定。然而事实上,爱尔兰DPC曾对Instagram如何处理13至17岁儿童的用户帐户进行了为期两年的调查;Meta在2022年秋天因这些违规行为被罚款约4亿美元。
欧盟层面的集中执法增多
一方面,DPC经常被指责在GDPR投诉中“玩忽职守”,例如展开比投诉人要求的范围更窄的调查,甚至根本不展开调查。在几起案件中,它还因不作为而被起诉,甚至面临刑事腐败指控。EDPB指示DPC展开补充调查的现象,在将来或许会增多。
三、美欧数字博弈带来法律不确定性
Meta作为其中的参与者,2023年在欧盟的运营将面临一些不确定性。
爱尔兰DPC最初于2022年7月向其欧盟同行发送了决定草案,该决定草案将阻止Meta通过使用标准合同条款将个人数据从欧盟传输到美国。2023年1月26日,爱尔兰DPC由于无法解决其他欧盟数据保护机构对其执法决定草案的异议,不得不启动欧盟第65条争端解决机制。
争议解决程序出台之际,欧盟也正在考虑欧盟-美国数据隐私框架的充分性决定,大概会在2023年上半年做出最终的决定。