Meta 因未能遵守欧盟的通用数据保护条例 (GDPR) 而收到另一项法案——但这是一个小问题! Meta 拥有的消息传递平台 WhatsApp 已被这家科技巨头在该地区的主要数据保护监管机构罚款 550 万欧元(略低于 600 万美元),原因是未能为某些类型的个人数据处理提供合法依据。
早在 12 月,Meta 的首席监管机构爱尔兰数据保护委员会 (DPC) 就接到命令,通过欧洲数据保护委员会 (EDPB) 的一项具有约束力的决定,就此投诉(可追溯到 2018 年 5 月)做出最终决定- 以及另外两起针对 Facebook 和 Instagram 的投诉。
本月早些时候,DPC 做出了这两项最终决定,当时它宣布了总计 3.1 亿欧元的罚款;并给 Meta 三个月的时间来为该广告处理找到有效的法律依据。但是,虽然后一对 GDPR 决定解决了 Meta 缺乏有效的法律依据来处理用户数据以运行行为广告(又名,其核心业务模型),但爱尔兰似乎完全避开了广告处理合法性问题的 WhatsApp 决定——自它的调查集中在 Meta 声称的“服务改进”和“安全”的法律基础上。
在这里,Meta(同样)试图依赖合同必要性的主张——但爱尔兰现在(通过 EDPB 的命令)发现它不能。
DPC 已给 WhatsApp 六个月的时间来改进其数据处理方式。这意味着它将需要找到一种合法处理数据的方法(可能通过询问用户是否同意此类目的,如果他们不同意则不处理他们的数据)。
但监管机构只是拒绝按照并行的 EDPB 指令采取行动,该指令告诉 DPC 调查 WhatsApp 是否处理用户(元)数据以用于广告。这导致了原投诉人对备受批评的爱尔兰监管机构的又一次缝合的新呼声。
在一份新闻稿中, noyb , 最初的战略投诉背后的非营利隐私权毫不留情——认为爱尔兰在这一点上基本上是在指责 EDPB。
“我们感到惊讶的是,在经过 4.5 年的程序后,DPC 竟然完全忽略了案件的核心。 DPC 也明显无视 EDPB 的约束性决定。 DPC 似乎最终切断了与欧盟伙伴当局以及欧盟和爱尔兰法律要求的所有联系,”其名誉主席马克斯施雷姆斯在一份典型的简洁而有力的声明中表示。
虽然 WhatsApp 上的消息内容是端到端加密的——这意味着,假设你信任 Meta 对 Signal 协议的实施,这些信息应该受到保护,免受其窥视——社交媒体巨头仍然可以通过跟踪他们的用户来收集有关用户的见解WhatsApp 元数据(又名,谁在与谁交谈,多久等等)——以及通过将点和用户连接到其拥有的其他服务(以及可能的第三方服务)的帐户和公共(或其他非 E2EE 数字活动)播种了跟踪技术)……所以,基本上,Meta 的数据收集网很长(也很宽)。
这意味着肯定会有一些问题要问,比如它可能如何出于营销目的处理 WhatsApp 用户的数据——以及它进行任何此类处理所依赖的法律依据。
WhatsApp 用户可能还记得2021年开始的重大争议——当时该平台宣布对其条款和条件进行更新,并表示用户必须接受该更新才能继续使用该服务。目前尚不清楚更新后的条款到底发生了什么变化。但是,无论发生什么事,Meta 肯定都没有给 WhatsApp 用户自由选择的权利!尽管监管机构对该问题的关注导致 Meta 似乎有所退步,Meta 不再发送激进的弹出窗口要求欧盟用户同意(或离开),但整个事件导致人们对其到底在做什么感到普遍困惑与 WhatsApp 用户数据(以及它是如何做到的,从法律上讲)。
该事件还引发了一些消费者保护投诉。去年夏天,这导致欧盟委员会给该公司一个月的时间来解决令人困惑的条款和条件,并“明确告知”消费者其商业模式。
围绕 WhatsApp 的条款和条件的混乱和不信任并没有因为更早的与 Facebook 同步用户数据的转变而有所帮助——当时该平台推翻了创始人承诺永远不会跨越这些流。简而言之,这是一团糟——而且是欧洲监管机构无法声称已经清理干净的一团糟。
然而,尽管存在所有持续的困惑和隐私问题,但 DPC 似乎对正确审视 WhatsApp 如何处理用于广告的用户数据表现出惊人的兴趣。
“DPC 现在已将 4.5 年的程序限制在将数据用于安全目的和服务改进的法律基础的小问题上,”noyb 写道,并指责监管机构基本上忽略了其投诉的这一主要组成部分。 “因此,DPC 忽略了与 Meta 的其他公司(Facebook 和 Instagram)共享 WhatsApp 数据用于广告和其他目的的主要问题。”
DPC 宣布其最终决定的新闻稿几乎完全避免提及行为广告——直到结局,当这个词出现时。但只是因为它引用了 EDPB 的指示——对“WhatsApp IE 的 [爱尔兰] 在其服务中的处理操作进行新的调查,以确定它是否处理特殊类别的个人数据(GDPR 第 9 条),为行为广告目的,营销目的,以及为第三方提供指标和与关联公司交换数据以改进服务,并确定其是否符合 GDPR 下的相关义务”
因此,爱尔兰有机会代表 WhatsApp 用户解决问题,并跟踪数据流以清楚地了解 Meta 对 E2EE 消息传递平台的所有权对用户隐私的真正意义。 (而且,请记住,Meta 的行为广告定位帝国目前缺乏在欧盟 Facebook 和 Instagram 上处理广告的合法依据。)
但爱尔兰监管机构没有继续调查 WhatsApp 的数据处理,而是选择指示其律师质疑 EDPB 具有约束力的决定,并寻求在法庭上废除该决定。
更新: Meta 现在已经对 DPC 的决定做出回应——向我们发送了这份声明,归因于 WhatsApp 发言人,它确认将上诉:
WhatsApp通过提供端到端加密和保护人们的隐私层,在私人消息传递方面处于行业领先地位。我们坚信该服务的运作方式在技术和法律上都是合规的。我们依靠合同必要性来改进服务和实现安全目的,因为我们相信帮助确保人们的安全和提供创新产品是运营我们服务的基本责任。我们不同意该决定,我们打算上诉。
根据Natasha Lomas最初发布于TechCrunch的欧盟 GDPR,WhatsApp 因在没有合法依据的情况下处理数据而受到抨击