欧盟最高法院一位有影响力的顾问今天发表的不具约束力的意见可能预示着隐私和竞争监管交叉领域的重大区域发展——或者有时是狭隘的“隐私与竞争”。
该意见是在向法院 (CJEU) 提交与 Facebook(又名 Meta)上诉相关的上诉之后提出的,该上诉一直在挑战德国竞争监管机构 (FCO) 对 Facebook 所谓的“超级用户画像”的2019 年命令。 FCO 的案例认为,这家科技巨头将用户数据整合到多个服务和网站上——因此,Facebook 完全否认用户的隐私——本身就是与其市场力量相关的“剥削性滥用”,因此也是对竞争法的滥用。 FCO 有权监管。
Facebook 一直在对 FCO 的命令提出上诉,辩称反垄断执法者基本上应该留在他们的车道上——因为他们不是欧盟通用数据保护条例 (GDPR) 的指定监督机构。
但今天的观点反对这种孤立。如果法院遵循其顾问的观点,它可以极大地促进整个欧盟的隐私权,因为反垄断机构将获得批准,将数据保护兼容性作为其评估竞争规则的一部分。 (尽管值得强调的是,我们今天所拥有的只是一种意见,而不是具有约束力的法律;欧洲法院本身仍需对所提及的问题作出裁决。)
这一点很重要,因为历史上孤立的数字领域监管执法方法未能跟上数据挖掘平台巨头的步伐,使某些公司能够通过系统性滥用隐私来积累巨大的市场力量——尽管欧盟有长期的隐私规则(在纸上)。
因此,一个关键的罪魁祸首实际上是欧洲监管机构未能单独执行数据保护法——因此,如果欧盟的竞争主管机构在评估竞争问题时也能将与隐私相关的数据滥用考虑在内,那么它就会扩大监督网络。
来自卢森堡法院发布的关于 AG 意见的新闻稿:
“在今天发表的意见中,总检察长 Athanasios Rantos 首先认为,虽然竞争管理机构没有管辖权来裁定违反 GDPR 的行为,但它可以在行使自己的权力时考虑到商业实践与 GDPR 的兼容性。在这方面,总检察长强调,根据案件的所有情况,该行为是否符合 GDPR 的规定,可能是该行为是否构成违反 GDPR 的重要指标。比赛规则。”
AG Rantos 的意见继续指出,竞争管理机构对 GDPR 合规性所做的任何评估都将“不损害”主管监管机构根据该条例的权力,并补充说:“因此,竞争管理机构必须考虑主管监管机构的任何决定或调查,将任何相关细节告知后者,并在适当情况下进行咨询。”
因此,CJEU 顾问倡导的发展方向是竞争和隐私监管机构之间的更多合作。
Meta 发言人在征求意见后发表了这份声明,称:“我们等待最终判决来确定下一步行动。”
早在 2019 年,FCO 就命令 Facebook 停止合并用户数据——一举威胁到其基于监控的商业模式(至少在德国)的硬性停止。然而,Meta 数据处理的合法性也受到欧盟隐私法的挑战——但多年来,程序瓶颈引发了投诉,并延迟了针对最强大的技术平台的 GDPR 执行(其中最需要采取行动)。因此,如果欧盟的反垄断机构有权将隐私滥用问题也考虑在内,并与数据保护监管机构更密切地合作,它可能会为执法提供急需的动力,帮助消除一些瓶颈。
AG 的意见也可能向欧盟的反垄断机构发出信号,要求其重新制定方法。从历史上看,欧盟的竞争部门一直对将隐私和竞争结合起来持谨慎态度——因此,近年来,它愿意推翻针对 Google-Fitbit 合并提出的主要隐私反对意见,并允许交易继续进行,只需做出一些让步。
虽然 FCO 针对 Facebook 的案件被认为是开创性的,但自德国监管机构开始调查 Facebook 对用户隐私的利用以来的几年里,其他地区监督机构已经意识到需要改进他们的方法——以及隐私之间的联合工作竞争管理机构已经在崛起——例如,英国的 ICO 和 CMA 合作处理与谷歌“隐私沙盒”提案相关的竞争案例,以发展其广告技术;以及法国竞争和隐私当局就针对 Apple 的 App Transparency Tracking 功能(法国反垄断监管机构拒绝阻止)的投诉提供咨询,仅举两个最近咨询和合作的例子。
再次迅速缩小范围,欧盟还批准了一项重大的事前更新竞争规则——称为数字市场法案 (DMA)——该法案对最强大的平台设定了具有约束力的操作要求,其中包括一些限制数据使用方式的规定。
DMA 的应用将于明年开始——因此,针对最强大公司的新竞争机制绝对会在欧洲出现。 (德国已经在国内重新启动了其数字竞争规则——将特殊滥用权力交给 FCO,今年早些时候,FCO 将 Facebook 指定为受该制度管辖的众多科技巨头之一;该分类有效期为五年。)
同意和敏感数据
AG 的意见涉及许多其他法律问题,这些问题已通过 Facebook 对 FCO 最初的反超级形象化命令的上诉提交给法院——顾问认为,市场主导地位本身并不会质疑社交媒体服务处理用户数据的基于同意的法律依据的有效性。
然而,顾问建议在评估同意自由时应考虑市场力量——他说这取决于数据控制者来证明。 (注意:GDPR 将同意作为处理个人数据的法律依据的标准是它必须是具体的、知情的和自由给予的。)
AG 也不排除 Facebook 可能通过依赖替代法律依据来处理某些个人数据的可能性——但前提是处理涉及提供与提供相关服务实际必需的操作元素脸书账号。在那里,他似乎怀疑“个性化广告”是否符合“必要”的定义。
“[他]总检察长认为,尽管内容和广告的个性化、Meta Platforms 集团服务的持续无缝使用、网络安全或产品改进可能符合用户或数据控制者,所涉实践的这些组成部分似乎对于提供上述服务不是必需的,”法院在新闻稿中写道。
AG 还就与处理敏感个人数据(根据 GDPR 定义为关于种族或族裔、政治派别、健康数据、性取向等的数据)以及基于敏感特征的分析有关的问题进行权衡,指出在这种情况下可能适用法规中对此类处理的禁令;此外,要申请 GDPR 中的豁免(对于数据主体“明显公开”的数据) ,用户必须“充分意识到,他正在通过明确的行为公开个人数据”。
“根据总检察长的说法,包括访问网站和应用程序、将数据输入这些网站和应用程序以及点击集成在其中的按钮的行为,原则上不能被视为明显公开用户敏感个人信息的行为。数据,”新闻稿继续说,这表明 Facebook 通过嵌入其自己的服务和第三方网站的跟踪基础设施对用户实施的背景监视行为不会构成避免禁止处理敏感数据的可行方法。这意味着 Facebook 需要要么根本不处理用户敏感数据(祝你好运! ) – 要么明确要求人们允许这样做。 (而且你无法想象有很多人愿意同意让 Facebook 跟踪这些东西。)
当然,法院是否会在所有这些问题上同意其顾问的意见还有待观察。
CJEU 经常(但并非总是)遵循其 AG 的推理——因此该意见本身当然值得注意。通常,在 AG 发表意见后,CJEU 需要三到六个月的时间才能发布裁决,这意味着最早可以在今年年底发布。
一旦 CJEU 发布裁决,它将被传回提交法院——在这种情况下,德国法院审理 Facebook 对 FCO 命令的上诉——这意味着该案的最终裁决应该会在明年某个时候到来。
该报告已更新为 Meta 的声明
欧洲最高法院顾问支持反垄断监管机构关注隐私权,作者Natasha Lomas最初发表在TechCrunch上
原文: https://techcrunch.com/2022/09/20/facebook-superprofiling-cjeu-ag-opinion/