Meta 以更多的隐私罚款和纠正令打击其在欧洲的业务,开启了新的一年。最新的一系列执法涉及欧盟通用数据保护条例 (GDPR) 对其声称运行行为广告的法律依据的投诉。
Facebook 所有者在该地区的主要数据保护监管机构爱尔兰数据保护委员会 (DPC) 今天宣布,它已对其中两项长期调查做出最终决定——针对 Meta 拥有的社交网站、Facebook 和社交照片共享服务, Instagram的。
DPC 今天的新闻稿宣布对 Facebook 处以 2.1 亿欧元(约合 2.23 亿美元)的罚款,对 Instagram 处以 1.8 亿欧元(约合 1.91 亿美元)的罚款——并确认欧洲数据保护委员会 (EDPB) 上个月就这些投诉做出的具有约束力的决定:合同必要性不是处理行为广告个人数据的适当依据。
这些新的制裁增加了去年欧洲对 Meta 的一系列隐私罚款——包括对 Facebook 数据抓取违规行为的2.65 亿欧元罚款;因 Instagram 侵犯儿童隐私而被罚款4.05 亿欧元; 1700 万欧元用于数次 Facebook 历史数据泄露;以及对 Facebook cookie 同意违规行为处以 6000 万 欧元的罚款——这使得这家广告技术巨头在 2022 年被(公开披露的)欧盟数据保护和隐私罚款总额达 7.47 亿欧元。
但现在,在 2023 年的头几天,Meta 受到的经济处罚超过了去年地区总额的一半——而且很快还会有更多制裁。
根据 PR,还采取了纠正措施——命令 Meta 在三个月内使其处理符合 GDPR。
这意味着它不能再依赖于运行行为广告的合同必要性声明——而是必须征求用户的同意。 (并且无法描述和定位拒绝其监控广告的用户。)
提交原始 GDPR 投诉的欧洲隐私权组织 ( noyb ) 的创始人 Max Schrems 在一份声明中评论说:“这对 Meta 在欧盟的利润是一个巨大的打击。现在需要询问人们是否希望将他们的数据用于广告。他们必须有“是或否”选项,并且可以随时改变主意。该决定还确保了与其他也需要获得选择加入同意的广告商的公平竞争环境。”
鉴于 Meta 的跟踪和定向广告模型对其业务的核心地位,这家科技巨头极有可能对这些决定提出上诉——如果上诉,它可能会导致新的延误,同时反对现在下令执行的法律论据将在法庭上演。因此,在 Meta 通过欧盟隐私法提交更正之前,可能还会有多年的争论。
DPC 对这些调查的最终决定也尚未公布,因此有关数据保护机构之间观点分歧的全部细节——以及其他有趣的花絮,例如罚款数额的确定方式——仍有待确定。
但在宣布两项最终决定的新闻稿中,DPC 对监管分歧提出了自己的看法——写道:
关于 Meta Ireland 是否违反其透明度义务的问题,CSA [有关监管机构] 同意 DPC 的决定,尽管他们认为 DPC 提出的罚款应该增加。
47 个 CSA 中有 10 个对决定草案的其他内容提出了反对意见(其中一个后来在与 Instagram 服务有关的决定草案中被撤回)。特别是,这部分 CSA 认为,不应允许 Meta Ireland 以提供个性化广告(作为 Facebook 和Instagram 服务)不能说是执行合同的核心要素所必需的,据说这是一种更为有限的合同形式。
DPC 不同意,反映了它的观点,即 Facebook 和 Instagram 服务包括并且确实似乎以提供包括个性化或行为广告的个性化服务为前提。实际上,这些都是以个性化广告为特色的个性化服务。在 DPC 看来,这一现实是用户与其选择的服务提供商之间达成的讨价还价的核心,并且构成了用户接受服务条款时签订的合同的一部分。
DPC 的 PR 还确认 EDPB 发现 Meta 还违反了 GDPR 公平原则(即除了 DPC 发现的董事会坚持的透明度违规之外)——因此它被指示(进一步)提高罚款水平。
第三个针对 Meta 拥有的消息平台 WhatsApp 的决定(也是关于这个法律基础问题)仍在 DPC 的桌面上——但预计将在一周左右的时间内做出。 (监管机构告诉我们,这是由于 DPC 收到来自 EDPB 的关于该投诉的约束性决定的短暂延迟。)
noyb 表示,预计将在 1 月中旬宣布的并行程序中对 WhatsApp 处以罚款。
强制同意的执行
这一系列以元为中心的投诉可以追溯到2018 年 5 月,当时 GDPR 在整个欧盟范围内得到应用——此前欧洲隐私权运动组织针对这家科技巨头使用所谓的“强制同意”(又名,推动标志-对用户提出条款,这意味着他们要么“同意”他们的数据被处理用于行为广告,要么他们不能使用该服务)。
爱尔兰监管机构关于投诉的决定草案早在2021 年 10 月就泄露了——与 EDPB 具有约束力的决定相反,DPC 并不反对 Meta 依赖合同必要性来投放行为广告。尽管它确实发现违反了 GDPR 的透明度要求,但表示用户在点击同意其服务条款时不太可能理解他们正在签署 Facebook 广告合同。
因此,DPC 最初提出了较小的罚款(仅为 3600 万美元),而现在出现的最终决定中的罚款却增加了 10 倍以上(WhatsApp 的最终决定仍在等待中)。
这种更严厉的执法是通过GDPR 的合作机制实现的——该机制在其他欧盟数据保护机构中循环(在这种情况下,有几个机构可以反对首席监管机构的决定草案);当监管机构之间无法达成一致时,将 EDPB 作为最终仲裁者。因此,在这种情况下(而且不是第一次),DPC 已被指示达成与让其单独决定不同的结果。
而且——正如之前多次发生的那样——GDPR 中包含的集体监管程序的执法标准比爱尔兰单独行动时更高(也更严格)。
DPC 的新闻稿对结果的框架截然不同——作为法律解释的差异——监管机构写道,EDPB“对‘法律依据’问题持不同看法,认为从原则上讲,Meta Ireland 不是有权依赖‘合同’法律依据为其处理个人数据以用于行为广告目的提供合法依据”;并补充说: “DPC 于 2022 年 12 月 31 日通过的最终决定反映了 EDPB 上述具有约束力的决定。因此,DPC 的决定包括发现 Meta Ireland 无权依赖与作为其 Facebook 和 Instagram 服务的一部分提供行为广告相关的“合同”法律依据,以及其迄今为止对用户数据的处理,据称依赖‘合同’法律依据,相当于违反了 GDPR 第 6 条。”
有趣的是,看看 Meta 的律师是否试图利用 DPC(现已公开)声明的观点,即 Facebook 和 Instagram“以提供个性化服务为前提,包括个性化或行为广告”——及其(方便—— for-Meta) 将个性化服务和个性化广告混为一谈,表达的立场是这种联合配对“是用户与其选择的服务提供商之间讨价还价的核心,并构成用户接受时签订的合同的一部分服务条款”,正如它所说的那样——这家科技巨头试图推翻这项 GDPR 决定,违背了它自 2018 年以来在欧盟投放行为广告所依赖的法律依据。
奇怪的是,DPC 对此的看法忽略了其他形式的(非隐私)侵犯广告的存在,Meta 可以使用这些广告来通过其服务获利——例如上下文广告。
它的 PR 也对 Meta 是否会被命令删除其自 2018 年以来非法处理的所有数据的问题保持沉默。但诉讼资助者不太可能忽视扩大隐私集体诉讼的机会。
今天 DPC 的声明还有更多戏剧性的内容:施雷姆斯在推特上抱怨说,DPC 告诉它在Meta 有机会编辑文件之前不会向它发送最终决定……“在 10 年内从未见过这样的事情多年的诉讼,”他补充道。 “他妈的疯了。”
..这实际上意味着 DPC 和 Meta 控制着媒体对决定所说或不说的内容的叙述,因为我们无法阅读或发布它。
我们都知道,在这种情况下,EDPB 再次击败了 DPC, @NOYBeu赢了,但隐瞒了案件的细节……
— 马克斯·施雷姆斯
(@maxschrems) 2023 年 1 月 4 日
(提醒:noyb 早在 2021年就对 DPC 提起刑事腐败诉讼——指控监管机构在试图阻止公开发布与 GDPR 投诉相关的文件时进行腐败和“程序勒索”,因此这个问题已经超过忧心忡忡。)
在自己的新闻稿中,noyb 的 Schrems 进一步抨击了他所说的 DPC 的“非常邪恶的公关游戏”——写道:“被 EDPB 推翻是对 DPC 的重大打击,不[w]他们似乎至少尝试获得公众对此案的看法。在十年的诉讼中,我从未见过只送达一方而不送达另一方的决定。 DPC 玩的是一场非常邪恶的公关游戏。通过不允许 noyb 或公众阅读决定,它试图与 Meta 共同塑造决定的叙述。尽管被 EDPB 否决,Meta 和爱尔兰监管机构之间的合作似乎很好而且很活跃。”
爱尔兰监管机构的另一项不同寻常的举动——看起来只会加剧对其在 GDPR 执法中产生摩擦的方法的批评——DPC 宣布将针对 EDPB 决定的某些“管辖权”要素发起废除行动。
它告诉 TechCrunch,它并不是要取消董事会关于同意与合同必要性问题的决定。相反,它声称它对委员会通过 GDPR 第 65 条争端解决程序发布的指示的其他内容感到不满,并指责指导机构超越其管辖范围。
这一行动似乎是被煽动起来的,因为董事会具有约束力的决定还指示 DPC 进行爱尔兰监管机构所说的“一项新的调查,该调查将涵盖 Facebook 和 Instagram 的所有数据处理业务,并将检查特殊类别的个人数据,这些数据可能或可能不会在这些操作的上下文中进行处理”。
这样的调查——如果真的进行的话——可能真的会通过 Meta 在欧盟的隐私商业模式的核心推动利益,法律专家多年来一直警告这家科技巨头未经同意的公民跟踪和分析是违反了欧盟关于数据保护的法律框架。
因此,DPC 热衷于避免必须根据 EDPB 的指令对Meta 的数据处理进行广泛的调查,这当然很有趣。
它的公关声明,它今天宣布的决定“自然不包括对 EDPB 在其具有约束力的决定中指示的所有 Facebook 和 Instagram 数据处理操作的新调查的参考”——监管机构如此解释其反对意见:
EDPB 对国家独立机构没有类似于国家法院的一般监督作用,并且 EDPB 不能指示和指示机构进行开放式和推测性调查。因此,该方向在管辖权方面存在问题,并且似乎与 GDPR 规定的合作和一致性安排的结构不一致。如果该指令可能涉及 EDPB 的越权行为,DPC 认为向欧盟法院提起撤销诉讼以寻求撤销 EDPB 的指令是适当的。
欧盟普通法院将如何处理 DPC 的申诉还有待观察。
然而,上个月,WhatsApp 对 EDPB 就一项单独的 GDPR 调查做出的具有约束力的决定提出了法律挑战——这也大大提高了它本应从早期的 DPC 决定草案中面临的执法水平——被法院裁定不予受理。
Meta 的新年伊始, Natasha Lomas对欧盟隐私罚款超过 4.1 亿美元,最初发布于TechCrunch
原文: https://techcrunch.com/2023/01/04/facebook-instagram-gdpr-forced-consent-final-decisions/