本月早些时候欧盟宣布对 Meta 处以 3.9 亿欧元的隐私罚款——因为在没有有效法律依据的情况下在该地区的 Facebook 和 Instagram 上投放行为广告——比应有的金额少了数十亿美元,而且数量级太小了根据2018 年 5 月针对 Facebook 的“强制同意”提出原始投诉的非营利组织的说法,这可以威慑其他人大肆违反欧盟隐私法。
本周,隐私权组织noyb已致函欧洲数据保护委员会 (EDPB) 提出新的问题——辩称爱尔兰监管机构就其针对 Meta 广告的投诉发布了最终决定,未能按照委员会的指示调查它从非法数据处理中获得的经济利益。
它辩称,爱尔兰数据保护委员会 (DPC) 未能执行 EDPB 从 12 月起做出的具有约束力的决定——该决定指示监管机构既要找到 Meta 声称投放行为广告非法的法律依据,又要大幅提高 DPC 的罚款额度在其较早的决定草案中提出。
在本月早些时候 DPC 发布的最终决定中,DPC 拒绝按照董事会的指示采取行动,以确定 Meta 因违反欧盟数据保护法而向欧盟用户投放行为广告而获得的经济利益估计。
尽管爱尔兰监管机构确实将 Meta 的罚款水平提高到了 3.9 亿欧元——而最初针对透明度问题提出的罚款为 2800 万欧元到 3600 万欧元——但修订后的罚款既没有反映出系统性违反欧洲用户基本原则的严重性根据 noyb 的权利,它也没有执行董事会的要求,即 DPC 确定 Meta 从投放违反欧盟隐私法的广告中获得的非法经济利益。
noyb 指出,根据 EDPB 的罚款计算指南(以及 DPC 提出的包含董事会具有约束力的决定的最终决定的文本),爱尔兰监管机构需要确保任何罚款“抵消 [e] 从侵权中获得的收益”并且“处以超过 [非法获得] 数额的罚款”。
“在没有指示的情况下,[DPC] 无法确定对上述事项的估计。因此,为了评估的目的,我无法考虑这些问题”,DPC 的海伦·迪克森 (Helen Dixon) 冷冷地驳斥了 EDPB 的指示——几行文字基本上让 Meta 摆脱了 noyb 计算的问题欧盟通用数据保护条例 (GDPR) 规定的最高罚款:年收入的 4%。 (或者在 Meta 的案例中超过 40 亿欧元。)
noyb 的信阐述了它如何估算 Meta 在 4.5 年以上的侵权期间为欧洲经济区 (EEA) 用户产生的总收入——它给出的数字约为 725 亿欧元。它表示,它是通过查看公开上市公司的财务报告(并调整收入数据以仅反映欧洲经济区的用户,而不是整个欧洲大陆的用户)得出这一估计的——质疑为什么 DPC 的员工人数要多得多做同样的。
“虽然‘行为广告’并未构成 Meta 整体广告的所有收入,但很明显,在任何现实情况下,欧盟‘行为广告’的收入都超过了 4.36 欧元的最高 [可能,根据 GDPR] 罚款BN,”noyb 也争辩道。
在一份声明中,其名誉主席 Max Schrems 补充道:“DPC 甚至没有检查公开信息,就向 Meta 赠送了 39.7 亿欧元。”
“我们花了一个小时和一张电子表格来计算,”他继续说道。 “我敢肯定,如果 DPC 员工打开搜索引擎并进行一些研究,爱尔兰纳税人不会介意拥有额外的现金。 “
noyb 的信还质疑为什么 DPC 显然未能根据法规使用其法定权力向数据控制者询问执行其任务所需的任何信息——这本可以为其提供精确的途径来估计 Meta 是如何非法获得财富的处理欧洲人的数据。
“鉴于 SA [监管机构] 只能根据去年的收入进行罚款,而爱尔兰 DPC 花了超过 4.5 年的时间才做出最终决定,Meta 已经从违法中获得了可观的收入,即使最高罚款为年营业额的 4%,”Noyb 继续说道。 “如果应用全部 4%,欧洲经济区的广告收入估计为 725.3 亿欧元,只会减少到 681.7 亿欧元。与 Meta IE [爱尔兰] 的非法收入相比,这显然即使是最高 4% 的罚款也远不是“有效、相称和劝阻”的。
“尽管如此,EDPB 和 DPC 同时受 GDPR 第 83(1)、(2)(k) 和 (5) 条的约束,这意味着不得超过 4% 的最高罚款,但也必须充分使用遵守 GDPR 的相互矛盾的要求。”
因此 – tl; dr – 即使是 GDPR 规定的最高可能的经济处罚在财务方面也不会对 Meta 产生远程劝阻 – 考虑到它通过践踏欧洲用户的隐私来铸造更多的钱。然而,更糟糕的是, Meta 甚至没有被罚款(不足)最高金额!哈哈!
Noyb 的信对 GDPR 中引人注目的执法缺陷进行了巧妙的计算,而且——坦率地说——是严厉的评估。使大型科技公司能够通过论坛购买“友好的”监管机构来玩这个系统的缺陷,这些监管机构可以找到无穷无尽的方法来反刍投诉,并将协议和程序的主张变成一场全面的调情和拖延之舞,他们的方便的决定可以,最后,依靠帮助将任何损害降到最低——这是对正当程序的愤世嫉俗的嘲弄,它将欧盟的旗舰数据保护框架变成了牵涉到大型科技公司用户权利的纸老虎。
noyb 呼吁 EDPB 对 DPC 采取“立即行动”——以确保其具有约束力的决定“在 [or, well, by] 爱尔兰得到充分实施”。
“鉴于有明确证据表明 Meta IE [爱尔兰] 从违反 GDPR 第 6(1) 条的行为中获利,远远超过 GDPR 第 83(5) 条规定的最高罚款 4%,并且爱尔兰 DPC 明显违反了具有约束力的决定在这方面,我们敦促 EDPB 及其成员立即对爱尔兰 DPC 采取行动,以确保 EDPB 的决定在爱尔兰得到充分实施,”它敦促道。
然而,就监管机构而言,noyb 的这一(meta – 哈!)投诉 – 关于其 2018 年对 Meta 广告的投诉结果 – 很可能落在路的尽头。下一站:集体诉讼式诉讼?
noyb 的呼吁加入了针对爱尔兰监管机构未能严格执行 GDPR 以打击滥用 Big Tech 商业模式的一堆投诉(和法律行动)——包括对不作为的诉讼(也针对行为广告行业)和刑事指控腐败(也来自 noyb),仅举两例自 GDPR 开始实施(在纸面上)以来向 DPC 发射的弹幕和箭,投诉人开始了他们无休止的执法等待。
我们联系了 DPC 就 noyb 向 EDPB 的投诉发表评论——但它拒绝提供回应。
我们还联系了 EDPB。董事会的一位女发言人告诉我们,它“注意到”了 noyb 的来信——但此时拒绝进一步置评。
转向机构将采取什么行动(如果有的话)还有待观察。在这种情况下,它的权力是有限的,因为它干预 GDPR 执法过程的权限与对首席监管机构的决定草案提出的任何异议有关(就像在元广告案中发生的那样)。
在发布最终决定后,委员会不会对案件进行全面的重新评估。因此,它能够在这里做更多事情的机会看起来很小。
欧盟法律规定成员国数据保护监管机构的独立性,因此委员会基本上必须处理决定草案中给出的任何内容(和/或其他 DPA 提出的任何反对意见)。这就是为什么 DPC 也认为挑战董事会具有约束力的决定中指示它进一步调查 Meta 数据处理的部分是有意义的——因为它认为这是管辖权越界。
这种结构实际上意味着领导 DPA 可以做大量工作来塑造影响整个集团用户的 GDPR 结果——首先,通过最小化他们调查的内容,然后,即使他们确实展开了调查,也可以缩小这些调查的范围并限制他们在初步决定中考虑的因素。
在 Meta 的案例中,DPC 没有提供任何关于其从非法行为广告中积累的估计经济利益的数据。对于这家科技巨头来说,这又一次看起来非常方便。
尽管互联网用户对如此巨大的执法差距无能为力——除了希望诉讼资助者介入并发起更多集体诉讼式的诉讼来起诉这些重大违规行为的损害赔偿——欧盟立法者自己应该非常关注。
担心欧盟数字规则手册的旗舰部分——现在也是欧盟近年来围绕数据治理建立的不断扩大的监管体系核心的关键组成部分,以试图培养信任并获得更多数据流动希望推动本土人工智能创新的革命——在系统性的违法行为面前被证明是一种果冻。
从长远来看,无法保护或纠正的规则不会给任何人留下深刻印象。这意味着纸老虎可能还有一些牙齿:如果 GDPR 执法失败不断累积,厌倦了看着自己的权利被践踏的欧盟公民留下的酸味可能会破坏人们对整个精心构建的“欧洲项目”的信任。
Meta 因非法广告逃过了 40 亿欧元的隐私罚款, Natasha Lomas最初发表于TechCrunch的GDPR 投诉者辩称
原文: https://techcrunch.com/2023/01/19/meta-ads-noyb-epdb-gdpr-complaint/