臉書因資料不透明或被愛爾蘭罰三千萬,合同代同意協議惹爭議



當地時間10月13日訊息,愛爾蘭資料保護委員會(The Irish Data Protection Commission,DPC)在一份決定草案中向歐盟提議,因其資料處理缺乏清晰度和透明度,要求對Facebook處以2800萬至3600萬歐元的罰款,並在三個月內整改完成。目前,該草案已傳送給其他監管機構徵求意見,其將在一個月內作出迴應。

據報道,2018年5月,非營利數字權利組織NOYB的資料保護活動家馬克斯·施雷姆斯(MaxSchrems)向奧地利資料監管機構就Facebook提起投訴,指控其強制要求使用者同意服務條款,並對其處理個人資料的合法性表示質疑。後來,該投訴轉交於愛爾蘭資料監管機構,同時針對Facebook展開十多項調查。

歐盟於2018年5月出臺的《通用資料保護條例》(簡稱GDPR)對資料主體的“同意”做出過明確定義,即資料主體依據其個人意願,自由、明確、知情並清楚地通過陳述或積極行為表示對其個人資料進行處理的同意,同時將同意作為個人資料處理的合法要件之一。

據悉,決定草案針對投訴所質疑的核心問題——使用者接受Facebook關於資料處理的服務條款是否意味著接受GDPR中的同意協議作出了判定。

延伸閱讀  光明日報評論員:航天夢想的腳步鏗鏘前行

決定草案顯示,Facebook沒有義務以GDPR的同意協議作為處理個人資料的法律依據,因為它通過將使用者與Facebook之間達成的資料使用協議解釋為“合同”而非同意協議的做法,使GDPR有關同意的規定不再適用於Facebook。

這也意味著,Facebook憑藉此可將擁有的全部使用者資料用於其各種服務,比如廣告和線上跟蹤,並且不再需要徵得使用者的自願同意或給他們隨時撤銷同意的機會。而草案對Facebook此舉予以認可。

這一判定引發了施雷姆斯的不滿,他認為,Facebook以合同代替同意協議的行為明顯是為了繞過GDPR相關規則的約束,一旦這種做法被接受,任何公司都可通過將資料處理寫入合同來使未經使用者同意的資料使用行為合法化。

“這絕對違背GDPR明確禁止在條款和條件中隱藏同意協議的意圖。”施雷姆斯指出,自羅馬時代開始,這種以“重貼標籤”繞行法律的行為就是非法的,就好比出售可卡因的時候,不可能通過在賬單上寫“白色粉末”就繞過毒品法律——“似乎只有愛爾蘭的DPC會中招。”他說。

此外,施雷姆斯認為決定草案的這一判定可能與Facebook及DPC之間自2018年春節開始的十次祕密會議有關。在他看來,DPC作為監管機構正在為Facebook開“綠燈”,它已不是監管機構,而是成為了大型科技企業的顧問。

值得注意的是,DPC提議對Facebook處以高額罰款的根本原因在於,Facebook未能充分告知使用者其資料的處理方式。決定草案顯示,DPC的調查結果表明Facebook違反了GDPR中“資料主體以合法、公平和透明的方式處理”等有關資料透明度和公開度的要求。

南都·隱私護衛隊梳理髮現,去年12月,DPC因Twitter未能及時申報和正確記錄資料洩露而處以45萬歐元的罰款;今年9月,WhatsApp因處理使用者個人資訊不夠透明而被DPC罰款2.25億歐元。有媒體推測,愛爾蘭對Facebook的決定可能招致其他監管機構的反對,最終給予Facebook更嚴厲的處罰。

綜合/編譯:南都個人資訊保護課題組研究員 樊文揚

延伸閱讀  谷歌 Chrome 瀏覽器 Canary 版已支援 Win11 風格 UI 選單,可手動開啟
Scroll to Top