Facebook和Amazon又被盯上，巨頭錯在哪裡？

2018年5月25日，隨著「史上最嚴」數據保護法案從歐盟總部布魯塞爾發出，一時間GDPR生效的消息通過互聯網傳遍了世界的每一個角落。依據這部法案向各大跨國互聯網公司發出的挑戰書接踵而至，讓他們不勝其煩。

在五花八門的挑戰中，最有組織、有紀律的挑戰都來自民間數據保護的非盈利組織。巧合的是，他們的矛頭還都不約而同地指向了各大互聯網巨頭的保護盾——GDPR中的合法依據。

除了上一季中，馬律師帶領的「不關你的事」組織在GDPR生效幾個小時後，在奧地利向Facebook和Google濫用「同意」合法依據發出的咄咄逼人的挑戰書。

在GDPR生效三天後，作為歐盟總部鄰國的法國也不再風平浪靜。法國個人數據保護組織La Quadrature du Net（以下簡稱「LQ」）肩負著12000名網友的重任，向法國個人數據保護機關Commission Nationale de l "Informatique et desLibertés（以下簡稱「CNIL」）發出了針對Facebook和Amazon的挑戰書，對他們「履行義務之必需」的合法依據開刀，鞭辟入裡的分析了它的不靠譜性。

這裡需要特別插播的第一則彩蛋是：從產品設計的用戶體驗角度來考慮，依賴「同意」作為合法依據的互聯網產品設計中，往往需要不斷彈出的惱人的同意勾選框，這會讓產品用戶體驗效果大打折扣；而相反的，如果採用「履行義務之必需」作為合法依據，互聯網產品的設計者可以選擇在產品以外的地方進行合法依據的單獨呈現，從而使得產品用戶體驗得到保證。這一點可能是採用後者作為合法依據的互聯網企業所看重的。

在挑戰書中，LQ首先指出Facebook和Amazon在運營中都通過「行為分析」（「BehavioralAnalysis」）和「個性化廣告投放」（「Targeting Advertising」）的方式處理了用戶的個人數據，並聲稱自己的這些數據處理行為是「履行義務所必需」。

接下來，LQ通過大量的乾貨分享，通過邏輯嚴密的法律分析指出Facebook和Amazon上述合法依據完全是不靠譜的。他們依靠這種不靠譜的法律依據處理用戶數據的行為，就因此喪失了GDPR中合法依據的保護盾，將成為眾矢之的。

在挑戰書的第一部分，LQ展示了從Facebook和Amazon產品流程和文案中扒出的實錘。

詳情如下:

Facebook

Facebook的做法可謂十分高調。他們採取開闢網站專欄的形式，在其網站上列舉了個人信息處理的合法依據，以此尋求「GDPR牌」保護傘的庇護。其中，對行為分析和個性化廣告投放，Facebook提供的合法依據是，該等處理是為Facebook和用戶之間的合同所必需的。（見圖1.1和圖1.2）[1]

圖1.1

圖1.2

Amazon

不同於Facebook的大張旗鼓，Amazon則採取了十分保守的做法。Amazon只是在用戶協議中簡單的寫道，「為用戶提供的服務包括根據用戶的喜好和興趣，通過向用戶推薦產品、服務和其他要素，以及推薦第三方廣告，而為用戶提供個性化定製服務」。（見圖2） [2]

除此之外，LQ並沒有找到Amazon以任何其他方式提供合法依據的蛛絲馬跡。因此合理的推斷出：Amazon針對行為分析和個性化廣告投放所進行的數據處理中，其合法依據也是「對於履行和用戶之間的合同來說是必需的」。

在挑戰書的第二部分，LQ分析道，「履行合同義務所必需」應當進行嚴格的限制解釋，而Facebook和Amazon利用用戶數據進行的行為分析和個性化廣告投放，不能泛泛歸屬於該合法依據之下，從而擺脫掉用戶授權同意之苦。

至於為什麼要進行嚴格的限制解釋，還是要從GDPR的前身Directive95/46/EC（以下簡稱「95指令」）說起。在95指令中，歐盟對於前述「必需」就採取了嚴格解釋的立場。除了「95指令」之外，WP29工作小組指南中對此進行了詳細的闡述。認為，即使某一合同的條款涉及到某種或某幾種個人信息處理，該些個人信息處理並非自然而然就被視為是「履行該合同而必需」。

WP29工作小組指南進一步說明，在判斷「必需」時，應該重點考慮用戶簽署合同時希望達成的目的，若非用戶希望達成的目的，就不應視為「履行合同所必需」，否則控制者（「controller」）僅僅通過合同就可以輕易滿足GDPR的合法依據要求，用戶同意等其他合法依據機制實際上也失去了存在的意義

讀到這裡，大家可能已經對從天而降的WP29工作小組感到十分疑惑了，我們為什麼要相信這樣一個莫名其妙的組織發布的指南？不要擔心，馬上就插播第二則彩蛋來消除疑慮：WP29小組是歐盟負責獨立保護隱私數據安全的工作小組，組成成員中不乏歐盟國家的數據保護監管機構的代表，已發布多個指引性文件對於GDPR的執行具有很強的參考價值。所以他們發布的指南，可以放心使用。

LQ還擺出了CNIL在實踐中支持上述立場的事實。在2017年4月27日，CNIL曾針對Facebook做出處罰。在處罰理由中，CNIL指出：用戶使用Facebook服務的主要目的是Facebook提供的社交網路服務，用戶行為分析和個性化廣告投放與前述主要目的並不相符，因此並非「履行合同所必需」。

LQ由此認為，用戶使用Facebook服務的主要目的是Facebook提供的社交網路服務，而並非接受Facebook的行為分析和獲得所謂「個人定製化」體驗。同樣，用戶使用Amazon的主要目的是網上購物，而並非接受Amazon的行為分析獲得「個性化廣告投放」。因此，Facebook和Amazon都不能以「履行合同所必需」作為其處理個人信息的合法依據。

啟示

GDPR實施以來，具體的實施細則並不明確，相關國家數據保護法律的落地也尚待時日。類似「履行合同義務之必需」如何解讀這樣的問題，也將會層出不窮。LQ的挑戰思路告訴我們：企業在探索GDPR合規的過程中，不能盲目使用規則條文。

解讀GDPR的合規要求，應當結合先前的立法以及權威的指引，還原GDPR的立法精神和立法理念。只有將規則和理念結合，才能真正做到將合規植入企業的DNA，做到默認保護用戶數據和隱私，有的放矢地開展GDPR相關的工作。

[1] 由於LQ並未在投訴書中給出援引的Amazon用戶協議的具體條款，此文配圖是作者基於LQ投訴書的內容自行匹配的Amazon英國的相關協議條文，僅供參考。詳情見：https://www.amazon.co.uk/gp/help/customer/display.html/ref=footer_cou?ie=UTF8&nodeId=201909000

[2] 由於LQ並未在投訴書中給出援引的Facebook個人信息處理政策的具體條款，此文配圖是作者基於LQ投訴書的內容自行匹配的Facebook中文版的相關協議條文，僅供參考。詳情見：https://www.facebook.com/about/privacy/update

·APUS研究院，致力於研究數據合規的前沿問題，持續跟進高新行業的合規熱點和動態

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！