Meta收到DPC3.9億歐元高額罰單 歐洲個人資料處理合法性邊界或將釐清

21世紀經濟報道 見習記者 鄭雪 北京報道

3。9億歐元，2023年伊始，Meta便在歐洲領到一張高額罰款。當地時間1月4日，愛爾蘭資料保護機構DPC宣佈了針對Meta兩起投訴的最終處理決定：因違反GDPR相關規定， 對Meta旗下的Facebook處以 2。1億歐元罰款，Meta旗下的Instagram則需繳納1。8億歐元罰款。最終決定的罰款金額遠高於2021年決定草案的2800萬至 3600萬歐元罰款。

Meta需在3個月內讓資料處理行為合規。始於GDPR 生效之日（即2018年5月25）的投訴，聚焦於“履行合同”是否可以成為個人資訊用於定向廣告的法律依據。從此次結果來看，Meta必須徵求使用者同意而不能再依賴合同的必要性宣告。

中國社會科學院大學競爭法研究中心執行主任韓偉解釋在接受記者採訪時表示，此案有助於澄清在歐洲個人資料處理的合法性邊界，也可能重塑部分企業在歐洲的個性化廣告模式。

匯業律師事務所高階合夥人李天航在接受記者採訪時表示，此案也反映全球範圍內正在形成一種共識，即在承認個人資訊自決權的基礎上，企業要承擔更高的合規義務，保障企業合規發展。

“合同履約”繞不過GDPR

兩起投訴面臨著相同的問題：“合同履約”，是否可以作為Meta將使用者個人資料用於定向廣告提供的合法化依據。即便是在歐洲監管層面，達成共識也經歷了多次討論和溝通。

2021年DPC針對這些投訴做了全面調查並準備了決定草案，其中認定：

一是Meta 違反透明度義務，未向用戶明確說明法律依據相關資訊，導致使用者不清楚其如何操作個人資料，用於什麼目的，以及參考 GDPR 第 6 條確定的六個法律依據中的哪一個。DPC 認為，此類基本問題上缺乏透明度違反了 GDPR 第 12 條和第 13（1）（c） 條。它還認為這相當於違反了第 5 條第 1 款 （a） 項，該條規定了必須合法、公平和透明地處理使用者個人資料的原則。

二是，DPC認為，在Meta並未依賴使用者同意為其處理個人資料合法依據的情況下，投訴中的“強制同意”方面無法成立。DPC 發現 Meta 不需要依賴同意；原則上，GDPR 並未排除 Meta 對合同法律依據的依賴。

47個歐盟同行監管機構（CSA）中10個CSA對決定草案的部分內容並不認可，尤其是在法律依據上持不同看法。在他們看來，“履行合同”並不能作為合法性基礎，提供個性化廣告並不是為使用者提供服務的核心要素。

但在DPC 看來，合同履行作為法律基礎，這一現實是使用者與其選擇的服務提供商之間達成的討價還價的核心，並且構成了使用者接受服務條款時簽訂的合同的一部分。

在無法達成共識的情況下，爭議點交由歐洲資料保護委員會（EDPB）進行裁定。EDPB 於 2022年12月5日釋出其決定，支援了Meta 違反透明度義務的立場，並要求增加罰款金額；但在“法律依據”方面， Meta無權依賴“合同”依據，透過個人資料提供行為廣告。

DPC的決定並不包括這一項。DPC進一步表示，這個調查方向在管轄權方面存有問題，並且與 GDPR規定的合作和一致性安排的結構不一致。如果該指令可能涉及 EDPB 的越權行為，DPC認為向歐盟法院提起撤銷訴訟以尋求撤銷 EDPB的指令是適當的。

Meta迴應：強烈反對並提出上訴

針對DPC的最終決定，Meta發言人表示強烈反對。在他看來，Meta根據合同來提供定向廣告的相關行動完全遵守GDPR，將對決定的實質內容提出上訴。

同時表示，“如果沒有事先徵求每個使用者的同意，Meta就不能在歐洲範圍內提供個性化廣告的說法是不正確的。”發言人表示，在這個問題上，監管機構和決策者之間缺乏明確的監管，在特定情況下，圍繞哪種法律基礎最合適的爭論已經持續了一段時間。

李天航從制度建構層面做了解釋。基於歐洲的資料保護實踐以及相應的文化積累，EDPB確保GDPR的一致應用以及保護歐洲經濟區的個人資料保護權利。同時EDPB將作為爭議解決機構解決爭議。

韓偉對21世紀經濟報道記者解釋稱，不同觀點的出現，一定程度上源於GDPR第6條確定的六種個人資料處理的合法性基礎的內涵不確定性，特別是如何理解該案涉及的“取得資料主體同意”以及“履行合同所必需”這兩種依據之間的關係。

“Meta的歐盟總部位於愛爾蘭，儘管愛爾蘭DPC是該案的主導執法部門，基於GDPR的‘一致性機制’，最終決定與初步決定存在實質差異，最終決定很大程度上體現了EDPB的意見，對‘合同履行所必需’採取從嚴解釋，一定程度受限於‘取得資料主體同意’，且重視透明度義務的落實，關注公平原則。”韓偉進一步解釋。

資料已經成為影響企業市場競爭的重要因素之一，不管是資料控制者，還是資料處理者，其對資料的合規處理在某種程度上將會影響其商業模式。李天航表示，這個案子也反映了全球範圍內正在形成的一種共識，在尊重個人資訊自決權的基礎上，企業需要履行更高的合規義務。

根據相關規定，Meta可以在兩個月內向歐洲法院（CJEU）提起撤銷訴訟，Meta的上訴又是否會受到法院支援？

韓偉表示，從歐盟法院近年處理的涉及大型科技公司的反壟斷案件看，比如歐委會查處的谷歌案、德國卡特爾局查處的Facebook案（該案還涉及對GDPR的考量），歐盟法院對競爭秩序的維繫非常重視。由於歐盟法院層面需要協調好資料保護、競爭、消費者利益等不同目標，歐盟法院後續如何平衡個人資料保護與其他法律制度之間的關係，值得期待。

李天航表示，從司法體制來看，歐洲法院是審判機構，在判決過程中會綜合各方因素形成自己考量。考慮到當前對資料處理者以更高合規義務的期待正在形成全球共識，個人比較傾向歐盟法院會支援DPC的裁定，至少是部分支援。

DPC的裁決，意味著Meta最為核心的廣告業務尤其是定向廣告業務將會受到影響。使用者將擁有一個關閉個性化廣告的按鈕。

對於Meta來說，隨著亞馬遜、TikTok等日益受到廣告商的青睞，蘋果隱私新政的實施，數字廣告的外部市場爭奪異常激烈。據報道，近十年來，谷歌和Meta兩家公司首次不再佔據美國數字廣告收入的大部分份額，業內人士預計這種下降趨勢在未來幾年將持續下去。

根據研究公司Insider Intelligence的統計，兩家公司在2022年合計佔美國數字廣告市場的48。4%。Insider Intelligence表示，自2014年以來，它們在美國的市場份額合計從未低於50%，比2017年的總和峰值下降了大約6%。預計該數字今年將降至44。9%。

對於Meta來說，市場份額開始出現一定程度下滑甚至預期也將降低，市場監管上又面臨處罰整改的壓力，Meta如何開局？

更多內容請下載21財經APP