在 Twitter 和 Facebook 上迫在眉睫的第一個重大 GDPR 決定

在 Twitter 和 Facebook 上迫在眉睫的第一個重大 GDPR 決定

歐洲大部分大型科技公司的主要數據監管機構正在無情地發布其首個重大跨境 GDPR 決定——今天表示已將與 Twitter 業務相關的決定草案提交給歐盟其他監管機構進行審查。

愛爾蘭數據保護委員會 (DPC) 在一份聲明中表示:“該決定草案的重點是 Twitter 國際公司是否遵守了 GDPR 第 33(1) 和 33(5) 條。”

歐洲的《通用數據保護條例》於兩年前開始實施,作為對歐盟長期存在的數據保護框架的更新,該框架對違反合規的行為處以巨額罰款。 更有趣的是,監管機構有權下令停止違規數據處理。 而在許多歐盟國家,消費者權益組織等第三方可以代表個人提出投訴。

自從 GDPR 開始實施以來,整個集團已經收到了數千起針對大大小小的公司的投訴,同時圍繞與大型科技相關的重大跨境案件缺乏執法的呼聲越來越高。

因此,DPC 在其 Twitter 調查中宣布達成決定草案的時機可能並非偶然。 (GDPR 的實際應用周年紀念日是 5 月 25 日。)

該決定草案涉及監管機構於 2018 年 11 月發起的一項調查,當時該社交網絡報告了數據洩露事件——因為數據控制者必鬚根據 GDPR 迅速採取行動,否則將面臨處罰的風險。

其他感興趣的歐盟監管機構(在本案中為所有人)現在將有一個月的時間來考慮該決定——如果他們不同意 DPC 的推理,根據 GDPR 的一站式機制,歐盟可以提出“合理和相關的反對意見”。監管機構就跨境查詢進行聯絡。

如果 DPA 之間在決定上存在分歧,則該法規包含爭議解決機制(第 65 條)——該機制在歐洲數據保護委員會 (EDPB) 中循環以在多數基礎上做出最終決定。

關於 Twitter 的決定,DPC 告訴我們希望這可以在 7 月完成。

專員海倫·迪克森 (Helen Dixon) 此前曾表示,第一個跨境決定將在 2020 年“提前”做出。然而,通過新流程(例如一站式服務)的複雜性似乎讓歐盟監管機構花費的時間比預期的要長。

DPC 目前還在處理大量案件,有 20 多項與投訴和/或查詢相關的跨境調查仍在等待決定——積極調查大量科技巨頭的數據處理習慣; 包括蘋果、Facebook、谷歌、Instagram、LinkedIn、Tinder、Verizon(TechCrunch 的母公司)和 WhatsApp——以及其國內案例(運營預算遠低於愛爾蘭政府要求的預算)。

其中一些重大跨境調查的範圍也可能使愛爾蘭監管機構陷入困境。

但是——兩年過去了——有跡象表明勢頭正在增強,DPC 副局長格雷厄姆·多伊爾今天指出,跨境調查中另外四項調查的進展——所有這些都與 Facebook 擁有的平台有關。

其中最深入的是對這家科技巨頭提供的透明度水平的調查 用戶數據在其 WhatsApp 和 Facebook 服務之間共享。

“我們已於本周向 WhatsApp Ireland Limited 發送了一份初步決定草案,供他們提交,DPC 將考慮該草案,然後再為第 60 條的目的準備關於該事項的決定草案,”多伊爾在一份聲明中表示。 “對 WhatsApp Ireland 的調查檢查其在透明度方面是否符合 GDPR 第 12 至 14 條,包括與 Facebook 共享哪些信息的透明度。”

DPC 表示,在與歐盟隱私權非營利組織 noyb 於 2018 年 5 月提交的 GDPR 同意投訴相關的其他三起案件中,它正在取得進展。

noyb 辯稱,Facebook 使用“強制同意”策略來繼續處理個人的個人數據——歐盟法律要求的標準是讓用戶自由選擇,除非同意是提供服務所必需的。 (並且 noyb 認為微定位廣告不是提供社交網絡服務的核心;例如,可以提供上下文廣告。)

早在 2019 年 1 月,谷歌就因類似的投訴被法國數據監管機構 CNIL 罰款 5700 萬美元。

根據今天的聲明,DPC 表示它現在已經完成了這項基於投訴的調查的調查階段,它說重點是“Facebook Ireland 為個人數據處理建立合法基礎的義務”。

“這項調查現在正處於 DPC 的決策階段,”它補充說。

在進一步的相關發展中,它表示已就(Facebook 擁有的)Instagram 和 WhatsApp 的同一組投訴向投訴人和相關公司發送了調查報告草案。

多伊爾拒絕給出任何這些額外調查何時可能產生最終決定的明確時間表。 但據推測,夏季約會可能是最早的時間表。

監管機構的希望似乎是,一旦第一個跨境決策通過 GDPR 的一站式機製做出——並且產生了所有 DPA 都可以簽署的東西——它將為下一批決策鋪平道路。

也就是說,並非所有的查詢和決定都是明確平等的。 DPC 在如此高調的調查中究竟做出什麼決定將是其他數據保護機構是否存在分歧的關鍵。 不同的歐盟 DPA 在應用歐盟的規則時可以採取強硬或溫和的路線,其中一些比其他的更“商業友好”。 儘管如此,GDPR 旨在嘗試縮小應用差異。

如果監管機構在重大跨境案件(例如 Facebook 案件)上存在分歧,GDPR 的一站式機制將需要更多時間來達成共識。 因此,該法規的批評者可能仍有很大的攻擊範圍。

DPC 領導的一些調查也可能製定標準,這可能對許多平台和數字業務產生重大影響,因此將有既得利益者尋求影響各方的結果。 但隨著 GDPR 迎來它的第二個生日——並且仍然幾乎沒有從大型科技公司中取出任何決策形狀的腫塊——要求執法的區域壓力是巨大的。

鑑於科技發展的飛速發展——以及大型科技的市場力量被應用於壓倒性的個人權利——歐盟監管機構必須能夠縮小調查和執法之間的差距,或者看著他們的旗艦框架被嘲笑為紙老虎……

正好趕上成立兩週年 #GDPR@DPCIreland 公開放棄它*將*發布第一筆 GDPR 罰款——不是針對 Facebook、WhatsApp、蘋果、LinkedIn、Instagram(……),而是針對國家兒童保育機構。。餜え餜檮 #Enforcewhat?https://t.co/jbjZYYqSXg

— Max Schrems 餜嚜餜嚭餜嚘餜嚬(@maxschrems) 2020 年 5 月 18 日

更新: 此後,noyb 發出一封公開信,呼籲歐盟委員會對 DPC 採取行動,因為 DPC 未能執行該法規——指責監管機構以所謂的“繞過同意”方式與 Facebook 接觸,並聲稱 Facebook 告訴它已經從“同意”轉變為以用戶為法律依據的“涉嫌數據使用合同”。

“據稱,這份合同要求 Facebook 對其用戶進行跟踪、定位和研究,”諾伊佈在信中寫道。 “據 Facebook 稱,這一轉變發生在 GDPR 生效的午夜時分。 這種繞過法律的協議(在這種情況下是從同意到合同)的(相互)重構被稱為 模擬 並且無效。”

“這只不過是給豬塗了口紅,”施雷姆斯在聲明中繼續說道。 “從羅馬時代開始,法律就禁止榬命名的東西只是為了繞過法律。 Facebook 試圖做的並不聰明,而是可笑。 唯一真正令人擔憂的是,愛爾蘭 DPC 在設計此騙局時顯然與 Facebook 接觸,現在應該對其進行獨立審查。

施雷姆斯補充說:“如果 DPC 在兩年後在兩個案件中強調六個步驟中的第一個步驟是一項成就,那麼這對大約 10,000 名投訴者來說是一記耳光。”

我們已經聯繫 DPC 徵求意見。 更新二: DPC 否認與 Facebook 舉行任何“秘密會議”,並表示:“作為我們監管執法和監督職能的一部分,根據 GDPR 第 57 條,我們定期與各行各業的公司接觸和會面,就像許多的歐盟同事數據保護機構這樣做。”

它補充說:“DPC 目前有 23 項‘大型科技’調查,上週五我們宣布了其中一些調查的重大進展,其中包括 3 項因收到 noyb 的投訴而發起的調查。” “其中一項基於投訴的調查側重於 Facebook Ireland 為個人數據處理建立合法基礎的義務,現已進入 DPC 的決策階段。 在另外兩個方面,分別針對 Instagram 和 WhatsApp 平台,我們已向投訴人和有關公司發送了調查報告草稿。 我們目前無法對這些詢問作進一步評論,因為它們正在進行中。”

由於另一個原因,夏季也將成為隱私觀察者的一個有趣時刻,歐洲最高法院將於 7 月 16 日就所謂的“Schrems II”案(以奧地利律師、隱私權活動家和 noyb 的名字命名)作出具有里程碑意義的裁決。創始人 Max Schrems,他提出了最初的投訴)——這涉及標準合同條款 (SCC) 作為將個人數據傳輸出歐盟的機制的合法性。

DPC 今天的聲明強調了這一迫在眉睫的決定,監管機構寫道:“該案件涉及 DPC 在愛爾蘭高等法院發起和進行的訴訟程序,該訴訟程序提出了許多關於歐盟國際數據傳輸監管的重大問題數據保護法。 歐洲法院根據這些訴訟程序中的引用做出的判決預計將為法律的各個方面帶來急需的清晰度,並代表國際轉移法的一個里程碑。”

法院一位有影響力的顧問在去年年底發表的一份法律意見強調,如果 SCC 被用於將公民數據發送到其所在的地方,歐盟數據保護機構有義務介入並暫停 SCC 的數據傳輸。信息無法得到充分保護。

如果法院堅持這一觀點,根據 Doyle 的說法,所有歐盟 DPA 將有義務“根據具體情況”考慮將 SCC 轉移到美國的合法性。

“在每一個案例中,你都必須去查看每一個案例的具體情況,以判斷是否指示他們停止這樣做。 不會只有一刀切,”他告訴 TechCrunch。 “這是一項極其重要的裁決。”

(如果您對“Schrems I”感到好奇,請從 2015 年開始閱讀。)

Leave a Reply

Your email address will not be published. Required fields are marked *