在 Twitter 和 Facebook 上迫在眉睫的第一個重大 GDPR 決定

在 Twitter 和 Facebook 上迫在眉睫的第一個重大 GDPR 決定

歐洲大部分大型科技公司的主要數據監管機構正無情地朝著發布其第一個重大跨境 GDPR 決定的方向發展——今天表示,它已向其歐盟監管機構提交了一份與 Twitter 業務相關的決定草案以供審查。

愛爾蘭數據保護委員會(DPC)在一份聲明中表示:“決定草案的重點是 Twitter 國際公司是否遵守了 GDPR 第 33 條第 1 款和第 33 條第 5 款。”

歐洲的通用數據保護條例於兩年前開始實施,作為對歐盟長期數據保護框架的更新,該框架對違規行為處以巨額罰款。 更有趣的是,監管機構有權下令停止違規數據處理。 而在許多歐盟國家,消費者權益團體等第三方可以代表個人提出投訴。

自從 GDPR 開始實施以來,整個歐盟範圍內已經收到了數千起針對大大小小的公司的投訴,同時圍繞與大型科技相關的重大跨境案件缺乏執法的呼聲也越來越高。

因此,DPC 宣佈在其 Twitter 調查中達成決定草案的時機可能並非偶然。 (GDPR 的實際應用周年紀念日是 5 月 25 日。)

該決定草案涉及監管機構在 2018 年 11 月發起的一項調查,當時社交網絡報告了數據洩露事件——因為根據 GDPR,數據控制者必須迅速採取行動,如果他們不這樣做,就有可能受到處罰。

其他感興趣的歐盟監管機構(在這種情況下都是如此)現在將有一個月的時間來考慮這一決定——如果他們不同意 DPC 的推理,他們將根據 GDPR 的一站式機制提出“合理和相關的反對意見”,該機制使歐盟能夠監管機構就跨境調查進行聯絡。

如果 DPA 之間對某項決定存在分歧,則該法規包含一個爭議解決機制(第 65 條)——該機制在歐洲數據保護委員會 (EDPB) 中循環,以多數票作出最終決定。

關於 Twitter 的決定,DPC 告訴我們,希望這可以在 7 月完成。

專員 Helen Dixon 此前曾表示,第一個跨境決定將在 2020 年“提前”做出。然而,通過新流程(例如一站式服務)開展工作的複雜性似乎使歐盟監管機構花費的時間比預期的要長。

目前,DPC 也在處理大量案件,有 20 多項與投訴和/或詢問有關的跨境調查仍在等待決定——積極調查大量科技巨頭的數據處理習慣; 包括蘋果、Facebook、谷歌、Instagram、LinkedIn、Tinder、Verizon(TechCrunch 的母公司)和 WhatsApp——以及其國內案件量(其運營預算遠低於愛爾蘭政府的要求)。

其中一些主要跨境調查的範圍也可能使愛爾蘭的監管機構陷入困境。

但是 – 兩年後 – 有跡象表明勢頭有所回升,DPC 副專員格雷厄姆·道爾 (Graham Doyle) 今天指出了來自跨境調查的另外四項調查的進展——所有這些都涉及 Facebook 擁有的平台。

其中最深入的是對科技巨頭提供的透明度水平的調查 用戶數據在其 WhatsApp 和 Facebook 服務之間共享。

“我們本週已向 WhatsApp Ireland Limited 發送了一份初步決定草案,供他們提交,DPC 將在為第 60 條的目的準備關於該事項的決定草案之前考慮該決定草案,”Doyle 在一份聲明中表示。 “對 WhatsApp Ireland 的調查檢查了其在透明度方面是否符合 GDPR 第 12 至 14 條的規定,包括與與 Facebook 共享哪些信息的透明度有關。”

DPC 表示,其他三起案件正在與歐盟隱私權非營利組織 noyb 於 2018 年 5 月提交的 GDPR 同意投訴有關方面取得進展。

noyb 辯稱,Facebook 使用“強制同意”的策略來繼續處理個人的個人數據——而歐盟法律要求的標準是用戶可以自由選擇,除非同意對於提供服務是絕對必要的。 (並且 noyb 認為,微定向廣告不是提供社交網絡服務的核心;例如,可以提供上下文廣告。)

早在 2019 年 1 月,谷歌就因類似的投訴被法國數據監管機構 CNIL 罰款 5700 萬美元。

根據今天的聲明,DPC 表示,它現在已經完成了這項基於投訴的調查的調查階段,該調查的重點是“Facebook Ireland 有義務為個人數據處理建立合法基礎”。

“這項調查現在正處於 DPC 的決策階段,”它補充說。

在進一步的相關事態發展中,它表示已向投訴人和有關公司發送了針對(Facebook 擁有的)Instagram 和 WhatsApp 的同一組投訴的調查報告草稿。

多伊爾拒絕就這些額外調查何時可能產生最終決定給出任何明確的時間表。 但夏季約會可能是最早的時間範圍。

監管機構的希望似乎是,一旦第一個跨境決策通過 GDPR 的一站式機制——並產生了所有 DPA 都可以簽署的東西——它將為下一批決策鋪平道路。

也就是說,並非所有的詢問和決定都是平等的。 DPC 在如此高調的調查中究竟決定什麼,將是其他數據保護機構是否存在分歧的關鍵。 不同的歐盟 DPA 在應用歐盟規則時可以採取更強硬或更溫和的路線,其中一些比其他的更“商業友好”。 儘管 GDPR 旨在縮小應用差異。

如果監管機構在 Facebook 等重大跨境案件上存在分歧,GDPR 的一站式機制將需要更多時間來達成共識。 因此,該法規的批評者可能仍然有很多攻擊區域。

DPC 領導的一些調查也可能製定標準,這可能對許多平台和數字業務產生重大影響,因此既得利益者將尋求影響各方的結果。 但隨著 GDPR 迎來第二個生日——而且仍然幾乎沒有從大型科技公司中取出任何具有決定性意義的塊——區域要求執法行動的壓力是巨大的。

鑑於科技發展的迅猛步伐——以及大型科技的市場力量被應用於壓路機的個人權利——歐盟監管機構必須能夠縮小調查和執法之間的差距,否則他們的旗艦框架被嘲笑為紙老虎……

正好趕上2週年 #GDPR@DPCIreland 公開表示*將*開出第一張 GDPR 罰款——不是針對 Facebook、WhatsApp、Apple、LinkedIn、Instagram (……),而是針對州兒童保育機構.. 餜え餜檮 #執行什麼?https://t.co/jbjZYYqSXg

— Max Schrems 餜嚜餜嚭餜嚘餜嚬(@maxschrems) 2020 年 5 月 18 日

更新: noyb 此後發表了一封公開信,呼籲歐盟委員會對 DPC 未能執行該規定採取行動——指責該監管機構與 Facebook 進行所謂的“繞過同意”接觸,聲稱 Facebook 告訴它已經從“同意”轉變為與用戶簽訂的“涉嫌數據使用合同”作為其法律依據。

“據稱,這份合同要求 Facebook 對其用戶進行跟踪、定位和研究,”諾伊佈在信中寫道。 “根據 Facebook 的說法,這一轉變發生在 GDPR 生效時的午夜鐘聲。 這種繞過法律的協議(在這種情況下從同意到合同)的(相互)重新構建被稱為 模擬 並且無效。”

“這只不過是豬身上的口紅,”施雷姆斯在聲明中繼續說道。 “自羅馬時代以來,法律禁止榬命名”以繞過法律。 Facebook試圖做的並不聰明,而是可笑的。 唯一真正令人擔憂的是,愛爾蘭 DPC 在設計這個騙局時顯然與 Facebook 有過接觸,現在應該獨立審查它。

施雷姆斯補充說:“如果 DPC 在兩年後將兩個案件中的六個步驟中的第一步作為一項成就突出顯示,那將是對大約 10,000 名投訴人的一記耳光。”

我們已聯繫 DPC 對此發表評論。 更新二: DPC 否認與 Facebook 舉行任何“秘密會議”,稱:“根據 GDPR 第 57 條,我們定期與各行各業的公司進行接觸和會面,這是我們監管執法和監督職能的一部分,就像許多我們的歐盟同事數據保護機構這樣做。”

“DPC 目前有 23 項‘大型科技’調查開放,上週五我們宣布了其中一些調查的重大進展,其中三項是因收到 noyb 的投訴而發起的,”它補充說。 “其中一項基於投訴的調查側重於 Facebook Ireland 為個人數據處理建立合法基礎的義務,現已進入 DPC 的決策階段。 在另外兩個方面,分別針對 Instagram 和 WhatsApp 平台,我們已將調查報告草稿發送給投訴人和相關公司。 我們目前無法對這些調查發表任何進一步評論,因為它們正在進行中。”

由於另一個原因,夏季也將成為隱私觀察者的一個有趣時期,歐洲最高法院將於 7 月 16 日就所謂的“Schrems II”案(以奧地利律師、隱私權活動家和 noyb 命名)做出具有里程碑意義的裁決。創始人 Max Schrems,他提出了最初的投訴)——這與標準合同條款 (SCC) 作為個人數據轉移出歐盟的機制的合法性有關。

DPC 今天的聲明強調了這一迫在眉睫的決定,監管機構寫道:“該案件涉及 DPC 在愛爾蘭高等法院發起和追究的訴訟程序,這引發了一些關於歐盟國際數據傳輸監管的重大問題數據保護法。 預計歐洲法院根據這些訴訟程序的參考做出的判決將為法律的各個方面帶來急需的清晰度,並成為國際轉讓法的一個里程碑。”

去年年底,一位有影響力的法院顧問發表的法律意見強調,如果歐盟數據保護機構被用來將公民的數據發送到他們所在的地方,那麼歐盟數據保護機構有義務介入並暫停 SCC 的數據傳輸。信息無法得到充分保護。

Doyle 表示,如果法院堅持這一觀點,所有歐盟 DPA 將有義務“逐案”考慮將 SCC 轉移到美國的合法性。

“在每一個案件中,你都必須去查看每一個案件的一系列情況,以判斷是否指示他們停止這樣做。 不會只有一刀切的,”他告訴 TechCrunch。 “這是一項極其重要的裁決。”

(如果您對“Schrems I”感到好奇,請從 2015 年開始閱讀。)

Leave a Reply

Your email address will not be published. Required fields are marked *