GDPR:谷歌、臉書76億大罰單,中國企業能否獨善其身?
作者:吳衛明 2018-06-20在歐盟統一數據法案(GDPR)剛剛生效后不久,隱私保護組織noyb.eu分別代表4位歐盟公民向奧地利、比利時、法國、德國的當地監管機構提起申訴,控訴Google, Facebook, WhatsApp ,Instagram四家公司違反GDPR的規定,請求對其發起進一步調查、確定其用戶權利是否被侵犯,并請求禁止其相關數據處理行為,并處以懲戒性罰金。
申訴指出,上述公司更新了隱私政策,通過頁面展示方式要求用戶同意,在用戶同意前不提供服務,該行為涉及未能給予數據主體對數據處理作出同意的自由選擇權(free choice to give consent)。
按照GDPR所確定的處罰原則,如果上述指控成立,則該四家公司將最高可能面臨其全球營業額4%的罰款。按照上述四家公司的財報顯示,罰款總數將高達76億歐元的罰款。四家公司分別可能受到的處罰如下表所示:
公司名稱 | 可能面臨的最高罰款(全球營業額4%) |
37 億歐元 | |
13 億歐元 | |
13 億歐元 | |
13 億歐元 |
需要說明的是,WhatsApp、Instagram均屬于Facebook旗下產品,在這一事件中,谷歌和臉書兩大美國互聯網巨頭可謂平分秋色。
實際上,罰款雖然巨大,但與該申訴中提出的要求禁止數據處理行為相比,后者的殺傷力顯然更大。對于互聯網企業而言,停止數據處理意味著企業失去的歐盟區開展業務受到極大的限制,這是企業無法承受的代價。我們以本案作為了解歐盟GDPR數據處理規則的一個案例,希望對中國企業有所啟示。
一、申訴所指控的內容
該項指控主要針對Google及Facebook更新的隱私條款未能給予用戶作出同意的自由選擇權。具體而言,體現為“強迫的同意”或“隱藏的同意”。
1、強迫的同意(接受或離開)
主要是指數據主體(互聯網用戶)與數據控制者或處理者(公司)由于地位的不對等,用戶除了接受隱私條款,并無其他選擇。一旦用戶不同意隱私條款,將要承受無法使用相關系統或無法使用網絡賬號、網絡應用的后果。特別是在商家具有市場支配地位的條件下,或者用戶對于某些網絡應用具有依賴性和極高用戶粘性的條件下,數據主體針對該類“全贏or全輸”的條款,事實上并無自由選擇權。
本案中,Google(安卓)強制要求信息數據主體同意整個隱私政策和條款。當數據主體激活一個新的安卓手機時,必須同意隱私政策和條款。Facebook則是要求信息數據主體同意整個隱私政策和條款。用戶只能選擇接受新政策或刪除賬戶,沒有任何形式的反對、排除部分選項或說不的選擇。
該項指控還認為,上述更新的隱私條款并非用戶接受服務前即全面告知,而是在服務中通過更新了的隱私條款強迫用戶同意,因此該行為并無正當性。請求通過申訴程序裁決該控制方的處理行為是否符合GDPR第6條第1點第(a)款及/或第9條第2點第(a)款的要求,以及違規程度如何。
2、隱藏的同意
隱藏的同意,一般是指數據處理主體將為了完成特定交易所必要的數據之外的數據,隱藏在同意條款中。通常以模糊的告知或者誤導的告知,使數據主體誤以為該數據處理行為是為完成特定服務所必須的,或者數據主體無法在隱藏的同意條款中明確理解到同意的后果。比如,類似如下條款:“為了幫助您發現您感興趣的內容、產品及服務:我們向您展示廣告、要約及其他贊助內容,以幫助您發現許多商業組織利用Facebook及其他Facebook產品提供的內容、產品及服務。”或“為了履行我們Facebook服務條款或Instagram使用條款的必要”。
在此類條款中,精準營銷的條款被隱藏在一般的同意條款之中,被作為合同的附隨義務展示,但事實上,此類服務事項是否為完成特定服務所必要的事項?noyb認為,除了強迫用戶同意隱私政策,控制方顯然試圖在隱私條款中“隱藏”對處理行為的同意,以期引起誤解,使人認為該等處理行為符合GDPR第6條第1點第(b)款的規定(即為了數據主體履行合同義務的必要/為了應數據主體要求履行簽約前的步驟)。
二、Google及Facebook案件所體現的GDPR幾個核心問題
1、Google及Facebook是否受歐盟GDPR管轄?
依據GDPR第一章第3 條地域范圍的規定,確定GDPR是否擁有管轄權有兩個標準,一是數據的控制者或處理者標準,二是個人數據主體的標準。
GDPR第一章第3 條之1條款規定,“適用于設立在歐盟內的控制者或處理者對個人數據的處理,無論其處理行為是否發生在歐盟內。”即,設立在歐盟的數據控制者或者處理者對于個人數據的處理,適用GDPR。
GDPR第一章第3 條之2條款規定,“適用于對歐盟內的數據主體的個人數據處理,即使控制者和處理者沒有設立在歐盟內,其處理行為a) 發生在向歐盟內的數據主體提供商品或服務的過程中,無論此項商品或服務是否需要數據主體支付費用;或b) 是對數據主體發生在歐盟內行為的監控。”
從上述條款看出,數據控制者或處理者如果設立在歐盟區域,受GDPR管轄;即使數據控制者或處理者沒有設立在歐盟區域,只要其數據處理行為發生在向歐盟內的數據主體提供商品或服務的過程中,也受到GDPR管轄。
本案中,Google及Facebook均為美國公司,但在歐盟區擁有大量用戶,歐盟區相關國家的監管機構受理上述申訴,擁有法律上的管轄權。
至于能否通過協議約定排除歐盟GDPR的管轄,筆者認為,GDPR關于管轄的規定屬于強制性規定,即使隱私條款或其他協議中通過約定排除歐盟管轄,其約定也不會產生法律效力。
2、處罰金額確定的依據
對于Google及Facebook等四家公司可能面臨的76億歐元天價罰單如何計算,這也是人們對于GDPR嚴厲性最為顧忌的地方。該法第83條規定了嚴厲的處罰措施:“違反下列規定的將被處以最高達2000 萬歐元的行政罰款,或就一項經營而言,最高可處以上一財政年度全球年營業額的4%,兩者以較高者為準:a) 根據第5、6、7 和9 條處理的基本原則,包括同意的條件。”
對于違反信息處理的知情同意原則,處罰的上限是2000萬歐元,或者上一財政年度全球營業額的4%,并且以兩者孰高作為最終的處罰金額。谷歌2017財年全球營業額為1107億美元,按照上述標準處罰,4%金額約37億歐元。
由此可見,基于GDPR的處罰,將成為歐盟區最為嚴厲的合規處罰措施之一。對于跨國經營的公司而言,歐盟的數據合規風險成為重大的風險因素。
三、中國企業在GDPR規制下的風險
當前中國是全球最為重要互聯網服務所在國和貿易大國,全球排名靠前的互聯網企業中,總部在中國的占到相當大的比例,可以說美國與中國在全球互聯網企業排名方面占據了絕對的主導地位;同時,由于大量的傳統企業互聯網轉型,大量的中國企業在向境外提供商品或服務過程中,也將互聯網作為最基本的工具,比如銀行、貿易公司等,這些經營者的經營活動如果面向歐盟用戶,都可能會存在處理歐盟內用戶數據的問題。主要的風險來自以下幾個方面:
1、中國企業向歐盟內用戶提供服務受GDPR管轄
如前所述,企業是否設立在歐盟區不是判斷歐盟GDPR能否管轄的依據,而是看企業是否向歐盟內的個人數據主體銷售商品或提供服務。對于中國企業而言,如果其商品或貿易服務涉及歐盟區內的個人數據主體,將會受到歐盟GDPR的管轄。
2、未能充分預判最大風險值
過錯程度或非法獲益金額與處罰結果掛鉤,是常見的處罰原則,也是國內企業對于行政合規風險中的“罰款”并不忌憚的原因之一,由于我國相關法規中關于懲罰性罰金設置的標準往往非常低,企業長期以來對于罰金處罰的風險認知不足。
但是在GDPR規制下,罰金往往可以達到天價。由于罰金的征收依據是違規企業的全球收入,罰金與被處罰企業在歐盟區的營業收入相比,更是顯得巨大,甚至是完全不成正比。可能企業在歐盟的銷售金額很小,但由于根據全球收入計算罰金,對企業而言,一旦遭遇GDPR的處罰,其代價將是非常沉重的。
3、因執法環境的不同而產生誤判
我國《網絡安全法》生效后,雖然各地也有大量的處罰案例,但總體上處罰的力度較弱。并且作為網絡大國,國內實際上存在大數據戰略和個人信息保護的平衡問題,理論界和立法機構、實務部門一直在尋找一個合適的平衡點,在法律的立法價值和執法的價值方面,面臨與歐盟不完全一樣的環境。不同的執法環境,也可能導致中國企業對于歐盟GDPR風險的預判不足。
四、中國企業的對策
GDPR的制裁風險已經實實在在的落在了美國公司面前,同為互聯網大國與貿易大國,中國企業如何應對呢?筆者認為,應從以下幾個入手:
1、合理評估歐盟區業務狀況
企業應對自身的跨境業務戰略進行審慎評估,審視自身有沒有面向歐盟成員國公民用戶的需要?以及當前是否已經產生了面對歐盟區內數據主體的產品銷售或服務提供。
如果企業在歐盟區設立有分支機構,則應對其涉及個人數據主體的數據處理行為的整體合規進行梳理,排除GDPR的風險。
如果企業在歐盟區的產品或服務銷售金額非常小,或者可以忽略不計,并且未來也沒有進一步在歐盟區拓展業務的需求,則可以通過明確的服務條款排除對歐盟內成員的服務,以免得不償失。
如果有歐盟區的業務拓展計劃,則應嚴格根據GDPR完善自身的數據處理規則和隱私條款。
2、構建自身的數據處理規則及隱私條款
對于企業而言,數據處理規則是面對全球主要市場都需要考慮的問題。事實上,歐盟的GDPR所確立的用戶信息保護原則及基本規則,與我國的《網絡安全法》及個人信息保護規范并無實質性的差異。
企業應建立個人數據的處理規則,并設置合理的隱私條款,讓用戶充分知情,并取得同意,以此為企業的數據處理和大數據運用打下堅實的基礎。
當然,考慮到不同市場的法律差異及執法環境的差異,對于多平臺的企業而言,也可以在企業內部基本數據規則的基礎上,針對不同市場作出差異化的策略。
3、平衡數據合規與用戶體驗
企業都希望一鍵解決所有問題,從而追求用戶的最佳體驗。但按照GDPR的規則,對于特殊主體的數據處理,需要特別的同意條款;并且,由于明示同意的要求,在部分與當前服務并無直接關系的數據處理過程中,也需要明示的告知和同意。這些規則的要求,必然會增加知情告知環節和同意環節的流程,從而影響用戶體驗。如何平衡兩者之間的關系,也是中國企業面對GDPR需要深入考慮的問題。
針對Google及Facebook的申訴案件是GDPR生效后的重大事件,也為中國企業敲響了警鐘。如何面對歐盟業務戰略,如何按照構建自身的數據合規體系,是本案給我們的最大啟示。
注:本文僅作為學術研究之用,不代表監管的意見,也不屬于法律意見或操作指導。任何對本文觀點的引用,均不代表作者的任何操作指導,作者不承擔任何法律責任。
