2021年9月2日,愛(ài)爾蘭數(shù)據(jù)保護(hù)當(dāng)局頒布WhatsApp一案最終決定:對(duì)WhatsApp違反《一般數(shù)據(jù)保護(hù)條例》(以下稱(chēng)GDPR)第5、12、13、14條的多項(xiàng)行為,,合計(jì)罰款2.25億歐元。本案歷時(shí)近三年,核心爭(zhēng)點(diǎn)涉及理論和實(shí)務(wù)上的一系列疑難,包括個(gè)人數(shù)據(jù)的認(rèn)定、告知的具體范圍,、罰款金額裁量因素等等,。本案堪稱(chēng)經(jīng)典,包括主要監(jiān)管機(jī)構(gòu)和合作監(jiān)管機(jī)構(gòu)的意見(jiàn)以及歐盟數(shù)據(jù)保護(hù)委員會(huì)(以下稱(chēng)EDPB)對(duì)此其中的爭(zhēng)議評(píng)述,,對(duì)理論和實(shí)務(wù)皆有價(jià)值,。本文從愛(ài)爾蘭數(shù)據(jù)當(dāng)局的最終決定[1]和EDPB頒布的、論述各數(shù)據(jù)當(dāng)局分歧的有約束力決定[2](以下合稱(chēng)“決定”)出發(fā),,解析了其中重點(diǎn)的疑難問(wèn)題,。
一、程序性事實(shí)
1,、調(diào)查前事實(shí)
以2018年12月,、愛(ài)爾蘭數(shù)據(jù)保護(hù)局對(duì)WhatsApp發(fā)起調(diào)查為分界點(diǎn),本案事實(shí)歷程可以大致分為“調(diào)查前”和“調(diào)查后”兩部分,?!罢{(diào)查前”系指:在正式調(diào)查前發(fā)生、但對(duì)案件決定有實(shí)質(zhì)性影響的事實(shí),;“調(diào)查后”系指:調(diào)查開(kāi)始后,,案件各主要程序的時(shí)間節(jié)點(diǎn)。
2018年12月以前發(fā)生的關(guān)鍵事實(shí),,主要有二:一是實(shí)質(zhì)影響WhatsApp違法行為的動(dòng)機(jī)認(rèn)定,、進(jìn)而影響罰款計(jì)算的先行調(diào)查。2012年時(shí),,加拿大隱私專(zhuān)員辦公室和荷蘭數(shù)據(jù)保護(hù)局聯(lián)合對(duì)WhatsApp發(fā)起調(diào)查,,調(diào)查范圍直指非WhatsApp注冊(cè)用戶(hù)(即non-user)電話號(hào)碼數(shù)據(jù)的處理問(wèn)題,。調(diào)查結(jié)論之一,便是將非WhatsApp注冊(cè)用戶(hù)的電話號(hào)碼認(rèn)定為個(gè)人數(shù)據(jù),。決定據(jù)此認(rèn)定:WhatsApp因此知曉相應(yīng)非WhatsApp注冊(cè)用戶(hù)的手機(jī)號(hào)碼應(yīng)當(dāng)被認(rèn)定為個(gè)人數(shù)據(jù)的性質(zhì),,這一點(diǎn)又在一定程度上說(shuō)明了“WhatsApp的漫不經(jīng)心[過(guò)失]”。由于“故意抑或過(guò)失”是GDPR第83條規(guī)定的,、計(jì)算罰款金額的裁量因素之一,,這影響了與非用戶(hù)數(shù)據(jù)相關(guān)的違法行為的罰款計(jì)算。二是2014年Facebook并購(gòu)WhatsApp和后續(xù)的數(shù)據(jù)共享,,這是本案的核心爭(zhēng)點(diǎn)之一,,實(shí)質(zhì)影響到違法行為的認(rèn)定和罰款金額的計(jì)算。
2. GDPR項(xiàng)下的一站式和合作與一致性機(jī)制
根據(jù)GDPR規(guī)定,,數(shù)據(jù)控制者或處理者跨境處理數(shù)據(jù)的,,則主要營(yíng)業(yè)場(chǎng)所或單一營(yíng)業(yè)場(chǎng)所的監(jiān)管機(jī)構(gòu)有權(quán)作為主要監(jiān)管機(jī)構(gòu)(Lead Supervisory Authority),根據(jù)GDPR規(guī)定的合作機(jī)制與其他的相關(guān)監(jiān)管機(jī)構(gòu)(Concerned Supervisory Authorities)進(jìn)行合作,,保證一致性,。在此適用條件下,主要監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)是進(jìn)行跨境數(shù)據(jù)處理活動(dòng)的數(shù)據(jù)控制者或處理者的唯一對(duì)話者,。該機(jī)制被稱(chēng)為一站式,。
然而,為了保證一致性,,GDPR又規(guī)定了合作條款,。主要監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)與其他相關(guān)監(jiān)管機(jī)構(gòu)按照合作條款的要求努力達(dá)成共識(shí)。主要監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)向其他相關(guān)監(jiān)管機(jī)構(gòu)提交決定草案,,并咨詢(xún)他們的意見(jiàn),,考慮他們的觀點(diǎn)。其他相關(guān)監(jiān)管機(jī)構(gòu)可以在規(guī)定時(shí)間內(nèi)對(duì)決定草案提出相關(guān)且合理(relevant and reasonable)的反對(duì)意見(jiàn),。主要監(jiān)管機(jī)構(gòu)如果不遵循該相關(guān)且合理的反對(duì)意見(jiàn),,或者認(rèn)為該反對(duì)意見(jiàn)既不相關(guān)也不合理的,則應(yīng)將案件提交到EDPB,,由EDPB作出有約束力的決定,,該決定應(yīng)當(dāng)關(guān)注所有相關(guān)且合理的反對(duì)意見(jiàn)針對(duì)的事項(xiàng),尤其是是否違反GDPR的規(guī)定,。
在本案中,,愛(ài)爾蘭數(shù)據(jù)保護(hù)局是主要監(jiān)管機(jī)構(gòu)。2018年12月愛(ài)爾蘭數(shù)據(jù)保護(hù)局開(kāi)始調(diào)查,,在2019年時(shí)形成了調(diào)查報(bào)告初稿,、在2020年底形成了決定草案并提交給相關(guān)的監(jiān)管機(jī)構(gòu)。隨即,,德國(guó),、德國(guó)巴登-符騰堡州,、法國(guó)、匈牙利,、意大利,、荷蘭、波蘭,、葡萄牙等地?cái)?shù)據(jù)保護(hù)局就決定草案提出了“相關(guān)且合理”的反對(duì)意見(jiàn),。2021年6月由于愛(ài)爾蘭數(shù)據(jù)保護(hù)局既未接受反對(duì)意見(jiàn)、又未能說(shuō)明相應(yīng)意見(jiàn)不相關(guān)或?qū)崯o(wú)理?yè)?jù),,根據(jù)GDPR第61條和第65條,,則應(yīng)當(dāng)由EDPB就案件相關(guān)且合理的反對(duì)意見(jiàn)作出有約束力的決定。2021年7月,,EDPB作出決定,。2021年8月,愛(ài)爾蘭數(shù)據(jù)保護(hù)局根據(jù)EDPB決定,、作出最終決定,。2021年9月2日,愛(ài)爾蘭當(dāng)局正式頒布最終決定,。
二,、愛(ài)爾蘭數(shù)據(jù)保護(hù)局的最終決定
愛(ài)爾蘭數(shù)據(jù)保護(hù)局的最終決定包含四類(lèi)違法行為,具體包括如下:
1,、針對(duì)WhatsApp非注冊(cè)用戶(hù)的場(chǎng)景下是否滿足透明性要求
該行為主要針對(duì)的是通訊錄匹配功能,如果WhatsApp注冊(cè)用戶(hù)同意開(kāi)啟通訊錄匹配功能,,WhatsApp會(huì)收集并使用聯(lián)系人的電話號(hào)碼,。經(jīng)過(guò)匹配會(huì)發(fā)現(xiàn)未注冊(cè)用戶(hù),則將未注冊(cè)用戶(hù)的電話號(hào)碼進(jìn)行有損哈希(lossy hash),,刪除原始的電話號(hào)碼,。WhatsApp抗辯有損哈希構(gòu)成匿名化,因此不需要履行GDPR項(xiàng)下相應(yīng)的義務(wù),。
愛(ài)爾蘭數(shù)據(jù)保護(hù)局認(rèn)定:
在有損哈希前,,非注冊(cè)用戶(hù)的手機(jī)號(hào)構(gòu)成用戶(hù)數(shù)據(jù),因?yàn)樵撾娫捥?hào)碼可以間接識(shí)別用戶(hù)身份,。在有損哈希后仍然構(gòu)成用戶(hù)數(shù)據(jù),。WhatsApp處理非注冊(cè)用戶(hù)的數(shù)據(jù)時(shí)可以認(rèn)定為控制者,但未履行GDPR提供信息義務(wù),。
2,、 針對(duì)WhatsApp注冊(cè)用戶(hù)的場(chǎng)景下是否滿足透明性要求
愛(ài)爾蘭數(shù)據(jù)保護(hù)局認(rèn)定:
因WhatsApp提供的信息就其質(zhì)量來(lái)說(shuō),無(wú)法讓人識(shí)別具體的處理行為與其相應(yīng)的合法性基礎(chǔ),、以及追求合法利益下相應(yīng)的數(shù)據(jù)類(lèi)型等詳細(xì)信息,,而且從提供信息的方式來(lái)看,,盡管合法性基礎(chǔ)一節(jié)鏈接到了“我們?nèi)绾问褂脭?shù)據(jù)”,但是鏈接到的“我們?nèi)绾问褂脭?shù)據(jù)”并未獲得更多新的或更詳細(xì)的信息,,因此不符合GDPR第13條第1款第(c)項(xiàng)要求提供處理個(gè)人數(shù)據(jù)的目的以及其合法性基礎(chǔ),,以及(d)項(xiàng)如果基于追求合法利益的目的來(lái)處理數(shù)據(jù)的,則要求提供數(shù)據(jù)控制者或第三方所追求的合法利益的規(guī)定,。
關(guān)于數(shù)據(jù)分享部分內(nèi)容,,如下圖所示,從WhatsApp提供的信息質(zhì)量來(lái)說(shuō),,不符合透明性原則指南,,未能使用戶(hù)理解什么類(lèi)型的用戶(hù)數(shù)據(jù)將被傳輸給哪些第三方,基于什么目的而傳輸,,以及對(duì)數(shù)據(jù)主體的后果,。同時(shí)從信息提供方式來(lái)說(shuō),需要用戶(hù)在不同的鏈接之間進(jìn)行跳轉(zhuǎn),,內(nèi)容似乎散落在隱私政策,、服務(wù)協(xié)議、合法性基礎(chǔ)通知以及相關(guān)的文檔和常見(jiàn)問(wèn)題等,。因此,,WhatsApp違反了GDPR第13條第1款第(e)項(xiàng)要求提供個(gè)人數(shù)據(jù)的接收者或接受者的類(lèi)別。
關(guān)于跨境傳輸部分,,WhatsApp未明確說(shuō)明是否依賴(lài)充分性認(rèn)定來(lái)進(jìn)行跨境傳輸,,僅用了其“it may rely on, if applicable”的模糊用語(yǔ)。而且WhatsApp沒(méi)有提供給數(shù)據(jù)主體有意義的方式去了解充分性認(rèn)定或者其他跨境傳輸機(jī)制,。簡(jiǎn)單來(lái)說(shuō),,僅僅鏈接到歐盟委員會(huì)的官方頁(yè)面是不足夠的,因此違反了GDPR第13條第1款第(f)項(xiàng)“應(yīng)提供數(shù)據(jù)控制者向第三國(guó)或國(guó)際組織傳輸數(shù)據(jù)的事實(shí)以及歐盟委員會(huì)是否作出充分性認(rèn)定的情況或者GDPR第46條,、第47條,、第49條第1款第2項(xiàng)規(guī)定的轉(zhuǎn)移情形下獲取相應(yīng)副本和相應(yīng)的安全保障措施的信息”。
關(guān)于數(shù)據(jù)存儲(chǔ)部分,,WhatsApp在隱私政策中數(shù)據(jù)保留到用戶(hù)刪除賬號(hào)或滿足處理目的,,以先發(fā)生的為準(zhǔn)。對(duì)于用戶(hù)未刪除部分,,WhatsApp簡(jiǎn)單地說(shuō)明保存期限基于逐案分析的方式判斷,,參考因素如數(shù)據(jù)類(lèi)型、收集使用的原因以及相關(guān)法律要求保存期限,。但是另外在常見(jiàn)問(wèn)題中又說(shuō)明了即使刪除賬號(hào)后,,有部分?jǐn)?shù)據(jù)仍然保存,如log records,而常見(jiàn)問(wèn)題未被鏈接到隱私政策,。愛(ài)爾蘭數(shù)據(jù)保護(hù)局認(rèn)定,,WhatsApp未提供了有意義的信息用以判斷當(dāng)用戶(hù)注銷(xiāo)賬號(hào)后是否會(huì)刪除以及多久會(huì)刪除,關(guān)于刪除后仍然保留的數(shù)據(jù)以及說(shuō)明log records雖然會(huì)保留但是不會(huì)關(guān)聯(lián)到用戶(hù)的說(shuō)明未納入到隱私政策中,,因此不符合GDPR第13條第2款(a)項(xiàng)要求提供“用戶(hù)數(shù)據(jù)的存儲(chǔ)期限,,若不可能,則應(yīng)提供決定存儲(chǔ)期限的標(biāo)準(zhǔn)”,。
關(guān)于撤回同意部分,,WhatsApp在隱私政策中“如何行使你的權(quán)利”部分未說(shuō)明撤回同意方式,而是寫(xiě)入了合法性基礎(chǔ)的“你的同意”部分,,而且未說(shuō)明清楚撤回同意的后果即不影響撤回前已經(jīng)合法處理的數(shù)據(jù),。因此不符合GDPR第13條第2款(c)項(xiàng)要求提供“數(shù)據(jù)主體有權(quán)隨時(shí)撤回其同意,該撤銷(xiāo)不具有溯及力”,。
關(guān)于說(shuō)明個(gè)人數(shù)據(jù)是基于何種合法性基礎(chǔ)以及數(shù)據(jù)主體是否必須提供,,不能提供的后果部分,WhatsApp在隱私政策中說(shuō)明了所收集的數(shù)據(jù)是基于使用何種服務(wù),,以及采用了“must”,、“may”不同的用語(yǔ)表示是否為強(qiáng)制,同時(shí)在合法性基礎(chǔ)通知的合同履行的必要部分,,另在服務(wù)條款里通過(guò)關(guān)于我們的服務(wù),,說(shuō)明注冊(cè)等服務(wù)。上述內(nèi)容散見(jiàn)在各個(gè)文件,,且并未明確指出必須提供的數(shù)據(jù)類(lèi)型以及不提供的后果,。因此違反了GDPR第13條第2款第(e)項(xiàng)。
3,、針對(duì)WhatsApp和Facebook之間分享數(shù)據(jù)的場(chǎng)景下是否符合透明性要求
WhatsApp對(duì)告知規(guī)定的違反,,體現(xiàn)在至少四個(gè)方面。首先,,WhatsApp的隱私政策未能詳盡地告知數(shù)據(jù)事宜,。盡管Facebook網(wǎng)站上確有一比較完整地告知共享的頁(yè)面(FAQ),,WhatsApp的隱私政策里,,只在“我們?nèi)绾闻c其它Facebook公司合作”一節(jié)鏈接了一次FAQ,而沒(méi)有在用戶(hù)更有可能去尋找數(shù)據(jù)共享內(nèi)容的,、“你和我們共享的信息”一節(jié)鏈接到FAQ,。因此,僅僅按照各節(jié)目錄瀏覽政策的用戶(hù),,將錯(cuò)過(guò)“關(guān)于數(shù)據(jù)共享”的最完整的信息,。其次,有關(guān)何為“Facebook公司”,列舉“Facebook公司”“Facebook產(chǎn)品”“Facebook商業(yè)工具”的若干頁(yè)面彼此不一致,,導(dǎo)致難以確定這一范圍內(nèi)究竟包含哪些實(shí)體,。例如,難以確定Oculus是否屬于Facebook公司,。再次,,告知并未明確WhatsApp與Facebook間究竟是“控制者-處理者”關(guān)系還是“控制者-控制者”關(guān)系。又次,,假使二者關(guān)系確屬后者,,僅告知“為了安全[而共享]”、而不告知為了安全所需的具體處理行為,,不能滿足對(duì)信息質(zhì)量的要求,。最后,WhatsApp實(shí)質(zhì)上未基于安全原因與Facebook進(jìn)行數(shù)據(jù)分享,,所以陳述內(nèi)容存在誤導(dǎo),,其他關(guān)于分享的陳述過(guò)于概括,并不具有實(shí)質(zhì)意義,。
因此,,愛(ài)爾蘭數(shù)據(jù)保護(hù)局認(rèn)定WhatsApp對(duì)于如何與Facebook公司分享數(shù)據(jù)部分的內(nèi)容不符合透明性要求,違反GDPR第13條第1款(c)和(e)項(xiàng)以及第12條第1款,。而且進(jìn)一步指示,,除非WhatsApp有具體的計(jì)劃包括具體的開(kāi)始時(shí)間,基于安全原因?qū)崿F(xiàn)控制者對(duì)控制者的數(shù)據(jù)分享,,否則應(yīng)當(dāng)刪除在合法性基礎(chǔ)通知和Facebook常見(jiàn)問(wèn)題里的誤導(dǎo)性陳述,。
4、WhatsApp是否遵守公開(kāi)透明原則
在上述違反第13條和第12條的規(guī)定基礎(chǔ)上,,EDPB通過(guò)有約束力的決定要求愛(ài)爾蘭數(shù)據(jù)保護(hù)局修改決定草案,,認(rèn)定違反了GDPR第5條第1款(a)項(xiàng)的透明性原則。具體請(qǐng)見(jiàn)本文第3部分,。
三,、EDPB論述的主要爭(zhēng)議點(diǎn)
相較初稿,EDPB決定在以下關(guān)鍵爭(zhēng)點(diǎn)上有實(shí)質(zhì)不一致:個(gè)人數(shù)據(jù)認(rèn)定,、WhatsApp告知不充分是否違反GDPR第5條,、以及罰款金額的計(jì)算,等等,。
1,、有損哈希(Lossy Hash)、可識(shí)別性與個(gè)人數(shù)據(jù)的認(rèn)定
核心爭(zhēng)議點(diǎn)在于有損哈希是否足以實(shí)現(xiàn)匿名化,,使得哈希值不構(gòu)成個(gè)人數(shù)據(jù),。由于WhatsApp堅(jiān)持認(rèn)為有損哈希值不構(gòu)成個(gè)人數(shù)據(jù),于是,WhatsApp并未履行假定哈希值屬于個(gè)人數(shù)據(jù)時(shí),、應(yīng)當(dāng)履行的一系列義務(wù),。愛(ài)爾蘭數(shù)據(jù)保護(hù)局的調(diào)查同樣聚焦于哈希值是否屬于個(gè)人數(shù)據(jù)。就有損哈希而言,,這一技術(shù)最重要的特性有二:首先,,哈希是不可逆的加密方式,從有損哈希反求手機(jī)號(hào)碼的原始值,,“在計(jì)算[能力]上屬于不可能”,;其次,有損哈希和手機(jī)號(hào)碼(或者說(shuō),,位數(shù)給定的數(shù)字)之間并非“一對(duì)一”的關(guān)系,,而是“一對(duì)十六”的關(guān)系——每一有損哈希值,對(duì)應(yīng)于十六個(gè)可能的電話號(hào)碼,。WhatsApp據(jù)此辯稱(chēng),,哈希值無(wú)法合理地關(guān)聯(lián)到個(gè)體,從而不構(gòu)成個(gè)人數(shù)據(jù),。愛(ài)爾蘭數(shù)據(jù)保護(hù)局也在初稿中贊同了這一觀點(diǎn)[3],。如果哈希值不屬于個(gè)人數(shù)據(jù),則WhatsApp也就不再需要履行GDPR下的告知等一系列義務(wù),。
然而,,EDPB基于至少四個(gè)方面的論證,最終決定推翻了愛(ài)爾蘭當(dāng)局的初稿觀點(diǎn),,認(rèn)為有損哈希值仍然屬于個(gè)人數(shù)據(jù),。首先,EDPB指出,,在認(rèn)定個(gè)人數(shù)據(jù)時(shí),,不能“孤立地考慮[有損哈希]這一技術(shù)步驟”,而是需要考慮“所有的客觀場(chǎng)景因素”,、以判斷識(shí)別或再識(shí)別的概率,。其次,盡管每一有損哈希值理論上可以對(duì)應(yīng)十六個(gè)號(hào)碼,,實(shí)踐中,,由于號(hào)碼格式和號(hào)段使用率等原因,對(duì)應(yīng)的數(shù)量可能遠(yuǎn)少于十六個(gè),,“甚至只有一個(gè)”,。再次,,WhatsApp聲稱(chēng)有損哈??梢詫?shí)現(xiàn)匿名化,但有損哈希值又可以實(shí)現(xiàn)、也實(shí)際用于識(shí)別特定用戶(hù),,這是“自相矛盾的”,。最后,在識(shí)別或重識(shí)別特定用戶(hù)時(shí),,WhatsApp不僅使用了哈希值,,還使用了基于號(hào)碼存儲(chǔ)而建立的社交關(guān)系數(shù)據(jù),二者聯(lián)合,,可以構(gòu)造出具備識(shí)別能力的“關(guān)系簽名”,。綜上,考慮“客觀場(chǎng)景因素”,,有損哈希值應(yīng)當(dāng)認(rèn)定為個(gè)人數(shù)據(jù),。
這一點(diǎn)至少引起了三方面的思考。首先,,恰如部分研究者指出:“匿名化”是個(gè)法律概念,,不能僅僅通過(guò)技術(shù)上的判斷得到認(rèn)定。因此,,不能因?yàn)椴捎昧嗽诶碚撋峡梢缘挚怪刈R(shí)別攻擊的技術(shù)措施,,就認(rèn)為無(wú)須遵從個(gè)人數(shù)據(jù)/信息保護(hù)的相應(yīng)規(guī)定。其次,,如果合規(guī)架構(gòu)建立在對(duì)特定匿名化技術(shù)的信任之上,,則需結(jié)合現(xiàn)有案例、并綜合考慮法律上有所本的“所有客觀場(chǎng)景因素”,,對(duì)技術(shù)是否足以在法律上認(rèn)定為匿名化作出論證,。最后,也是更加具體的一點(diǎn),,如果在通訊錄匹配,、反作弊等“目的即[至少部分地]在于識(shí)別”的功能中采用匿名化技術(shù)以合規(guī),當(dāng)警惕“自相矛盾”的問(wèn)題,。
2,、透明性原則下的告知要求要做到什么程度?
?。?)WhatsApp對(duì)數(shù)據(jù)處理的告知不符合透明性要求
從GDPR第13條,,尤其是第13條第1款下(c)和(d)規(guī)定的告知義務(wù)出發(fā),愛(ài)爾蘭數(shù)據(jù)保護(hù)局決定詳盡地調(diào)查了WhatsApp對(duì)處理目的,、合法性基礎(chǔ)和合法利益(如適用)的告知方式,,并詳盡地闡述了三類(lèi)告知義務(wù)所要求的具體告知范圍。簡(jiǎn)言之,,值得關(guān)注的有至少兩方面:一方面,,決定對(duì)信息質(zhì)量相關(guān)要求的闡述,;另一方面,信息展示方式,,包括隱私政策以及相關(guān)頁(yè)面間的鏈接結(jié)構(gòu)和文字表述的差異性,,足以影響數(shù)據(jù)保護(hù)當(dāng)局對(duì)處理者是否違反GDPR第13條相應(yīng)條款的判斷。
信息質(zhì)量層面,,從第13條第1款下(c)出發(fā),,處理者應(yīng)就每一類(lèi)別個(gè)人數(shù)據(jù)告知相應(yīng)的處理行為,并就每一處理行為告知相應(yīng)的合法性基礎(chǔ),。告知的信息質(zhì)量,,應(yīng)當(dāng)使得主體“足以理解為何需要出于[相應(yīng)]目的而處理他/她的個(gè)人數(shù)據(jù)”,在更加基礎(chǔ)的意義上,,還應(yīng)當(dāng)使得主體“可以行使GDPR下的權(quán)利”,。例如,僅僅告知“出于[為合同所必須的]安全措施……處理您的個(gè)人信息”,,無(wú)法滿足對(duì)信息質(zhì)量的要求,。反之,告知“出于同意……為了提供特定的產(chǎn)品特性和服務(wù),,而收集和使用位置信息”,,在“告知相應(yīng)處理行為”方面,就更加符合決定的要求,。然而,,如果在收集和處理方面還有其它處理行為,但又未能告知,,則同樣不滿足GDPR,。對(duì)第13條第1款下(d)項(xiàng),首先,,不能使用類(lèi)似“維持服務(wù)”的寬泛表述進(jìn)行告知,,而需澄清“服務(wù)”的具體含義;其次,,同樣需要告知每一合法利益所對(duì)應(yīng)的處理行為,。
信息展示方式層面,決定注意到了WhatsApp在不同場(chǎng)景中至少四方面的不足,。第一,,即使WhatsApp告知了信息質(zhì)量層面所要求的許多內(nèi)容,這些內(nèi)容分散在隱私政策頁(yè)面和其中散布的多個(gè)鏈接中,,“缺乏一個(gè)整合的文本或分層的示意圖”,,來(lái)讓數(shù)據(jù)主體理解針對(duì)特定數(shù)據(jù)的相應(yīng)處理行為和合法性基礎(chǔ)。第二,,WhatsApp在不同的文本(散布在前述鏈接中)中用相似的表述告知實(shí)則不同的內(nèi)容,,容易導(dǎo)致數(shù)據(jù)主體的困惑,、難以發(fā)現(xiàn)其間的差異之處。第三,,WhatsApp將“并不復(fù)雜的[有關(guān)向Facebook共享數(shù)據(jù)的]”內(nèi)容分散在隱私政策、服務(wù)協(xié)議,、合法性基礎(chǔ)告知和外部幫助,、答問(wèn)文檔(FAQ)中,而非“整合信息……并以清楚,、簡(jiǎn)潔的形式展示”,。第四,WhatsApp沒(méi)有在隱私政策中包含一個(gè)有助于理解個(gè)人數(shù)據(jù)共享的鏈接,。第五,,隱私政策和其它頁(yè)面間存在不一致的內(nèi)容。
綜之,,對(duì)數(shù)據(jù)合規(guī)而言,,此處決定至少引起兩方面的思考。首先,,在個(gè)人數(shù)據(jù)類(lèi)別,、處理行為、合法性基礎(chǔ)之間建立完整的映射關(guān)系,,日益必要,。實(shí)際上,按WhatsApp案決定,,這已經(jīng)成為合規(guī)的“底線”,。其次,無(wú)論是告知的內(nèi)容,,還是告知的形式,,都應(yīng)當(dāng)采取“用戶(hù)中心”的視角——考慮用戶(hù)“會(huì)不會(huì)困惑”,考慮用戶(hù)“能不能理解應(yīng)當(dāng)告知”,,以及尤其重要的,、考慮用戶(hù)“能不能順利地行使自己的權(quán)利”。具體到實(shí)踐中,,則應(yīng)避免決定指出的多種問(wèn)題,,盡量以“整合的文本或分層的示意圖”,清晰,、簡(jiǎn)潔地告知數(shù)據(jù)類(lèi)別,、處理行為和合法性基礎(chǔ)間的映射,并告知GDPR規(guī)定的其它內(nèi)容,。
?。?)第13條信息提供義務(wù)與透明性原則的關(guān)系
來(lái)自EDPB的決定進(jìn)一步闡明了在何種條件下,,對(duì)告知義務(wù)的違反同樣構(gòu)成對(duì)透明性原則的違反。決定明確了透明性的兩方面特性:一方面,,透明性應(yīng)是“以用戶(hù)為中心”,、而非“拘泥法律”的,需要“通過(guò)一系列對(duì)數(shù)據(jù)控制者和處理者施加實(shí)踐要求的條款來(lái)實(shí)現(xiàn)”,;另一方面,,透明性原則既是公平原則的表達(dá),又與可問(wèn)責(zé)性原則存有內(nèi)在聯(lián)系,,因之,,透明性是GDPR中居于體系高位的概念,由此可以展開(kāi)諸多條款與義務(wù),。當(dāng)然,,違反透明性原則下展開(kāi)的義務(wù),未必導(dǎo)致對(duì)原則本身的違反,。本案中,,WhatsApp在告知信息質(zhì)量和方式等各方面的諸多欠缺,導(dǎo)致用戶(hù)“未能獲得足以行使主體權(quán)利的信息”,、“無(wú)法作出是否繼續(xù)使用服務(wù)的決定”,,是“完全的失敗”??傊?,鑒于WhatsApp違反GDPR的嚴(yán)重程度,以及相應(yīng)違反及其影響的廣泛程度(以至影響到WhatsApp開(kāi)展的全部數(shù)據(jù)處理),,決定認(rèn)為存在對(duì)原則本身的違反,。
如上,對(duì)數(shù)據(jù)合規(guī)而言,,此處決定亦至少有兩方面啟發(fā),。首先,依然是“以用戶(hù)為中心”:按照決定,,僅從法律要求出發(fā),、將所有要求的信息展示在用戶(hù)可見(jiàn)的頁(yè)面上,僅此依然不足以完全合規(guī),。充分的合規(guī),,應(yīng)當(dāng)以用戶(hù)為中心,保障用戶(hù)體驗(yàn),,隱私合規(guī)也是一種產(chǎn)品體驗(yàn),。其次,具體義務(wù)違反和抽象原則違反間后果上的差異(據(jù)GDPR第83條第5款,,后者處罰更重),,令合規(guī)工作的考量變得更加復(fù)雜,。例如,即使完全的合規(guī)面臨各方面的挑戰(zhàn),,避免嚴(yán)重且廣泛的違反,、以免違反原則性條款,依然應(yīng)該是合規(guī)的重點(diǎn),。
3,、如何計(jì)算罰款
綜合考慮GDPR第83條第2款列舉的各項(xiàng)裁量因素后,決定作出如下處罰:就WhatsApp違反第5條透明性原則,,罰款9000萬(wàn)歐元,;就WhatsApp違反第12,、13,、14條的各項(xiàng)告知義務(wù),分別罰款3000萬(wàn),、3000萬(wàn)和7500萬(wàn)歐元,,以上合計(jì)2.25億歐元[4]。決定此處有意義的內(nèi)容很多,,本文重點(diǎn)討論其中三方面:如何裁量對(duì)違反原則的行為的處罰,;存在先行調(diào)查時(shí),第83條第2款下(b)“動(dòng)機(jī)(包括故意和過(guò)失)”如何裁量,;以及,,在Facebook并購(gòu)WhatsApp后,如何計(jì)算與罰款金額有關(guān)的營(yíng)業(yè)額,。
盡管決定在定性的層面強(qiáng)調(diào)了“違反原則之下義務(wù)”和“違反原則本身”的區(qū)分,,在定量計(jì)算罰款金額時(shí),決定很大程度上混同了二者:“……由于各[對(duì)具體義務(wù)的]違反都與透明性有關(guān),,又由于這些違反有著相同的特性目的,、很可能在第83條第2款的語(yǔ)境下產(chǎn)生相同或相似的后果……我[來(lái)自愛(ài)爾蘭數(shù)據(jù)當(dāng)局的調(diào)查者]會(huì)同時(shí)評(píng)估各項(xiàng)違反[對(duì)第5、12,、13,、14條的違反],并統(tǒng)稱(chēng)其為‘違反’……”隨后,,決定相當(dāng)“直截了當(dāng)”地評(píng)估了WhatsApp對(duì)第5條原則的違反,,如前,由于“WhatsApp違反GDPR的嚴(yán)重程度,,以及相應(yīng)違反及其影響的廣泛程度”,,WhatsApp對(duì)原則的違反,不可謂不嚴(yán)重,。此外,,決定還考慮了WhatsApp對(duì)第12,、13等各條的整體遵從情況:“[WhatsApp]僅僅提供了41%的規(guī)定需要提供的信息[5]……距離滿足WhatsApp的義務(wù)有很大差距……這是第5條違反的裁量因素的加重因素……”
在評(píng)估WhatsApp動(dòng)機(jī)時(shí),對(duì)部分具體義務(wù)和原則性條款[6],,決定認(rèn)為:WhatsApp違反系出自位于故意與一般過(guò)失間的“高度過(guò)失”,。簡(jiǎn)言之,在缺乏證據(jù)說(shuō)明故意的前提下,,決定從一般過(guò)失出發(fā),,通過(guò)考慮部分加重因素,最終得到了高度過(guò)失的結(jié)論,。相應(yīng)加重因素至少有二:其一,,得到不利結(jié)論的先行調(diào)查。如前,,加拿大和荷蘭曾經(jīng)在2012年對(duì)WhatsApp通訊錄匹配所涉的個(gè)人數(shù)據(jù)處理開(kāi)展調(diào)查,,并得出對(duì)WhatsApp不利、與本案爭(zhēng)點(diǎn)密切相關(guān),、且在本案中得到進(jìn)一步確認(rèn)的結(jié)論,。盡管先行調(diào)查發(fā)生在GDPR生效前多年,WhatsApp也始終不認(rèn)可相應(yīng)結(jié)論,,這一點(diǎn)仍足以說(shuō)明:WhatsApp在知曉歐盟內(nèi)數(shù)據(jù)當(dāng)局不太可能贊同其立場(chǎng)的前提下,,依舊違反了相應(yīng)義務(wù)。于是,,應(yīng)認(rèn)定WhatsApp違反出于高度過(guò)失,。其二,整體角度下信息缺失的嚴(yán)重程度,,足以認(rèn)為對(duì)第5條的違反亦屬于高度過(guò)失,。
最后,由于罰款金額的上限依賴(lài)于“公司的全球營(yíng)業(yè)額”,,又由于Facebook已經(jīng)并購(gòu)了WhatsApp,,以哪個(gè)公司——是WhatsApp,還是“Facebook公司”——的全球年?duì)I業(yè)額作為計(jì)算基準(zhǔn),,將對(duì)罰款金額產(chǎn)生實(shí)質(zhì)影響,。此處,首先,,由于Facebook(通過(guò)一子公司)全資擁有涉案的WhatsApp公司,,可以推定Facebook對(duì)WhatsApp擁有“決定性的影響”。又因WhatsApp未能反證這一推定,,故WhatsApp與Facebook構(gòu)成“單一經(jīng)濟(jì)實(shí)體”,。其次,根據(jù)歐盟法院(一般簡(jiǎn)稱(chēng)CJEU)的一系列判決:如果子公司和母公司構(gòu)成單一實(shí)體,則母公司可以對(duì)子公司的違法行為承擔(dān)責(zé)任(包括罰款),,且母公司的年?duì)I業(yè)額可以作為子公司違法罰款上限的計(jì)算基準(zhǔn),。因此,包括Facebook集團(tuán)各組成公司在內(nèi)的全球年?duì)I業(yè)額,,應(yīng)作為本案的基準(zhǔn),。這一基準(zhǔn)最終厘定為859.65億美元,是相應(yīng)實(shí)體2020年的年?duì)I業(yè)額,。
結(jié)語(yǔ)
以上,,本文從五個(gè)角度述評(píng)了WhatsApp被罰2.25億美元一案。首先,,以調(diào)查開(kāi)始為節(jié)點(diǎn),,簡(jiǎn)要整理了節(jié)點(diǎn)之前有實(shí)質(zhì)影響的關(guān)鍵事實(shí)和節(jié)點(diǎn)之后調(diào)查的關(guān)鍵時(shí)點(diǎn)。其次,,述評(píng)了決定對(duì)個(gè)人數(shù)據(jù)的認(rèn)定思路和對(duì)有損哈希這一匿名化技術(shù)的分析和結(jié)論,。再次,從信息質(zhì)量和信息展示方式出發(fā),,述評(píng)了決定對(duì)告知范圍的分析,。又次,,對(duì)關(guān)鍵點(diǎn)WhatsApp與Facebook間的數(shù)據(jù)共享,,展開(kāi)了決定對(duì)WhatsApp為何違反具體義務(wù)和為何違反原則條款的分析。次之,,在前述各項(xiàng)內(nèi)容的基礎(chǔ)上,,重點(diǎn)敘述了決定裁量罰款金額的部分考量。對(duì)幾乎每一部分,,也從實(shí)務(wù)視角出發(fā),,提出了少許初步的思考。
盡管決定大體上僅與告知有關(guān),,而幾未涉及數(shù)據(jù)共享行為本身的合法性,,亦未涉及數(shù)據(jù)共享與競(jìng)爭(zhēng)法間的復(fù)雜聯(lián)系,理解Facebook并購(gòu)WhatsApp后綿延至今的數(shù)據(jù)合規(guī)風(fēng)波,,難以脫離對(duì)后兩項(xiàng)議題的思考,。例如,2017年時(shí),,由于Facebook作出有關(guān)并購(gòu)的虛假陳述——盡管Facebook實(shí)有能力自動(dòng)化匹配同一個(gè)體的WhatsApp賬戶(hù)和Facebook賬戶(hù),,F(xiàn)acebook卻對(duì)歐盟委員會(huì)否認(rèn)這一點(diǎn),歐盟委員會(huì)對(duì)其罰款1.1億歐元[7],。又如,,在大西洋的另一側(cè),聯(lián)邦貿(mào)易委員會(huì)(一般簡(jiǎn)稱(chēng)FTC)針對(duì)并購(gòu)案的訴訟也仍在進(jìn)行中[8]。于是,,完整理解這一并購(gòu)的數(shù)據(jù)合規(guī)意義,,需要更寬的視野和更多的時(shí)間。
