本文首发于“网安寻路人”。
欧盟数据保护委员会(EDPB)刚刚通过了针对脸书、Instagram和WhatsApp的决定,并且要求爱尔兰数据当局(DPC)在一个月内据此做出最终决定。根据相关方陈述和媒体报道,至少有两方面重要后果。一是相应决定要求DPC对三者处以“实质性”的罚款。根据报道,其总金额可能高达20亿欧元。二是相应决定回答了出于个性化广告或服务改进的目的,三者能否在为履行合同所必需这一合法性基础上相应处理个人信息[1]的问题。根据陈述、报道和其他来源,三者无法再以为履行合同所必需作为其处理的合法性基础。于是,三者出于个性化广告或服务改进的处理之后很可能需要以同意或其他受到严格限制的合法性基础作为先决条件[2]。这对其商业模式的冲击幅度甚至还要大于20亿欧元的罚款。
无论是幅度前所未有的罚款,还是足以实质改变互联网平台商业模式的法律结论,皆说明针对三者的决定值得进一步分析。为此,本文拟在陈述、报道、立法材料、执法材料、相关案例和其他来源资料的基础上,首先尝试简述本案相关事实,然后对于本案可能得到的、有关为履行合同所必需作为处理合法性基础的结论稍作前瞻。简而言之,EDPB关于在线服务场景下的为履行合同所必需的指南中所包含的分析思路将在本案中得到进一步展开。根据首先判断处理是否在合同场景中发生,然后确定合同的确切准则,最后判断处理是否确为履行相应合同所必需等三个步骤,可知这一合法性基础难以用于个性化广告和服务改进。当然,这些都只是初步的观察,在任何意义上都不能替代正式的决定。
本案的三个“战场”
本案基本事实相当简洁。2018年4月,也是《通用数据保护条例》(GDPR)生效之前不久,脸书、Instagram和WhatsApp相应更新了用户协议和数据政策。用户需要点击“同意用户协议”才能继续使用其服务。其间包含出于个性化广告和服务改进而处理个人信息的内容。某奥地利个人信息主体及其代理人None of Your Business组织(以下合称投诉方)随即针对脸书、Instagram和WhatsApp(以下合称被投诉方)向DPC提起投诉,并且在奥地利国内提起诉讼。由此,围绕相应处理的合法性基础问题,出现了三处激烈的“战场”。
首先按照DPC决定草案和双方相应提交的材料进一步展开事实,并说明其为何涉及合法性基础,特别是为合同所必需的合法性基础。如前,用户需要通过点击“同意用户协议”才能继续使用被投诉方的服务。用户协议中提及被投诉方为用户“提供个性化服务”、“协助[用户]发现可能感兴趣的内容、产品和服务”、“改进产品和服务”,等等。此处即见个性化广告与改进服务两项目的。用户协议与其中链接的数据政策等多个相关文件进一步提及了出于上述目的而施行的个人信息处理、相应处理的(特殊类型)个人信息、以及相应处理的合法性基础。所及合法性基础既包括为履行合同所必需,也包括同意。被投诉方主张其出于上述目的施行处理的合法性依据是为合同所必需。以上即是基本的事实[3]。
从上述事实,即有两项争议。一是被投诉方是否可以为履行合同所必需作其为出于个性化广告或改进服务而施行的处理的合法性基础。二是如果对一给出肯定回答,被投诉方是否已经通过满足透明性相关的原则和具体规则的方式,告知了用户其以为履行合同所必需作为相应处理的合法性基础。[4]一是核心争点,二则几无争议。实际上,无论是“同意用户协议”对于用户期待引起的潜在的混淆,还是同时提及不止一种合法性基础、且其缺乏与具体处理以及相应信息的对应,抑或是具体告知中处处可见的模棱两可,等等,都足以为二给出否定的回答。无论是DPC本案决定的草案,还是DPC的其他相关决定,都印证了这一判断。
围绕第一项核心争点,很快延伸出了三个激烈的“战场”;参与各方不仅包括投诉方和被投诉方,还包括居中裁断的DPC和其他数据当局。具体而言,第一处是投诉方向DPC投诉被投诉方,DPC做出决定草案。之后由于多国数据当局的反对,本案遂转递至EDPB,并由EDPB做出足以约束DPC的决定。第二处是投诉方在奥地利法院起诉被投诉方,案件上诉至奥地利最高法院(OGH),OGH之后又就案件核心争点——为履行合同所必需是否可以作为本案中个性化广告相关处理的合法性基础——延请欧盟法院(CJEU)审理。CJEU尚未做出裁定。第三处“战斗”相对隐蔽,但也相当重要。2018年也是EDPB起草与在线服务中使用为履行合同所必需作为合法性基础有关的指南的关键时期。各数据当局在起草过程中亦有围绕上述核心争点的辩论。以下大致以“战斗”进度为序,先讨论指南,然后是DPC和CJEU。
EDPB指南
EDPB指南体现了各国数据当局公认的、对于GDPR的解释。于是,一旦EDPB颁布适用于相应互联网平台的、与为履行合同所必需作为合法性基础有关的指南,其既会实质性指导各国数据当局的相关决定,又会对CJEU的相关判决起到参考作用。指南对前述争点采取何种立场,因而相当重要。概言之,指南倾向于否定互联网平台将为履行合同所必需作为个性化广告相应处理的合法性基础、对将其作为服务改进相应处理的合法性基础保持审慎。在指南制定过程当中,各国数据当局最终还共同拒斥了倾向于宽泛适用这一合法性基础的思路。
为了更加鲜明地展开指南的立场,并且清晰展示已经为指南所拒斥的思路,有必要比较指南成稿与其制定过程中包含各国数据当局评论的草稿。相应比较可以在指南中的一般性内容和针对互联网平台的特别性内容等两个层面上展开。就一般性内容而言,对解决前述争点最为重要的,无疑是在何种程度上强调“合同自由”。指南草稿曾一度允许法人和自然人间“自由”地缔结“载明”特定的个人信息处理或者“隐含地要求”特定个人的信息处理的合同。不过旋即有参与方指出这将导致GDPR“沦为形式”。亦即,通过将本来只有基于信息主体同意才能施行的个人信息处理载明至合同当中,即可实现绕过同意的效果。草稿的相应表述最终没有出现在指南成稿当中。恰恰相反,成稿强调了作为基本权利的个人信息保护不能由个体通过合同形式处分。这也在很大程度上意味着相应的合规思路遭到了拒斥——被投诉者和其他处理者都应当避免通过取道为履行合同所必需的方式来绕过同意。
指南中特别性的内容与争点的相关性更加直接。如上,指南草案曾尝试增加与个性化广告明确相关的示例。按其所论,如果互联网平台在其用户协议中载明将以为履行合同所必需作为个性化广告相应处理的合法性基础,并且相应处理确与合同履行“合理地相关”,则相应平台可以将为履行合同所必需作为相应处理的合法性基础。倘若草稿举例得以延续,前述争点殆无争议。不过,这一举例当即招来了相当激烈的批评。比如有数据当局评论道:“这与我们所知的一切相左”。其他当局亦多持批评态度。指南定稿最终采取了大体相反的立场:虽然没有完全否定相应可能性,但一般而言,为履行合同所必需不能作为互联网平台个性化广告的相关处理的合法性基础。任何寻求例外的努力都需要阐明无个性化广告则平台服务客观上无法提供,并说明其如何与尊重用户反对权相调和、且充分尊重用户有关信息保护的基本权利,同时还要避免落入遭到明确否定的、出于特定目的的追踪和画像。[5]显然殊为困难。不仅如此,指南定稿还大体否定了为履行合同所必需作为服务改进相关处理的合法性基础的可能性。原因在于既然未作改进亦可提供服务,即足以说明改进并非客观上必需。
综上,由数据当局彼此“交锋”的第一处“战场”显然有利于投诉方,而不利于被投诉方。按定稿指南,意欲论证为履行合同所必需可以作为涉案处理的合法性基础相当艰难。不仅如此,比较草稿与定稿,可以发现若干或可作为被投诉方辩护的论证思路已经遭到截然否定,为各数据当局共同拒斥。结合具体案情以后,被投诉方面临的艰难将会更加“生动”。
从DPC到EDPB再到DPC
DPC在其决定草案中已经分析了两个争点、并相应得出了结论,但其结论遭到了来自其他数据当局的反对。特别是对于核心争点一的反对,语气严厉程度不亚于指南草稿页边的批注。对相应争点,DPC认为是个性化广告是被投诉者与其用户间合同的实质与根本目的,是其服务的核心组成部分。由此再加其他论据,即可论断为履行合同所必需得以作为合法性基础。就如此结论,挪威数据当局去信DPC称其将导致“有效的个人信息保护不复存在,合法性原则将切实地沦为一纸空文……隐私和个人信息保护的实质将自此消亡”。围绕草案决定的如此分歧显然只能由EDPB化解。由其陈述可知EDPB的结论清晰地不利于被投诉方。
对于EDPB的相应决定,以及DPC据此做出的最终决定的进一步分析只能是推测性的前瞻。虽然如此,根据各相关来源,可以尝试较有把握地推断EDPB适用法律的三个步骤以及对应适用尺度。第一步是判断处理是否在合同场景中发生。这一点上又需要进一步回答两个问题:一方面,确有合同;另一方面,相应合同在适用的成员国法下有效。接下来第二步是确定相应合同的确切准则,或曰其“实质与根本目的”,这也是接下来判断为何者所必需的前提——系为合同的实质与根本目的所必需。判断不仅依据处理者的视角,还要依据信息主体的合理期待[6]。最后第三步才是根据“严格必要”标准,按照限缩必需之范围的导向,考虑比例原则,同时基于具体的事实来判断其必要性。[7]特别是有两类情形不能满足必需的要求。一是并非确属必需、而是由处理者单方强加的情形;二是存在现实的、侵入性更弱的履行方式的情形。此外,根据指南等文件,出于投放定向广告目的,为识别具备相似特征个体而实施追踪和画像等更加具体的情形同样不属于为履行合同所必需。结合本案事实,即可尝试适用三个步骤,从而得到对EDPB决定具体内容的前瞻性推断。
第一步实际相当困难,也是投诉方、被投诉方和DPC在草案中争论的焦点[8]。不过由于奥地利法院已经在一定程度上回答了这个问题,故可简单地假设确实存在于奥地利法下有效的合同。[9]由此,与被投诉方个性化广告相关的处理确系在合同场景中发生。第二步是确定合同的实质与根本目的。DPC先前在草案中论断广告及其受益是实质与根本目的,但预期EDPB会从至少三个角度出发得出相反的结论。其一直接援引指南予以否定,认为个性化广告通常无法构成互联网平台服务的实质与根本目的——“毕竟,很难主张没有个性化广告,合同便没有得到履行”。其二是指出被投诉者未能举证。其用户协议列举了“提供个性化服务”、“协助[用户]发现可能感兴趣的内容、产品和服务”“改进产品和服务”等九项服务,个性化广告在其中并不凸显。最后是从决定草案已经定论的、被投诉者对透明性原则与具体规则的违反出发。由于包含个性化广告、相应处理以及相应信息类型的页面分散且隐蔽,用户很难在其体验流中充分知晓个性化广告、相应处理以及相同信息类型,循此可知客观而言,用户不太可能形成对被投诉者主张合同目的的合理期待。[10]虽然被投诉方关于合法性基础的主张大概率无法通过第二步,仍预期EDPB将给出类似“即使通过第二步,也无法通过第三步”的说理,从而进一步加强其论证力度。也就是第三步将明确论断个性化广告及相关处理并非为被投诉者履行合同提供服务所必需[11]。简言之,其首先将再次强调“为合同履行所必需”中的“必需”应当按照“严格必需”的标准判断。然后可能指出被投诉方同时落入三种相对明确的、不属于为履行合同所必需的情形。之一,此处服务符合“捆绑”强加、并非确实必需的情形。之二,特别是从指南草案中的争论看,社交媒体服务——也是此处大概率将会认定的合同准则——可以在没有个性化广告的前提下提供。通过进一步援引无个性化广告的竞品,即可论断存在现实可行的、侵入性更弱的其他履行合同的方式。之三,被投诉方的个性化广告很可能涉及“出于投放定向广告目的,为识别具备相似特征个体而实施追踪和画像”,其是否必需可以简单地通过援引指南予以否定。虽然被投诉方主张个性化广告对其商业模式以及相应支持提供服务的重要性,并且在DPC决定草案中得到了认可,然而,鉴于指南定稿已明确否定了“广告[收益]间接支持服务提供”这一情形,认为不应仅凭这一事实即认定必需,决定草案采纳的这一辨请预期将在最终决定中遭到驳斥。这就完成了个性化广告相关处理是否为履行合同所必需的说理。相应分析服务改进的相关处理更为简单,故不再赘述。
以上,已知EDPB的结论清晰地不利于被投诉方。借助陈述、报道、立法材料、执法材料、相关案例和其他来源资料,可以尝试推断EDPB更加具体的说理和结论。预期EDPB将分三个步骤得出结论。尽管大概率将认定相应处理系在合同场景中发生,无论是确定合同确切准则的第二步,还是判断是否必需的第三步,预期各自均可从至少三个角度得出对被投诉方不利的结论。对于被投诉方而言,这意味着其在核心争点上彻底地落败,也意味着其违反了合法性原则以及相应的具体规则。又因其违反了透明性原则以及相应的具体规则,结合EDPB和DPC在最近案件中的处罚裁量,特别是有关被投诉方商业模式的加重因素[12],或可预期被投诉方的三个实体每个都将因为对合法性原则和具体规则的违反被顶格罚款约4亿欧元,并且每个都将因为对透明性原则和具体规则的违反被罚款约2.5亿欧元,共计约20亿欧元。对于其他互联网平台而言,希望在相应说理和结论下继续借助为履行合同所必需而施行与个性化广告或改进服务有关的处理,也将日益接近于“不可能的任务”。
从奥地利法院到欧盟法院
虽然EDPB可以为GDPR提供公认的、有说服力的解释,但是解释GDPR的权力终究还是归于欧盟和各成员国法院。由此,前述OGH延请CJEU审理的相关问题,将会进一步统一欧盟范围内围绕本案核心争点的认识。具体而言,其延请裁定以下问题:根据GDPR第6条关于同意和为履行合同所必需的规定,平台服务协议中类似于“通过使用适用该服务协议的产品[……]您无需支付[……]我们将使用您的数据为您展示更相关的广告”,并且包括出于个性化广告的目的、为汇聚和分析数据施行的数据处理的相应合同性条款,是否只能适用第6条关于同意的规定和第7条关于同意有效性与合同履行间关系的规定判决,而不能以第6条关于为履行合同所必需的规定作为替代?后续如果CJEU颁下立场明确的判断——且其有相当概率持肯定立场,同意将明确成为个性化广告相关处理几乎唯一的合法性基础。
结语:“因为这是错的”
除开Schrems I/II以及或有的Schrems III,脸书将被罚款约20亿欧元、并且将被迫调整其商业模式一案无疑将会成为世界个人信息保护领域最为重要的案件之一。本案在梳理案件基本事实的基础上,尝试推演了尚未公布的EDPB决定和DPC相应决定的主要内容,并且在更宽广的视野下梳理了时间线大致平行的、指南制定和法院系统两个密切相关的“战场”。概而论之,从指南定稿最终包括的观点以及指南草稿遭到废弃的观点出发,为履行合同所必需这一合法性基础应当限缩适用,特别是难以对个性化广告和改进服务的相关处理适用。EDPB决定和DPC相应决定预期将分三个步骤体系化展开。预期脸书的辨请只会在第一步得到支持。同时还预期第二步和第三步不仅会拒斥脸书的辨请、大体支持某信息主体以及None of Your Business组织的观点,还会从多个角度基本否定为履行合同所必需用于支持个性化广告和服务改进相关处理的可能性。EDPB和DPC决定的相应解释很可能在由奥地利法院延请CJEU审理的密切相关案件中得到进一步巩固。于是,不仅是脸书受到巨额罚款、需要调整商业模式,也不仅仅是关于为履行合同所必需以及其他合法性基础的法律得到了进一步体系化,最重要的是愈发临近的清晰信号——“驱动内容消费、增加[用户]黏性、从而为销售定向广告创造有利的商业条件”这一商业模式应该受到拒斥,因为这是错的。未来,欧盟和其他法域在个人信息保护方面的最根本差异也不会再是其他学理性的、技术性的或者琐碎的差异,而是认为“这是错的”和不认为“这是错的”之间的差异。
[1] 出于读者便利,以下皆按中国法用法称为个人信息(而非个人数据)和个人信息处理者(而非个人信息控制者)。
[2] 合法利益一度也被认为可能作为个性化广告或服务改进的合法性基础。就个性化广告而言,虽然个别法院判决(如RvS 202100045/1/A3)为此保留了些许的可能性,但欧盟范围内一般性的趋势是拒斥合法利益作为个性化广告的合法性基础。就服务改进而言,合法利益作为合法性基础的空间更为宽广,但严格地适用合法利益分析的三阶段判断通常意味着其足以支持的改进范围有限,同时也需要非常审慎才能满足GDPR体系中紧密关联的其他要求。我们相信EDPB即将开始征求意见的关于合法利益的指南将会一般性地拒斥合法利益作为个性化广告的合法性基础,并且对于合法利益作为服务改进的合法性基础提出有关透明性、公平性、可问责性等方面的许多限制。因篇幅所限,后文不再展开讨论合法利益。
[3] 此处为聚焦起见略去了大量有趣的细节,包括基于用户操作流的细节。
[4] 本案还涉及被投诉方是否可以就特定个人信息处理援引不止一个合法性基础的问题。尽管本案决定草案未予明确否认,但目前这一做法已经遭到了相当明确的否定。
[5] 此处尚涉及GDPR与《电子隐私条例》的竞合适用问题。无论是理论还是实践的角度,相应问题对个性化广告合规而言都颇为重要,唯此处因聚焦之故而未充分展开。
[6] 尽管“合理期待”很大程度上是相当“美国”、而非“欧洲”的概念。先前GDPR也只在合法利益这一合法性基础的三阶段分析中涉及这一概念。不过,随着这一概念逐渐向为合同履行所必需与其他规定渗透,这一概率或许会在欧盟的个人信息保护法中发挥更大的作用。
[7] 参见CJEU C-13/16 (Rīgas satiksme)。
[8] 投诉方、被投诉方和DPC在草案就应当适用爱尔兰合同法还是应当适用奥地利合同法亦有争论。鉴于适用奥地利合同法确有一定依据,且其法院已有结论,适用奥地利合同法应当是更加务实的选择。
[9] 具体而言,奥地利初审和上诉法院认定此处存在有效的、通过容忍个人信息处理换取社交媒体服务的(无名)合同(Landesgericht für Zivilrechtssachen Wien, GZ 3 Cg 52/14k-91;Oberlandesgericht Wien 11 R 153/20f, 154/20b)。作为终审法院的OGH并未就此进一步说理,而是在延请CJEU的相应问题中称所涉条款为“合同性条款”。
[10] 本案投诉方还提交了样本量约1000的问卷调查,以求举证用户对合同根本目的系为个性化广告并无期待。相应调查或有可能在最终决定的脚注中得到援引。
[11] 此处结论是否会涵盖一般的在线服务提供者,并基本排除相应例外,有待后续观察。
[12] 在先前针对被投诉方实体之一Instagram的最终决定之中,DPC明确将Instagram与被投诉方“驱动内容消费、增加[用户]黏性、从而为销售定向广告创造有利的商业条件”作为罚款裁量时的加重因素之一(DPC IN-20-7-4)。
主要参考文献
CJEU C-13/16 (Rīgas satiksme)
EDPB Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects. Version 2.0
EDPB Guidelines on the application of the contractual necessity basis for processing under Article 6(1)(b) GDPR in the context of the provision of online services to data subject: Draft.
EDPS Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit.
Landesgericht für Zivilrechtssachen Wien GZ 3 Cg 52/14k-91
Oberlandesgericht Wien 11 R 153/20f, 154/20b.
OGH 6 Ob 56/21k.
RvS 202100045/1/A3.
DPC IN-18-12-2.
DPC IN-20-7-4.
DPC IN-21-4-2.
DPC IN-18-5-5: Draft Decision.
DPC IN-18-5-5: 其他相关资料。
Datatilsynet. Letter to DPC.