GDPR视域下定向广告的隐私合规
——以亚马逊受罚案为例
2021-12-02刘雨佳
刘雨佳
(武汉大学,湖北武汉430000)
一、亚马逊受罚案件背景
根据亚马逊7 月30 日向美国证券交易委员会(SEC)提交的文件,卢森堡国家数据保护委员会(CNPD)于2021 年7 月16 日对亚马逊作出处罚决定,据媒体证实,CNPD针对亚马逊的调查始于2018年,此时法国非政府组织La Quadrature du Net(以下简称“该组织”)经10065人授权,针对亚马逊的个人数据处理行为向法国国家信息与自由委员会(CNIL)提起集体投诉。
该组织认为,亚马逊处理用户数据,进行行为分析和定向广告缺乏法律依据,违反GDPR关于“处理数据的合法性”的规定,故请求对亚马逊采取以下措施:(1)根据GDPR 第58.2.f 条禁止投诉中所述的行为分析和定向广告;(2)根据GDPR 第83.2 和83.5条的规定,由于所发现违规行为的大规模、持久性和明显蓄意性质,实施尽可能高额的行政罚款。亚马逊当时的辩护为“没有数据泄露、没有客户的数据被暴露给第三方”。
此外,去年11月,经欧盟专员调查,亚马逊利用市场上的第三方卖家数据为其自营业务牟利,具体而言,亚马逊数据处理系统通过分析海量卖家数据,帮助亚马逊自营业务“跟卖”平台畅销商品,或比照卖家数据优化商品定价。当时欧盟表示,亚马逊此举规避正常市场竞争风险,可能因违反欧盟反垄断法被罚款280亿美元。
本次CNPD的决定内容包括:(1)亚马逊的行为分析和定向广告缺乏法律依据,违反GDPR;(2)给予亚马逊6 个月的期限纠正此缺陷,即结束定向广告或获得用户的自由同意;(3)如未能罚款;(4)其他欧洲国家数据保护当局已同意卢森堡当局作出的决定。
二、亚马逊的数据处理行为与法国非政府组织的主张
(一)亚马逊的行为分析与定向广告行为
亚马逊在其隐私声明中描述了它在提供服务时处理的数据,并声明:“我们使用您的个人信息来显示您可能感兴趣的功能、产品和服务的广告”。在“兴趣导向的广告”一节中,亚马逊说明:“为了向您提供兴趣导向的广告,我们使用诸如您与亚马逊网站、内容或服务的互动等信息”。用户有权利选择不接收来自亚马逊的兴趣导向广告,在这种情况下,用户仍会看到广告,但这些广告不会基于该用户的兴趣。
亚马逊在“关于广告”声明中,将此种兴趣导向的广告归类于“第三方广告商和其他网站或应用程序的链接”,并明确区分了此种广告和个性化产品推荐的区别。法国该组织将亚马逊的此种行为总结为“行为分析与定向广告”,其目的是“分析用户行为并建立档案,以进行广告定位,而不仅仅是通过cookies 进行定位”。依据此种信息推断,“行为分析与定向广告”与产品的个性化推荐、优先推荐不同,更倾向于指代第三方广告的链接和弹窗。
(二)法国非政府组织对该行为违法的主张
法国非政府组织认为亚马逊的这种数据处理没有法律依据,因此违反GDPR。该组织在其集体投诉申请中对亚马逊行为具体分析如下:
1.处理数据的法律基础
亚马逊发布的任何文件都没有表明它将行为分析和广告定向的数据处理建立在用户同意的基础上,但用户可以选择不接收兴趣导向广告。
此外,亚马逊没有明确援引其合法利益作为其行为分析和定向广告处理的基础。该组织指出,鉴于欧盟关于新技术下出于直接营销目的处理信息的法律规定的发展,对用户终端上信息的访问和存储的法律基础不再是合法利益,而仅限于同意。
2.亚马逊的《使用条款》
《使用条款》写明:“在使用亚马逊服务前,请仔细阅读这些条款。使用亚马逊服务,即表示您同意受这些条款的约束”;针对定制内容,其说明:“作为亚马逊服务的一部分,我们将推荐您可能感兴趣的功能、产品和服务,包括第三方广告,确定您的偏好,并个性化您的体验。”
通过这种方式,亚马逊表明,其行为分析和定向广告处理包含在与用户签订的合同中,履行合同的目的使该处理行为合法。然而,该组织认为,进行这种行为分析与定向广告并非亚马逊在用户使用其服务时追求的主要目标,不能以履行合同目的作为该数据处理行为的法律依据。
该组织总结:亚马逊为了直接营销进行的行为分析与广告定向行为未经当事人事先同意,也不能基于与用户签订合同的需要,缺少法律依据,违反GDPR。
三、法律解读和相关案例
(一)GDPR适用范围:亚马逊受罚的前提
1.GDPR项下的数据处理与定向广告
在适用对象上,GDPR 第2 条规定,其适用于全自动或半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。而“个人数据”是指任何已识别或可识别的自然人(数据主体)的相关信息。学者认为,定向广告是一种形式的精准营销,而精准营销是指:“通过收集一段时间内特定计算机或移动设备在互联网上的相关行为信息,例如浏览网页、适用在线服务或应用等,预测用户的偏好或兴趣,再基于此种预测,通过互联网对特定计算机或移动设备投放广告的行为。”而这种行为往往引发广告交易平台等数据控制者或处理者以外的第三方介入。亚马逊的涉案行为则与此相同,是通过分析数据主体的行为并建立档案,且将分析结果暴露给第三方,使第三方的广告和弹窗能够更为精准地出现在被分析主体的设备界面上。
2.GDPR的地域适用范围
在地域适用范围上,GDPR 采用属地兼属人原则。根据GDPR 第3 条,它不仅适用于所有在欧盟内部设立的数据控制者或处理者对个人数据的处理,同样适用于境外主体所有对欧盟公民个人数据的处理,无论数据控制或处理行为是否在欧盟境内。即使没有上述情形,基于国际公法,该数据控制者在其所在地区适用了欧盟成员国法律的,同样受到GDPR的管辖。
(二)数据处理的法律基础:亚马逊受罚的依据
此次亚马逊受罚的主要原因是其行为分析和定向广告的数据处理缺乏法律基础。GDPR 第5 条第1 款a 项规定,个人数据应以对数据主体合法、公平和透明的方式被处理,第6 条列明了可以合法处理数据的六种情况,其中与本案相关的主要是数据主体的同意、履行合同所必需和实现控制者或第三方合法利益所必需,如上所述,也正是该组织投诉中主张的三项。欧盟对这几项法律基础进行了多次解读:
1.数据主体的同意
GDPR 第6.1.a 条规定,如果数据主体已同意出于一个或多个特定目的处理个人数据,则处理是合法的。此条中的“同意”要求数据控制者以公平的方式请求,而数据主体必须以明确和自由的方式给予。
(1)明确同意
GDPR 规定,“同意”必须通过声明或明确的积极行为表达,沉默、默认选中的复选框不能表示同意。GDPR 不允许控制者提供需要数据主体干预以阻止的勾选框或退出机制,且仅仅继续正常使用网站的事实并不能推断出数据主体对拟议处理表示同意。
(2)自由同意
“同意”必须是数据主体依照其意愿自愿作出的、具体的、知情的、明确的确认意思表示。在确定是否自由给予时,应考虑:第一,合同的执行,包括提供服务,是否前提是同意处理对履行合同没有必要的个人数据;第二,如果无法拒绝或撤回其同意,则不认为该同意为自由给予;第三,如果不能对不同的个人数据处理操作给予单独同意,则推定该同意不是自由给予的;第四,如果数据主体没有真正的选择,感到被迫同意,或者如果不同意就将遭受负面效果,则同意无效;如果同意被捆绑为条款不可协商部分,则推定它不是自动给予的。
(3)同意请求的公平性
所有与处理此类个人数据有关的信息和通信都易于访问、易于理解并以清晰简单的术语表述;应当告知数据主体相关的处理规则、保证、风险和权利,以及行使相关权利的程序;数据主体有权随时撤回其同意,且这种权利应在数据主体同意前就告知。
需要注意的是,如果数据控制者对个人数据的处理既基于数据主体同意又基于其他法律依据,则不可能合法,因为这必将导致数据主体受到误导。例如,数据主体撤回同意,但控制者将可能根据其他法律基础对数据进行处理。
2.履行合同所必需
GDPR 第6.1.b 条规定,如果“是为履行数据主体作为一方的合同所必需”,则处理可能是合法的。
欧盟第06/2014 号意见对此条进行严格解释,“不包括处理对于履行合同并非真正必要,而是控制者单方面强加给数据主体的情况”。此外,“合同涵盖某些数据处理操作的事实并不自动意味着这些处理操作是执行所必需的”。这意味着,数据处理必须和合同执行目的之间有直接和客观的联系。
3.实现合法利益
GDPR第6.1.f条规定,如果“为实现控制者或第三方所追求的合法利益所必需”,处理可能是合法的,但数据主体个人数据的利益、基本权利和自由优先于上述利益的除外。针对这一法律基础,欧盟进行了多次解读与修订,2009/136/CE 要求用户终端上的信息访问和存储不再依赖于合法利益,仅限于同意;而(EU)2016/679号决议规定:“出于直接营销目的处理个人数据可能被视为合法利益。”欧盟认为,在实践中,需要判断当事人的利益或基本权利和自由是否得到充分保护,以实现两类利益之间的平衡。
法 国CNIL 2017 年4 月27 日SAN-2017-006 号审议对于以上三项法律基础均进行了较为细致的分析,该审议是对X、Y 公司作出处罚决定。X、Y 公司出于广告定向目的,对注册人在网站上创建账户时提供的数据、注册人在网站上活动相关的数据进行合并处理。CNIL 认为,首先,从“同意”角度而言,Y 公司仅说明数据使用是为了改进其广告系统,没有明确提到数据的大量交叉合并;此外,定向广告相关说明被分散在“数据使用政策”、“cookies 使用政策”和“关于页面的广告”三个文件中,用户难以了解整体过程,因此,用户的同意是不知情、不具体、不自由的;其次,从“实现合法利益”而言,Y公司辩称,公司的数据合并有助于用户个性化,对用户没有负面影响,是合法追求经济和商业利益。但就数据收集规模而言,这些数据不仅在本网站收集,也在第三方网站或应用程序收集,可能无视用户的利益并侵犯他们尊重私人生活的权利;第三,从“履行合同必需”而言,该服务的主要目的是提供网络社交,用于定向广告目的的用户数据处理不符合合同主要目的,也不符合用户合理期望,因此,公司不能将“履行合同所必需”作为处理用户数据进行定向广告的法律基础。
四、与《个人信息保护法》的比较
2021 年8 月20 日,《个人信息保护法》通过,并已于同年11 月1 日正式施行。根据《个人信息保护法》:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息”;同时,规定处理个人信息应限于最小影响、最小范围收集、公开透明、保证质量。相较于前文提到的GDPR 第5 条,《个人信息保护法》特别提出了必要与诚信。其一方面是对《民法典》第1035 条第1款规定的承接,另一方面,在《民法典》规定的处理个人信息原则的基础上补充了诚信原则,并对通过误导、欺诈、胁迫等方式处理个人信息的行为作出了针对性的规定。
根据第13条,个人信息处理者应当满足下列情形之一:取得个人同意;为订立、履行合同必需,或按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。相较于GDPR 第6 条,《个人信息保护法》减少了以数据控制者或第三方所追求的合法利益作为处理信息的合法性基础一项;同时,依据《个人信息保护法》基于个人同意处理信息,对不同的数据处理行为应当单独选择是否同意,在特殊情形下还应当取得单独同意或书面同意,因此,在进行涉及第三方的用户行为分析与定向广告行为时就应当获得数据主体对该事项的单独同意。例如,如果国内企业发生奥地利处罚案中受罚企业相似的情况,将其处理的个人信息提供给其他个人信息处理者前,即使个人信息处理者将相关内容置于隐私政策中合理且显眼的位置,与其他隐私内容混在一起“一揽子同意”,也是违反《个人信息保护法》的。可以说,《个人信息保护法》的规定相较于GDPR更为严格。
五、结论
本次亚马逊被行政处罚7.64 亿欧元,系迄今对违反GDPR 的企业开出的最高罚单,结合当前已有的相关案例,可见欧洲监管对行为分析、个性化服务的严格执法态度,因此,对于国内涉欧美业务的个人信息处理者而言,在严格遵循《个人信息保护法》相关规定的基础上,面对欧盟对相关数据处理行为的合法性判定时的极高标准,个人信息处理者对涉及定向广告的业务应当进行严格的风险评估,并谨慎选择合法性基础。
以同意作为合法性基础时应满足:(1)针对不同的个人数据处理操作提供单独的同意请求,并避免默认开启;提供拒绝或撤回同意的路径,且选择该选项的路径应和选择同意一样简单、方便;(2)确保数据处理的透明度和公正性。提供清晰、便于理解并易于访问的隐私说明,告知数据主体所有相关的处理规则、保证、风险和权利,以及行使相关权利的程序。针对广告定向等涉及多方面用户政策的内容,也应在隐私政策中进行全面说明,避免用户对此种数据处理行为不知情。切勿设置具有诱导性的内容与格式;(3)切勿混用“数据主体同意”和其他合法处理的理由作为处理数据的法律基础。
如果将“履行合同所必需”作为处理数据的法律基础,应确保该数据处理与合同的主要目的有直接、客观的联系,确保这种数据处理能够符合用户的合理期待。同时,在进行数据处理时,应考虑相关数据处理是否采取对数据主体权益影响最小的方式,数据收集是否限于实现处理目的的最小范围。
需要注意的是,数据控制者或处理者的行为分析与定向广告行为往往涉及第三方,除了应将该第三方的相关信息与相关合作内容告知数据主体并获取同意外,数据控制者或处理者在进行隐私合规分析时,还应主动注意第三方的资质、合规情况和相应的数据保护能力,以降低第三方带来的法律风险。