本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:张颖 《互联网法律评论》主编,原文标题:《Meta广告模式遭欧盟处罚近4亿欧元  平台核心商业模式被判违法》,头图来自:视觉中国


2023年1月,欧盟隐私监管机构连续发布对Meta旗下的Facebook、Instagram以及WhatsApp做出的3项处罚,罚金分别是2.1 亿欧元、1.8 亿欧元以及550万欧元。此次处罚可能危及Meta旗下公司商业模式的核心,即通过处理个人数据而向用户提供个性化广告,并从中获利。


欧洲数据保护委员会(EPBD)要求Meta在三个月内纠正其非法数据处理,并同时向其他广告资助平台企业发出明确警告:如果企业无视欧盟的《通用数据保护条例》(GDPR),没有为用户提供不受行为广告跟踪的选择,他们也可能在未来遭受欧盟隐私保护机构的调查和处罚。


仅分析本次Meta遭处罚事件本身,可能会令公众忽视此事件背后的欧美政治角力、地缘政治的因素。我们必须看到,欧盟出台一系列的数字相关法律及严格的执法,是为了遏制美国数字巨头,以抵御美国在各领域的长臂管辖,进一步实现欧盟的数字战略。


在中国数字企业全球化发展的大方向下,中国企业也应密切关注潜伏在各法域的数字规制要求,确保经营安全。


一、个性化广告是否违反GDPR?


Meta“合约模型”是与监管机构沟通的结果


行为广告,是指一种有针对性的广告形式,其中广告的选择是通过跟踪和分析个人用户的在线活动来确定,有时还通过结合离线数据集以进一步丰富这些用户的个人资料。


在GDPR中,处理个人数据是一种需要有效法律依据的活动。“用户同意”以及“合同必要性”是根据GDPR处理个人数据最常用的法律依据。


Meta当前的法律基础主要是“合约模型”,即用户通过接受服务条款与平台签订合同。Meta认为处理个人数据是执行此类协议所必需的,包括向其提供个性化服务和行为广告,这应当符合GDPR。


然而,这种方法受到了NOYB的抨击。NOYB是奥地利活动家Max Schrems领导的非政府组织,也是此次向欧盟当局投诉Meta的机构。根据NOYB在2021年发布的内部文件,Facebook和爱尔兰DPC之间曾经举行过十次会议,就“绕过GDPR”(GDPR bypass)达成了一致,即将用户的“同意条款”转移到Facebook的条款和条件中,并声称这将绕过GDPR第6(1)(a)条下的同意规则,但使第6(1)(b)条适用。


也就是说,NOYB认为,“合约模型”是DPC和Meta之间沟通的结果。监管机构与公司讨论如何适用法律英美法体系中相对普遍,但在欧洲的大陆法系则要少得多。


欧盟监管机构内部的分歧:仅爱尔兰站Meta,其他10个反对


爱尔兰的DPC在其最初决定中认为,Meta未能遵守GDPR的透明度义务,因为提供给用户的信息不足以明确说明他们的个人数据是如何被处理的、出于什么目的以及在什么法律基础上;但是在处理数据的法律基础方面,爱尔兰DPC站在了Meta的立场,认为“合同”法律依据是用户同意的可行替代方案,并非投诉所声称的“强制同意”。


然而,爱尔兰DPC的决定草案遭到其他10个欧洲数据保护机构的质疑,他们认为,个性化广告不应被视为提供平台个性化服务的核心要素。


由于未能达成共识,此案被提交至欧洲数据保护委员会的争议解决机制。委员会于2022年12月5日达成了具有约束力的最终决定,推翻了其在法律基础问题上的观点,认为“合同”法律基础对于以行为广告为目的处理个人数据来说并不是必需,所以不合法。


此外,EDPB认为,Meta与其用户之间的关系“不平衡”,称其“严重违反”透明度义务“影响了用户的合理期望”,并批评这家科技巨头“以误导的方式”向用户展示其服务,即违反了GDPR的公平原则以及透明度原则。


EDPB与DPC的合作与独立性问题


EDPB认为,爱尔兰DPC提供的资料中,没有评估Meta敏感数据的处理,因此,EDPB没有掌握足够的事实证据,使其能够对任何可能违反GDPR第9条(涉及特殊类别数据的处理)规定的控制者义务的行为做出判断。因此,EDPB要求爱尔兰当局对此事进行新的调查,并确定WhatsApp是否出于行为广告和其他目的处理数据,特别是敏感数据。


但是,欧盟法律规定成员国的数据保护机构具有其独立性,爱尔兰DPC认为EDPB无权向独立机构授权进行新的调查。因此,爱尔兰监管机构宣布,将向欧盟法院(CJEU)寻求撤销EDPB决定。


这一处理方式,表明这个案件当中存在着某种紧张关系或政治角力。在独立的机构之间寻求合作,是很难平衡的。


二、欧盟对Meta广告执法问题的影响


对Meta的影响


Meta表示将对上述关于违反GDPR的决定提出上诉。Meta声称,GDPR规定了处理个人数据的“一系列”法律基础,它并非仅能通过征求欧洲用户同意进行广告追踪这唯一一种选择。


然而,几乎就在同时,Meta也对旗下产品的广告政策进行了调整。从2023年2月开始,Facebook和Instagram取消了根据青少年的性别定位广告的能力,青少年用户将只能收到基于他们的年龄和位置的广告。另一个打破惯例的做法是,青少年之前在Meta拥有的应用程序上的活动将不再影响他们看到的广告。


Meta表示,这些变化反映了家长和专家的反馈,并将符合几个国家针对年轻人的内容的新规定。然而事实上,爱尔兰DPC曾对Instagram如何处理13至17岁儿童的用户帐户进行了为期两年的调查;Meta在2022年秋天因这些违规行为被罚款约4亿美元。


Meta的渐进式变化显然没有完全关闭针对青少年的广告,从广告的角度来看,其最年轻的用户具有足够的价值。这种程度的“变动”也是Meta在面临越来越大的执法压力与盈利压力之间所做的一种平衡之举。


Meta如何在合法秩序下开展其广告定位业务还有待观察。


对其他平台产生的影响:其他定向广告的尝试


这种新的GDPR执法动态为合法定向广告领域的其他方法和创新提供了区域机会——在有效用户同意的情况下跟踪广告,或者不涉及任何个人数据处理的广告定位形式。


目前我们已经观察到,在更高层面上的创新举动以及非法的行为广告的缓慢衰退。


谷歌正计划从个体层面的定向广告转向可选的“隐私沙盒”(privacy-sandboxing)兴趣定位广告。欧洲电信公司提出的一项新提议,即联合成立一家合资企业,为移动用户提供一种可以选择性加入的定向广告,运营商将把定位限制在第一方数据上,并收集用户对每个广告商/品牌广告的明确同意。


另外,埃隆·马斯克 (Elon Musk) 正在酝酿一个拯救广告业务的冒险计划——强迫Twitter用户接受个性化广告,除非他们支付订阅服务费用。而且爱尔兰数据保护委员会(DPC)正在审查此事。


欧盟层面的集中执法增多


GDPR是由成员国各国的数据监管机构独立执法,但2023年对欧盟监管工作的关注将必然转向欧盟委员会的层面。


一方面,DPC经常被指责在GDPR投诉中“玩忽职守”,例如展开比投诉人要求的范围更窄的调查,甚至根本不展开调查。在几起案件中,它还因不作为而被起诉,甚至面临刑事腐败指控。EDPB指示DPC展开补充调查的现象,在将来或许会增多。


另一方面,欧盟委员会开始根据《数字服务法》(DSA) 和《数字市场法》(DMA)对数字平台行使新的监督权,特别是《数字服务法》,聚焦于平台对内容的监管责任和定向广告。这无疑是从多年来对GDPR执行缓慢和薄弱的批评中得到启发的。各大平台也正忙于提升其在欧盟监管者面前的形象。


三、美欧数字博弈带来法律不确定性


在更大层面上,欧盟出台一系列的数字相关法律及严格的执法,是为了遏制美国数字巨头,以抵御美国在各领域的长臂管辖,进一步实现欧盟的数字战略。


Meta作为其中的参与者,2023年在欧盟的运营将面临一些不确定性。


爱尔兰DPC最初于2022年7月向其欧盟同行发送了决定草案,该决定草案将阻止Meta通过使用标准合同条款将个人数据从欧盟传输到美国。2023年1月26日,爱尔兰DPC由于无法解决其他欧盟数据保护机构对其执法决定草案的异议,不得不启动欧盟第65条争端解决机制。


争议解决程序出台之际,欧盟也正在考虑欧盟-美国数据隐私框架的充分性决定,大概会在2023年上半年做出最终的决定。


如果欧盟最终未通过欧美数据隐私框架的充分性决定,同时Meta采用的标准合同传输数据的方式也被否决,那么根据Meta此前的声明,其拥有的Facebook和Instagram服务可能会在欧盟关闭。


参考资料:

https://iapp.org/news/a/metas-eu-data-transfer-case-faces-article-65-dispute-resolution-mechanism/

https://cybernews.com/tech/meta-ads-will-no-longer-target-teens-based-on-gender/

https://techcrunch.com/2023/01/10/instagram-and-facebook-introduce-more-limits-on-targeting-teens-with-ads/

https://techcrunch.com/2023/01/12/meta-ads-gdpr-decisions-edpb/

https://www.euractiv.com/section/data-privacy/news/whatsapp-latest-meta-platform-sanctioned-in-eu-data-protection-row/

https://www.euractiv.com/section/data-privacy/news/facebook-instagrams-legal-basis-for-personalised-ads-found-in-breach-of-eu-law/

https://www.foxbusiness.com/technology/meta-fined-privacy-violations-eu-regulators

https://www.theverge.com/2023/1/10/23548202/facebook-ads-instagram-meta-targeting-teens-gender-age-location


本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:张颖 《互联网法律评论》主编