张杨立律师
张杨立律师
上海-浦东新区合伙人律师
查看服务地区

咨询我

以案释法:谷歌等相继被罚,《欧盟一般数据保护条例》GDPR展现域外执法力量(上)

作者:张杨立时间:2019年08月13日分类:律师随笔浏览:15次

转载者张杨立律师与执笔者曾共同在知名红圈律所中伦律师事务所工作,张杨立律师长期从事于公司法律顾问、合同审核、合同纠纷、公司设立与清算、股权投资、公司兼并与收购等业务,具有丰富的法律实务经验,能够针对客户的要求提供高质量的法律服务。如有任何法律问题,可随时联系。


以案释法:谷歌等相继被罚,《欧盟一般数据保护条例》GDPR展现域外执法力量

 

20189月英国信息专员办公室对加拿大一家政治咨询和技术公司AIQ公司开出执法通知,如果AIQ公司不按要求如期整改,罚金或将高达2000万欧元或公司全球年营业额的4 %。该执法措施与“Facebook所涉剑桥分析丑闻息息相关。这一风波尚未停息,2019121日,法国国家信息与通信委员会CNIL“未向Android用户正确披露其数据如何被收集,并向用户违法推送个性化广告对谷歌开出了一张GDPRGeneral Data Protection Regulation即《欧盟一般数据保护条例》)罚单,金额高达5000万欧元(约5700万美元)。GDPR2018525日正式生效,本以为此前两年的缓冲期已经备战充分的企业,却陆续登上了被处罚的榜单。欧盟成员国已悉数设立本国的“数据保护局”,开始展现GDPR的域外执法力量。


由于GDPR的长臂管辖效力,涉欧的中国企业当然也无法独善其身。那些掌握了海量欧洲消费者数据的跨境电商平台、电信运营商、互联网金融、物流等中国企业,不得不关注GDPR这一域外数据保护立法对自身的影响。


就执法过程中涉及的(1)长臂管辖原则即GDPR适用于哪些非欧洲企业、欧盟如何跨境执法,(2)数据控制者、数据处理者及联合控制者的认定,(3)明确同意、默示同意、强迫同意、隐藏同意的认定,(4)违规后的罚款数额是否会按最高罚款额度——2000万欧元或公司全球年营业额4 %计算,(5)违规后的刑事处罚风险等问题,本文选取了已有的几个GDPR执法案例进行整理、分析,尝试进行逐一回答,希望能够总结GDPR在实际执法过程中的具体适用方式和执法力度,为涉欧的中国企业提供一些数据合规的帮助。

 

  1. 一、         长臂管辖原则


根据GDPR3条关于地域范围的规定,GDPR不仅适用于设立在欧盟内的企业(不论其实际数据处理是否在欧盟内进行),为了保护欧盟公民个人数据,在以下三种情况下,也适用于设立在欧盟以外的企业:


(1)   向欧盟内的数据主体提供商品或服务的,无论此项商品或服务是否需要数据主体支付对价(GDPR的第3.2(a)条);

(2)   对数据主体发生在欧盟内的行为进行监控的(GDPR 3.2(b));

(3)   对个人数据的处理虽然是由设立在欧盟之外的控制者进行,但欧盟成员国法律通过国际公法适用于该控制者所在地的(GDPR3.3)。

 

案例120189月的AIQ公司案


20189月底,英国信息专员办公室对加拿大AggregateIQ公司(“AIQ公司)开出的执法通知。AIQ公司是一家加拿大政治咨询和技术公司,该执法措施与“Facebook所涉剑桥分析丑闻息息相关。


剑桥分析公司(Cambridge Analytica),是一家进行资料探勘及数据分析的私人控股公司。20183月以不当取得5000Facebook用户数据而闻名。丑闻曝光后客户和供应商大量流失、内外部调查和诉讼费用不断上涨。201852日,剑桥分析公司宣布立即停止所有营运,并在英国和美国申请破产。


举报者称,AIQ公司与剑桥分析公司的母公司存在多年的合作关系,两者共同开发了一款名为名为Ripon的软件,利用Facebook数据来确定选民特征。在本案中,证据显示,大量数据从剑桥分析公司流向AIQ公司,AIQ公司再使用这些数据帮助政治竞选团队定向投送政治类广告。例如,在2016623日的英国脱欧公投投票前,AIQ公司代表脱欧游说组织Vote LeaveFacebook上的电子邮件地址投放广告,以影响其在脱欧公投上的态度和投票决定。


尽管AIQ公司是一家加拿大公司,但其向欧盟内的数据主体提供服务GDPR的第3.2(a)条)、收集并分析数据主体发生在欧盟内的行为”(GDPR 3.2(b)),英国信息专员办公室认为,GDPR适用于AIQ公司,该公司违法获取并处理了英国公民的个人数据,代表脱欧游说组织Vote LeaveFacebook上的电子邮件地址投放了218个广告,这些政治宣传广告的数据处理行为未能取得数据主体的同意,违反了GDPR6条关于数据处理合法性的规定。英国信息专员办公室于20189月底发出执法通知,要求AIQ公司停止使用相关数据,1024日发出更新的执法通知,要求AIQ公司配合调查、并在30天内删除其所持有的英国公民个人信息。该案目前还处于审理阶段,AIQ公司或将面临2000万欧元或全球年营业额4 %的罚款。AIQ正在就该执法通知提出上诉。


案件评析


从该案的处理中,我们看到:


(1)      欧洲数据保护执法机构的域外执法已经实际展开,表现出较强的执法决心。据报道,本案中,英国信息专员办公室动用了超过40名全职调查人员,共认定了172个利益相关组织和285个相关自然人,并针对其中30个组织展开了正式调查,对约100名自然人进行了访谈、问询等正式会面。


(2)      本案中,英国信息专员办公室积极与AIQ公司所在国加拿大各大数据监督执法机构展开配合,彼此共享信息,甚至通过加拿大各大数据监督执法机构对AIQ公司施压,迫使AIQ公司配合调查。可见,GDPR的域外执法已经在实际探索多国间的跨境执法合作,长臂管辖已无实操障碍。


(3)      实际上,GDPR50条已经为欧盟执法机构进行国际执法合作提供了明确的法律依据。该条文规定在涉及到第三国或国际组织的情形中,欧洲委员会和监管机构应当采取合适的措施以:(a) 发展国际合作机制,促进对个人数据保护立法的有效实施;(b)通过告知、申诉转介、调查帮助和信息互,换为个人数据保护立法的实施提供国际性互助;(c) 在实施个人数据保护立法中,使相关利益方密切参与为了进一步国际合作而进行的讨论和活动;(d) 促进个人数据立法与实践——包括与第三国管辖权冲突——的交换与记录。

 

  1. 二、         数据控制者、数据处理者及联合控制者的认定

 

虽然1995年出台的《欧盟数据保护指令》(Directive 95/46/EC)只适用于数据控制者,但新发布实施的GDPR将适用主体扩大到数据控制者和数据处理者,并分别规定不同的数据合规义务。


其中,根据GDPR4.7条和第4.8条的规定,数据控制者是指能单独或联合决定个人数据处理目的或方式的自然人或法人、公共机构、机关或者其他主体。数据处理者是指代表数据控制者处理个人数据的自然人或法人、公共机构、机关或者其他主体,一般是数据控制者内部部门或其员工之外的主体。数据控制者可以指示数据处理者如何处理数据,包括保留数据的时间、用户访问数据的权限等,或者授权数据处理者依照其最佳判断和行业标准做法处理数据。数据处理者可能是一家外包公司或第三方,通常是专门从事数据处理、存储和安全的公司,比如,IT服务提供商、支付处理者(如线上支付平台)、薪资公司、会计服务提供者、云服务提供商。


另外,如果两个或更多的控制者联合确定处理数据的目的与方法,那么他们将共同被认定为联合控制者GDPR26.1)。联合控制者之间协议安排应当恰当地反映各自的角色及相互关系,并让数据主体知晓该种安排(GDPR26.2)


案例2201865日,德国Schleswig-Holstein数据保护局vs德国学术机构WirtschaftsakademieSchleswig-Holstein GmbH(系某Facebook页面运营方)(Case C-210/16

 

德国一家名为Wirtschaftsakademie Schleswig-Holstein GmbH的学术机构在Facebook上运营一个粉丝页面,并通过一个名为“Facebook见解仪Facebook Insights)的功能利用浏览器缓存(cookies)收集用户数据。数据收集的目的是向粉丝页面的管理员提供统计信息,并发布目标广告。德国数据保护局在发现该机构数据收集存在缺陷后,命令该机构停止收集数据,并停用该粉丝页面。该机构否认了其在Facebook上处理个人数据的法律责任,从而对该命令提出了抗议。它还否认向Facebook提供了有关数据处理的指示,并声称德国数据保护局应该直接对数据控制者Facebook采取行动,学术机构仅是Facebook的用户。


抗议由欧洲法院(European Court ofJustice)进行审理,案件争议点在于判断该学术机构是否具有数据控制者的角色,亦或该角色是否仅属于Facebook201865日,欧洲法院作出判决,认为仅仅使用Facebook并不能使该学术机构对处理Facebook上的个人数据负责。但是,Facebook Insights允许粉丝页面的管理员即该学术机构抽取访问该页面的用户cookies数据。Facebook根据收集到的这些cookies信息提供给管理员有关用户行为的统计数据,包括年龄、性别、关系网、职业、生活方式及地理位置等信息。根据这些数据,管理员可以针对合适的受众提供特别优惠或组织活动。因此,在欧洲法院看来,粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。然而,法院并不必然地认为两者在所有情况下的责任都是平等的,因此必须根据案件的具体相关情况评估Facebook和粉丝页面管理员的各自责任程度。


值得注意的是,欧洲法院还进一步追究调查Facebook爱尔兰总部即Facebook在欧盟的总部的数据处理情况,尽管它没有直接参与该案所述的数据处理流程。欧洲法院认为,监督机构有权独立于其他成员国(爱尔兰)的监督机构评估此类数据处理的合法性,并可不必首先请示其他成员国的监督机构而对在其领土内设立的主体行使干预权。因此,欧洲法院额外授权该德国数据保护局对Facebook爱尔兰总部的数据运营进行审查。


案例评析


(1)      无论是行政执法机关还是欧盟最高司法机构,针对GDPR的适用,比如适用主体的划分,均会查明各主体在数据处理中担任的角色、使用数据的具体方式。网页页面的管理员不能以网络平台公司完全控制其平台为借口来再逃避数据使用的责任。这些网络页面的管理者或将被认定为GDPR26条的联合控制者,与网络平台一同被予以处罚。


(2)      许多公司在跨境业务往来中利用第三方数据处理工具,例如TableauQlikGoogle Analytics或上文提到的Facebook Insights等进行数据储存、处理、分析等行为。从该案可以看出,仅仅依靠第三方数据处理公司进行数据合规是远远不够的。企业是否与该第三方数据处理公司“联合确定处理数据的目的与方法”将成为是否会被认定为“联合控制者”的关键。


Facebook对这一判决结果将如何反应还有待观察。Facebook现存的在线运营商应当及时反馈其对在Facebook上使用的服务所进行的数据合规调整,特别是他们的cookies设置,以验证他们目前对Facebook的使用是否以及在多大程度上与欧洲法院的这一判决相符。


(来源:中伦视界)


张杨立律师毕业于日本著名学府庆应义塾大学,回国后先后就职于中伦律师事务所及金诚同达律师事务所。业务领域涵盖外商投资、海外... 查看详细 >>
  • 执业地区:上海-浦东新区
  • 执业单位:万商天勤(上海)律师事务所
  • 律师职务:合伙人律师
  • 执业证号:13101201610568249
  • 擅长领域:公司法、股权纠纷、法律顾问、融资借款、新三板