关于Facebook[GDPR]案件中“保密”交易的公开信

2020-05-25 16:46:45

在新的GDPR于2018年5月25日适用后的几个小时内,欧洲非营利组织nobi.eu对Facebook集团(包括WhatsApp和Instagram)提出了三起投诉。自那以后,爱尔兰数据保护委员会(DPC)宣布这一极其缓慢的程序的内容是“机密的”,并要求nobi.eu不要公开讨论这些内容。

尽管有这种所谓的(且不具法律约束力的)机密性,nobi.eu今天还是发表了一封公开信(PDF),揭露了GDPR在适用两年后是如何(没有)得到执行的。即使在信中和下面描述的卡夫卡式程序下,如果DPC遵循其内部调查报告,Facebook集团未来可能仍将面临高达25亿欧元的罚款。

DPC和Facebook之间关于“绕过同意”的秘密会议。这封公开信首次曝光了爱尔兰DPC和Facebook集团(包括WhatsApp和Instagram)在2018年GDPR适用之前举行了10次秘密会议。在这些会议上,Facebook声称“在实施明显的”同意绕过“(细节如下)”以规避GDPR的严格同意规则之前,已经“与欧盟委员会进行了详细的直接接触”。尽管Facebook在其提交的文件中依赖于这些会议,并强调这些文件“有待DPC审议”,但当局拒绝访问这些秘密会议的任何记录,包括Facebook提交的一份白皮书。

nobi.eu董事长马克斯·施雷姆斯(Max Schrems):“这听起来很像那些秘密的‘税收裁决’,即税务部门秘密与大型科技公司就如何绕过税法达成一致--只是他们现在对GDPR也这么做了。”

Facebook的非法“绕过同意”。在两年前(在GDPR开始适用的最初几个小时内)由nobi.eu提出的三项投诉引发的程序中,Facebook集团公开承认,它只是从受到严格监管的“同意”转变为所谓的“数据使用合同”。据称,这份合同要求Facebook对其用户进行跟踪、定位和研究。根据Facebook的说法,这种转变发生在午夜钟声敲响的时候,当时GDPR开始适用。这种(相互)重新制定协议(在这种情况下是从同意合同)绕过法律的做法被称为模拟,是无效的。

马克斯·施雷姆斯:“这不过是猪身上的口红。从罗马时代开始,法律就禁止仅仅为了绕过法律而“重命名”某些东西。Facebook试图做的事情不是聪明的,而是可笑的。唯一真正令人担忧的是,爱尔兰DPC在设计这一骗局时显然与Facebook有过接触,现在应该对其进行独立审查。“。

在盖洛普研究所进行的一项关于“绕过同意”的研究中,1.000名用户中有64%的人认为他们同意了,尽管脸书声称他们同意了。根据问题的不同,只有1.6%-2.5%的人认为他们实际上签订了“数据使用合同”,其中包括Facebook有义务将他们的数据用于广告或研究。其余的人认为这只是一份信息,一份没有这样的责任的合同,或者看不到页面上的任何意义。

施雷姆斯:“在我们询问的1000名用户中,基本上没有人认为他们与Facebook签署了这样一份所谓的‘数据使用合同’。”

DPC将对“数据使用合同”的法律分析限制在“牛津英语词典”。DPC找不到Facebook所依赖的所谓“数据处理合同”有任何问题的一个原因是,DPC只是认定对这样的合同的分析超出了它的权力范围(“越权”)。DPC没有根据适用的法律分析合同,而是在其报告中直接引用了“牛津英语词典”中“合同”的定义。

Schrems:“在法学院,你学习阅读法律书籍来解决法律问题,而不是阅读字典。几个世纪以来,这似乎一直是一种取胜的技术。很明显,DPC试图不审查Facebook所谓的“数据使用合同”。“。

DPC庆祝在两年内完成6个步骤中的1个?在上周五晚些时候的一份公开声明中,DPC出人意料地将nobi.eu引发的三个程序列为DPC工作取得巨大进展的例子。尽管DPC花了两年时间在WhatsApp和Instagram上完成了6个步骤中的1个,在Facebook上完成了6个步骤中的2个(见概览表)。鉴于DPC仅在2019年就报告了7125起投诉,而且对任何私人行为者的GDPR罚款为零,这很难说是一项成就。

施雷姆斯:“如果DPC在两年后强调了两个案件中六个步骤中的第一个步骤,作为一项成就,这是对大约1万名投诉人的一记耳光。

即使是抄袭自己的报告也花了DPC 10个月的时间。上周,DPC在WhatsApp和Instagram上发布了两份报告草稿(第1步,共6步),这一自豪之情似乎更加离奇,因为nobi.eu意识到这些报告与2019年Facebook的报告(屏幕截图)重叠了76%至82%。

Max Schrems:“我们在Instagram和WhatsApp上运行了DPC上周通过一款软件自豪地强调的报告草稿,以识别抄袭行为,并大笑起来:分别有76%和82%的报告草稿与去年Facebook上的报告草稿相同。看来,光是大范围复制粘贴一份报告草稿,他们就花了十多个月的时间。“。

DPC报告认为违反了GDPR透明度规则。罚款可能高达数十亿美元。尽管DPC拒绝审查Facebook“绕过同意”的合法性,但一份内部调查报告发现,由于没有充分告知Facebook、WhatsApp和Instagram的用户使用他们的数据的法律基础,GDRP违反了GDPR第5条中的透明度要求。如果DPC最终坚持这一观点,它将不得不开出一张“有效的、相称的和劝阻的”罚单,最高可达Facebook年收入的4%(最高可达25亿欧元或28.3亿美元)。

Max Schrems:“基本上,DPC的调查认为,只要用户对此更加透明,Facebook就可以欺骗用户。然而,这意味着Facebook、Instagram和WhatsApp已经违反了GDPR处理了所有欧洲用户的数据。即使DPC只认定这一较有限的违规行为,罚金也可能高达25亿欧元。“

欧盟委员会和DPA必须采取行动。nobi.eu在公开信中还呼吁欧盟执委会对爱尔兰采取行动。由于两年内约有1万起投诉,而且完全没有针对私人行为者的罚款,很明显,爱尔兰没有有效地执行欧盟法律。

公开信还呼吁其他欧洲数据保护机构(DPA)在同事拒绝履行职责时采取措施。不幸的是,虽然GDPR通常缺乏明确的截止日期,但它允许DPA要求同事采取某些行动,或者在另一个DPA不活动时启动“紧急程序”。

Schrems:“许多DPA对像爱尔兰这样的情况感到沮丧,但仅仅把他们叫出来是不够的。他们还必须使用GDPR预见的工具。例如,我们现在已经向奥地利DPA提出了这样的申请。“。

为了协助这一努力,nomb.eu已将所有有关待决程序的文件发送给其他欧洲dpa,尽管爱尔兰dpc已明确坚持noye.eu不得向其同事提供这些文件。

nob.eu的背景资料。nomb.eu是一家欧洲数据保护非营利性组织,试图确保GDPR的执行。nomb.eu由3200多个支持成员提供资金。nobi.eu团队由15人组成,其中包括来自不同欧盟成员国的GDPR律师和技术专家。到目前为止,nobi.eu已经就不同的问题和亚马逊、苹果、谷歌、Facebook、DAZN、SoundCloud和Netflix等公司提交了20多起GDPR投诉。