欧盟数据保护(GDPR):Google和Facebook上诉失败给中国企业带来的启示
被称为“史上最严数据保护法”的欧盟《通用数据保护条例》(GDPR)已正式生效两年。在这两年期间,欧盟各国执法和司法机构逐步加大了对数据保护违规行为处罚的频率和力度。最近,世界互联网巨擎谷歌(Google)和脸书(Facebook)在欧盟涉及GDPR处罚的上诉案件均告失败。从中我们可以了解到欧盟数据保护部门对GDPR在具体适用方面的监管尺度和条文解读,为中国企业“走出去”的数据保护合规提供一些指导。
一、谷歌(Google)上诉案
1.案件背景2020年6月19日,法国最高行政法院(Esat d'Etat)驳回了Google对法国国家信息与自由委员会(CNIL)2020年1月21日裁决的上诉,该裁决对Google处以5000万欧元的罚款。
本案件争议焦点是Google为了广告目的处理个人数据之前征求数据主体“同意”的方式是否合理。法国最高行政法院同意CNIL的观点,即Google获取数据主体“同意”的手段不够清晰和透明,以致消费者无法做出知情且自愿的“同意”。Google的问题之一在于,其通过一个预先已选中的框,获取为各种目的处理数据的“同意”。
有趣的是该案还涉及CNIL管辖问题,即Google认为CNIL对本案没有管辖权。根据欧盟的《通用数据保护条例》(GDPR)规定的“一站式”机制(“one-stop shop” mechanism”),即若某公司在欧盟某成员国境内设立了“中央管理机构”(“central administration”),则认为该公司在该成员国设有主要实体(main establishment),而该成员国境内的监管机构因此有权主导在欧盟境内的调查(即作为主要监管机构),除非该公司的欧盟数据处理决定是在另一个成员国内做出的。在后一种情况下,另一成员国的监管机构是主要监督机构。
若一公司在欧盟成员国境内没有中央管理机构,且其欧盟数据处理决定也不是在任何欧盟成员国境内做出的,则该公司可能会受到多个成员国数据隐私机构的重复调查,这样的调查是极其繁重且成本高昂的。
在CNCIL做出决定之前,Google的欧盟总部虽位于爱尔兰,但处理其欧盟数据的管理部门却位于美国。Google辩称,其在爱尔兰设有主要实体,因此,该案应由爱尔兰数据保护机构主导,而不是由CNIL主导(Google在法国已受处罚)。
但是,法国最高行政法院不同意Google的观点,其认为,在CNIL做出决定时,谷歌爱尔兰公司(Google Ireland)并未对Google其他欧盟分公司行使控制权。因此可以得出结论,Google的中央管理部门并不在爱尔兰(或其他欧盟成员国境内)。而且由于Google的欧盟数据处理决定是在美国做出的,这意味着Google在欧盟境内并没有主要实体。因此,CNIL拥有对Google进行处罚的管辖权。
2.对中国企业的启示对于中国公司而言,对Google裁判具有双重意义:
首先,“同意”的问题看起来会很复杂。如果同意政策过于简单,公司面临着被指控未充分告知消费者的风险;如果同意政策过于详细/拘泥于法律的情况下,其又面临着被认为政策缺乏透明度或清晰度的风险;在消费者有可能放弃阅读同意政策的情况下(例如,通过预先打勾的框或其他技巧),公司可能面临其所获得的同意非出于数据主体自愿的风险。
因此,对于中国公司而言,在拟定其同意政策和程序时,最好能有数据隐私方面的顾问协助,在同意政策上取得适当的平衡,这是非常重要的。当然,我们无法保证在互联网上已公开的、现有的公司政策是否都符合GDPR的规定,因为这些政策很可能并未得到任何成员国数据隐私机构的认可。
Google判决的第二个要点是,声称在特定成员国内拥有“欧盟总部”(“EU headquarters”)的中国公司可能会发现,总部办公室并不能构成GDPR所认定的“中央管理机构”。当欧盟总部实际上并不能控制欧盟境内的其他子公司和分公司,而是由中国内的公司直接控制其在欧盟境内的分公司时,就构成此种情况。
在此种情况下,如果欧盟数据处理决定也是在中国做出的,则该中国公司被视为在欧盟境内没有主要实体。
一家中国公司虽“名义上”设有欧盟总部,但该总部对欧盟境内其他分公司无控制权,则该中国公司相当于一个未设立欧盟总部的中国公司。如果他们的欧盟数据处理决定是在中国境内做出的,则他们将无权享有仅由一个主要监管机构来管辖或适用“一站式”机制。
二、脸书(Facebook)上诉案
1.案件背景2019年2月6日,根据德国反垄断法,德国联邦企业联合管理局(FCO)认定Facebook公司具有滥用支配地位的行为。Facebook被认为窃取数据主体的个人数据,并将数据用于Facebook的其他服务。Facebook还将数据出售给第三方网站。Facebook声称,自己已获得其社交网络数据主体对这些行为的“同意”。但是,FCO的结论是,“同意”并非是数据主体自愿做出的,并且根据德国反垄断法,实施违反GDPR规定的条款,构成滥用支配地位。
2019年8月26日,杜塞尔多夫上诉法院以一项临时判决暂停执行FCO的决定。法院认为,FCO以违反GDPR为基础认定Facebook滥用支配地位,是不适当的,而FCO须提出竞争性损害,才得将该决定纳入德国反垄断法规制范围。
但是2020年6月23日德国联邦法院(FCJ)在Facebook对杜塞尔多夫法院临时判决提出的上诉中,同意杜塞尔多夫法院的结论,即违反GDPR的规定不构成滥用支配地位的认定基础。但是,FCJ也认为,Facebook处理数据的做法仍可能被认定为构成滥用支配地位,因为Facebook这些行为,会导致其竞争对手的进入壁垒提高,从而造成了竞争性损害。因此,FCJ认可FCO的决定,要求Facebook在未取得数据主体明确的、充分知情的“同意”情况下,不得合并其不同服务中的用户数据,也不得出售消费者的数据。
因此,杜塞尔多夫上诉法院现在需要参考FCJ的决定来对本案进行实体审理并做出最终裁决。
2.对中国企业的启示中国企业需要注意的是,如果在处理欧盟居民的个人数据时,其未获得适当的(或合法的)“同意”,不仅会因违反GDPR而遭到处罚,还会因为违反欧盟或某成员国国内的反垄断法,被认定为构成滥用支配地位。
本文作者:
Dr. Frank Finev 德恒布鲁塞尔办公室 国际反垄断业务主管
中国国际反垄断和投资研究中心担任执行主任,中国政法大学法学院国际反垄断与投资研究所访问教授。(拥有英格兰、威尔士、加利福尼亚和哥伦比亚地区执业资格。)
邮箱:frank.fine@dehenglaw.com
本文译编者:
王一楠 合伙人/律师
王一楠,德恒北京办公室合伙人、律师;主要执业领域为数据保护、金融科技、电子商务、跨境投资和争议解决。受聘为网络安全应急技术国家工程实验室数据安全咨询专家。入选《亚洲法律杂志》(ALB)“2020中国15佳TMT律师”。邮箱:wangyinan@dehenglaw.com(实习生戴雨勤对此亦有贡献)