CJEU 裁決 Meta 參考案,或封住監控資本主義的一章
法院裁決約束 Meta 追蹤和個人化廣告
歐洲聯合法院(CJEU)日前裁定了長期以來被期待的 Meta 參考案,看來成功地打擊了這家社交媒體巨頭繞過歐盟隱私法,未讓使用者自由選擇 Meta 對其追蹤和資料分析的行為。這起裁決起源於德國反壟斷監管機構聯邦卡特爾局(Federal Cartel Office,FCO)提出的訴訟,該機構多年來一直調查 Facebook(也就是當時的 Meta)的業務,指出隱私損害應該視為剝削性競爭濫用。2019 年 2 月,FCO 命令 Facebook 停止在未經使用者同意的情況下將其各個社交平臺上的使用者資料進行整合。Meta 試圖在德國法院封鎖這項命令,最終引發了 2021 年 3 月將被稱為“超級個人化分析”的問題提交予 CJEU 裁決。現在我們得到了最高法院的見解,而這肯定不會讓 Meta 在總部慶祝。
CJEU 不僅同意競爭當局可以將資料保護納入其反壟斷評估之中(這聽起來可能有點複雜,但事實上這非常重要,因為聯動勝於監管孤立,是有效監管平臺權力的途徑),還表明同意是 Meta 實施跟蹤和個人化行為廣告的唯一合適的合法基礎。以下是新聞稿中相關的內容:
就 Meta Platforms Ireland 進行的資料處理操作,包括處理"非敏感"資料,法院接下來審查了這是否被《通用資料保護法》(GDPR)規定所涵蓋,並允許在缺乏資料主體同意的情況下進行的資料處理成為合法。在這樣的背景下,它認為,僅在資料處理實在不可或缺以致如果該處理不發生則合約的主要內容無法實現時,方可根據合同履行的需要來合理化有關行為。經由國家法院取證後,歐洲聯合法院對個性化內容或 Meta 集團自身的服務的一致和無縫使用是否能夠滿足這些標準表示懷疑。
根據歐盟資料保護法,同意意味著必須向使用者提供選擇以拒絕這種追蹤,而不必放棄核心服務的使用。這正是 Meta 過去一直否認給其使用者提供的選擇。然而(毫無意外地),就在 CJEU 裁決不久之前的幾個星期內,已預期到這個裁決會出臺,Meta 宣布了新的控制措施,讓使用者約束其跨網站追蹤,雖然如果他們拒絕追蹤,某些功能可能會有所減少,但還有待觀察 Meta 為預防這項裁決而採取的措施是否足夠。
去年歐洲法院為 Meta 超級個人化分析問題提出了類似的觀點。但是最高法院的意見書並沒有法律約束力,而裁決是確實的硬性法律。這意味著 Meta 和歐盟的資料保護機構都不能忽視它。後者非常重要,因為某些資料保護機構對於對大型科技巨頭執行《通用資料保護法》的積極執法不情願,這引起了對該法規失敗或至少被法庭購物困住的抱怨。毫無疑問,對大型科技公司的《通用資料保護法》執法是一個非常艱巨的過程。今年 1 月,愛爾蘭的資料保護委員會作出重大決定,最終否定了 Meta 聲稱依賴合同必需性執行其行為廣告的主張。然而從最初的投訴提出到得出這項裁決,歷時超過四年(Meta 當前也正在上訴,所以程式仍未結束)。然後,今年 3 月,響應愛爾蘭資料保護委員會(DPC)的合規期限,Meta 宣布將其聲稱處理廣告資料的法律基礎轉換為另一個非同意的基礎,即所謂的合法利益。因此在多年的隱私濫用投訴、監管調查和(最終)執法之後,Meta 仍然選擇不為使用者提供明確的選擇,以是否追蹤他們的資料。可以想象,他們預期能夠推遲監管程式,以此來規避針對其資料保護不友好的商業模式進行改革的成本,未將與使用者達成清晰的是與否的選擇。
然而 CJEU 似乎對這一最新的《通用資料保護法》逃避戰術提出了質疑,因為歐盟資料保護機構不能忽視法院的指示。因此愛爾蘭不應該等待,Meta 也不能聲稱合法利益,而 CJEU 已表示合法利益在這一情況下是不恰當的。而當使用者有能力拒絕監控資本主義時,他們絕對會這樣做(例如蘋果的 App Tracking Transparency 對 Meta 的廣告業務的影響)。
CJEU 對類似 Meta 的廣告支援業務模式在《通用資料保護法》上應如何應用進行了明確的解釋,這可能終將封住監控資本主義的一章。在其裁決的新聞稿中,法院寫道:Meta 平臺進行的個性化廣告並不能以 Meta Platforms Ireland 作為一種合法的利益來進行資料處理,這是因為它未獲得資料主體的同意。我們已經聯絡了愛爾蘭資料保護委員會以獲取對 CJEU 裁決的回應,如果我們得到回應,將在本報告中進行更新。
CJEU 還強調有必要確保同意的質量是有效的,即所提供的選擇必須是真正自由的(不能透過使用黑暗模式或以其他方式對使用者進行懲罰,例如提供次級服務以拒絕存取其資料)——鑒於市場上主導的社交網路和其使用者之間的權力不平衡,法院在其新聞稿中指出這是運營商的證實。
此外該法院還確保 Meta 不能僅提供所謂敏感個人資料(例如政治信仰、性取向、種族或族裔等)的處理而迴避法律要求明確獲得使用者的同意。法院發現,使用者存取或與網路服務互動並不意味著他們已經明確地公開其敏感資料(這將豁免獲得明確同意的要求)。這一裁決可能會引發對 Meta 以未明確獲得同意就處理使用者敏感資料的訴訟浪潮,因為 Facebook 顯然在未明確徵求許可的情況下處理了大量此類資料。
法院新聞稿再次援引:
"此外法院觀察到,Meta Platforms Ireland 進行的資料處理操作也顯然涉及特殊的個人資料類別,該類別可能揭示種族或族裔起源、政治觀點、宗教信仰或性取向等內容。無論這些訊息涉及該社交網路的使用者還是其他任何自然人,國家法院將確保某些資料是否實際上可能揭示此類訊息。”
Max Schrems,律師和隱私權利活動家,是 Meta“強制同意”原始投訴背後的人,他將最近的裁決稱為“Meta 的《通用資料保護法》崩潰之日",並主張法院封堵了公司律師在過去五年中試圖利用的一切"漏洞"。在一份更全面的宣告中,Schrem 的隱私權利非營利組織 noyb 表示 CJEU 宣布 Meta 的《通用資料保護法》做法是"非法的"。它還寫道,接下來 noyb 需要仔細研究這個重大的裁決。從當前持有的裁決中,似乎 Meta/Facebook 被禁止在歐洲利潤關鍵操作上使用其他非同意資料處理的法律基礎。”Schrems 認為,Meta 現在必須"尋求適當的同意,不能利用其壟斷地位來迫使人們同意他們不希望的事物"。他補充說:"這也將對 noyb 和 Meta 在愛爾蘭的待解訴訟產生正面影響",指的是上述愛爾蘭有關 Meta 的廣告的法律基礎的裁決。
歐洲消費者組織 BEUC 也對 CJEU 的裁決表示歡迎,並認為這為對主導性數位平臺進行更有效的執法鋪平了道路。
就 Meta 而言,當前仍未提供太多回應。該公司發言人表示:"我們正在評估法院的裁決,並將在適當的時候作出更多回應"。Meta 還回顧了早些時候在 GDPR 違反裁決中發表的一篇部落格文章,該文章在今年 1 月被更新,當時在轉換為合法利益法律基礎時寫道:"為了遵守法規,我們將於 4 月 5 日起將我們在歐洲處理某些第一方資料的法律基礎從『合同必需性』更改為『合法利益』。《通用資料保護法》明確表示法律基礎之間沒有優先線序,也沒有一個比其他更有效的基礎。"
