事件简介
近日,以 Meta 为代表的大型在线服务平台推出了“同意或付费”模式,引发广泛关注。该模式要求用户要么选择同意平台出于营销广告目的收集、分析其个人数据,要么选择支付费用享受无广告体验,否则,用户可能无法正常使用平台服务。
2024 年 1 月 26 日,挪威数据保护机构 Datatilsynet 和荷兰数据保护局宣布,他们将与汉堡数据保护机构(即 Hamburg Commissioner for Data Protection and Freedom of Information ,以下简称“HmbBfDI”)共同启动一项关于个人数据保护与个性化广告的程序,要求欧洲数据保护委员会(European Data Protection Board,以下简称“EDPB”)根据《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)第 64(2)条的规定,对于当前在线平台或服务推出的“同意或付费”模式(“consent or pay ”)表明立场,作出更为具体的规范或指引。
上述数据保护机构启动这一程序源于整个欧洲范围内对“同意或付费”模式存在不同处理方式。虽然一些国家允许这一模式存在,但也有一些国家的数据保护机构对其持否定态度,欧盟法院(Court of Justice of the European Union,以下简称“CJEU”)也没有详细说明在何种情况下“同意或付费”模式是合法的。因此,统一标准的建立对于欧盟各国公民个人隐私保护显得尤为重要。
EDPB 将在 8 周内就这一问题作出回应。其结果将为整个欧洲经济区就“同意或付费”模式执行 GDPR 提供信息,直接影响所有使用个人数据投放个性化广告的利益相关者。
监管态度
在欧洲数字服务领域,“同意或付费”模式广泛应用,但当前尚未形成统一明确的监管标准。各国数据保护机构普遍将数据处理规模和对用户的影响程度作为监管的重要依据。
例如,一些知名报纸《明镜周刊》(Spiegel)、《时代周刊》(Zeit)和《图片报》(Bild)为读者提供了“同意或付费”的选择。尽管已有多个数据保护机构进行了审查,但目前来看,对于这类杂志期刊平台和服务,监管机构普遍持较为宽容的态度。然而,对于以 Facebook 和 Instagram 为代表的大型互联网企业而言,其“同意或付费”模式所覆盖的用户规模巨大,基于个人数据的定向广告对用户产生的影响也相当显著。因此,这类大型在线平台或服务已成为许多国家和地区数据保护机构关注和审查的焦点。
法律分析
是否符合“自由同意”要求
GDPR 对于个人数据的处理方式进行了明确规定,其中“同意或付费”模式是否符合 GDPR 的要求成为备受关注的话题。判断“同意或付费”模式是否符合 GDPR 要求的关键在于,该模式下用户对个人数据处理的同意是否是基于自由选择作出的。
GDPR 第 6 条规定了处理个人数据的合法依据,包括数据主体同意、合同必要性和合法利益等,其中,数据主体同意是最为广泛应用的依据之一。除例外情况,如果控制者无法根据这些依据之一进行数据处理,其行为将被认定为非法处理数据。因此,判断“同意或付费”模式是否符合 GDPR 的要求,必须考虑该模式下的用户同意是否是自由做出的有效同意。
GDPR 前言第 42 条指出,若用户的选择并非真正自由,或者无法不受损害地拒绝或撤回同意,那么不能将该同意认定为自由做出的同意。这意味着企业在跟踪和分析用户个人数据前,必须获得用户的自由同意,而不能通过不利后果来迫使用户同意。在“同意或付费”下,用户拒绝同意的代价是向平台支付费用,这并不能算作“没有不利后果或产生”,因此该模式下的用户同意并非自由选择的结果。
但同时,EDPB 在关于同意的指南中指出,GDPR 并不排斥为取得同意所做出的激励措施。此外,欧盟法院在 C-252/21 案件的判决中也指出,如果数据使用者拒绝同意特定的数据处理做法,公司可以“在必要时以适当的费用”提供替代方案。这与 GDPR 规定存在一定矛盾,使得对于“同意或付费”模式的法规适用存在模糊不清的地带。
特别是在拥有超大规模用户基础的在线平台,如 Meta 等,存在平台与用户之间的权力不平衡。GDPR 前言第 43 条明确指出,当数据主体和数据控制者之间存在明显的不平衡时,同意可能无法自由做出。当用户对此类平台存在依赖的情况下,例如因为家人、朋友、同事广泛使用该平台,或因为共享重要信息的必要需求,用户不可避免需要使用此类平台时,在这种情况下,是否可以说“同意或付费”模式缺乏自由同意基础?这一问题亟待 EDPB 进行进一步的考量和澄清。
是否对低收入用户造成损害
挪威数据保护局国际部门负责人 Tobias Judin 表示:目前我们正站在一个巨大的岔路口,决定着数据保护到底是每个人的基本权利,还是仅限于富人的奢侈品。这一问题的答案,将在未来几年重塑整个互联网世界的格局。
尽管大多数平台和服务的订阅费用在普通人的经济承受范围内,但问题的关键在于,这些平台往往将服务的享用与个人隐私的放弃设置为二选一的条件。这种歧视性的做法意味着,要想维护基本的隐私权,就需要支付额外的费用。这不仅可能加剧数字不平等,还有可能导致低收入群体的基本权利受到损害。
在“同意或付费”模式下,对于低收入群体的潜在歧视引起了隐私倡导者的不满。隐私倡导者 Max Schrems 曾表示,“隐私权等基本权利不能出售。否则将意味着只有富人才能享受这些权利”,他所成立的非营利组织“NOYB”(My Privacy is None of Your Business,以下简称为“NOYB”)已针对 Meta 旗下平台的“同意或付费”模式向奥地利隐私监管机构提出投诉。根据 NOYB 提交的文件显示,普通人在手机上使用的 35 个应用程序,如果都采用 Meta 的模式,将每年花费 14,446 澳元来维护个人隐私。这一数字让人深思,保护个人隐私是否应该成为一项昂贵的开支?
启示
当前,欧盟的各数据保护机构尚未对“同意或付费”模式做出正式表态,相关立法也仍待完善。在 EDPB 做出正式回应前,我们建议企业对于“同意或付费”模式保持审慎态度,并持续关注相关案例裁决和法规动态。
获取用户同意是在线服务或平台最重要的数据处理合法基础,也是“同意或付费”模式下监管机构关注的重点。企业仍应当严格遵守 GDPR 及相关法规对获取用户同意的要求,在收集处理个人数据前通过清晰易懂的形式向用户说明数据收集处理的类型、目的等具体情况,以保证用户充分知情。同时,企业应确保用户有自由选择是否同意数据处理的权利,为用户提供拒绝同意的渠道,同时还应保证用户能够方便、无损害地撤回同意。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。
