2019年1月18日,欧洲非政府组织“不关你事(NOYB:None of Your Business)”对8家跨国流媒体服务公司提出了10起GDPR相关投诉。投诉称,涉事流服务公司没能以透明的信息、通信及方式(GDPR第12条)响应数据主体的合法访问权(GDPR第15条),因而违反了GDPR。
其中4家公司为美国大型企业:Amazon Prime;Apple Music;Netflix和YouTube。另外4家是欧洲公司:DAZN(伦敦)、Flimmit(维也纳)、SoundCloud(柏林)和Spotify(斯德哥尔摩)。最高罚金从80.2亿欧元(苹果)到2000万欧元(DAZN和Spotify)不等。投诉根据GDPR第80条的授权提出,该条款规定:数据主体享有授权恰当非营利性机构、组织或协会的权利。
NOYB由隐私活动家兼律师 Max Schrems 创建。Schrems在学生时期就依据GDPR的前身《欧洲数据保护指令》对Facebook提出了投诉,令欧洲法院以违宪为由撕毁了欧洲与美国之间的个人信息跨国流通安全港协议。
Schrems的GDPR战绩不少。就在GDPR生效当天(2018年5月25日),NOYB分别对谷歌(安卓)、Instagram、WhatsApp和Facebook提出投诉。对谷歌的投诉由法国国家信息自由委员会(CNIL)受理。不知是否巧合,本周一(2019年1月21日),CNIL对谷歌开出的5000万欧元罚单中有部分也是NOYB的功劳。另一个互联网自由组织 La Quadrature du Net 在NOYB的投诉提交几天之后也递交了一份类似的投诉。
CNIL认为谷歌违反了GDPR的两项主要规定。首先,谷歌违反了透明性与信息原则;其次,谷歌的广告个性化处理缺乏必要的法律依据。数据安全与分析提供商Varonis销售工程总监 Matt Lock 评论道:
新罚单让谷歌迅速抛弃了欧盟会对违反GDPR的公司心慈手软的幻想。对公司企业来说,该消息无异于当头一盆冷水。毫不夸张地说,众所周知的风暴正在聚集,隐私倡导组织坚持自己的信念,誓将大型跨国公司钉上隐私控制松懈的靶子。
谷歌无疑会对此裁决提出上诉。
同时,透明性问题也成为了投诉的焦点。NOYB与与8家流媒体服务的8个用户合作,向这些流媒体服务提出了数据访问请求。流服务公司需在1个月内做出回复(Apple Music 的申请在2018年10月2日就提交了)。结果,DAZN和SoundCloud根本没有任何回复,其他人虽然有所响应,却没达到NOYB的期望。NOYB按原始数据、可理解性和背景信息来衡量流服务公司的响应。
仅Flimmit提供了让NOYB满意的原始数据。仅Flimmit和Netflix提供了可理解的数据。提供了用户数据的所有案例都仅仅是部分可接受的——Flimmit和Netflix的“背景信息”部分可接受,其他公司则完全不存在背景信息。在NOYB眼中,这8家公司里没有任何一家符合GDPR的要求,所以都提出了投诉。
Schrems称:
很多服务都是设置自动化系统来响应访问请求,但通常根本提供不了每个用户都有权访问的数据。大多数案例中,用户仅仅得到原始数据,其他相关信息一概皆无,比如这些数据的共享对象信息。这就是对用户权益的结构性侵犯了,因为这些系统根本就是构建来隐瞒相关信息的。
虽然乍看之下用户数据访问权似乎只是GDPR中不怎么重要的一个方面,但该项权利切切实实触碰到了GDPR立法的核心。背景数据应该提供信息,而不仅仅是数据本身,还应附有数据的存储位置、共享对象等信息。很多人都知情同意了个人数据收集,但极少有人会知情同意个人数据被未知第三方共享。
所以,正如谷歌以围绕数据收集的透明性展开,这些投诉以第三方共享的透明性为中心。
全部8个投诉都提交给了奥地利数据保护机构(DSB),DSB再转交给流服务主要运营国的监管机构。于是,DSB自己负责Flimmit投诉,将DAZN投诉转交英国的信息专员办公室。这2家公司因为根本没有响应数据访问请求而切实违反了GDPR。
其他6家公司确实响应了,所以投诉的理由是它们响应得不够充分。Amazon Prime 应交由卢森堡监管机构处理,Apple Music 在爱尔兰,Netflix在荷兰。目前还不清楚针对YouTube的投诉由哪家监管机构受理。
这些投诉历时多久才能处理完毕也尚未可知。既然去年5月底的投诉在今年1月底由法国监管机构做出了对谷歌罚款5000万欧元的裁决,那么调查过程可能会历时9个月到1年。
监管机构大概事情太多,是根据明显的重要性来排序待办案件的吧。剑桥分析公司数据泄露事件之后,英国(可能其他地方也如此)的注意力都放在了数据的政治性使用上。大洋彼岸的美国也是如此,美国联邦贸易委员会目前就在考虑就同一事件对Facebook处以重罚。
Apple Music 投诉案颇有意思,因为其首席执行官 Tim Cook 最近一直在尝试通过支持个人隐私来将苹果公司与其他科技公司区别开来。2018年10月的演讲中,Cook表达了对欧洲和美国隐私权立法的支持,并评论道:
我们自身的信息,从日常信息到极为个人的隐私,正以军事化的效率被武器化。
NOYB的投诉要么证实苹果对个人隐私的尊重,要么暴露出该公司的销售花招。同时,针对6家确实做出响应的公司的投诉也不乏不当之处。比如,对苹果的投诉中包含如下用语:“有理由怀疑被诉人……”,以及“被诉人似乎保留了……”
值得指出的是,这些投诉似乎都只基于单个访问请求。所以英国律师 Brian Bandey 才会评论道:目前他们不清楚NOYB到底要干什么。NOYB要求了“劝阻”性质的罚款。但Bandey认为,罚款和其他形式的处罚应与数据主体遭受的损失和伤害成正比。
NOYB的案例中,我们无法确定是否经由测试彻底查明被诉人违反了GDPR。如果有人进行此类测试,可以说数据主体是因为没有风险而被选中。
NOYB的投诉中写道:我们将走针对性、战略性诉讼的道路,最大化对个人隐私权未来的影响。Bandey律师当前不确定这些投诉到底是“结构性的”(即针对被诉公司架构提出的严正控诉),还是战略性的(即旨在突出当前GDPR的缺陷以敦促其改进)。
即便投诉得到支持,也不会产生类似CNIL对谷歌开出的那种高额罚单。6家被诉公司切实响应了访问请求,仅仅是没达到NOYB的标准而已。NOYB可能是要暴露出这些公司在执行GDPR上的缺陷,而不是真正想对他们大罚特罚。这些投诉在地理位置上的均衡性(4家美国公司,4家横跨至少7个欧洲监管机构司法权的欧洲公司),也表现出了其战略性投诉的意图。