【要闻】欧盟检察长Rantos在Meta诉德国卡特尔局案中的意见
2022-09-25 17:13:27
  • 0
  • 0
  • 2

原文题目:“Processing of Personal Data Inside Out: the Opinion of AG Rantos in C-252/21 (Meta Platforms v. Bundeskartellamt)”,from Alba Ribera Martínez (Deputy Editor) (University Carlos III of Madrid)/September 22, 2022,Kluwer Competition Law Blog。详见此处!

2022年9月20日,欧盟法院总检察长Rantos就期待已久的第C-252/21号案(Meta Platforms v. Bundeskartellamt)发表了意见。 考虑到该意见旨在为欧洲法院 (简称ECJ) 就《一般数据保护条例》(简称GDPR) 的解释铺平道路——该法与竞争法及其在在线广告市场的解释产生了交叉适用问题。

向法院提出的问题和Rantos检察长的方法

2019 年 2 月,德国竞争主管机构(简称FCO 或 Bundeskartellamt)认定 Meta(前身为 Facebook)应对其用户个人数据的收集、处理、聚合和使用方面的侵权行为负责。基于违反德国《反限制竞争法》第 19(1) 条以及德国《民法典》第 307ff 条,FCO 认定Meta构成滥用支配地位。 [1]

FCO主张的损害理论是,基于 Facebook 的用户与社交网络之间存在不平衡的前提,因为后者在全国私人用户社交网络市场中占据支配地位。基于这一发现,FCO 得出结论,Facebook 的用户在通过服务条款注册 Facebook 时并未授予 GDPR 所规定的自由和有效同意。[2] 因此,基于Facebook 的剥削性滥用行为,同时违反了GDPR 。 FCO 实施的补救措施是,禁止 Facebook 处理其基于社交网络服务条款中提供的数据,并禁止对加入该服务的新用户进一步实施这些数据。

在上诉中,杜塞尔多夫高等地区法院向ECJ提交了关于该决定不同的七个问题

关于竞争法与个人数据保护的交叉点,杜塞尔多夫法院询问ECJ:(1) FCO 是否有能力在其监控竞争纠纷的程序中发现违反 GDPR 的行为(即第一个问题第a项);(2)GDPR 意义上的同意是否可以有效且自由地给予(effectively and freely given )Facebook 等占支配地位的企业(即第六个问题)。

按照提交法院的草案的说法,只有在后一个问题的回答是否定的情况下,ECJ才应解决 FCO 是否可以评估 Facebook 的数据处理服务条款及其实施是否符合 GDPR(即第七个问题第a项 )。

除了这些问题之外,提交法院的还有根据爱尔兰数据保护委员会 (简称IDPC) 于 2022 年就同一案件和数据保护领域的行为作出的决定,其询问了 FCO 调查结果的有效性,得出了不同与德国卡特尔局对Facebook 的数据处理实践的不同结论(即第一个问题第b项和第七个问题第b项)。 [3]

另外,杜塞尔多夫法院向ECJ提出的其余问题与 GDPR 的解释直接相关,尽管它们的结果将直接影响头部数字平台的商业模式,即跟踪和大量收集、处理数据以进行分析用户。一方面,第二个问题的第a项和第b项涉及对禁止在分析用户的情况下处理敏感数据的解释问题。 [4] 另一方面,第三、第四和第五个问题特别解决了Facebook 通过其自身制订的服务条款处理数据的合法性。 [5]

与向德国法院提出问题的方式相反,Rantos检察长重点分析了提出的第一个和第七个问题,尽管它们遵循了完全不同的推理路线。令人惊讶的是,Rantos检察长很快就驳回了这些问题——对第一个问题的回答仅用了四段文字——而 FCO 的调查结果被归为一个类别:在反垄断诉讼中偶然发现 Facebook 违反 GDPR 的情况(the incidental knowledge of Facebook’s GDPR non-compliance within antitrust proceedings)。

问题一和问题七:可以(顺便)在竞争法中审查 GDPR的适用

对于FCO是否有能力在反垄断程序中确定违反GDPR的问题,Rantos检察长的回答是否定的。但是,检察长认为这不是在针对Facebook的数据处理做法的诉讼中发生的情况。

在检察长的意见中,FCO“没有处罚 Meta平台违反 GDPR 的行为,但仅出于适用竞争规则的目的,继续审查涉嫌滥用其支配地位的行为,同时考虑到其他之外的该企业不遵守 GDPR 的规定”。因此,在Rantos 看来,由于围绕案件的事实证据,第一个问题的答案就是否定的。基于 GDPR 第 51 至 67 条规定的一站式原则,竞争主管机构对违反 GDPR 的“初步”分析(primary’ analysis)是没有根据的。

相反,AG Rantos 将大量注意力集中在 FCO 在应用竞争规则时对 GDPR 的附带分析(incidental analysis )。从他的角度来看,可以在对行为发生的法律和经济背景以及案件的其他情况进行更广泛的分析时,才考虑该行为是否违反 GDPR。禁止竞争主管机构解释 GDPR 的规定,将影响欧盟竞争法的有效适用。

然而,该行为不遵守 GDPR 并不能仅凭其自身来平衡《欧盟运行条约》(简称TFEU)第102条规定行为的合法性。符合 GDPR 的处理数据同样有可能违反竞争规则,以及不符合 GDPR的数据处理行为并不自动意味着它违反了竞争规则。

检察长对竞争法诉讼程序中个人数据保护的初步和附带分析的个人见解,可能会为目前正在进行的辩论增添一些内容,但它未能完全理解德国卡特尔局的决定——GDPR 并未是在此案中偶然适用,也未在围绕反竞争行为的更大经济和法律背景下进行考虑。

事实上,如果没有最初FCO以为重要依据的 GDPR 侵权(考虑到FCO的原本意见),整个反竞争行为将根本不存在。换句话说,如果 FCO 发现用户同意是自由有效地授予的,那么FCO就不会在数据保护或反垄断方面采取进一步的行动。尽管Rantos试图通过对两个法律领域之间的相互作用,进而提供清晰的概念来澄清这一问题,但他的意见一开始就建立在错误的前提之上。

在实质方面,Rantos表示,GDPR 和竞争规则追求不同的目标、规则和合法利益。因此,如果各国竞争管理机构决定基于对 GDPR 的解释对企业实施措施,如果额外的数据保护监管机构对同一组事实作出裁决,则不会触发“一罪不二审(ne bis in idem)”原则的适用。

此外,在缺乏足够的合作机制的情况下[6],Rantos确立了竞争管理机构有责任在开始对同一做法进行调查时,通知数据保护监管机构,并与之合作,并可能“在开始之前等待数据监管机构的调查结果,再开展自己的评估”(第 31 段)。但与这一意见相反的是,Rantos 认为 FCO 在结束对Faceboo 的制裁程序之前,通过非正式地联系爱尔兰监管机构,是履行了其勤勉和真诚合作的职责。

问题六:可以考虑支配地位来评估自由和有效的同意

“同意(consent)”是支持 Facebook 诉 FCO 案的少数基石之一。在德国卡特尔局看来,Facebook的用户并没有通过社交网络的服务条款自由有效地同意,因为数据控制者(Facebook)和数据主体(用户)之间的权力存在不平衡。这就是 Facebook的反竞争行为的体现。在作者看来,FCO 的损害理论在这方面是相当循环的:市场支配地位是一个先决条件,它发现 Facebook 用户在社交网络选择他们的隐私偏好之前没有任何议价能力,因此滥用通过对用户的剥削而产生了。

从不同的角度来看,Rantos 确认 Facebook的用户并未自由或有效地表示同意,同时始终铭记适用的数据保护条款。 [7] Rantos 将用户选择加入和锁定的概念从 FCO 的决定中剥离出来,以建立可以考虑确定是否自由有效地授予同意的要素。

相应地,Rantos 认为这个论点也可以反过来解释。也就是说,市场支配地位可以成为评估社交网络用户是否自由同意的一个要素。与他之前关于 GDPR 和竞争法规则之间交叉点的论点类似,没有市场支配地位也不能保证用户就可以自由有效地授予同意。然而,他没有提及将自由和有效同意的影响引入反垄断分析的可能性,即当对用户的剥削发生时。

问题二到问题五:在外围进行的个人数据处理:用户侧写

Rantos 回答了德国法院向 ECJ 提出的有关 GDPR 解释的问题,并采用颇有见地的方法处理大量在线个人数据的收集、处理、汇总和使用。在这四个问题中,一个想法成为检察长的其余结论的基础:Facebook 诉 FCO 案不仅涉及用户在注册服务时收集并明确输入的个人数据,而且还有从 Facebook 服务之外的用户跟踪中检索到的个人数据。换句话说,当用户注册该服务时,会为Facebook 打开一个窗口,以访问在不同于 Facebook 的其他来源上产生的一系列数据。然后,社交网络通过收集和处理在外围获得的数据,将其与现有数据集聚合,从而获得巨大的价值和分析结果。

这听起来很离谱,不仅是 Facebook,整个头部数字平台们都以同样的方式获取用户数据。因此,依据Rantos的意见——以及初步裁决的结果——可能是决定性地限制平台在此之前在线处理个人数据的方式。

根据 Rantos的意见,在线交互过程中收集和处理用户个人数据可能属于禁止处理敏感数据的范围,因为凭条不断根据敏感数据中出现的类别对用户进行侧写。因此,Rantos 建议将禁止处理敏感数据延伸到后续发生的个人数据聚合,以从用户的偏好和在线表现的行为中推断出结论。

与 Meta 在整个诉讼过程中以及今年5 月在法院举行的听证会上的立场截然相反 [8],Rantos 认为,当公司通过这种方式对用户进行侧写时,不应适用 GDPR 第 9(2)(e) 条的豁免。他认为,虽然用户访问网站和应用程序、向网站输入数据或明确点击按钮以从其数据中获取控制权,但这不能解释为数据主体明示可以在网上公开其个人数据。

一方面,在注册 Facebook 时,用户并没有完全意识到要将他/她的整套在线互动提供给公众;另一方面,即使同意被承认为证明处理这些数据的正当依据,根据Rantos 对基于敏感个人数据分析的解释,同意也不足以支持这种处理的正当性。

此中,Rantos逐一摒弃了 Facebook 提出的为处理个人数据提供正当理由的条件。

在他看来,个人数据的处理对于履行与用户签订的合同不是必需的, [9] 而数据处理对于显示“个性化内容和持续、无缝地使用集团的产品/服务是必要的”。 Rantos 坚持他关于将必要性(necessity)解释为欧盟法律理念下的自主概念(autonomous concept)。此处的必要性与履行合同中的“充分”或“有用”等概念不同。相反,必须客观地衡量必要性,即在履行合同时不得存在还有存在可行性且妨碍性较小的替代方案(详见他的意见的第 54 段)。

考虑到 Facebook 对在线用户的广泛跟踪,Rantos 怀疑个人数据的处理对于完全提供 Facebook 的服务是必要的这种说法。最重要的是,这与用户在注册社交网络时的合理期望(reasonable expectation)不符。

根据他的论点,线上内容和广告的个性化,以及产品改进和网络安全,都不会构成所谓的合法利益 [10] 以来证明处理(敏感)个人数据的正当性。从这个意义上说,用户的合理期望,以及广告和内容高度个性化的必要性,都必须提交法院去具体考量,以认定这些合法利益是否可以被接受/正当。

关键要点:该意见为对GDPR的考查和用户在线受跟踪可能产生的威胁开了窗口

从作者看,当下Rantos对Facebook 诉 FCO 案的意见所造成的影响,将比最初预期的要小。因为,就竞争法而言,没有引入突破性或里程碑式的概念。

然而,他的一些想法已经作为来自欧盟法院在该领域案件的参考,从中得出一些要点:

  • 竞争主管机构无权主要适用 GDPR,包括认定侵权;
  • 对 GDPR 的附带考查是可以接受的。 GDPR 可以在围绕该行为的更广泛的法律和经济背景范围内被引入,以确定该行为是否需要诉诸与基于绩效的竞争不同的其他方法(详见他意见的第 23 段)。
  • 市场支配地位的认定可以影响对用户是否自由和有效地向同一运营商授予他/她的同意的评估。

虽然,之后的ECJ的初步裁决将主要解释 GDPR 中某些词语的含义,但如果遵循Rantos的做法,可能会对围绕在线广告的商业模式造成重大损害。在数据保护方面,该意见中最大胆的结论强调:

  • 禁止处理敏感个人数据可能会扩展到以间接形式的处理,即将数据集与属于在线跟踪用户的专有数据聚合,然后出于经济目的对其进行侧写;
  • 当用户上网时,以标识、偏好和行为形式在网站和应用程序上留下的痕迹不被视为数据主体公开的数据;
  • Facebook 提出的合法处理个人数据的理由可能不被接受,这里需要通过“客观必要性测试(objective necessity test)”。

在这种背景下,欧盟法院当下面临着一项艰巨的任务,即抵消因Rantos对数据保护的严格解释而损害在线商业模式的可能,或者以更加细致入微的观点确认用户隐私和反垄断之间可能存在的相互作用。

尾注

[1] 德国的规定在将一般条款和条件用作市场力量或使用这些条款的一方的优势力量的表现的情况下确立了滥用一般条款和条件。

[2] GDPR 第 4 条将数据主体的同意定义为“任何自由地、具体、知情和明确地表明数据主体的意愿,通过声明或明确的肯定行动,他或她表示同意处理数据。与他或她有关的个人资料”。

[3] GDPR 第 4 条将数据主体的同意定义为“任何自由地、具体、知情和明确地表明数据主体的意愿,通过声明或明确的肯定行动,他或她表示同意处理数据。与他或她有关的个人资料”。

[4] GDPR 第 9 条禁止处理敏感数据,但可以申请豁免。当“处理与数据主体明显公开的个人数据有关”时,可以在 GDPR 第 9(2)(e) 条中找到最相关的豁免。

[5] GDPR 第 6 条包含一系列证明处理个人数据合法性的理由。即使只有一个理由适用于处理,它也是合法的(不仅同意是处理的有效理由)。

[6] 虽然 GDPR 包含数据保护监管机构之间的合作机制,但没有关于监管机构与其他行政机构之间关系的特别规定。

[7] GDPR 第 43 条规定,“在数据主体和控制者之间存在明显不平衡的特定情况下,同意不应为处理个人数据提供有效的法律依据”。

[8]在 5 月 10 日该案的听证会上,Meta 认为应该将在线导航的用户与走在街上的消费者进行比较,因为在这两种情况下,用户都在公开有关自己的数据,例如她走过的街道相对于她访问的网站或她在商店购买时表现出的兴趣相对于她访问在线市场时的在线轨迹。

[9] 该条件符合 GDPR 第 6(1)(b) 条。

[10] 该条件符合 GDPR 第 6 条第 1 款第 f 项:“为了控制者或第三方追求的合法利益,必须进行处理”。






 
最新文章
相关阅读