图片来源:视觉中国
文丨游云庭(上海大邦律师事务所高级合伙人,知识产权律师。)
据媒体报道,Facebook和Instagram的母公司Meta近日再次因为未能向消费者提供非定向广告的问题面临欧盟罚款,这次欧盟选择的不是传统的保护数据隐私的《通用数据保护条例》(GDPR),而是打击破坏竞争秩序的《数字市场法》(DMA)。笔者本以为欧盟其实就是为了多罚点款,因为《数字市场法》的更高罚款是《通用数据保护条例》的5倍,但仔细看了对应的法条,发现也不全是这个原因,今天就和大家聊聊这个事情以及我国的相关法规。
基本案情:爱尔兰数据保护机构于2023年1月对Meta处以3.9亿欧元罚款,原因是Meta规定,用户若要访问Meta的平台,必须接受其用户数据被用于定向广告,因此违反了欧盟《通用数据保护条例》。为此,2023年底开始Meta让用户“二选一”,使用Facebook和Instagram时,要么每月支付12.99欧元屏蔽广告,要么接受带有个性化定向广告。但欧盟认为,“二选一”迫使用户同意使用其个人信息,而没有提供非定向广告的选项,又涉嫌违反《数字市场法》。
一、定向广告和非定向广告的区别
有朋友可能会问:使用Facebook和Instagram的服务,为什么要有广告?以国内类似社交平台腾讯微信为例,腾讯的服务是免费的,但其要支持庞大的开发成本和运营成本,必须要有收入才能覆盖成本,所以我们在微信朋友圈、小程序、公众号上都会看到广告,广告的展示和点击都会带来收入,这个问题对Facebook和Instagram来说也是一样。
投放广告也有效率问题,非定向广告是无差别向用户投放的,比如饮料、食品、服装鞋帽这些大众消费品,虽然对每个人都可以投放,但用户转化率未必会很高。如果能用算法对用户进行定向分析,并提供个性化服务,比如通过分析用户的历史行为、兴趣和喜好等信息来确定广告的受众人群,就能使得广告转化率更高更加有效,能够吸引更多的广告主,这就是定向广告。但算法之所以能对用户“定向”,了解到用户的偏好,是因为互联网平台用了用户的个人信息,这又会涉及隐私和个人信息的合规问题。
二、“二选一”在隐私保护上的违法性
目前Meta给欧盟用户的选项有两个:1、交钱不看广告。2、不交钱看定向广告。这里面缺了一个不交钱,看非定向广告的选项。至少根据中国和欧盟的法律,这个缺失都有重大法律风险。
1、我国的法律规定。
向海量用户推荐广告由互联网平台设计的算法系统自动完成,属于自动化决策,我国《个人信息保护法》第二十四条规定:通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。这意味着用户有权选择不接受基于其个人特征的信息推送或商业营销,比如腾讯就提供微信的非定向广告选项,用户可以通过关闭隐私设置里“广告个性化”选项,关闭定向广告推荐。而Meta的“二选一”方案里,没有这个选项。
2、欧盟《通用数据保护条例》规定。
笔者本来以为,对自动化决策,欧盟的规定和我国的《个人信息保护法》相似,但仔细看了下《通用数据保护条例》第22条,还不尽相同。该条有4款规定,大致内容为:
(1)用户有权排除完全基于自动化决策的服务。
(2)在下列情况下,第(1)款不适用:
a. 自动化决策对于合同的订立和履行是必要的。
b. 互联网公司已经依法采取适当措施,提供自动化决策服务时保护了用户合法权益。
c. 用户同意接受自动化决策服务。
(3)在涉及到第 2 款第(a)和(c)项的情况下,互联网公司已经依法采取适当措施,提供自动化决策服务时保护了用户合法权益且允许用户有表达异议的权利。
(4)第 2 款不适用敏感数据。
应该说,这条立法不够好,在学界引发的争议很多,这里的问题是,如果Meta公司据此要求用户在付费屏蔽广告和接受定向广告“二选一”时,你不能据此指责Meta违法。根据以上法条,如果用户点击同意了用户协议,Meta就能投放定向广告,但也有一些限制,比如不能根据敏感数据投放定向广告,以及关键的第(3)款,互联网公司要允许用户有表达异议的权利。
Meta给了用户表达异议权利,如果不接受自动化决策服务,也就是可以选自动化决策服务,也就是定向广告,可以付费屏蔽广告。为了证明“二选一”的合理性,Meta甚至拿出了欧盟法院的判决,称其可以提供不依赖数据收集来投放广告的“替代”服务版本。
虽然就法律的字面意思理解,Meta的行为并不明显违反《通用数据保护条例》第22条,但Meta的“二选一”行为在合理性上确实也存在瑕疵,毕竟整部《通用数据保护条例》都在强调用户作为数据主体对其个人数据的控制权,而Meta的方案剥夺了用户只接受非定向广告的选择。
3、欧盟《数字市场法》的规定
因为传统的《反垄断法》对于大型互联网平台限制不力,欧盟于2022年通过了《数字市场法》,立法目的主要是为了限制大型互联网平台,构建一个数字化的公平竞争环境。《数字市场法》为大型互联网平台规定了守门人的法律地位及众多竞争义务,以确保其不能在竞争中滥用其优势地位。守门人的义务就是《反垄断法》中不得滥用市场支配地位措施的升级版。
针对Meta的“二选一”行为,既然直接适用隐私法有争议,那就适用竞争法。根据欧盟委员会的声明,其对Meta公司调查后认为,该公司涉嫌违反了《数字市场法》第 5(2)条,守门人必须征得用户的同意才能将个人数据整合到指定的核心平台服务和其他服务中,如果用户拒绝同意,他们应该可以选择个性化程度较低但效果相同的替代方案。而Meta的“二选一”模式不符合该条的规定。
具体来说,Meta的模式不允许用户选择使用较少个人数据但功能上等同于“个性化广告”的服务,还排除了用户拒绝对其个人数据进行聚合的权利(也就是Meta可以把不同渠道获取的用户个人信息进行整合并据此推送定向广告)。为了确保遵守《数字市场法》,不同意付费屏蔽广告的用户仍应能够获得使用较少个人数据的等效广告个性化服务。
欧盟委员会的声明中还对此案为什么适用《数字市场法》进行了进一步解释:在线平台通常会收集自有和第三方服务的个人数据,以提供在线广告服务。由于在数字市场中占据重要地位,守门人能够对其庞大的用户群适用服务条款,从而收集大量个人数据。与无法获取如此大量数据的竞争对手相比,这为他们带来了潜在优势,从而为提供在线广告服务和社交 *** 服务设置了高门槛。对此,Meta的意见仍然是:我们是根据欧盟法院裁决的要求设置的“二选一”,所以也不违反《数字市场法》。
最后,现在看下来,欧盟对Meta要求用户“二选一”的处罚倒真不一定全为了罚款,《通用数据保护条例》的立法不够完善容易被钻空子也是原因之一。虽然根据《数字市场法案》, Meta面临的罚款为135 亿美元,为其全球年收入的10%。而根据《通用数据保护条例》,相应行为的罚款上限是54亿美元,为其全球年收入的4%。
(文章仅代表作者观点。)
发表评论