近日，一份涉及Facebook的判决在欧盟引发关注。欧盟法院宣布，只要该国法律允许，消费者保护协会可根据《通用数据保护条例》（GDPR）提起诉讼，即使未事先获得数据主体授权。

据悉，该判决源于德国消费者保护协会针对脸书母公司Meta提起的诉讼。去年12月，协会声称，脸书在向用户提供第三方免费游戏时，未就其游戏平台App Centre如何处理个人数据提供明确解释，涉嫌违反个人数据保护、打击不公平商业行为和消费者保护的相关规则。

对于协会的指控，Meta予以否认。GDPR第80条规定，各国可允许消费者保护协会在相关数据主体的授权下采取行动。脸书援引该条款，以“无人授权”为由提出抗辩。

德国法院认为，消费者保护协会的诉讼是有“充分根据”的，但它也表示质疑——在GDPR生效后，消费者保护协会是否在无人授权的情况下，仍有资格在民事法庭对违反该条例的行为提起诉讼？

考虑到GDPR的执法权掌握在数据保护当局手中，该案提交至欧盟法院。

4月28日，欧盟法院驳回了Meta的主张，并明确判定：在各国立法框架下， GDPR允许消费者保护协会对侵犯个人数据保护的行为提起诉讼，即使数据主体并未提供诉讼授权。

欧盟法院在公开发表的内容中提到，“该判定与GDPR所追求的目标是一致的，即确保对个人数据的高度保护。”

对此，Meta方面表示，“背后的法律程序使得一些悬而未决的问题暴露出来，如今已经被欧盟法院解决。我们将审查该决定并评估其影响。”

值得注意的是，并非所有欧盟国家都赋予了消费者保护协会这种权力。GDPR的某些规定让成员国可以制定额外的规则，使它们在实际执行过程中留有斟酌处理的余地。

也就是说，该判决可能导致整个欧盟出现所谓的“挑选法院”（forum shopping）现象——消费者协会可能选择在更能满足自己诉讼请求的司法管辖区提起诉讼。

尽管如此，欧盟法院的裁决还是受到了法律界的认可。早在2021年12月，欧盟法院的一名首席检察官就曾公开表示，消费者保护协会可以就Meta等公司违反欧盟隐私规定的行为向各国法院提起代表诉讼。

数据保护世界论坛（GRC World Forums）的内容主管罗伯特·贝特曼（Robert Bateman）则称赞该裁决是“消费者群体的重大胜利，我们可能会看到此类代表性诉讼的增加”。在他看来，由消费者组织发起的诉讼比由大型诉讼资助者支持的集体诉讼案件更好，因为后者会大幅削减损害赔偿金。

编译/综合：实习生姬涵雅 南都记者蒋琳

编辑：蒋琳