当地时间10月13日消息，爱尔兰数据保护委员会（The Irish Data Protection Commission，DPC）在一份决定草案中向欧盟提议，因其数据处理缺乏清晰度和透明度，要求对Facebook处以2800万至3600万欧元的罚款，并在三个月内整改完成。目前，该草案已发送给其他监管机构征求意见，其将在一个月内作出回应。

据报道，2018年5月，非营利数字权利组织NOYB的数据保护活动家马克斯·施雷姆斯（Max Schrems）向奥地利数据监管机构就Facebook提起投诉，指控其强制要求用户同意服务条款，并对其处理个人数据的合法性表示质疑。后来，该投诉转交于爱尔兰数据监管机构，同时针对Facebook展开十多项调查。

欧盟于2018年5月出台的《通用数据保护条例》（简称GDPR）对数据主体的“同意”做出过明确定义，即数据主体依据其个人意愿，自由、明确、知情并清楚地通过陈述或积极行为表示对其个人数据进行处理的同意，同时将同意作为个人数据处理的合法要件之一。

据悉，决定草案针对投诉所质疑的核心问题——用户接受Facebook关于数据处理的服务条款是否意味着接受GDPR中的同意协议作出了判定。

决定草案显示，Facebook没有义务以GDPR的同意协议作为处理个人数据的法律依据，因为它通过将用户与Facebook之间达成的数据使用协议解释为“合同”而非同意协议的做法，使GDPR有关同意的规定不再适用于Facebook。

这也意味着，Facebook凭借此可将拥有的全部用户数据用于其各种服务，比如广告和在线跟踪，并且不再需要征得用户的自愿同意或给他们随时撤销同意的机会。而草案对Facebook此举予以认可。

这一判定引发了施雷姆斯的不满，他认为，Facebook以合同代替同意协议的行为明显是为了绕过GDPR相关规则的约束，一旦这种做法被接受，任何公司都可通过将数据处理写入合同来使未经用户同意的数据使用行为合法化。

“这绝对违背GDPR明确禁止在条款和条件中隐藏同意协议的意图。”施雷姆斯指出，自罗马时代开始，这种以“重贴标签”绕行法律的行为就是非法的，就好比出售可卡因的时候，不可能通过在账单上写“白色粉末”就绕过毒品法律——“似乎只有爱尔兰的DPC会中招。”他说。

此外，施雷姆斯认为决定草案的这一判定可能与Facebook及DPC之间自2018年春节开始的十次秘密会议有关。在他看来，DPC作为监管机构正在为Facebook开“绿灯”，它已不是监管机构，而是成为了大型科技企业的顾问。

值得注意的是，DPC提议对Facebook处以高额罚款的根本原因在于，Facebook未能充分告知用户其数据的处理方式。决定草案显示，DPC的调查结果表明Facebook违反了GDPR中“数据主体以合法、公平和透明的方式处理”等有关数据透明度和公开度的要求。

南都·隐私护卫队梳理发现，去年12月，DPC因Twitter未能及时申报和正确记录数据泄露而处以45万欧元的罚款；今年9月，WhatsApp因处理用户个人信息不够透明而被DPC罚款2.25亿欧元。有媒体推测，爱尔兰对Facebook的决定可能招致其他监管机构的反对，最终给予Facebook更严厉的处罚。

综合/编译：南都个人信息保护课题组研究员 樊文扬

编辑：蒋琳

本文作者

樊文扬

3643W

南方都市报记者