案例判罚｜巴西针对WhatsApp违规变更隐私政策等行为提起公益诉讼，索赔17.34亿雷亚尔

文摘时事 2024-07-25 17:02 北京

撰文、编辑 / Kaamel Labs

本文亦发表在 Kaamel 官网博客中，点击文末阅读原文可查看相关内容。

7月16日，巴西联邦检察院（Ministério Público Federal，以下简称MPF）与消费者保护协会（Instituto Brasileiro de Defesa do Consumidor，以下简称IDEC）向法院提起公益诉讼，要求判令WhatsApp赔偿因其违规变更隐私政策等行为对巴西用户造成的集体精神损害17.34亿雷亚尔（折合约3.09亿美元），并承担其他民事责任。

据悉，WhatsApp于2021年1月更新了其使用条款及隐私政策。MPF和IDEC认为，WhatsApp更新后的隐私政策用词模糊、界面设置具有诱导性、且强迫用户进行同意，此外，WhatsApp收集和处理的数据远超正常运营所需的范围，并与同样隶属于Meta集团的Facebook和Instagram等网络平台共享，侵犯用户权益。

案件背景

WhatsApp是全球最大的通讯软件，在巴西拥有1.47亿活跃用户、覆盖99%的智能手机，加之其功能在支付、社群、商业交流等领域的扩展，WhatsApp已在巴西的日常生活中无处不在。虽然WhatsApp是一款免费软件，但由于其在社会生活中的普及，其可以轻易收集和处理海量的用户数据、并出售给相关公司，这就导致用户个人数据及相关权利面临极大风险。尽管WhatsApp宣称其采用端到端的加密技术、不会对用户数据权利构成风险，但MPF和IDEC认为该平台的架构使得其负责人仍能够收集、处理并商业化大量个人数据，且其控制者仍可访问仍然能够访问用户电话号码、注册姓名、设备型号、IP地址等信息。

MPF和IDEC经调查后认为，在2021年WhatsApp更新隐私政策后，其相关行为违反巴西《通用数据保护法》（Lei Geral de Proteção de Dados Pessoais，以下简称LGPD）与《消费者保护法》。当年1月开始，打开WhatsApp的巴西用户均会看到一个简短且笼统的隐私政策更新通知，并称自下月起若用户不接受新条款则无法访问该应用，许多用户误以为此是继续使用平台的要求、因而点击了“同意”。变更后的隐私政策内容模糊、混乱并且分散，例如，为理解WhatsApp与其母公司Meta集团数据共享的条款，用户必须访问三个不同的链接。WhatsApp也未在其中具体说明将收集哪些数据以及收集这些数据的目的。甚至，隐私政策中没有提及数据处理的合法性基础，欧盟曾因此对WhatsApp进行过处罚，但此后WhatsApp只在欧盟范围内纠正了该行为、而未给予巴西用户与欧洲用户同等的尊重。此外，变更后的隐私政策还允许WhatsApp收集并共享远超过正常运营所需范围的信息，如个人资料照片、位置信息等。

鉴于WhatsApp的上述行为，MPF和IDEC在巴西国家数据保护局（Autoridade Nacional de Proteção de Dados，以下简称ANPD）不履行其监管义务的情况下向法院起诉，要求判令WhatsApp停止分享服务于Meta集团公司自身目的的数据、向巴西用户提供应用内的退出功能以确保用户能够行使反对不必要数据处理的权利和撤回同意的权利、并支付至少17.34亿雷亚尔作为集体精神损害赔偿金。

法律分析

LGPD作为巴西个人数据保护的基础性规范，在许多方面的规定均与欧盟GDPR类似，例如，LGPD同样规定透明性、必要性、目的限制、准确性等为数据处理的基本原则，数据处理行为的合法性基础有数据主体同意、履行法定义务、控制者或第三方的合法利益等，数据主体享有访问权、更正权、清除权等权利。

MPF和IDEC认为，WhatsApp的部分行为：

（一）违反透明性原则、侵犯用户的访问权

LGPD第6条第VI项要求确保数据主体能够轻易获得有关数据处理及处理方的清晰、准确的信息。同时，第9条规定了数据主体的访问权，即数据主体有权访问有关其数据处理的信息，包括处理目的、处理活动的形式与持续时间、控制者相关信息、共享数据的情况、数据主体的权利等，这些信息应以清晰、适当、明显的方式提供，并可轻易被数据主体获取。

本案中，WhatsApp并未满足这些要求。

其一，WhatsApp在向用户发送弹窗告知隐私政策的变更时，所用字词模糊而笼统、不易于用户理解。在弹窗中，WhatsApp仅提示了隐私政策的变化包括“WhatsApp服务及我们如何处理您的数据”“企业如何使用Facebook的托管服务来存储和管理他们在WhatsApp上的对话”以及“我们与Facebook的合作关系如何促进Facebook公司的产品之间的集成”，而未明确告知用户其将收集哪些类别的数据、处理数据的目的、处理数据的合法性基础、这些数据将与谁共享等基本信息，违反了LGPD规定的透明性原则。

其二，WhatsApp对该弹窗进行了特殊设计，以引导用户点击“同意”。一方面，弹窗中虽未有隐私政策变化的具体内容，但已经存在了“同意”按钮，且使用了大写字母和醒目颜色；另一方面，用户必须点击“重要更新”链接、离开应用程序进入WhatsApp制作的网页，才能够了解变更后的隐私政策内容。在这种情况下，WhatsApp成功诱导了大量巴西用户在未了解具体内容的情况下接受了隐私政策的变更。

其三，WhatsApp提供的“重要更新”链接分散且含糊不清，即便用户访问该链接，从中获取隐私政策变更的具体信息也十分困难。一方面，在该链接中，隐私政策的更改并未被清晰地展示，而是分散在文本中的几十个超链接之后；另一方面，这些链接仍未能描述说明数据处理的所有细节，例如文本中使用“其中包括”这类表明非详尽列出的表达方式，而并未说明用户数据是否会被用于在Meta集团其他平台上投放定向广告。

（来源于MPF官网）

（二）不存在合法性基础

LGPD第7条规定了处理一般个人数据的合法性基础，存在合法性基础是处理个人数据的前提。

本案中，WhatsApp并未向用户说明其数据处理行为是基于何种合法性基础。虽然LGPD并未明确规定这一要求，但其在多个条款中均有所反映，例如LGPD第9条关于数据主体访问权的规定，要求相关信息以清晰适当的方式提供、以备数据主体进行访问，其中就包括处理数据的具体目的，然而，如果数据主体不了解处理个人数据的合法性基础，其就不能理解处理的目的。

根据ANPD调查的文件，可以推断WhatsApp向ANPD表示，其处理行为的合法性基础为合同执行（LGPD第7条第V项）和合法利益（LGPD第7条第IX项），但此二者均不满足。其一，根据LGPD第7条第V项，当数据处理对于合同的履行或与合同相关的初步程序是必要的，应数据主体要求，可以进行数据处理。然而，WhatsApp在更新后的隐私政策中所列举的多种数据处理行为，尤其是用于个性化推荐与投放定向广告的操作，对履行其与用户之间的合同并不必要，因为WhatsApp仅提供即时通讯服务。其二，根据LGPD第7条第IX项，当数据处理对于实现控制者或第三方合法利益是必要的，可以进行数据处理，除非为保护数据主体的基本权利和自由。LGPD第10条进一步定义了合法利益，包括“支持和推广控制者的活动”和“在尊重数据主体的合法期待及其基本权利和自由的前提下，保护其权利的正常行使或提供对其有利的服务”，并规定控制者须确保基于合法利益的数据处理的透明度。然而，WhatsApp没有向用户告知该合法性基础，其在收集的数据中也包括了敏感个人数据、而合法利益不是处理敏感个人数据的合法性基础，并且WhatsApp的许多数据处理行为——如向Meta集团其他公司共享用户数据——均非必要、存在控制者利益与数据主体合理期待之间明显的不平衡。

此外，WhatsApp也不能援引数据主体同意作为其数据处理行为的合法性基础，因为用户的“同意”存在瑕疵。根据LGPD第7条第I项，取得数据主体同意的，可以进行数据处理。而LGPD定义的同意是指“数据主体在知情且自愿情况下作出的、表明其同意将个人数据用于特定目的的明确表示”（LGPD第5条第XII项）。LGPD第8条还进一步规定，书面合同中包含同意的条款应突出显示，同意必须针对特定目的，存在瑕疵的同意不能作为合法性基础。WhatsApp在收集用户同意时存在两处瑕疵。一是WhatsApp提供的信息模糊、笼统，无法认为用户是在知情的情况下作出同意，并且没有提及具体目的。二是WhatsApp在通知用户的弹窗中表示，若用户在下月初之前不点击“同意”则无法继续使用WhatsApp，时值新冠全球大流行，大量用户依赖通讯软件与亲友保持联系、与供应商进行沟通、以及获取有关卫生状况的最新资讯，因此在实践环境，WhatsApp此举无异于迫使用户同意更新后的隐私政策。

（三）违反必要性原则

LGPD第6条第III项规定，数据处理应遵循必要性、最小化原则，即对个人数据的收集和处理应限于实现处理目的所需的最低限度，处理的数据必须与处理目的相关、且是适当的。

本案中，尽管WhatsApp对数据处理过程和处理目的的表述相当模糊，但基于其自身提供的有限信息来看，其收集、处理和共享个人数据的范围也明显远超正常运营所必须。

在WhatsApp隐私政策文档列出的被使用的数据清单中，包括了诸如账户状态数据、支付数据等由用户主动提供的数据；在自动收集的数据清单中，甚至包括了如用户头像、用户名、设备型号、睡眠时间、手机使用时长、位置信息等；对于WhatsApp将与Meta集团其他公司分享的数据，文档并未提供一份清单，而仅提及一些类型，如账户注册信息、交易数据、与服务相关的信息、与WhatsApp互动的信息、移动设备数据以及IP地址等，还表示“也可能分享”一些其他信息。隐私政策文档中多次使用“诸如”等示例性用语，为WhatsApp收集以及向Meta集团其他公司分享用户个人数据创造了巨大的空间。

对于WhatsApp收集、处理和共享个人数据的目的，隐私文档使用的表述十分模糊，难以使数据主体理解。更有甚者，WhatsApp向巴西用户提供的隐私政策文本中，对数据共享目的的描述相比实际范围也大大缩小。WhatsApp隐私政策的葡语版本说明数据共享的目的仅是展示Meta集团产品的广告，而英文原版则承认其目的是通过Meta集团的平台展示广告。这使得巴西用户的个人数据被过度地使用，却没有向巴西用户充分传达。

（四）侵犯消费者权利

巴西《消费者保护法》第39条规定了产品或服务供应商被禁止的滥用行为，其中第IV项为利用消费者的弱点或无知强行向其推销产品或服务，第V项为要求消费者提供明显过度的利益；第51条规定了合同条款无效的情形，其中第IV项为条款规定使消费者处于明显不利地位，或者违背诚信和公平原则。

WhatsApp的行为显然违反了上述条款：更新后的隐私政策信息模糊、分散，剥夺了消费者的知情权、使消费者接受了其服务；更新后的隐私政策允许WhatsApp过度地收集用户数据、与Meta集团其他公司共享数据，使其过度地从中获利；时值新冠全球大流行，WhatsApp要求消费者必须在一定期限内接受隐私政策的变更否则将无法继续使用，使消费者明显处于不利地位、不符合公平和诚信原则。

（五）区别对待巴西用户与欧洲用户

巴西个人数据保护立法与欧盟极为相似，但WhatsApp对于巴西用户和欧洲用户却存在明显的区别对待。

经过欧盟数据保护机构一系列制裁之后，WhatsApp仅对适用于欧洲用户的隐私政策作出了相应调整。例如，欧洲适用隐私政策文本已经进行了三次更新，每次更新中对数据处理的描述都更加清晰易懂，并且，在欧洲地区适用的隐私政策文本中WhatsApp说明了数据处理的合法性基础等关键信息、明确禁止Meta公司出于自身目的使用WhatsApp共享的个人数据。对于巴西用户，WhatsApp则没有提供同等的保护。

合规启示

目前，各国在个人数据保护领域执法与司法的严格程度都在不断提升，对隐私合规提出了更高的要求，出海企业必须加以重视，积极采取相应措施确保自身行为符合法律规定。

在制定并执行隐私合规措施时，出海企业需要着重考虑如何遵循数据处理的原则、保护数据主体权利、以及跨境数据传输的要求。并且，全球数据保护立法不断趋同，通常解决了隐私合规的核心共性问题，即可应对多数国家的监管要求。

本案体现出企业应当注意的共性问题有：

（1）透明性。企业向数据主体提供的数据处理相关信息必须是具体、明确、易于理解的，以保护数据主体的知情权。还需特别注意文本的可读性，若通过超链接将文本进行叠加和嵌套，可能会被监管机构认为增加用户理解成本、不满足透明性要求。

（2）必要性。企业收集和处理的数据必须限于实现数据处理目的的最小必要范围。

（3）同意的有效性。仅知情、自愿情况下作出的明确、具体的同意，才可以作为数据处理行为的合法性基础。

（4）合法利益的认定。企业存在合法利益，通常是进行数据处理的合法性基础，但是，监管机构承认的“合法利益”的范围通常较为狭窄，企业以此为合法性基础的，必须具备充分理由。

（5）数据共享。企业集团之间可能存在共享用户个人数据的需求，但共享数据的行为必须严格满足合法性基础的要求。涉及跨境数据传输的，还须满足相关规定。

（6）同等对待。在多个国家和地区经营的企业，需要确保其在各地的数据处理行为满足当地监管要求；不同国家或地区在个人数据保护方面存在类似规定的，企业需要确保相关数据主体被同等对待，以免因同一行为导致多次处罚。企业应当尤其注意这一点，对此，我们建议企业对同一类型的合规要求，在不同区域应尽量采取一致的合规措施、提供相同水平的隐私保护；若在不同区域提供的产品或服务有所差异，则要对这些差异做出考虑、并根据当地监管要求采取适当的合规措施。