1. 案件走向
2016年3月2日,德国联邦反垄断局(BKartA)宣布针对Facebook涉嫌通过违法处理数据滥用市场地位开启反垄断审查;
2017年12月19日,德国联邦反垄断局发布初步评估报告,认定Facebook从其网站以外的第三方来源收集和使用用户数据属于滥用市场地位的违法行为;
2019年2月6日,德国联邦反垄断局通过一项决定禁止 Meta(前身为 Facebook)在未经用户同意的情况下合并来自不同来源的数据。Meta 对此向杜塞尔多夫高等地区法院提出申诉;
2019 年8月26日,杜塞尔多夫法院应 Meta 的请求裁定申诉具有暂停执行的效力;
2020 年6月23日,联邦最高法院(BGH)应德国联邦反垄断局的请求撤销了这一裁定,并拒绝了 Meta 关于下令申诉具有暂停执行效力的请求;
2021年1月18日,德国《反限制竞争法修正案》生效,该法案引入了全新的19a条,德国联邦反垄断局有权通过认定企业“具有显著跨市场竞争影响力”而颁布各项制裁命令。
2021年3月24日,杜塞尔多夫高等地区法院向欧盟法院提出了总共四项预先裁决申请,并裁定在欧洲法院作出裁决之前暂停本申诉程序;
2022年5月4日,德国联邦反垄断局依据《反限制竞争法》第19a条的规定认定Meta具有“显著跨市场竞争影响力”。
2023年7月4日,欧盟法院应在其 C - 252/21号裁决中进行了部分澄清,主要包括德国联邦卡特尔局在反限制竞争框架内有权解释《通用数据保护条例》的条款;
2024年10月10日,联邦反垄断局发布公告,鉴于 Meta已向杜塞尔多夫高等地区法院撤回申诉,使联邦反垄断局于2019年公布的决定生效,加之Meta已经提交和执行了有效的合规整改方案,已生效的决定也没有了强制执行的必要性,该案件程序结束。
2. Meta合规整改方案内容
总体来看,Meta 提交的合规整改方案主要包含了一个用于管理各种子服务的账户概览功能以及一个用于管理来自第三方网站和应用程序数据的特殊工作流程。从而实现用户有权将用于向他们展示个性化广告的数据限制在他们所使用的服务范围内。
数据保护最小化设置 *© Olena / Adobe Stock
数据保护最大化设置 *© Olena / Adobe Stock
从具体来说,
引入账户概览,以实现各个元服务之间的数据分离
账户概览允许用户自行决定他们希望将哪些子服务(例如 Facebook 和 Instagram)相互关联,并因此允许出于个性化广告目的来进行数据交换。在数据质量不出现重大损失的情况下,服务的单独使用仍然是可行的。
提供“Cookie”设置以分离 Facebook数据和其他数据
德国反垄断局在之前的调查中指出,Meta 通过其所谓的“Business Tools”从其他公司的网站或应用程序获取的数据,用户现在可以在 Facebook 或者Instagram的 “Cookie” 设置范围内决定他们是否希望将其与在该服务中存储的数据进行关联。
Facebook 登录
在此之前,如果用户不想放弃 Facebook 登录,则必须允许 Meta 将所有数据与来自第三方应用程序或第三方网站的数据进行合并。现在用户如果选择不将其 Facebook 数据与其他网站或应用程序的使用数据合并,并同时想要在第三方的应用程序或网站上使用此登录选项,则可以对 Facebook 登录进行例外处理。
简洁的提示信息
Meta用户现在可以快速找到防止不必要的数据关联的相关设置。对于过去同意数据关联的用户,在访问 Facebook 时会显示设计醒目的提示,这些提示分别包含指向新设计的选择工具的直接链接。
目前,Meta 已经开始向其客户提供相关提示。关于账户概览中设置更改的提示在 2024 年 8 月底至 9 月初由 Meta 发布,并在通知区域保持可见长达 60 天;
此外,Meta还会向在 30 天内未与该提示进行交互(忽略或点击)的用户发送提醒邮件。关于 Cookie 设置更改的提示自 2024 年 10 月 7 日起在调用 Facebook 或 Instagram 时以弹出窗口的形式出现,间隔至少七天最多出现三次。
| 账户预览提示 | cookie设置提示 |
前置指南:
Meta 在其隐私政策的开头引入了对用户选择选项的明确提示(https://de-de.facebook.com/privacy/policy/“你如何管理我们使用的信息”)。这包含一个简短的解释文本以及指向账户概览和 “Cookie” 设置的链接。此外,用户给予的同意现在也可以相对容易地撤销。但是相关数据一旦关联将不会再次被分开。
出于安全目的的有限数据关联
在某些特定的情况下,即使没有相应的同意,Meta 也会进行超出各自 Meta 服务范围的数据关联。在这方面,Meta明确表示,将仅出于三个严格限定的目的进行操作:
首先,通过所谓的操作日志中的数据关联应确保 Meta 服务的顺畅运行。
其次,Meta 为所谓的家庭分析关联数据,即准备用于履行报告义务的数据并创建用户统计信息。
第三,超出各自 Meta 服务范围的数据关联也应有助于提高安全级别(例如,通过封锁在 Instagram 和 Facebook 上有违法行为的人的账户)。
Meta承诺,相关数据绝不能出于广告目的与相应的用户档案相连接。通常,它们最迟在预先统一确定的时间段结束后被删除(安全目的、操作日志),或者访问权限在预先统一确定的时间段内受到限制(家庭分析)。
重新设计用户引导逻辑
在德国联邦卡特尔局的要求下,Meta 最终使整个用户引导更加易于理解和可追溯。德国联邦卡特尔局在此之前针对Meta的一些表述或用户引导方式表示反对,认为它们不太透明甚至是引导用户(即所谓的 “欺骗性设计模式”)对大规模的个人数据关联行为给予同意。根据结案报告,Meta 在德国联邦卡特尔局的相应提示下进行了改进:
功能改进:一方面,由于问题明确,用户在操作 “Cookie 设置” 中包含的滑动条时能够迅速了解他们正在做出的决定。另一方面,当用户访问设置菜单时,在默认状态下滑动至隐私的 “默认关闭” 位置。
更精确的表述:不再将合并的对象称为 “信息”,而是 “个人数据” 或 “关于你的活动的信息”,这更具说明力。此外,例如明确传达了如果用户进行特定设置,来自第三方来源的信息将与 Facebook 账户关联。
Meta 虽然不恰当地使用了 “Cookie” 这个术语,但在关键位置对其进行了解释。
此外,在 Meta 所使用的设置对话框中,数据关联方面都在重要位置上进行了体现,以便用户基本上能够评估同意所带来的信息自决风险维度。
表述更中立:例如,带有积极含义的术语 “相关广告” 或 “更相关的广告” 被 “基于我们从其他公司的网站和应用程序中获取并存储的关于你的活动的信息的广告……” 所取代。也不再提及接受 “可选 Cookie” 时的 “改善的用户体验”。
缩短点击路径:例如,在账户概览中显示的账户各自都有一个标有 “移除” 的按钮,以便可以更快地启动所需的账户分离过程。
添加指向解释性文本的链接,以便用户可以更好地了解重要概念。
展示更中性的信息:例如,在从账户概览中删除账户时,警告性问题 “你确定要…… 吗?” 被 “你想要…… 吗?” 所取代。同样,格式为标题的警告 “[账户名称] 将失去对这些以及所有其他关联功能的访问权限:……” 被一个在账户删除标题下的描述性文本所取代,该文本说明将失去对关联功能的访问权限。
3. 总结
在德国联邦反垄断局的指导下,Meta按部就班的完成了相应合规整改。上述整改内容基本主要指向同一个问题,即互联网巨头在其拥有巨大市场份额的情况下,应当如何进一步保证用户使用相关数据产品服务期间对自身个人数据处理状况的充分知情和同意。
对于竞争监管机关而言,互联网巨头依赖自身的强大市场地位不断压缩其他企业的生存空间,将不利于相关市场产生充分竞争,从而损害国内经济的正常发展。
End
