撰文、编辑 / Kaamel Labs
本文亦发表在 Kaamel 官网博客中,点击文末 阅读原文 可查看相关内容。
2024 年 4 月 17 日,欧洲数据保护委员会(“EDPB”)发布了新的指南Opinion 08/2024,该指南就大型在线平台实施的“同意或付费”模式中的“有效同意”提出了意见,指出此类模式通常不符合欧盟通用数据保护条例(“GDPR”)的要求,尽管其使用应当根据具体情况逐案考虑。
该指南是应荷兰、挪威和德国数据保护机构的请求而制定的,此前 Meta 在其 Facebook 和 Instagram 平台上使用了该模型(此前,Kaamel 就 Meta 的“同意或付费”模式分别发布了"让用户为自己隐私付费? BEUC 针对 Meta 的付费订阅提出质疑"和“付费才能去掉广告?多国监管机构对 Meta 提出质疑“,如果读者有兴趣欢迎阅读)。指南中考虑了“同意或付费”模式的使用,即用户被要求同意出于行为广告目的处理个人数据。指南还指出:“在大多数情况下,如果大型在线平台仅向用户提供同意处理行为广告目的个人数据或支付费用的二元选择,将无法符合有效同意的要求”,并补充说,这不应该是控制者采用的默认方法,控制者应该考虑提供一个不需要支付费用的“等效替代方案”。
接下来,本文将就该指南的主要内容进行分析。
基础概念
“同意或付费”模式:控制者为数据主体提供至少两种选择,以便数据主体获得控制者提供的在线服务的访问权限,即数据主体可以同意出于特定目的处理其个人数据,或拒绝同意数据处理但支付费用以获得对在线服务的访问权限。本指南重点关注同意出于行为广告目的而处理个人数据的模式。
行为广告:一种特别具有侵入性的广告形式,基于通过观察用户长期活动而收集的数据,企业推荐有关用户信息,并得出用户的偏好、品味和兴趣的结论,从而为数据主体提供基于这些个人资料的个性化广告,并分析用户与个性化广告的互动。
“大型在线平台”:通过以下因素评估一个在线平台是否属于大型在线平台。首先,是否吸引大量数据主体作为其用户;其次,公司在市场中的地位如何;再次,该平台是否进行“大规模”数据处理,包括有关数据主体数量、数据量、处理活动的地理范围等;最后,还包括 DSA (Digital Services Act)规定的“超大型在线平台”的某些控制者和 DMA (Digital Markets Act) 规定的“守门人”。
“同意”的相关规定
GDPR 有关“同意”的规定
1.GDPR 第 4 (11) 条“同意”的定义:数据主体依照其意愿自愿作出的、具体的、知情的及明确的确认意思表示。其通过声明或明确肯定的行为作出这种意思表示,表明其同意对其相关的个人数据进行处理。
2.GDPR 第 6 (1) (a)条,数据主体的同意是处理个人数据的合法依据之一。
3.GDPR 第 5 条的数据保护原则(合法性、公平性和透明性,目的限制,数据最小化,准确性,存储时限,完整性和保密性)以及 25 (2) 条设计和默认的数据保护原则,默认情况下仅处理对特定处理目的所必需的个人数据,且数据不可被其他人访问。
4.GDPR 第 7 条和序言 (32) (42) (43) 条规定了控制者如何遵守同意要求的主要因素:首先,控制者应能证明数据主体已经同意处理其个人数据,这与 GDPR 第 5 (2) 条的问责制相联系。其次,如果数据主体的同意是在涉及其他事项的书面声明中作出的,应当以与其他事项显著区别、易于理解和获得、使用清晰易懂的语言的形式呈现,且该声明中违反 GDPR 的任何部分都不具有约束力。再次,数据主体在同意之前应当被告知有随时撤回同意的权利,撤回同意不得影响之前的合法处理。撤回同意和作出同意应同样简单。最后,应确保同意是自愿作出的,当数据主体和控制者之间地位明显不平等时,同意不能作为处理数据的有效法律依据。如果不允许对不同处理目的分别作出同意或某合同的履行(服务的提供)以同意处理不必要的个人数据作为前提,就应推定数据主体的同意并非自愿作出。
其他法律规定
该指南中的“同意或付费”模式可能在其他欧盟法律文件中有少量重叠部分,此时应当参考这些法律,以保证欧盟法律体系的正常运转。比如《电子隐私指令》第 2 (f) 条规定的“同意”与 GDPR 中的“同意”对应。DMA第 5 (2) 条的守门人规则中的“同意”也指的是 GDPR 中的“同意”。该指南的一些规定还涉及消费者保护法、竞争法和反不公平商业行为指令(2005/29/EC)、数字内容指令(2019/770)的内容。此外,DSA 规定了在线平台提供商和超大型在线平台提供商的具体义务,配合本法案,可一同完善欧盟关于在线平台方面的法律体系。
联邦卡特尔法院判决摘要
1.法院判决的问题是“在线社交网络用户对在市场上占据主导地位的网络运营商处理其个人数据的同意是否可以被视为满足 GDPR 规定的有效同意,特别是同意必须是自由作出的这一条件?”
2.法院指出,在线社交网络提供商的主导地位并不妨碍用户对提供商处理其个人数据作出有效同意。但是法院同时强调,支配地位是决定用户同意是否有效的重要因素,特别是同意是否是自由作出的。因为支配地位容易影响用户的自由选择,用户可能无法在不受损害的情况下拒绝或撤回同意,并且支配地位可能造成控制者和主体之间的明显不平等。
3.数据处理的规模、该处理对用户的重大影响、用户的合理期待是案件中需要评判的重要因素。
指南的主要内容
一、同意的原则
在“同意或付费“模式中,控制者取得数据主体同意应当遵守以下 GDPR 规定的原则。
1.必要性原则和相称性原则:由目的限制和数据最小化原则引申而出,控制者仅限于收集与目的相关且必要的内容。控制者要确定是否需要处理个人数据,并验证相关目的是否可以通过侵入性较小的手段或通过处理较少的个人数据实现。同时,应当考量处理的规模和侵入性,防止出现为行为广告目的之外的过度跟踪。
2.处理数据的行为应坚持公平原则,包括符合数据主体的合理期待、禁止控制者歧视数据主体或利用其需求漏洞、避免权利不平衡、避免欺骗性或操纵性的语言或设计。当处理行为极具侵入性时,应当考虑到处理对主体权利和尊严的更大的影响,提供给主体最高程度的自主权。在评估“同意或付费“模式时,如果控制者缩小了数据主体的选择范围或有可能不当影响数据主体选择风险,公平性可以作为控制者行为的试金石。
3.透明度原则。
4.保护原则和默认数据保护原则。
5.问责原则。
6.儿童的特别保护:儿童不应受到行为广告的影响,即儿童不应面临“同意或付费“模式的选择。
二.同意的有效性
(一)自愿同意
a.同意是明确表明数据主体意愿的方式,而自愿作出则决定了处理的合法性。
b.控制者必须保证数据主体作出同意决定时有真正的选择自由,不能通过给拒绝选项设置障碍来限制数据主体的自主权(与 GDPR 数据主体对数据的控制权相联系)。数据主体不应受到欺骗性设计的影响且应有被处理数据的知情权。
c.任何欺骗、恐吓、胁迫等使数据主体无法行使自由意志的情况下,数据主体作出的同意都不是自愿的。此外,如果数据主体不愿承担数据处理可能产生的负面后果,那么同意无效。
d.数据主体的同意是否有效的主要考虑因素如下:数据主体是否因不同意或撤回同意受到损害;数据主体与控制者之间是否存在权利失衡;获取商品或服务是否必须同意不必要的条件(条件性);数据主体是否能够同意不同的处理操作(粒度性)等。
e.对有效性的判断应当个案进行。
1.提供没有行为广告的免费替代方案
保障数据主体的选择自由的重要前提是控制者提供给用户的选择。
1)仅提供付费替代服务不能作为控制者的默认做法,控制者应当提供免费的无行为广告的等效替代方案,以避免用户只能在同意处理行为广告数据和付费不处理之间进行二元选择,保障同意是自愿的。
2)免费等效替代方案应当不涉及为行为广告目的处理数据,可以提供处理较少个人数据的不同广告形式的服务,例如上下文广告或一般广告。控制者应确保该方案仅处理投放此类广告必需的个人数据。
3)评估数据主体的自由选择权和同意的有效性时,控制者是否提供无行为广告的免费替代方案是极其重要的考量因素。该方案可以消除、减少或减轻拒绝同意的用户不得不支付费用才能访问服务的损害。
4)在权力失衡时,该种替代方案是控制者证明“不同意不会对数据主体产生不利后果”的重要方式。
5)控制者应当让数据主体可以直观明确地知悉每种选择的不利后果,避免不公平的欺骗性设计。
6)应当考虑到 DMA 或 DSA 下“守门人”规则的特别规定。
2.损害
控制者应证明数据主体拒绝同意或撤回同意不会受到损害。具体的损害类型如下:
1)用户本可以不支付费用或不同意行为广告而长期使用某项服务。但如今没有免费替代方案,用户面临金钱损害或无法继续使用服务的损害。尤其是存在锁定效应或网络效应的大型在线平台中,中途引入“同意或付费”模式,对老用户来说存在更大损害。
2)网络效应可能使用户更难在不遭受任何负面后果的情况下决定不访问该服务,这对于依赖用户生成内容或用户之间交互的平台更明显,比如视频分享平台或社交网站等。用户往往更愿意被追踪,以便与其亲朋好友或偏好的用户进行在线互动。锁定效应下的用户已经使用了该平台一段时间,难以割舍在平台上的痕迹,放弃使用该平台将产生无法弥补的较大的损失,比如交流信息、图像、视频、个性化数据库等材料。使用时间越长,锁定效应的影响越大。
3)如果用户无法使用其日常生活息息相关或有突出作用的某些服务,就会遭受损害。比如社交平台、经济政治等重要论坛等。这些社交媒体提供的服务对用户的社会生活具有决定性意义。
4)如果用户无法使用专业或就业平台,也会遭受损害。这使其丧失平等的就业机会,无法关注其工作领域的重要发展。
5)即使用户不再有权访问服务,控制者也应当保证并告知用户享有 GDPR 规定的数据主体权利,比如访问和移植其个人数据的权利。
3.权力失衡
1)GDPR 序言 (43) 指出,为了确保同意是自愿作出的,在数据主体和控制者存在明显不平衡的特定情况下,同意不能作为处理个人数据的有效法律依据,尤其在控制者是政府机构时。控制者和数据主体权力地位明显失衡时,数据主体可能会有压迫感,从而作出不情愿的选择。
2)此时同意只能在“特殊情况”下使用,根据问责原则,控制者可以通过证明数据主体选择不同意不会承受不利后果,尤其是控制者提供了同意或付费之外的等效替代方案时,同意应视为有效。
3)控制者可以通过以下非充分必要因素评估是否处于权力失衡状态:一是公司在市场中的地位,比如控制者是政府机构或雇主等处于支配地位的公司,失衡会加剧。但支配地位并不当然导致同意无效。二是是否还存在其他因素导致数据主体体验到没有其他现实的替代服务可供使用。三是权力失衡的标准和损害的标准紧密相连,应当结合起来评估,比如是否存在网络效应或锁定效应。四是数据主体对所提供服务的依赖程度。如果某服务被认为是日常生活、就业、公共辩论必不可少的,那么用户的选择实际上是有限的。五是平台的目标受众或主要受众。如果平台主要针对儿童或其他弱势群体,也会导致权力失衡。
4.条件性
1)根据 GDPR 第 7 (4) 条,评估是否自愿同意时,应最大限度地考虑是否要求数据主体同意客观上不需要的处理活动才能获得服务。这类服务不是有条件的服务。
2)联邦卡特尔法院的判决指出,如果数据处理操作对履行合同不是严格必要的,控制者必须提供不附带此类数据处理操作的等效替代方案(如有必要,用户需支付适当费用)。这可以避免违反条件性而导致无效同意。
(1)提供“等效替代方案”
a)定义:等效替代方案指的是同一控制者提供的现有服务的不涉及同意为行为广告目的处理个人数据的替代版本。
b)差异度:如果两个版本之间的差异在无法为行为广告目的处理个人数据导致的必要限度内,可视为等效。
c)功能、质量:“等效”具体指向功能和质量两个方面的相同性。如果替代版本包括原版本相同的元素和功能,则存在等效性。两版本不必完全相同。同理,如果替代版本的质量没有不同或降低,那么两版本可能被认为是等效的。一般来说,也不应当在替代版本中提供额外的功能或提高质量来影响等效性。
d)“不伴随此类数据处理操作”的等效替代方案,包括不对数据用户进行初始追踪,也不提供基于其个人数据的个性化广告推荐等一系列作为控制者为行为广告目的处理的先决条件的操作。除非控制者在替代版本中出于行为广告目的以外的目的进行跟踪。
(2)“如有必要,需支付适当费用”
a)个人资料不能作为可买卖的商品。此处的“必要”和“适当”不能被解释为违反《宪章》和 GDPR 数据保护原则。
b)控制者应当在个案基础上评估费用是否合适,以及在特定情况下多少金额为适当,并考虑 GDPR 规定的有效同意和防止数据基本权利被转化为付费服务或奢侈品的规定。
c)控制者应确保收费不会妨碍数据主体拒绝同意或被迫同意。费用的收取应当尊重数据主体的自主选择权。
d)应当特别注意 GDPR 第 5 条的数据保护原则,如公平性原则和问责原则。
e)原则上由控制者自行设置收取的费用,但若监管机构认为收费违反自愿同意或问责原则,可以干预并强制纠正。执行 GDPR 的实施是监管机构的任务,评估同意有效性的任务不可以外包,但可以与其他机构合作、磋商。
5.粒度性
在“同意或付费”模式下,不同处理目的应当充分分离,数据主体应当能够自由选择他们接受的单个目的,而不是必须同时同意一堆处理目的。大型在线平台的行为广告的同意粒度性更加复杂、动态,应当重点关注。
(二)知情同意
GDPR 序言 (42) 指出,“对于应当知情的同意,数据主体至少应知晓控制者身份和处理个人数据的拟定目标”。否则用户无法作出明智的决定,同意将被视为无效。因此,应当告知数据主体影响其选择的关键因素以及某些必要补充信息,让数据主体能够真正理解面临的处理操作。
考量知情同意的因素不仅包括一般性的透明度、公平性、问责原则等,还要求以下涉及提供的信息的水平和质量的因素:
1.被告知同意的内容:
基于问责原则,控制者有义务模拟并记录信息处理过程,是数据主体对其可能选择的价值、范围和后果有充分清晰的理解。GDPR 序言 (42) 仅要求告知最低要求的控制着身份和处理目的信息,不要求详细描述。
大型在线平台使用“同意或付费”模式时,应确保其用户明确知悉处理活动及其变化和影响。比如提供足够细粒度的信息,才能让数据主体充分了解同意了哪些方面的服务,并保留不同意其他服务的可能性。大型在线平台不能要求数据主体同意目的未适当定义或含糊不清的处理,描述目的时应当同时包括处理为数据主体带来的好处和不利后果。需要提供的信息应当与提供的选择一致,并应当告知数据主体分析其个人数据采用的技术,坚持公平透明处理原则。最后,控制者应在版本更新时提供新版本的信息,并公开其处理个人数据的法律依据。
大型在线平台提供信息时需特别注意以下几点:个人数据的接收方;个人数据被转移到第三国的事实以及将被存储的期限;无论主体同意与否,控制者都会收集和处理的数据;数据主体随时撤回同意的权利和后果;数据的组合或交叉使用。
2.如何提供信息
1)时间:应在为行为广告目的处理数据之前提供完整的信息,同时应留给数据主体足够的时间理解他们接收到的信息。
2)方式:禁止采用欺骗性设计方式。
3)透明度:应遵守 GDPR 下的透明度指南。语言清晰易懂且简洁。表达清楚数据主体的选择导致的个人数据处理的后果。可采取多元渠道提供信息,包括但不限于视频、交互式界面、用户测试等。
(三)具体同意
所谓具体,是指大型在线平台应当有具体、明确、合法的目的才能处理个人信息。平台应当就这些目的提供足够、准确的信息,避免目的逐渐扩大或模糊(功能蠕变)。具体同意受到粒度性、知情同意以及相关基本原则的约束。
(四)明确表示意思
根据《通用数据保护条例》(GDPR)第 4 条第 11 款的规定,同意要有效,必须是数据主体的意愿的明确表达。通常情况下,数据主体单一行动不能表示其明确同意了所有目的,应当通过声明或积极的行动表示同意个人数据处理。在“同意或付费”模式中,用户同意访问免费服务时,只表示其同意该服务所需的处理活动,其他目的需要用户主动选择。同时,应避免使用含糊不清的信息或设计,确保提问准确透明,不将同意处理个人数据仅视为避免支付费用的手段。
三.额外因素
(一)撤回同意
其一,数据主体有权随时撤回同意,并且撤回应当与作出同意一样轻松无害。如果撤回时受到损害,同意将被视为自始无效,数据应被删除。其次,控制者有告知数据主体有权撤回同意以及告知其如何撤回。其三,撤回同意不能导致用户自动进入付费选项。具体来说,撤回和同意一样应当自愿作出,符合同样的自由选择以及损害标准。其四,用户付费构成了撤回同意,但终止付费不等同于作出同意。其五,撤回同意之前的数据处理操作时合法的,控制者只需在撤回后停止处理,除非有继续存储数据的正当理由,控制者应当立即删除数据。
(二)重新获得同意
控制者应当根据上下文、原始同意的范围、数据主体的期望等因素评估多久重新获得用户同意。该指南给出的意见是针对在线行为广告的处理,控制者重新获得用户同意的频率是一年一次。
合规建议
该指南针对大型在线平台运营的以行为广告为目的的“同意或付费”模式下的数据处理。多数情况下,如果大型在线平台只提供“同意使用个人数据”或“(不同意但)付费”的二元选择,就不可能遵守“有效同意”的的要求,所以大型数据平台必须提供免费的等效替代方案。此外,个人数据不是可交易的商品,控制者应当防止保护数据的基本权利变为数据主体必须付费才能享受的功能。因此,重点要评估面临“同意或付费”模式的数据主体是否能够行使真正的自愿选择,并考虑到欺骗、恐吓、胁迫或重大负面后果的风险,或者是否存在任何强迫、压力、权力失衡或无法行使自由意志的因素。并且,同意必须符合粒度性、条件性、问责原则、明确具体等才有效。最后,指南强调,获得有效同意不能免除大型平台在 GDPR 的其他规则和原则,比如目的限制和数据最小化、公平性、数据保护原则、默认数据保护等等。
Kaamel 的应对
