撰文、编辑 / Kaamel Labs
本文亦发表在 Kaamel 官网博客中,点击文末 阅读原文 可查看相关内容。
意大利反垄断机构竞争管理局(Autorità Garante della Concorrenza e del Mercato,AGCM)于 2024 年 6 月 5 日宣布,对 Meta 处以总计 350 万欧元的行政罚款。据了解,AGCM 在调查中发现 Meta 旗下的社交平台 Facebook 和 Instagram 存在违规收集用户数据的行为,AGCM 认为这些违规行为构违反了意大利《消费者法典》(Codice del consumo)第 20 条、 21 条和 22 条的规定,对 Meta 作出了罚款,同时禁止其继续进行这些违规的商业行为。
案件背景
互联网时代,社交媒体平台已成为人们生活中不可或缺的一部分。Meta 作为全球社交媒体行业的领头羊,通过其旗下的 Facebook 和 Instagram 等社交媒体平台,影响着数十亿用户的信息获取和社交互动。Meta 的全球用户基础庞大,其收集和分析用户数据的能力,可以为广告商提供精准的用户定位服务,从而个性化地推送广告等商业信息。这种基于收集用户的行为和偏好数据进行分析的业务模式,虽然为广告商带来了效率,但也引发了对个人隐私的担忧。AGCM 在收到一些投诉后,对 Meta 的不当商业行为进行了深入的调查,在调查中发现了 Meta 的多项违规行为。
AGCM 的调查发现,Meta 在 Instagram 注册过程中,未能明确、及时地告知用户其个人数据将会被用于商业目的,例如向用户推送个性化广告等。虽然注册流程中包含了数据使用的条款,但这些信息的呈现方式并不明显,也没有清晰地指出数据的商业用途。这种不透明的数据处理方式违反了用户的知情权,可能导致用户在不知情的情况下同意对其数据的商业化使用。此外,Meta 在暂时或永久关闭用户账号时,未能充分给予用户提前通知和合理的解释,也未能适当提供争议解决途径。AGCM 发现,在遭遇黑客攻击或其他认证问题时,Meta 未能提供有效的账户恢复支持。这不仅影响了用户的社交媒体体验,也显示出 Meta 在账户安全和用户支持方面的不足。AGCM 认为,这些行为违反了意大利消费者保护法中关于信息透明度、消费者权益保护以及合同公平性的相关规定。
鉴于上述情况,AGCM 认为 Meta 违反了意大利《消费者法典》第 20 条、第 21 条和第 22 条的规定,并对其处以 350 万欧元的罚款。该项处罚决定对 Meta 在意大利的业务产生了负面影响,一些意大利用户表示,他们将考虑减少使用 Meta 的产品和服务。
法律分析
除了适用欧盟全境的 GDPR 之外,在个人数据保护的立法方面,意大利宪法、《数据保护法》以及在此基础上制定的《个人数据保护法典》构成了意大利个人数据保护法律体系的基石,而其他部门法如《电子商务法》和《消费者法典》则是针对不同场景下的个人数据保护作出相应的规定。《消费者法典》作为部门法典的一部分,其主要目的是保护消费者的权益,可以专门适用于消费者权益保护场景下的个人数据保护。意大利《消费者法典》的第 20 条、第 21 条和第 22 条分别对不公平商业行为、欺骗性行为以及误导性遗漏作出了规定,同时明确禁止企业在商业活动中违反规定作出这些行为。
(一)不公平商业行为
《消费者法典》第 20 条明确规定,如果商业行为违背了职业谨慎原则,并且构成虚假行为或可能对消费者行为产生重大误导,那么这一行为即被视为不公平商业行为。不公平商业行为包括误导性的行为(第 21、22 和 23 条所述)和 攻击性的行为(第 24、25 和 26 条所述)。法律禁止企业进行不公平的商业行为。
AGCM 认为 Meta 构成不公平商业行为的问题主要体现在两个方面:一是 Instagram 用户注册过程中,未明确告知用户数据使用目的,这有悖于职业谨慎原则,可能导致消费者在不完全知情的情况下做出注册决策。二是在用户无法再访问其账户的情况下,Meta 没有提供足够且有效的帮助来恢复账户,这可能导致消费者无法充分采取行动保护自己的权利。
(二)欺骗性行为
《消费者法典》第 21 条定义了欺骗性行为,即商业行为包含不真实的信息或以任何方式误导消费者,使其对产品或服务性质、特征等方面产生误解,从而使其作出了通常情况下不会做出的决策。关于商业行为是否构成误导,不仅取决于信息的真实性,还要看信息的呈现方式以及上下文关系。即使信息在实体上是真实的,如果其呈现方式足以误导消费者,也可能被视为欺骗性。
Meta 在 Instagram 新用户注册时未能充分披露数据的商业目的,可能导致消费者对数据如何被使用以及其对个人隐私的影响产生误解,从而作出与其知道这些信息时不同的决策。AGCM 认为 Meta 的这一行为构成了第 21 条规定的欺骗性行为。
(三)误导性遗漏
《消费者法典》第 22 条指出,如果商业行为未能提供普通消费者在特定背景下做出知情商业决策所需的相关信息,即构成误导性遗漏。这些相关信息包括但不限于产品的主要特征、价格、消费者具有的撤销权或合同解除权、以及任何影响消费者决策的其他重要信息。
除了前文所述的未充分披露数据商业目的外,AGCM 认为 Meta 在关闭账号时未能提供足够的信息,包括中断的原因、持续时间以及用户可能的申诉途径,这种信息的遗漏可能导致消费者无法行使他们的权利,从而构成了误导性遗漏。
合规建议
AGCM 对 Meta 公司的处罚的依据虽然是消费者权益保护的有关条款,但这些条款的实质内容却是对企业数据隐私合规的要求,例如透明性原则、用户同意的有效性等,这再一次说明了在数字化和全球化商业环境中隐私合规和消费者个人数据保护的重要性。该案例也启示我们,由于数据权利属于消费者享有的合法权益的一种,企业的不合规行为可能会面临多个角度的执法。在搭建数据合规体系的过程中,不仅需要关注专门的数据立法(如 GDPR 等),还需要关注与保护消费者权益有关的法律。与此同时,也正因为数据权利是消费者享有的各项权利中的一类,不同部门法从各自角度对数据权利的规定在本质上是相通的。这意味着,只要企业严格遵守了隐私合规的核心要求,便能同时满足多个方面的合规要求。
在构建数据合规体系时,企业不仅要重视专门的数据保护法规,还应关注涉及消费者权益保护的相关法律。企业在商业活动中应持续监测和修正其商业行为,以适应法律法规的变化,并在全球范围内保持业务的合规性。Meta 案例还提示我们,合规不仅是避免处罚的方式,更是赢得市场和消费者信任的关键。
