劉雨佳

（武漢大學(xué)，湖北武漢430000）

一、亞馬遜受罰案件背景

根據(jù)亞馬遜7 月30 日向美國證券交易委員會（SEC）提交的文件，盧森堡國家數(shù)據(jù)保護(hù)委員會（CNPD）于2021 年7 月16 日對亞馬遜作出處罰決定，據(jù)媒體證實(shí)，CNPD針對亞馬遜的調(diào)查始于2018年，此時法國非政府組織La Quadrature du Net（以下簡稱“該組織”）經(jīng)10065人授權(quán)，針對亞馬遜的個人數(shù)據(jù)處理行為向法國國家信息與自由委員會（CNIL）提起集體投訴。

該組織認(rèn)為，亞馬遜處理用戶數(shù)據(jù)，進(jìn)行行為分析和定向廣告缺乏法律依據(jù)，違反GDPR關(guān)于“處理數(shù)據(jù)的合法性”的規(guī)定，故請求對亞馬遜采取以下措施：（1）根據(jù)GDPR 第58.2.f 條禁止投訴中所述的行為分析和定向廣告；（2）根據(jù)GDPR 第83.2 和83.5條的規(guī)定，由于所發(fā)現(xiàn)違規(guī)行為的大規(guī)模、持久性和明顯蓄意性質(zhì)，實(shí)施盡可能高額的行政罰款。亞馬遜當(dāng)時的辯護(hù)為“沒有數(shù)據(jù)泄露、沒有客戶的數(shù)據(jù)被暴露給第三方”。

此外，去年11月，經(jīng)歐盟專員調(diào)查，亞馬遜利用市場上的第三方賣家數(shù)據(jù)為其自營業(yè)務(wù)牟利，具體而言，亞馬遜數(shù)據(jù)處理系統(tǒng)通過分析海量賣家數(shù)據(jù)，幫助亞馬遜自營業(yè)務(wù)“跟賣”平臺暢銷商品，或比照賣家數(shù)據(jù)優(yōu)化商品定價。當(dāng)時歐盟表示，亞馬遜此舉規(guī)避正常市場競爭風(fēng)險，可能因違反歐盟反壟斷法被罰款280億美元。

本次CNPD的決定內(nèi)容包括：（1）亞馬遜的行為分析和定向廣告缺乏法律依據(jù)，違反GDPR；（2）給予亞馬遜6 個月的期限糾正此缺陷，即結(jié)束定向廣告或獲得用戶的自由同意；（3）如未能罰款；（4）其他歐洲國家數(shù)據(jù)保護(hù)當(dāng)局已同意盧森堡當(dāng)局作出的決定。

二、亞馬遜的數(shù)據(jù)處理行為與法國非政府組織的主張

（一）亞馬遜的行為分析與定向廣告行為

亞馬遜在其隱私聲明中描述了它在提供服務(wù)時處理的數(shù)據(jù)，并聲明：“我們使用您的個人信息來顯示您可能感興趣的功能、產(chǎn)品和服務(wù)的廣告”。在“興趣導(dǎo)向的廣告”一節(jié)中，亞馬遜說明：“為了向您提供興趣導(dǎo)向的廣告，我們使用諸如您與亞馬遜網(wǎng)站、內(nèi)容或服務(wù)的互動等信息”。用戶有權(quán)利選擇不接收來自亞馬遜的興趣導(dǎo)向廣告，在這種情況下，用戶仍會看到廣告，但這些廣告不會基于該用戶的興趣。

亞馬遜在“關(guān)于廣告”聲明中，將此種興趣導(dǎo)向的廣告歸類于“第三方廣告商和其他網(wǎng)站或應(yīng)用程序的鏈接”，并明確區(qū)分了此種廣告和個性化產(chǎn)品推薦的區(qū)別。法國該組織將亞馬遜的此種行為總結(jié)為“行為分析與定向廣告”，其目的是“分析用戶行為并建立檔案，以進(jìn)行廣告定位，而不僅僅是通過cookies 進(jìn)行定位”。依據(jù)此種信息推斷，“行為分析與定向廣告”與產(chǎn)品的個性化推薦、優(yōu)先推薦不同，更傾向于指代第三方廣告的鏈接和彈窗。

（二）法國非政府組織對該行為違法的主張

法國非政府組織認(rèn)為亞馬遜的這種數(shù)據(jù)處理沒有法律依據(jù)，因此違反GDPR。該組織在其集體投訴申請中對亞馬遜行為具體分析如下：

1.處理數(shù)據(jù)的法律基礎(chǔ)

亞馬遜發(fā)布的任何文件都沒有表明它將行為分析和廣告定向的數(shù)據(jù)處理建立在用戶同意的基礎(chǔ)上，但用戶可以選擇不接收興趣導(dǎo)向廣告。

此外，亞馬遜沒有明確援引其合法利益作為其行為分析和定向廣告處理的基礎(chǔ)。該組織指出，鑒于歐盟關(guān)于新技術(shù)下出于直接營銷目的處理信息的法律規(guī)定的發(fā)展，對用戶終端上信息的訪問和存儲的法律基礎(chǔ)不再是合法利益，而僅限于同意。

2.亞馬遜的《使用條款》

《使用條款》寫明：“在使用亞馬遜服務(wù)前，請仔細(xì)閱讀這些條款。使用亞馬遜服務(wù)，即表示您同意受這些條款的約束”；針對定制內(nèi)容，其說明：“作為亞馬遜服務(wù)的一部分，我們將推薦您可能感興趣的功能、產(chǎn)品和服務(wù)，包括第三方廣告，確定您的偏好，并個性化您的體驗(yàn)?！?/p>

通過這種方式，亞馬遜表明，其行為分析和定向廣告處理包含在與用戶簽訂的合同中，履行合同的目的使該處理行為合法。然而，該組織認(rèn)為，進(jìn)行這種行為分析與定向廣告并非亞馬遜在用戶使用其服務(wù)時追求的主要目標(biāo)，不能以履行合同目的作為該數(shù)據(jù)處理行為的法律依據(jù)。

該組織總結(jié)：亞馬遜為了直接營銷進(jìn)行的行為分析與廣告定向行為未經(jīng)當(dāng)事人事先同意，也不能基于與用戶簽訂合同的需要，缺少法律依據(jù)，違反GDPR。

三、法律解讀和相關(guān)案例

（一）GDPR適用范圍：亞馬遜受罰的前提

1.GDPR項(xiàng)下的數(shù)據(jù)處理與定向廣告

在適用對象上，GDPR 第2 條規(guī)定，其適用于全自動或半自動個人數(shù)據(jù)處理，以及形成或旨在形成用戶畫像的非自動個人數(shù)據(jù)處理。而“個人數(shù)據(jù)”是指任何已識別或可識別的自然人（數(shù)據(jù)主體）的相關(guān)信息。學(xué)者認(rèn)為，定向廣告是一種形式的精準(zhǔn)營銷，而精準(zhǔn)營銷是指：“通過收集一段時間內(nèi)特定計算機(jī)或移動設(shè)備在互聯(lián)網(wǎng)上的相關(guān)行為信息，例如瀏覽網(wǎng)頁、適用在線服務(wù)或應(yīng)用等，預(yù)測用戶的偏好或興趣，再基于此種預(yù)測，通過互聯(lián)網(wǎng)對特定計算機(jī)或移動設(shè)備投放廣告的行為?！倍@種行為往往引發(fā)廣告交易平臺等數(shù)據(jù)控制者或處理者以外的第三方介入。亞馬遜的涉案行為則與此相同，是通過分析數(shù)據(jù)主體的行為并建立檔案，且將分析結(jié)果暴露給第三方，使第三方的廣告和彈窗能夠更為精準(zhǔn)地出現(xiàn)在被分析主體的設(shè)備界面上。

2.GDPR的地域適用范圍

在地域適用范圍上，GDPR 采用屬地兼屬人原則。根據(jù)GDPR 第3 條，它不僅適用于所有在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，同樣適用于境外主體所有對歐盟公民個人數(shù)據(jù)的處理，無論數(shù)據(jù)控制或處理行為是否在歐盟境內(nèi)。即使沒有上述情形，基于國際公法，該數(shù)據(jù)控制者在其所在地區(qū)適用了歐盟成員國法律的，同樣受到GDPR的管轄。

（二）數(shù)據(jù)處理的法律基礎(chǔ)：亞馬遜受罰的依據(jù)

此次亞馬遜受罰的主要原因是其行為分析和定向廣告的數(shù)據(jù)處理缺乏法律基礎(chǔ)。GDPR 第5 條第1 款a 項(xiàng)規(guī)定，個人數(shù)據(jù)應(yīng)以對數(shù)據(jù)主體合法、公平和透明的方式被處理，第6 條列明了可以合法處理數(shù)據(jù)的六種情況，其中與本案相關(guān)的主要是數(shù)據(jù)主體的同意、履行合同所必需和實(shí)現(xiàn)控制者或第三方合法利益所必需，如上所述，也正是該組織投訴中主張的三項(xiàng)。歐盟對這幾項(xiàng)法律基礎(chǔ)進(jìn)行了多次解讀：

1.數(shù)據(jù)主體的同意

GDPR 第6.1.a 條規(guī)定，如果數(shù)據(jù)主體已同意出于一個或多個特定目的處理個人數(shù)據(jù)，則處理是合法的。此條中的“同意”要求數(shù)據(jù)控制者以公平的方式請求，而數(shù)據(jù)主體必須以明確和自由的方式給予。

（1）明確同意

GDPR 規(guī)定，“同意”必須通過聲明或明確的積極行為表達(dá)，沉默、默認(rèn)選中的復(fù)選框不能表示同意。GDPR 不允許控制者提供需要數(shù)據(jù)主體干預(yù)以阻止的勾選框或退出機(jī)制，且僅僅繼續(xù)正常使用網(wǎng)站的事實(shí)并不能推斷出數(shù)據(jù)主體對擬議處理表示同意。

（2）自由同意

“同意”必須是數(shù)據(jù)主體依照其意愿自愿作出的、具體的、知情的、明確的確認(rèn)意思表示。在確定是否自由給予時，應(yīng)考慮：第一，合同的執(zhí)行，包括提供服務(wù)，是否前提是同意處理對履行合同沒有必要的個人數(shù)據(jù)；第二，如果無法拒絕或撤回其同意，則不認(rèn)為該同意為自由給予；第三，如果不能對不同的個人數(shù)據(jù)處理操作給予單獨(dú)同意，則推定該同意不是自由給予的；第四，如果數(shù)據(jù)主體沒有真正的選擇，感到被迫同意，或者如果不同意就將遭受負(fù)面效果，則同意無效；如果同意被捆綁為條款不可協(xié)商部分，則推定它不是自動給予的。

（3）同意請求的公平性

所有與處理此類個人數(shù)據(jù)有關(guān)的信息和通信都易于訪問、易于理解并以清晰簡單的術(shù)語表述；應(yīng)當(dāng)告知數(shù)據(jù)主體相關(guān)的處理規(guī)則、保證、風(fēng)險和權(quán)利，以及行使相關(guān)權(quán)利的程序；數(shù)據(jù)主體有權(quán)隨時撤回其同意，且這種權(quán)利應(yīng)在數(shù)據(jù)主體同意前就告知。

需要注意的是，如果數(shù)據(jù)控制者對個人數(shù)據(jù)的處理既基于數(shù)據(jù)主體同意又基于其他法律依據(jù)，則不可能合法，因?yàn)檫@必將導(dǎo)致數(shù)據(jù)主體受到誤導(dǎo)。例如，數(shù)據(jù)主體撤回同意，但控制者將可能根據(jù)其他法律基礎(chǔ)對數(shù)據(jù)進(jìn)行處理。

2.履行合同所必需

GDPR 第6.1.b 條規(guī)定，如果“是為履行數(shù)據(jù)主體作為一方的合同所必需”，則處理可能是合法的。

歐盟第06/2014 號意見對此條進(jìn)行嚴(yán)格解釋，“不包括處理對于履行合同并非真正必要，而是控制者單方面強(qiáng)加給數(shù)據(jù)主體的情況”。此外，“合同涵蓋某些數(shù)據(jù)處理操作的事實(shí)并不自動意味著這些處理操作是執(zhí)行所必需的”。這意味著，數(shù)據(jù)處理必須和合同執(zhí)行目的之間有直接和客觀的聯(lián)系。

3.實(shí)現(xiàn)合法利益

GDPR第6.1.f條規(guī)定，如果“為實(shí)現(xiàn)控制者或第三方所追求的合法利益所必需”，處理可能是合法的，但數(shù)據(jù)主體個人數(shù)據(jù)的利益、基本權(quán)利和自由優(yōu)先于上述利益的除外。針對這一法律基礎(chǔ)，歐盟進(jìn)行了多次解讀與修訂，2009/136/CE 要求用戶終端上的信息訪問和存儲不再依賴于合法利益，僅限于同意；而（EU）2016/679號決議規(guī)定：“出于直接營銷目的處理個人數(shù)據(jù)可能被視為合法利益?！睔W盟認(rèn)為，在實(shí)踐中，需要判斷當(dāng)事人的利益或基本權(quán)利和自由是否得到充分保護(hù)，以實(shí)現(xiàn)兩類利益之間的平衡。

法 國CNIL 2017 年4 月27 日SAN-2017-006 號審議對于以上三項(xiàng)法律基礎(chǔ)均進(jìn)行了較為細(xì)致的分析，該審議是對X、Y 公司作出處罰決定。X、Y 公司出于廣告定向目的，對注冊人在網(wǎng)站上創(chuàng)建賬戶時提供的數(shù)據(jù)、注冊人在網(wǎng)站上活動相關(guān)的數(shù)據(jù)進(jìn)行合并處理。CNIL 認(rèn)為，首先，從“同意”角度而言，Y 公司僅說明數(shù)據(jù)使用是為了改進(jìn)其廣告系統(tǒng)，沒有明確提到數(shù)據(jù)的大量交叉合并；此外，定向廣告相關(guān)說明被分散在“數(shù)據(jù)使用政策”、“cookies 使用政策”和“關(guān)于頁面的廣告”三個文件中，用戶難以了解整體過程，因此，用戶的同意是不知情、不具體、不自由的；其次，從“實(shí)現(xiàn)合法利益”而言，Y公司辯稱，公司的數(shù)據(jù)合并有助于用戶個性化，對用戶沒有負(fù)面影響，是合法追求經(jīng)濟(jì)和商業(yè)利益。但就數(shù)據(jù)收集規(guī)模而言，這些數(shù)據(jù)不僅在本網(wǎng)站收集，也在第三方網(wǎng)站或應(yīng)用程序收集，可能無視用戶的利益并侵犯他們尊重私人生活的權(quán)利；第三，從“履行合同必需”而言，該服務(wù)的主要目的是提供網(wǎng)絡(luò)社交，用于定向廣告目的的用戶數(shù)據(jù)處理不符合合同主要目的，也不符合用戶合理期望，因此，公司不能將“履行合同所必需”作為處理用戶數(shù)據(jù)進(jìn)行定向廣告的法律基礎(chǔ)。

四、與《個人信息保護(hù)法》的比較

2021 年8 月20 日，《個人信息保護(hù)法》通過，并已于同年11 月1 日正式施行。根據(jù)《個人信息保護(hù)法》：“處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息”；同時，規(guī)定處理個人信息應(yīng)限于最小影響、最小范圍收集、公開透明、保證質(zhì)量。相較于前文提到的GDPR 第5 條，《個人信息保護(hù)法》特別提出了必要與誠信。其一方面是對《民法典》第1035 條第1款規(guī)定的承接，另一方面，在《民法典》規(guī)定的處理個人信息原則的基礎(chǔ)上補(bǔ)充了誠信原則，并對通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息的行為作出了針對性的規(guī)定。

根據(jù)第13條，個人信息處理者應(yīng)當(dāng)滿足下列情形之一：取得個人同意；為訂立、履行合同必需，或按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；為履行法定職責(zé)或者法定義務(wù)所必需；為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需；為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理；依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息。相較于GDPR 第6 條，《個人信息保護(hù)法》減少了以數(shù)據(jù)控制者或第三方所追求的合法利益作為處理信息的合法性基礎(chǔ)一項(xiàng)；同時，依據(jù)《個人信息保護(hù)法》基于個人同意處理信息，對不同的數(shù)據(jù)處理行為應(yīng)當(dāng)單獨(dú)選擇是否同意，在特殊情形下還應(yīng)當(dāng)取得單獨(dú)同意或書面同意，因此，在進(jìn)行涉及第三方的用戶行為分析與定向廣告行為時就應(yīng)當(dāng)獲得數(shù)據(jù)主體對該事項(xiàng)的單獨(dú)同意。例如，如果國內(nèi)企業(yè)發(fā)生奧地利處罰案中受罰企業(yè)相似的情況，將其處理的個人信息提供給其他個人信息處理者前，即使個人信息處理者將相關(guān)內(nèi)容置于隱私政策中合理且顯眼的位置，與其他隱私內(nèi)容混在一起“一攬子同意”，也是違反《個人信息保護(hù)法》的?？梢哉f，《個人信息保護(hù)法》的規(guī)定相較于GDPR更為嚴(yán)格。

五、結(jié)論

本次亞馬遜被行政處罰7.64 億歐元，系迄今對違反GDPR 的企業(yè)開出的最高罰單，結(jié)合當(dāng)前已有的相關(guān)案例，可見歐洲監(jiān)管對行為分析、個性化服務(wù)的嚴(yán)格執(zhí)法態(tài)度，因此，對于國內(nèi)涉歐美業(yè)務(wù)的個人信息處理者而言，在嚴(yán)格遵循《個人信息保護(hù)法》相關(guān)規(guī)定的基礎(chǔ)上，面對歐盟對相關(guān)數(shù)據(jù)處理行為的合法性判定時的極高標(biāo)準(zhǔn)，個人信息處理者對涉及定向廣告的業(yè)務(wù)應(yīng)當(dāng)進(jìn)行嚴(yán)格的風(fēng)險評估，并謹(jǐn)慎選擇合法性基礎(chǔ)。

以同意作為合法性基礎(chǔ)時應(yīng)滿足：（1）針對不同的個人數(shù)據(jù)處理操作提供單獨(dú)的同意請求，并避免默認(rèn)開啟；提供拒絕或撤回同意的路徑，且選擇該選項(xiàng)的路徑應(yīng)和選擇同意一樣簡單、方便；（2）確保數(shù)據(jù)處理的透明度和公正性。提供清晰、便于理解并易于訪問的隱私說明，告知數(shù)據(jù)主體所有相關(guān)的處理規(guī)則、保證、風(fēng)險和權(quán)利，以及行使相關(guān)權(quán)利的程序。針對廣告定向等涉及多方面用戶政策的內(nèi)容，也應(yīng)在隱私政策中進(jìn)行全面說明，避免用戶對此種數(shù)據(jù)處理行為不知情。切勿設(shè)置具有誘導(dǎo)性的內(nèi)容與格式；（3）切勿混用“數(shù)據(jù)主體同意”和其他合法處理的理由作為處理數(shù)據(jù)的法律基礎(chǔ)。

如果將“履行合同所必需”作為處理數(shù)據(jù)的法律基礎(chǔ)，應(yīng)確保該數(shù)據(jù)處理與合同的主要目的有直接、客觀的聯(lián)系，確保這種數(shù)據(jù)處理能夠符合用戶的合理期待。同時，在進(jìn)行數(shù)據(jù)處理時，應(yīng)考慮相關(guān)數(shù)據(jù)處理是否采取對數(shù)據(jù)主體權(quán)益影響最小的方式，數(shù)據(jù)收集是否限于實(shí)現(xiàn)處理目的的最小范圍。

需要注意的是，數(shù)據(jù)控制者或處理者的行為分析與定向廣告行為往往涉及第三方，除了應(yīng)將該第三方的相關(guān)信息與相關(guān)合作內(nèi)容告知數(shù)據(jù)主體并獲取同意外，數(shù)據(jù)控制者或處理者在進(jìn)行隱私合規(guī)分析時，還應(yīng)主動注意第三方的資質(zhì)、合規(guī)情況和相應(yīng)的數(shù)據(jù)保護(hù)能力，以降低第三方帶來的法律風(fēng)險。