劉雨佳

（武漢大學(xué)，湖北武漢430000）

一、亞馬遜受罰案件背景

根據(jù)亞馬遜7 月30 日向美國(guó)證券交易委員會(huì)（SEC）提交的文件，盧森堡國(guó)家數(shù)據(jù)保護(hù)委員會(huì)（CNPD）于2021 年7 月16 日對(duì)亞馬遜作出處罰決定，據(jù)媒體證實(shí)，CNPD針對(duì)亞馬遜的調(diào)查始于2018年，此時(shí)法國(guó)非政府組織La Quadrature du Net（以下簡(jiǎn)稱“該組織”）經(jīng)10065人授權(quán)，針對(duì)亞馬遜的個(gè)人數(shù)據(jù)處理行為向法國(guó)國(guó)家信息與自由委員會(huì)（CNIL）提起集體投訴。

該組織認(rèn)為，亞馬遜處理用戶數(shù)據(jù)，進(jìn)行行為分析和定向廣告缺乏法律依據(jù)，違反GDPR關(guān)于“處理數(shù)據(jù)的合法性”的規(guī)定，故請(qǐng)求對(duì)亞馬遜采取以下措施：（1）根據(jù)GDPR 第58.2.f 條禁止投訴中所述的行為分析和定向廣告；（2）根據(jù)GDPR 第83.2 和83.5條的規(guī)定，由于所發(fā)現(xiàn)違規(guī)行為的大規(guī)模、持久性和明顯蓄意性質(zhì)，實(shí)施盡可能高額的行政罰款。亞馬遜當(dāng)時(shí)的辯護(hù)為“沒(méi)有數(shù)據(jù)泄露、沒(méi)有客戶的數(shù)據(jù)被暴露給第三方”。

此外，去年11月，經(jīng)歐盟專員調(diào)查，亞馬遜利用市場(chǎng)上的第三方賣家數(shù)據(jù)為其自營(yíng)業(yè)務(wù)牟利，具體而言，亞馬遜數(shù)據(jù)處理系統(tǒng)通過(guò)分析海量賣家數(shù)據(jù)，幫助亞馬遜自營(yíng)業(yè)務(wù)“跟賣”平臺(tái)暢銷商品，或比照賣家數(shù)據(jù)優(yōu)化商品定價(jià)。當(dāng)時(shí)歐盟表示，亞馬遜此舉規(guī)避正常市場(chǎng)競(jìng)爭(zhēng)風(fēng)險(xiǎn)，可能因違反歐盟反壟斷法被罰款280億美元。

本次CNPD的決定內(nèi)容包括：（1）亞馬遜的行為分析和定向廣告缺乏法律依據(jù)，違反GDPR；（2）給予亞馬遜6 個(gè)月的期限糾正此缺陷，即結(jié)束定向廣告或獲得用戶的自由同意；（3）如未能罰款；（4）其他歐洲國(guó)家數(shù)據(jù)保護(hù)當(dāng)局已同意盧森堡當(dāng)局作出的決定。

二、亞馬遜的數(shù)據(jù)處理行為與法國(guó)非政府組織的主張

（一）亞馬遜的行為分析與定向廣告行為

亞馬遜在其隱私聲明中描述了它在提供服務(wù)時(shí)處理的數(shù)據(jù)，并聲明：“我們使用您的個(gè)人信息來(lái)顯示您可能感興趣的功能、產(chǎn)品和服務(wù)的廣告”。在“興趣導(dǎo)向的廣告”一節(jié)中，亞馬遜說(shuō)明：“為了向您提供興趣導(dǎo)向的廣告，我們使用諸如您與亞馬遜網(wǎng)站、內(nèi)容或服務(wù)的互動(dòng)等信息”。用戶有權(quán)利選擇不接收來(lái)自亞馬遜的興趣導(dǎo)向廣告，在這種情況下，用戶仍會(huì)看到廣告，但這些廣告不會(huì)基于該用戶的興趣。

亞馬遜在“關(guān)于廣告”聲明中，將此種興趣導(dǎo)向的廣告歸類于“第三方廣告商和其他網(wǎng)站或應(yīng)用程序的鏈接”，并明確區(qū)分了此種廣告和個(gè)性化產(chǎn)品推薦的區(qū)別。法國(guó)該組織將亞馬遜的此種行為總結(jié)為“行為分析與定向廣告”，其目的是“分析用戶行為并建立檔案，以進(jìn)行廣告定位，而不僅僅是通過(guò)cookies 進(jìn)行定位”。依據(jù)此種信息推斷，“行為分析與定向廣告”與產(chǎn)品的個(gè)性化推薦、優(yōu)先推薦不同，更傾向于指代第三方廣告的鏈接和彈窗。

（二）法國(guó)非政府組織對(duì)該行為違法的主張

法國(guó)非政府組織認(rèn)為亞馬遜的這種數(shù)據(jù)處理沒(méi)有法律依據(jù)，因此違反GDPR。該組織在其集體投訴申請(qǐng)中對(duì)亞馬遜行為具體分析如下：

1.處理數(shù)據(jù)的法律基礎(chǔ)

亞馬遜發(fā)布的任何文件都沒(méi)有表明它將行為分析和廣告定向的數(shù)據(jù)處理建立在用戶同意的基礎(chǔ)上，但用戶可以選擇不接收興趣導(dǎo)向廣告。

此外，亞馬遜沒(méi)有明確援引其合法利益作為其行為分析和定向廣告處理的基礎(chǔ)。該組織指出，鑒于歐盟關(guān)于新技術(shù)下出于直接營(yíng)銷目的處理信息的法律規(guī)定的發(fā)展，對(duì)用戶終端上信息的訪問(wèn)和存儲(chǔ)的法律基礎(chǔ)不再是合法利益，而僅限于同意。

2.亞馬遜的《使用條款》

《使用條款》寫明：“在使用亞馬遜服務(wù)前，請(qǐng)仔細(xì)閱讀這些條款。使用亞馬遜服務(wù)，即表示您同意受這些條款的約束”；針對(duì)定制內(nèi)容，其說(shuō)明：“作為亞馬遜服務(wù)的一部分，我們將推薦您可能感興趣的功能、產(chǎn)品和服務(wù)，包括第三方廣告，確定您的偏好，并個(gè)性化您的體驗(yàn)?！?/p>

通過(guò)這種方式，亞馬遜表明，其行為分析和定向廣告處理包含在與用戶簽訂的合同中，履行合同的目的使該處理行為合法。然而，該組織認(rèn)為，進(jìn)行這種行為分析與定向廣告并非亞馬遜在用戶使用其服務(wù)時(shí)追求的主要目標(biāo)，不能以履行合同目的作為該數(shù)據(jù)處理行為的法律依據(jù)。

該組織總結(jié)：亞馬遜為了直接營(yíng)銷進(jìn)行的行為分析與廣告定向行為未經(jīng)當(dāng)事人事先同意，也不能基于與用戶簽訂合同的需要，缺少法律依據(jù)，違反GDPR。

三、法律解讀和相關(guān)案例

（一）GDPR適用范圍：亞馬遜受罰的前提

1.GDPR項(xiàng)下的數(shù)據(jù)處理與定向廣告

在適用對(duì)象上，GDPR 第2 條規(guī)定，其適用于全自動(dòng)或半自動(dòng)個(gè)人數(shù)據(jù)處理，以及形成或旨在形成用戶畫像的非自動(dòng)個(gè)人數(shù)據(jù)處理。而“個(gè)人數(shù)據(jù)”是指任何已識(shí)別或可識(shí)別的自然人（數(shù)據(jù)主體）的相關(guān)信息。學(xué)者認(rèn)為，定向廣告是一種形式的精準(zhǔn)營(yíng)銷，而精準(zhǔn)營(yíng)銷是指：“通過(guò)收集一段時(shí)間內(nèi)特定計(jì)算機(jī)或移動(dòng)設(shè)備在互聯(lián)網(wǎng)上的相關(guān)行為信息，例如瀏覽網(wǎng)頁(yè)、適用在線服務(wù)或應(yīng)用等，預(yù)測(cè)用戶的偏好或興趣，再基于此種預(yù)測(cè)，通過(guò)互聯(lián)網(wǎng)對(duì)特定計(jì)算機(jī)或移動(dòng)設(shè)備投放廣告的行為?！倍@種行為往往引發(fā)廣告交易平臺(tái)等數(shù)據(jù)控制者或處理者以外的第三方介入。亞馬遜的涉案行為則與此相同，是通過(guò)分析數(shù)據(jù)主體的行為并建立檔案，且將分析結(jié)果暴露給第三方，使第三方的廣告和彈窗能夠更為精準(zhǔn)地出現(xiàn)在被分析主體的設(shè)備界面上。

2.GDPR的地域適用范圍

在地域適用范圍上，GDPR 采用屬地兼屬人原則。根據(jù)GDPR 第3 條，它不僅適用于所有在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，同樣適用于境外主體所有對(duì)歐盟公民個(gè)人數(shù)據(jù)的處理，無(wú)論數(shù)據(jù)控制或處理行為是否在歐盟境內(nèi)。即使沒(méi)有上述情形，基于國(guó)際公法，該數(shù)據(jù)控制者在其所在地區(qū)適用了歐盟成員國(guó)法律的，同樣受到GDPR的管轄。

（二）數(shù)據(jù)處理的法律基礎(chǔ)：亞馬遜受罰的依據(jù)

此次亞馬遜受罰的主要原因是其行為分析和定向廣告的數(shù)據(jù)處理缺乏法律基礎(chǔ)。GDPR 第5 條第1 款a 項(xiàng)規(guī)定，個(gè)人數(shù)據(jù)應(yīng)以對(duì)數(shù)據(jù)主體合法、公平和透明的方式被處理，第6 條列明了可以合法處理數(shù)據(jù)的六種情況，其中與本案相關(guān)的主要是數(shù)據(jù)主體的同意、履行合同所必需和實(shí)現(xiàn)控制者或第三方合法利益所必需，如上所述，也正是該組織投訴中主張的三項(xiàng)。歐盟對(duì)這幾項(xiàng)法律基礎(chǔ)進(jìn)行了多次解讀：

1.數(shù)據(jù)主體的同意

GDPR 第6.1.a 條規(guī)定，如果數(shù)據(jù)主體已同意出于一個(gè)或多個(gè)特定目的處理個(gè)人數(shù)據(jù)，則處理是合法的。此條中的“同意”要求數(shù)據(jù)控制者以公平的方式請(qǐng)求，而數(shù)據(jù)主體必須以明確和自由的方式給予。

（1）明確同意

GDPR 規(guī)定，“同意”必須通過(guò)聲明或明確的積極行為表達(dá)，沉默、默認(rèn)選中的復(fù)選框不能表示同意。GDPR 不允許控制者提供需要數(shù)據(jù)主體干預(yù)以阻止的勾選框或退出機(jī)制，且僅僅繼續(xù)正常使用網(wǎng)站的事實(shí)并不能推斷出數(shù)據(jù)主體對(duì)擬議處理表示同意。

（2）自由同意

“同意”必須是數(shù)據(jù)主體依照其意愿自愿作出的、具體的、知情的、明確的確認(rèn)意思表示。在確定是否自由給予時(shí)，應(yīng)考慮：第一，合同的執(zhí)行，包括提供服務(wù)，是否前提是同意處理對(duì)履行合同沒(méi)有必要的個(gè)人數(shù)據(jù)；第二，如果無(wú)法拒絕或撤回其同意，則不認(rèn)為該同意為自由給予；第三，如果不能對(duì)不同的個(gè)人數(shù)據(jù)處理操作給予單獨(dú)同意，則推定該同意不是自由給予的；第四，如果數(shù)據(jù)主體沒(méi)有真正的選擇，感到被迫同意，或者如果不同意就將遭受負(fù)面效果，則同意無(wú)效；如果同意被捆綁為條款不可協(xié)商部分，則推定它不是自動(dòng)給予的。

（3）同意請(qǐng)求的公平性

所有與處理此類個(gè)人數(shù)據(jù)有關(guān)的信息和通信都易于訪問(wèn)、易于理解并以清晰簡(jiǎn)單的術(shù)語(yǔ)表述；應(yīng)當(dāng)告知數(shù)據(jù)主體相關(guān)的處理規(guī)則、保證、風(fēng)險(xiǎn)和權(quán)利，以及行使相關(guān)權(quán)利的程序；數(shù)據(jù)主體有權(quán)隨時(shí)撤回其同意，且這種權(quán)利應(yīng)在數(shù)據(jù)主體同意前就告知。

需要注意的是，如果數(shù)據(jù)控制者對(duì)個(gè)人數(shù)據(jù)的處理既基于數(shù)據(jù)主體同意又基于其他法律依據(jù)，則不可能合法，因?yàn)檫@必將導(dǎo)致數(shù)據(jù)主體受到誤導(dǎo)。例如，數(shù)據(jù)主體撤回同意，但控制者將可能根據(jù)其他法律基礎(chǔ)對(duì)數(shù)據(jù)進(jìn)行處理。

2.履行合同所必需

GDPR 第6.1.b 條規(guī)定，如果“是為履行數(shù)據(jù)主體作為一方的合同所必需”，則處理可能是合法的。

歐盟第06/2014 號(hào)意見對(duì)此條進(jìn)行嚴(yán)格解釋，“不包括處理對(duì)于履行合同并非真正必要，而是控制者單方面強(qiáng)加給數(shù)據(jù)主體的情況”。此外，“合同涵蓋某些數(shù)據(jù)處理操作的事實(shí)并不自動(dòng)意味著這些處理操作是執(zhí)行所必需的”。這意味著，數(shù)據(jù)處理必須和合同執(zhí)行目的之間有直接和客觀的聯(lián)系。

3.實(shí)現(xiàn)合法利益

GDPR第6.1.f條規(guī)定，如果“為實(shí)現(xiàn)控制者或第三方所追求的合法利益所必需”，處理可能是合法的，但數(shù)據(jù)主體個(gè)人數(shù)據(jù)的利益、基本權(quán)利和自由優(yōu)先于上述利益的除外。針對(duì)這一法律基礎(chǔ)，歐盟進(jìn)行了多次解讀與修訂，2009/136/CE 要求用戶終端上的信息訪問(wèn)和存儲(chǔ)不再依賴于合法利益，僅限于同意；而（EU）2016/679號(hào)決議規(guī)定：“出于直接營(yíng)銷目的處理個(gè)人數(shù)據(jù)可能被視為合法利益?！睔W盟認(rèn)為，在實(shí)踐中，需要判斷當(dāng)事人的利益或基本權(quán)利和自由是否得到充分保護(hù)，以實(shí)現(xiàn)兩類利益之間的平衡。

法 國(guó)CNIL 2017 年4 月27 日SAN-2017-006 號(hào)審議對(duì)于以上三項(xiàng)法律基礎(chǔ)均進(jìn)行了較為細(xì)致的分析，該審議是對(duì)X、Y 公司作出處罰決定。X、Y 公司出于廣告定向目的，對(duì)注冊(cè)人在網(wǎng)站上創(chuàng)建賬戶時(shí)提供的數(shù)據(jù)、注冊(cè)人在網(wǎng)站上活動(dòng)相關(guān)的數(shù)據(jù)進(jìn)行合并處理。CNIL 認(rèn)為，首先，從“同意”角度而言，Y 公司僅說(shuō)明數(shù)據(jù)使用是為了改進(jìn)其廣告系統(tǒng)，沒(méi)有明確提到數(shù)據(jù)的大量交叉合并；此外，定向廣告相關(guān)說(shuō)明被分散在“數(shù)據(jù)使用政策”、“cookies 使用政策”和“關(guān)于頁(yè)面的廣告”三個(gè)文件中，用戶難以了解整體過(guò)程，因此，用戶的同意是不知情、不具體、不自由的；其次，從“實(shí)現(xiàn)合法利益”而言，Y公司辯稱，公司的數(shù)據(jù)合并有助于用戶個(gè)性化，對(duì)用戶沒(méi)有負(fù)面影響，是合法追求經(jīng)濟(jì)和商業(yè)利益。但就數(shù)據(jù)收集規(guī)模而言，這些數(shù)據(jù)不僅在本網(wǎng)站收集，也在第三方網(wǎng)站或應(yīng)用程序收集，可能無(wú)視用戶的利益并侵犯他們尊重私人生活的權(quán)利；第三，從“履行合同必需”而言，該服務(wù)的主要目的是提供網(wǎng)絡(luò)社交，用于定向廣告目的的用戶數(shù)據(jù)處理不符合合同主要目的，也不符合用戶合理期望，因此，公司不能將“履行合同所必需”作為處理用戶數(shù)據(jù)進(jìn)行定向廣告的法律基礎(chǔ)。

四、與《個(gè)人信息保護(hù)法》的比較

2021 年8 月20 日，《個(gè)人信息保護(hù)法》通過(guò)，并已于同年11 月1 日正式施行。根據(jù)《個(gè)人信息保護(hù)法》：“處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息”；同時(shí)，規(guī)定處理個(gè)人信息應(yīng)限于最小影響、最小范圍收集、公開透明、保證質(zhì)量。相較于前文提到的GDPR 第5 條，《個(gè)人信息保護(hù)法》特別提出了必要與誠(chéng)信。其一方面是對(duì)《民法典》第1035 條第1款規(guī)定的承接，另一方面，在《民法典》規(guī)定的處理個(gè)人信息原則的基礎(chǔ)上補(bǔ)充了誠(chéng)信原則，并對(duì)通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息的行為作出了針對(duì)性的規(guī)定。

根據(jù)第13條，個(gè)人信息處理者應(yīng)當(dāng)滿足下列情形之一：取得個(gè)人同意；為訂立、履行合同必需，或按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；為履行法定職責(zé)或者法定義務(wù)所必需；為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理；依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息。相較于GDPR 第6 條，《個(gè)人信息保護(hù)法》減少了以數(shù)據(jù)控制者或第三方所追求的合法利益作為處理信息的合法性基礎(chǔ)一項(xiàng)；同時(shí)，依據(jù)《個(gè)人信息保護(hù)法》基于個(gè)人同意處理信息，對(duì)不同的數(shù)據(jù)處理行為應(yīng)當(dāng)單獨(dú)選擇是否同意，在特殊情形下還應(yīng)當(dāng)取得單獨(dú)同意或書面同意，因此，在進(jìn)行涉及第三方的用戶行為分析與定向廣告行為時(shí)就應(yīng)當(dāng)獲得數(shù)據(jù)主體對(duì)該事項(xiàng)的單獨(dú)同意。例如，如果國(guó)內(nèi)企業(yè)發(fā)生奧地利處罰案中受罰企業(yè)相似的情況，將其處理的個(gè)人信息提供給其他個(gè)人信息處理者前，即使個(gè)人信息處理者將相關(guān)內(nèi)容置于隱私政策中合理且顯眼的位置，與其他隱私內(nèi)容混在一起“一攬子同意”，也是違反《個(gè)人信息保護(hù)法》的?？梢哉f(shuō)，《個(gè)人信息保護(hù)法》的規(guī)定相較于GDPR更為嚴(yán)格。

五、結(jié)論

本次亞馬遜被行政處罰7.64 億歐元，系迄今對(duì)違反GDPR 的企業(yè)開出的最高罰單，結(jié)合當(dāng)前已有的相關(guān)案例，可見歐洲監(jiān)管對(duì)行為分析、個(gè)性化服務(wù)的嚴(yán)格執(zhí)法態(tài)度，因此，對(duì)于國(guó)內(nèi)涉歐美業(yè)務(wù)的個(gè)人信息處理者而言，在嚴(yán)格遵循《個(gè)人信息保護(hù)法》相關(guān)規(guī)定的基礎(chǔ)上，面對(duì)歐盟對(duì)相關(guān)數(shù)據(jù)處理行為的合法性判定時(shí)的極高標(biāo)準(zhǔn)，個(gè)人信息處理者對(duì)涉及定向廣告的業(yè)務(wù)應(yīng)當(dāng)進(jìn)行嚴(yán)格的風(fēng)險(xiǎn)評(píng)估，并謹(jǐn)慎選擇合法性基礎(chǔ)。

以同意作為合法性基礎(chǔ)時(shí)應(yīng)滿足：（1）針對(duì)不同的個(gè)人數(shù)據(jù)處理操作提供單獨(dú)的同意請(qǐng)求，并避免默認(rèn)開啟；提供拒絕或撤回同意的路徑，且選擇該選項(xiàng)的路徑應(yīng)和選擇同意一樣簡(jiǎn)單、方便；（2）確保數(shù)據(jù)處理的透明度和公正性。提供清晰、便于理解并易于訪問(wèn)的隱私說(shuō)明，告知數(shù)據(jù)主體所有相關(guān)的處理規(guī)則、保證、風(fēng)險(xiǎn)和權(quán)利，以及行使相關(guān)權(quán)利的程序。針對(duì)廣告定向等涉及多方面用戶政策的內(nèi)容，也應(yīng)在隱私政策中進(jìn)行全面說(shuō)明，避免用戶對(duì)此種數(shù)據(jù)處理行為不知情。切勿設(shè)置具有誘導(dǎo)性的內(nèi)容與格式；（3）切勿混用“數(shù)據(jù)主體同意”和其他合法處理的理由作為處理數(shù)據(jù)的法律基礎(chǔ)。

如果將“履行合同所必需”作為處理數(shù)據(jù)的法律基礎(chǔ)，應(yīng)確保該數(shù)據(jù)處理與合同的主要目的有直接、客觀的聯(lián)系，確保這種數(shù)據(jù)處理能夠符合用戶的合理期待。同時(shí)，在進(jìn)行數(shù)據(jù)處理時(shí)，應(yīng)考慮相關(guān)數(shù)據(jù)處理是否采取對(duì)數(shù)據(jù)主體權(quán)益影響最小的方式，數(shù)據(jù)收集是否限于實(shí)現(xiàn)處理目的的最小范圍。

需要注意的是，數(shù)據(jù)控制者或處理者的行為分析與定向廣告行為往往涉及第三方，除了應(yīng)將該第三方的相關(guān)信息與相關(guān)合作內(nèi)容告知數(shù)據(jù)主體并獲取同意外，數(shù)據(jù)控制者或處理者在進(jìn)行隱私合規(guī)分析時(shí)，還應(yīng)主動(dòng)注意第三方的資質(zhì)、合規(guī)情況和相應(yīng)的數(shù)據(jù)保護(hù)能力，以降低第三方帶來(lái)的法律風(fēng)險(xiǎn)。