法国数据保护的长臂管辖
来源:指南针网 发布日期:2021-02-23 阅读:86次
2019年1月21日,法国数据保护局(CNIL)根据GDPR在欧洲的第一次执法行动,对违反欧盟通用数据保护条例(GDPR)的谷歌LLC1进行了5000万欧元的制裁。谷歌已经向法国最高行政法院(Conseil d'Etat)就此决定提出上诉。
CNIL的决定涉及四个主要方面。首先,它涉及协会代表数据主体采取行动的权利(I)。其次,它修正了GDPR(II)引入的“一站式”机制的限制。第三,它为互联网用户隐私政策的可懂度设定了高标准(III)。最后,CNIL描述了在确定罚款数量时要考虑的因素(IV)。
Ⅰ.数据保护协会提出的投诉的可接受性
CNIL的调查是由两个协会的投诉触发的:无业务(NOYB),一个由Max Shrems(一位以成功谴责Facebook的海量数据收集而闻名的隐私活动家)创立的非盈利组织,该组织领导了法院欧盟法官(CJEU)推翻欧盟(EU)与美国之间的安全港协议,和法国宣传组织La Quadrature du Net,促进公民的数字权利。这些协会声称Google没有有效的法律依据来处理其用户的个人数据,尤其是出于广告个性化目的。他们主要关注Android的设置过程,用户必须创建一个帐户才能使用他们的设备。
这些投诉是根据GDPR第80条提出的,该条规定“数据主体有权要求根据成员法律适当组建的非营利机构,组织或协会。State,具有符合公共利益的法定目标,并且在保护数据主体的权利和自由方面积极保护其个人数据以代表其提出投诉。“法国数据保护法在这方面更具限制性,因为它规定协会需要存在至少五年才能代表数据主体。
由于NOYB于2017年6月12日成立,因此Google对其投诉的可受理性提出质疑。 CNIL对此声明的回应是双重的。首先,CNIL强调,即使该申诉不可受理,也可以主动进行调查。其次,CNIL依据GDPR第80条规定,两个有争议的协会符合提出集体投诉的条件。令人惊讶的是,CNIL无视法国数据保护法案中规定的限制。尽管如此,法国立法机构不太可能解除这一限制,因为它的目的是阻止建立一个协会,其唯一目的是提出申诉。
Ⅱ.限制新的“一站式”机制
先前的指令95/46 / EC非常简要地处理了各种数据保护机构(DPA)之间的合作问题。它没有解决哪些当局在多个成员国设立的跨国公司的情况下能够胜任的问题。因此,这些公司受到不同成员国的多个DPA发布的不一致决定的情况并不少见。 2018年,欧洲法院在Facebook案件中认定“根据其国家法律有权使用的监督机构不(......)有义务采用另一个监督机构在类似情况下达成的结论”和“有权评估,独立于另一个成员国的监督机构,数据处理的合法性。“虽然这一决定是基于1995年的指令,但它仍然在GDPR框架内具有价值,正如CNIL的谷歌订单所示。
尽管做出了这一决定,并且为了一劳永逸地解决多个DPA之间缺乏协调并减少由此产生的数据控制器和处理器的任何管理负担,不确定性和不一致性,GDPR引入了“一站式服务”机制。根据这一机制,开展跨境个人数据处理活动的组织只需要处理一个DPA,即所谓的牵头监督机构。
A.严格解释“主导监督机构”的概念
领导监督机构的识别取决于控制者在欧盟的“主要机构”的位置。在相关案件中,CNIL的能力取决于确定Google的主要机构。据谷歌称,其主要设施位于爱尔兰,其总部位于欧洲。因此,谷歌认为CNIL对这些索赔没有管辖权,而这些索赔本应传送给爱尔兰数据保护委员会(DPC)。
CNIL没有遵循这条推理路线。在确定谷歌的主要机构时,它首先回顾了GDPR的第4(16)条,该条规定,主要机构是“关于一个以上成员国的机构的控制者,其中央管理机构在联盟中的地位,除非关于个人数据处理的目的和方式的决定是在国际电联的另一个控制机构中进行的,后者企业有权执行此类决定,在这种情况下,企业已作出此类决定。被认为是主要机构。“CNIL随后得出结论认为,主要机构”应该意味着有效和真实地执行管理活动,确定关于处理目的和方式的主要决定“,并应根据具体情况进行评估。客观标准。
为了确定主要企业是否应该与欧盟的控制人总部相对应,CNIL考虑了以下几个要素:
首先,虽然认识到谷歌爱尔兰有限公司拥有重要的财务和人力资源,允许谷歌在欧洲开展活动,但CNIL认为仅仅这一事实并不足以使谷歌在爱尔兰的欧洲总部成为其“主要机构”。
其次,CNIL强调,Google Ireland Limited对Android操作系统中的处理操作以及Google LLC提供的有关在配置期间创建帐户的服务没有任何决策权。一部手机。
第三,谷歌爱尔兰有限公司未在谷歌的隐私政策中提及做出这方面的决定。
第四,CNIL强调,Google Ireland Limited未被任命为负责欧盟数据处理的数据保护官。
基于以上所述,CNIL认为“一站式”机制不适用。
B.不适用“一站式”机制的后果
根据谷歌在法国的成立,这一结论使CNIL能够保留管辖权。
CNIL还认为,没有义务要求由国家DPA组成的欧洲数据保护委员会(EDPB)解释该条款。在这方面,CNIL强调,它根据合作程序与其他DPA分享投诉,以确定各自的权限,并核实是否已任命一个牵头监督机构。没有DPA,包括爱尔兰DPC,声称是主要的监督机构。爱尔兰DPC甚至公开声明:“谷歌有限责任公司是一家美国公司,是数据控制者,因此谷歌根本无法利用[一站式服务]机制。”
这一决定明显体现了新推出的“一站式”机制的局限性。该公司仅在一个成员国的存在不会触发该系统。根据GDPR规定的标准和第29条数据保护工作组(EDPB的前身,G29)的指导原则,控制人指定的主要机构应具有必要的特征。否则,公司必须与每个国家监督机构打交道。谷歌目前面临着与其他数据处理相关的问题,特别是其通过“位置历史记录”和“网络与应用活动”功能跟踪其移动来为其Android平台用户提供特定位置广告的政策。爱尔兰DPC和瑞典DPA似乎愿意在这些调查中起带头作用
毫无疑问,GDPR没有为控制员在成员国有两个主要机构的情况提供适当的解决方案,因此可能面临各自主管DPA的不同个别措施。 GDPR第56.2条甚至重申,如果主题事项严重影响位于受成员国控制的成员国的数据主体,则每个监督机构都有权处理可能的侵权行为。尽管如此,GDPR第65条引入的争议解决机制可能是有用的,因为它允许EDPB对DPA之间产生的争议进行仲裁,并在个案中建立统一的决定。希望这一机制得到执行。
Ⅲ.对GDPR合规措施的深远控制
CNIL的决定还表明其愿意对公司实施的措施实施深远控制,以确保遵守GDPR。事实上,在认识到谷歌努力提高用户透明度和信息的同时,CNIL认为该公司不符合GDPR要求。首先,它认为Google违反了透明度原则;其次,它不符合在发送个性化广告时具有“合法处理”基础的要求。
A.缺乏透明度和信息
GDPR非常重视公司有义务告知用户他们的个人数据的使用方式以及他们有权干预处理。 GDPR第13条列出了在进行任何处理之前必须向数据主体披露的信息,例如处理的性质和目的,个人数据的存储期限,是否存在请求的权利。控制器访问和纠正或删除个人数据等.GDPR第12条要求以“简明,透明,易懂和易于访问”的形式传达此信息。换句话说,管制员应该确保提供给数据主体的信息允许这些主体“事先确定处理的范围和后果是什么,并且不应该在以后对他们个人的方式感到惊讶。数据已被使用。”
在这种情况下,CNIL得出结论认为谷歌未能提供足够透明度和信息的数据主体,主要有两个主要原因。
首先,CNIL发现Google提供的信息由于其复杂的架构而无法理解。实际上,信息是在不同时间提供的若干文件中传播的,因此使用户难以轻松地完整地访问信息。此外,用户被迫浏览大量信息,跨复杂的Web策略和多个点击链接,以便能够了解其个人数据的使用方式。例如,有关地理跟踪服务的相关信息只能在涉及用户最多六个积极行动的几个步骤之后才能访问。
其次,CNIL还考虑了处理的性质及其对数据主体的具体影响。它解释说Google的数据处理特别“大规模和侵入性”,因为该公司提供的服务数量众多,数据源自各种各样的来源(消息服务,YouTube,用户网页浏览产生的活动,地理定位等)和单独获得的一些数据的性质(在某些情况下,处理涉及敏感数据,如兴趣,品味或意见)。考虑到谷歌处理的特殊性,CNIL进一步得出结论,用户无法完全理解他们同意的内容。实际上,处理的目的是以非常通用的方式描述的,所收集数据的描述“特别不完整和不准确。”CNIL提到了一个平衡测试:侵入性越强,用户拥有的信息就越清晰。提供以满足透明度要求。
更有趣的是,DPA鼓励采用分层的透明方法。例如,加拿大,艾伯塔省和不列颠哥伦比亚省隐私专员联合发布的最近的同意指南规定,“以分层格式(......)呈现信息有助于通过提供关键摘要更好地了解冗长,复杂的信息。事先强调。“在这一决定中,CNIL得出结论认为,这种方法还不够,组织必须确保数据主体能够轻松理解核心处理活动。 CNIL似乎承认谷歌无法在其政策的第一层内提供有关数据处理的完整信息,因为这将违反透明度要求。因此,CNIL区分第一层信息,其中用户应该能够理解数据处理操作的数量和范围,以及应该提供补充信息的其他层。通过这样做,CNIL要求公司自行确定适当数量的信息。
B.缺乏有效的同意
GDPR第4(11)条将同意定义为“对数据主体的意愿的任何自由,具体,知情和明确的指示,他或她通过声明或明确的肯定性行动表示同意处理个人与他或她有关的数据。”
在评估同意是否具体和明确之前,CNIL审查了是否通知了。为了获得同意,G29的指南规定“控制人必须确保根据允许数据主体轻易识别控制器是谁以及了解他们同意的信息提供同意。管理员必须清楚地描述要求同意的数据处理的目的。”在这种情况下,由于几个文件中的信息被稀释,用户无法对他们同意的内容有一个明智的认识。因此,没有充分了解同意。
因此,CNIL遵循了前数据保护法案下的判例法。在2018年11月针对Vectaury(一家专注于向零售商提供基于地理位置的数据的小型广告技术公司)发布的正式通知中,CNIL得出结论,未通知同意,因为在启动应用程序时向用户显示了解释性文本过于复杂和不精确。此外,用户没有被告知与他们的数据共享的公司的身份,因为这些信息只有在几次点击和向下滚动后才可用。
关于同意的明确性,CNIL回顾了GDPR的第21条,这要求通过积极的动议或声明作出明确的肯定行为。虽然通过点击“更多选项”链接认识到用户理论上可以修改与其帐户相关的一些选项,但CNIL强调默认情况下预先检查了帐户个性化设置。此外,如果用户没有点击“更多选项”链接并继续创建帐户,他们的同意就会被视为自动提供给Google。因此,CNIL得出的结论是,此同意并非明确,因为用户没有同意广告个性化的肯定行动。因此,CNIL在其决定中遵循上述指南,指出“GDPR不允许控制人提供预先勾选的方框或选择退出建筑,需要数据主体进行干预以防止达成协议。”
最后,CNIL观察到同意不够具体。实际上,为了创建帐户,用户必须同意Google的服务条款和后者详细处理的个人数据,并且在这样做时,他们必须接受所有数据处理作为一个整体。但是,G29的指南规定,同意必须特定于目的,因为“在数据主体同意初始收集数据后,防止数据处理目的逐渐扩大或模糊的保护措施。”应为每个目的明确表示同意。
Ⅳ.罚款的意义
CNIL是GDPR的第一个罚款,表明其愿意确保执法。 10月,英国信息专员办公室(ICO)对Facebook进行了50万英镑的罚款,用于根据前数据保护法案进行的剑桥Analytica调查中发现的违规行为。即使有营业额的公司可以管理5000万欧元超过960亿欧元,罚款是一个警示标志。
有趣的是,在确定罚款金额时,CNIL不仅考虑了所涉及原则的重要性,违规行为的持续性以及Google处理的大规模侵入性,还考虑到Google的商业模式所依据的事实。利用个人数据,并在操作系统市场占据主导地位。
因此,这一决定可被视为对大型科技公司的警告。例如,在这方面,巴伐利亚DPA最近宣布,它正在考虑通过GDPR对其中的一些公司进行罚款,因为他们的网站缺乏知情同意所需的透明度。
因此,所有业务部门的公司如果不遵守GDPR,应注意制裁,特别是在数据主体同意的透明度和有效性方面。应特别注意隐私政策,隐私政策应提供易于访问的简明信息,使用户能够充分了解其数据处理的程度。虽然各种DPA鼓励采用分层的透明方法,但组织必须确保用户能够轻松了解核心处理活动。这可能是一项非常困难的任务,尤其是当处理涉及复杂的活动时。正如此决定所示,构成有效同意的门槛非常高。