首页
社区
课程
招聘
数据保护委员会宣布对Meta爱尔兰公司进行调查结论
发表于: 2024-12-20 15:58 887

数据保护委员会宣布对Meta爱尔兰公司进行调查结论

2024-12-20 15:58
887

数据保护结果

2023年1月4日,爱尔兰数据保护委员会(Data Protection Commission,简称DPC)正式公布了对Meta Platforms Ireland Limited(此前称为Facebook Ireland Limited)进行的两项调查结果。这两项调查涉及Meta在提供FacebookInstagram服务时的数据处理操作。最终,DPC对Meta爱尔兰公司处以总额为€390百万(其中,Facebook部分为€210百万Instagram部分为€180百万)的罚款,并要求该公司在三个月内将其数据处理操作整改至符合欧盟一般数据保护条例GDPR的标准。

这两项调查源于2018年5月25日,我方收到的两起投诉,分别来自一名奥地利用户与一名比利时用户,投诉内容涉及到FacebookInstagram的服务。这些投诉指出,Meta在用户接受其更新的服务条款时并未明确告知合法的数据处理依据,从而导致用户的同意并不是真正自由给出的。根据GDPR第6条,数据处理的合法性只能在满足六种特定法律基础之一时才被认定。

在GDPR实施之前,Meta已对其服务条款进行了修改,使其从依赖用户同意转向依赖“合同”的法律基础。用户被要求在接受更新的服务条款时点击“I accept”,以确保他们仍能继续访问信息。然而,投诉者认为,Meta是在强迫用户同意其数据的处理,特别是用于个性化广告和其他个性化服务的处理。

DPC经过综合调查后提出了针对Meta的初步决定,指出以下重要问题:首先,Meta在向用户提供透明信息方面存在违约,未能清晰地说明其依赖的法律基础,这使得用户无法充分了解关于其个人数据的处理操作及目的。这种透明度的缺失违反了GDPR第12条和第13条的规定,且与第5条第1款中关于数据处理必须“合法、公正和透明”的原则相悖。因此,DPC对Meta的罚款数额进行了大幅度的提议,并要求其在规定的短期内将数据处理操作与GDPR合规。

DPC还表示,尽管其调查结果确立了不应仅依赖同意作为数据处理的法律基础,但关于“强迫同意”的投诉尚无法成立。DPC进一步考量了Meta依赖"合同"法律基础的合规性,认为在概念上,GDPR并不排除Meta在提供个性化服务时的合同法律基础的依赖。这一评估在经过与欧盟的其他监控机构的协商后,被视为在适当的法律框架下进行的。

然而,DPC的最终决定在2022年12月31日反映了欧洲数据保护委员会(EDPB)做出的裁定,指出Meta不被允许仅依赖合同基础进行个性化广告的数据处理,并认为其在此方面的操作违背了GDPR第6条的规定。这一裁定不仅增加了Meta的罚款额,还强调了对其接下来需遵守的法律框架的严格性。

EDPB针对上述问题的通函也引发了对Meta在处理用户数据方面的更为深入的调查。由于Meta仍然需要依赖美国和欧盟之间的数据交换框架,本次罚款与相应的整改要求可能对Meta在欧盟市场的运营产生长远影响。需要注意的是,EDPB所倡导的进一步调查将着眼于已经被遗漏的个人数据类别的收集与处理。

在此背景下,Meta随即对罚款提出了上诉,并在公众场合表达对这一裁定的不满。Meta在声明中更指出,新的欧洲数据隐私框架正在酝酿当中,若得到批准将能够确保该公司能持续以符合规定的方式在美国处理欧盟公民的信息。

另一方面,爱尔兰数据保护委员会的工作也受到国际关注与讨论,尤其是如何在保护公民隐私的前提下,兼顾企业的灵活性与合规性。显然,在加强立法力度的同时,如何让用户更加理解自身的权利,以及企业如何符合这些规定,是一个普遍而复杂的话题。

在此案的推进过程中,爱尔兰数据保护委员会的负责人Helen Dixon强调,她必须根据法律的现行框架行使职权,表明了司法独立性与法规的严肃性。她对外界呼吁道:“必须在现行法律框架内执行,”进一步传达出对GDPR规章制度的坚定信念和执行决心。

总之,本次调查的结束与后续的决定不仅是对Meta公司的警醒,也为所有互联网企业提供了一个必要的学习机会,即在大数据背景下理解和遵循GDPR的规定,确保用户数据的安全与隐私,同时坚持合法合规的运营模式。相较于先前的案例,这一处罚的规模及DPC对Meta的数据处理方式的重视预示着未来监管将愈发严格,以更好地平衡个体权益与商业利益。


[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回