欧盟数据保护(GDPR)动态:中国企业首次被罚
2021-07-24
2021年7月22日,荷兰数据保护局(Autoriteit Persoonsgegevens)以侵犯儿童隐私为由,决定对字节跳动旗下短视频社交平台TikTok(“抖音”国际版)处以75万欧元的罚款。这一事件意味着欧盟《通用数据保护条例(GDPR)》(“GDPR”)实施三年以来,中国企业(包括其控制的海外平台)第一次因违反GDPR相关条款而遭受处罚,具有一定标志性意义。
本文将通过对荷兰数据保护局处罚决定的分析,解读这一事件带来的数据合规新挑战,并为中国企业提供相关建议。
一、事件背景
2018年7月,荷兰数据保护局发起了一项针对TikTok个人数据处理的调查,并于2020年10月形成了一份调查报告。该报告结论显示,2018年5月25日至2020年7月29日间,TikTok没有以“可以理解的语言”告知儿童关于个人数据的处理,从而违反了GDPR第12(1)条的规定。
2020年11月11日,TikTok提交了一份书面陈述。在这份陈述中,TikTok对调查报告的结论提出异议,并辩称其主要机构位于爱尔兰,依据GDPR有关规定,荷兰数据保护局无权对其采取执法行动。
2021年7月22日,荷兰数据保护局宣布,TikTok未能采取措施,以儿童能够清晰了解的语言向其提供与个人数据处理有关的信息,将被处以75万欧元的罚金。
二、涉及的法律问题
1. 荷兰数据保护局是否有权对TikTok采取执法行动
根据GDPR第56条,数据控制者或处理者的主要营业机构所在地的监管机构应作为主导性监管机构。但《欧盟数据保护委员会第8/2019号意见》中规定,正在进行的调查程序中,如果主要营业机构如果发生变化,主导性调查权限可以随之发生转移。据此,TikTok辩称其主要营业机构已于2020年7月29日转移至爱尔兰,因此荷兰数据保护局不再享有调查权。
然而,荷兰数据保护局认为,TikTok提供的证据不足以证明其已在爱尔兰拥有足够的人员和资源开展运营,且TikTok在爱尔兰设立营业机构举动具有“规避”荷兰数据机构执法的嫌疑,故而其有权对TikTok采取执法行动。
2.TikTok数据处理行为是否违反GDPR第12(1)条规定
透明度原则是欧盟法律的一项重要原则,是《欧盟基本权利宪章》第8条所规定的个人数据处理的公平原则的体现。透明度和公平原则的核心在于,数据主体能够实现确定处理的范围和后果,不会对其个人数据被使用的方式感到“意外”。在该原则指引下,GDPR第12条规定,数据控制者应当采取适当的措施,以简单、透明、可理解和容易获得形式,并使用清晰和通俗的语言向数据主体提供与处理有关的信息。
荷兰数据保护局认为,在2018年5月至2020年7月间,TikTok仅向荷兰数据主体(由于TikTok在年轻群体中的流行,其中包括大量儿童)提供英文版隐私政策,这意味着TikTok提供的信息无法轻易被16岁以下只掌握荷兰语的儿童理解。虽然,TikTok设置的弹出窗口增强了透明度,但这一措施并不能替代隐私政策,因为后者才包含了数据控制者有义务提供的所有信息。由此造成的结果是,不会英语的儿童必须主动搜集信息才能知晓数据控制者的完整义务,从而增加了儿童未能被及时告知的风险,也背离了弱者保护的原则。
3.处罚结果是否合理
荷兰数据保护局认为,2018年5月至2020年7月间,TikTok未能采取措施,以儿童能够清晰了解的语言向其提供与个人数据处理有关的信息,忽视了儿童在GDPR项下享有的额外的保护,其行为是一种严重的侵权。根据荷兰颁布的《2019年行政处罚管理规则》,TikTok的行为属于附件二中第三类违法行为,处罚金额为30万欧元至75万欧元。由于,TikTok的侵权行为持续时间长、影响人数众多,依照比例原则,荷兰数据保护局决定对TikTok处以75万欧元的顶格罚款。
三、后续发展
如上文所述,本案罚金的认定依据是《2019年行政处罚管理规则》,而该规则是荷兰为了执行GDPR而制定,且相对于GDPR的处罚规定优先适用(实际上,欧盟成员国制定这类在本国适用的处罚管理规则并不多见)。如果荷兰没有制定这类处罚管理规则,Tiktok理论上将自动适用GDPR的处罚规定,即罚金可最高达到公司全球营业额的4%。同时,欧盟其他成员国(比如丹麦和法国)对于Tiktok是否侵害其境内儿童的隐私问题也在进行调查。待所有这些调查结束之后,Tiktok所面临的处罚总额可能更大。
四、对中国企业的建议
回顾欧盟成员国数据保护机构的执法行动,TikTok并不是首个因儿童隐私问题遭到处罚的实体。2019年8月,瑞典一所学校使用人脸识别技术统计学生考勤情况,被瑞典数据保护机构认定违反GDPR。该案中,瑞典数据保护机构认为,监护人的“同意”是在学校与学生不对等的关系中作出的,不能被视为自愿,故而不能援引为数据处理合法化的依据。从上述两个案件中可以看出,欧盟成员国数据保护机构重视未成年人权益,执法时对未成年人体现出明显的倾斜保护态度,这将为企业在欧盟经营提出更高的合规要求。
因此,我们建议中国企业对未成年人数据设置更高标准的收集、授权同意机制。此外,在公布隐私政策时,应当考虑不同数据主体的特殊性,有针对性地对未成年人设计倾斜保护措施。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
