关于Facebook[GDPR]案件中“保密”交易的公开信

在新的GDPR于2018年5月25日适用后的几个小时内，欧洲非营利组织nobi.eu对Facebook集团(包括WhatsApp和Instagram)提出了三起投诉。自那以后，爱尔兰数据保护委员会(DPC)宣布这一极其缓慢的程序的内容是“机密的”，并要求nobi.eu不要公开讨论这些内容。

尽管有这种所谓的(且不具法律约束力的)机密性，nobi.eu今天还是发表了一封公开信(PDF)，揭露了GDPR在适用两年后是如何(没有)得到执行的。即使在信中和下面描述的卡夫卡式程序下，如果DPC遵循其内部调查报告，Facebook集团未来可能仍将面临高达25亿欧元的罚款。

DPC和Facebook之间关于“绕过同意”的秘密会议。这封公开信首次曝光了爱尔兰DPC和Facebook集团(包括WhatsApp和Instagram)在2018年GDPR适用之前举行了10次秘密会议。在这些会议上，Facebook声称“在实施明显的”同意绕过“(细节如下)”以规避GDPR的严格同意规则之前，已经“与欧盟委员会进行了详细的直接接触”。尽管Facebook在其提交的文件中依赖于这些会议，并强调这些文件“有待DPC审议”，但当局拒绝访问这些秘密会议的任何记录，包括Facebook提交的一份白皮书。

nobi.eu董事长马克斯·施雷姆斯(Max Schrems)：“这听起来很像那些秘密的‘税收裁决’，即税务部门秘密与大型科技公司就如何绕过税法达成一致--只是他们现在对GDPR也这么做了。”

Facebook的非法“绕过同意”。在两年前(在GDPR开始适用的最初几个小时内)由nobi.eu提出的三项投诉引发的程序中，Facebook集团公开承认，它只是从受到严格监管的“同意”转变为所谓的“数据使用合同”。据称，这份合同要求Facebook对其用户进行跟踪、定位和研究。根据Facebook的说法，这种转变发生在午夜钟声敲响的时候，当时GDPR开始适用。这种(相互)重新制定协议(在这种情况下是从同意合同)绕过法律的做法被称为模拟，是无效的。

马克斯·施雷姆斯：“这不过是猪身上的口红。从罗马时代开始，法律就禁止仅仅为了绕过法律而“重命名”某些东西。Facebook试图做的事情不是聪明的，而是可笑的。唯一真正令人担忧的是，爱尔兰DPC在设计这一骗局时显然与Facebook有过接触，现在应该对其进行独立审查。“。

在盖洛普研究所进行的一项关于“绕过同意”的研究中，1.000名用户中有64%的人认为他们同意了，尽管脸书声称他们同意了。根据问题的不同，只有1.6%-2.5%的人认为他们实际上签订了“数据使用合同”，其中包括Facebook有义务将他们的数据用于广告或研究。其余的人认为这只是一份信息，一份没有这样的责任的合同，或者看不到页面上的任何意义。

施雷姆斯：“在我们询问的1000名用户中，基本上没有人认为他们与Facebook签署了这样一份所谓的‘数据使用合同’。”

DPC将对“数据使用合同”的法律分析限制在“牛津英语词典”。DPC找不到Facebook所依赖的所谓“数据处理合同”有任何问题的一个原因是，DPC只是认定对这样的合同的分析超出了它的权力范围(“越权”)。DPC没有根据适用的法律分析合同，而是在其报告中直接引用了“牛津英语词典”中“合同”的定义。

Schrems：“在法学院，你学习阅读法律书籍来解决法律问题，而不是阅读字典。几个世纪以来，这似乎一直是一种取胜的技术。很明显，DPC试图不审查Facebook所谓的“数据使用合同”。“。

DPC庆祝在两年内完成6个步骤中的1个？在上周五晚些时候的一份公开声明中，DPC出人意料地将nobi.eu引发的三个程序列为DPC工作取得巨大进展的例子。尽管DPC花了两年时间在WhatsApp和Instagram上完成了6个步骤中的1个，在Facebook上完成了6个步骤中的2个(见概览表)。鉴于DPC仅在2019年就报告了7125起投诉，而且对任何私人行为者的GDPR罚款为零，这很难说是一项成就。

施雷姆斯：“如果DPC在两年后强调了两个案件中六个步骤中的第一个步骤，作为一项成就，这是对大约1万名投诉人的一记耳光。

即使是抄袭自己的报告也花了DPC 10个月的时间。上周，DPC在WhatsApp和Instagram上发布了两份报告草稿(第1步，共6步)，这一自豪之情似乎更加离奇，因为nobi.eu意识到这些报告与2019年Facebook的报告(屏幕截图)重叠了76%至82%。

Max Schrems：“我们在Instagram和WhatsApp上运行了DPC上周通过一款软件自豪地强调的报告草稿，以识别抄袭行为，并大笑起来：分别有76%和82%的报告草稿与去年Facebook上的报告草稿相同。看来，光是大范围复制粘贴一份报告草稿，他们就花了十多个月的时间。“。

DPC报告认为违反了GDPR透明度规则。罚款可能高达数十亿美元。尽管DPC拒绝审查Facebook“绕过同意”的合法性，但一份内部调查报告发现，由于没有充分告知Facebook、WhatsApp和Instagram的用户使用他们的数据的法律基础，GDRP违反了GDPR第5条中的透明度要求。如果DPC最终坚持这一观点，它将不得不开出一张“有效的、相称的和劝阻的”罚单，最高可达Facebook年收入的4%(最高可达25亿欧元或28.3亿美元)。

Max Schrems：“基本上，DPC的调查认为，只要用户对此更加透明，Facebook就可以欺骗用户。然而，这意味着Facebook、Instagram和WhatsApp已经违反了GDPR处理了所有欧洲用户的数据。即使DPC只认定这一较有限的违规行为，罚金也可能高达25亿欧元。“

欧盟委员会和DPA必须采取行动。nobi.eu在公开信中还呼吁欧盟执委会对爱尔兰采取行动。由于两年内约有1万起投诉，而且完全没有针对私人行为者的罚款，很明显，爱尔兰没有有效地执行欧盟法律。

公开信还呼吁其他欧洲数据保护机构(DPA)在同事拒绝履行职责时采取措施。不幸的是，虽然GDPR通常缺乏明确的截止日期，但它允许DPA要求同事采取某些行动，或者在另一个DPA不活动时启动“紧急程序”。

Schrems：“许多DPA对像爱尔兰这样的情况感到沮丧，但仅仅把他们叫出来是不够的。他们还必须使用GDPR预见的工具。例如，我们现在已经向奥地利DPA提出了这样的申请。“。

为了协助这一努力，nomb.eu已将所有有关待决程序的文件发送给其他欧洲dpa，尽管爱尔兰dpc已明确坚持noye.eu不得向其同事提供这些文件。

nob.eu的背景资料。nomb.eu是一家欧洲数据保护非营利性组织，试图确保GDPR的执行。nomb.eu由3200多个支持成员提供资金。nobi.eu团队由15人组成，其中包括来自不同欧盟成员国的GDPR律师和技术专家。到目前为止，nobi.eu已经就不同的问题和亚马逊、苹果、谷歌、Facebook、DAZN、SoundCloud和Netflix等公司提交了20多起GDPR投诉。