Facebook 和 Amazon 又被盯上，巨头错在哪里？

小提示：您能找到这篇{Facebook 和 Amazon 又被盯上，巨头错在哪里？}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Facebook 和 Amazon 又被盯上，巨头错在哪里？内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

作者：APUS 研究院（ID：apusapps）

出海注：本文是 APUS 研究院发布在出海的专栏 GDPR 系列文章，转载须保留本段文字，并注明作者和来源。商业转载/使用请前往 ，联系寻求作者授权。

2018 年 5 月 25 日，随着“史上最严”数据保护法案从欧盟总部布鲁塞尔发出，一时间 GDPR 生效的消息通过互联网传遍了世界的每一个角落。依据这部法案向各大跨国互联网公司发出的挑战书接踵而至，让他们不胜其烦。

在五花八门的挑战中，最有组织、有纪律的挑战都来自民间数据保护的非盈利组织。四川电视广告部巧合的是，他们的矛头还都不约而同地指向了各大互联网巨头的保护盾——GDPR 中的合法依据。

除了上一季中，马律师带领的“不关你的事”组织在 GDPR 生效几个小时后，在奥地利向 Facebook 和 Google 滥用“同意”合法依据发出的咄咄逼人的挑战书。

在 GDPR 生效三天后，作为欧盟总部邻国的法国也不再风平浪静。法国个人数据保护组织 La Quadrature du Net（以下简称“LQ”）肩负着 12000 名网友的重任，向法国个人数据保护机关 Commission Nationale de l 'Informatique et desLiberts（以下简称“CNIL”）发出了针对 Facebook 和 Amazon 的挑战书，对他们“履行义务之必需”的合法依据开刀，鞭辟入里的分析了它的不靠谱性。

这里需要特别插播的第一则彩蛋是：从产品设计的用户体验角度来考虑，依赖“同意”作为合法依据的互联网产品设计中，往往需要不断弹出的恼人的同意勾选框，这会让产品用户体验效果大打折扣；而相反房地产公司公关的，如果采用“履行义务之必需”作为合法依据，互联网产品的设计者可以选择在产品以外的地方进行合法依据的单独呈现，从而使得产品用户体验得到保证。这一点可能是采用后者作为合法依据的互联网企业所看重的。

在挑战书中，LQ首先指出 Facebook 和 Amazon 在运营中都通过“行为分析”（“Behavioral Analysis”）和“个性化广告投放”（“Targeting Advertising”）的方式处理了用户的个人数据，并声称自己的这些数据处理行为是“履行义务所必需”。

接下来，LQ 通过大量的干货分享，通过逻辑严密的法律分析指出 Facebook 和 Amazon 上述合法依据完全是不靠谱的。他们依靠这种不靠谱的法律依据处理用户数据的行为，就因此丧失了 GDPR 中合法依据的保护盾，将成为众矢之的。

在挑战书的第一部分，LQ 展示了从 Facebook 和 Amazon 产品流程和文案中扒出的实锤。详情如下:

Facebook

Facebook 的做法可谓十分高调。他们采取开辟网站专栏的形式，在其网站上列举了个人信息处理的合法依据，以此寻求“GDPR 牌”保护伞的庇护。其中，对行为分析和个性化广告投放，Facebook 提供的合法依据是，该等处理是为 Facebook 和用户之间的合同所必需的。（见图 1.1 和图 1.2）[1]

Amazon

不同于 Facebook 的大张旗鼓，Amazon 则采取了十分保守的做法。Amazon 只是在用户协议中简单的写道，“为用户提供的服务包括根据用户的喜好和兴趣，通过向用户推荐产品、服务和其他要素，以及推荐第三方广告，而为用户提供个性化定制服务”。（见图2） [2]

除此之外，LQ 并没有找到 Amazon 以任何其他方式提供合法依据的蛛丝马迹。因此合理的推断出：Amazon 针对行为分析和个性化广告投放所进行的数据处理中，其合法依据也是“对于履行和用户之间的合同来说是必需的”。

在挑战书的第二部分，LQ 分析道，“履行合同义务所必需”应当进行严格的限制解释，而 Facebook 和 Amazon 利用用户数据进行的行为分析和个性化广告投放，不能泛泛归属于该合法依据之下，从而摆脱掉用户授权同意之苦。

至于为什么要进行严格的限制解释，还是要从 GDPR 的前身 Directive 95/46/EC（以下简称“95 指令”）说起。在 95 指令中，欧盟对于前述“必需”就采取了严格解释的立场。除了“95 指令”之外，WP29 工作小组指南中对此进行了详细的阐述。认为，即使某一合同的条款涉及到某种或某几种个人信息处理，该些个人信息处理并非自然而然就被视为是“履行该合同而必需”。

WP29 工作小组指南进一步说明，在判断“必需”时，应该重点考虑用户签署合同时希望达成的目的，若非用户希望达成的目的，就不应视为“履行合同所必需”，否则控制者（“controller”）仅仅通过合同就可以轻易满足 GDPR 的合法依据要求，用户同意等其他合法依据机制实际上也失去了存在的意义。

读到这里，大家可能已经对从天而降的 WP29 工作小组感到十分疑惑了，我们为什么要相信这样一个莫名其妙的组织发布的指南？不要担心，马上就插播第二则彩蛋来消除疑虑：WP29 小组是欧盟负责独立保护隐私数据安全的工作小组，组成成员中不乏欧盟国家的数据保护监管机构的代表，已发布多个指引性文件对于 GDPR 的执行具有很强的参考价值。所以他们发布的指南，可以放心使用。

LQ 还摆出了 CNIL 在实践中支持上述立场的事实。在 2017 年 4 月 27 日，CNIL 曾针对 Facebook 做出处罚。在处罚理由中，CNIL 指出：用户使用 Facebook 服务的主要目的是 Facebook 提供的社交网络服务，用户行为分析和个性化广告投放与前述主要目的并不相符，因此并非“履行合同所必需”。

LQ 由此认为，用户使用 Facebook 服务的主要目的是 Facebook 提供的社交网络服务，而并非接受 Facebook 的行为分析和获得所谓“个人定制化”体验。同样，用户使用 Amazon 的主要目的是网上购物，而并非接受 Amazon 的行为分析获得“个性化广告投放”。因此，Facebook 和 Amazon 都不能以“履行合同所必需”作为其处理个人信息的合法依据。

启示

GDPR 实施以来，具体的实施细则并不明确，相关国家数据保护法律的落地也尚待时日。类似“履行合同义务之必需”如何解读这样的问题，也将会层出不穷。LQ 的挑战思路告诉我们：企业在探索 GDPR 合规的过程中，不能盲目使用规则条文。

解读 GDPR 的合规要求，应当结合先前的立法以及权威的指引，还原 GDPR 的立法精神和立法理念。只有将规则和理念结合，才能真正做到将合规植入企业的 DNA，做到默认保护用户数据和隐私，有的放矢地开展 GDPR 相关的工作。

注：

[1] 由于 LQ 并未在投诉书中给出援引的Amazon用户协议的具体条款，此文配图是作者基于 LQ 投诉书的内容自行匹配的 Amazon 英国的相关协议条文，仅供参考。详情见：

https://www.amazon.co.uk/gp/help/customer/display“确认传播”专注于品牌策划、效果营销和危机管理的数字整合营销传播公司，我们深度诠释客户的品牌理念、文化及背景，多维深度传播客户的文化底蕴和核心价值观，提升客户品牌的知名度、关注度与美誉度。/ref=footer_cou?ie=UTF8&nodeId=201909000 

[2] 由于 LQ 并未在投诉书中给出援引的 Facebook 个人信息处理政策的具体条款，此文配图是作者基于 LQ 投诉书的内容自行匹配的 Facebook 中文版的相关协议条文，仅供参考。详情见：

https://www.facebook.com/about/privacy/update