新闻速递 | WhatsApp或将被罚2亿多欧元

关键词：区块链；人工智能；大数据；智能合约；涉外法律服务；专业律师

本期关键词：WhatsApp；GDPR；个人信息；隐私政策

本文约1248字，大概需要阅读6分钟。

最近，爱尔兰数据保护委员会公布对WhatsApp的一项裁决，指WhatsApp违反了欧盟的《一般数据保护条例》（GDPR）,未能在处理用户个人信息时充分告知用户数据处理的方式、隐私政策情况、与其母公司Facebook数据共享的政策等，因此裁定对其处以2.25亿欧元的罚款。

该处罚是与2018年12月开始的一项调查有关。爱尔兰数据保护委员会认为WhatsApp违反了GDPR对于透明度义务的要求。根据GDPR第十三条的规定： 

“1、数据控制者应当在收集数据时，提供以下信息：

a)数据控制者的身份、联系方式、代表人员（在适用的情况下）；

b)数据保护官的联系方式（在适用的情况下）；

c)个人数据处理要达到的目的，以及处理的法律基础；

d)在根据第6条第一款F项开展的数据处理，应提供数据控制者的正当利益或第三方的正当利益；

e)数据接受者或数据接受者种类的信息；

f)如欲将个人数据向第三国或国际组织传输，应告知数据主体，以及传输目的地是否经欧盟委员会“充分性决定”的认可。

2、当已经取得个人数据时，数据控制者应向数据主体提供以下信息，以保证处理的公平和透明：

a)数据将会存储的期限，如无法明确，则列出决定存储期限的标准；

b)数据主体的各项权利，如从数据控制方获取个人数据的权利、修正或删除个人数据的权利、限制个人数据处理的权利、反对处理的权利，以及数据携带权；

c)当数据处理是基于第6条第一款（a）项，或第9条第二款（a）项时，应当告知数据主体可以随时撤回同意，同时撤回不影响此前的数据处理的合法性；

d)向监管部门申诉的权利；

e)数据主体提供个人信息是否为法律规定、合同要求、为签署合同而必需的，以及数据主体未能提供数据将产生的可能的后果；

f)告知数据主体是否采用了第22条（1）和（4）规定的自动化决策机制，包括数字画像，并提供关于自动化决策机制的有意义的信息，以及根据设想对数据主体将造成的影响。

3、当数据控制者为满足其他目的对数据进行处理时，其应在处理之前向数据主体提供其他目的的有关信息，以及本条2列出的任何有关信息。

4、如果数据主体已拥有上述信息，则数据控制者无需再次提供。”

爱尔兰数据保护委员会认为，按照GDPR规定，WhatsApp出于自身或第三方的合法利益处理数据，虽然是合法的，但应告知数据主体上述正当利益的具体内容。但WhatsApp则认为已经对合法利益进行了清晰和透明的描述。此外，它没有必要解释为什么其合法利益优先于用户权利等内容。

欧盟数据保护委员会则认为，WhatsApp 的隐私通知应该详细说明哪些合法利益与单个处理活动有关以及哪个实体追求哪项合法利益。例如“提供测量、分析和其他商业服务”需要具体例举；“创建、提供、支持和维护创新服务和功能”需要说明什么数据用于什么服务；“企业和其他合作伙伴”需要说明具体有哪些。因此，欧盟数据保护委员会认为WhatsApp违反了上述第十三条第1款（d）项。

WhatsApp的发言人表示，WhatsApp致力于提供安全的私人服务，以及努力确保提供的信息是透明和全面的，并将继续如此。据报道，WhatsApp计划对处罚决定提出上诉。

据了解，WhatsApp是在2009年推出的一款即时通讯工具，目前拥有超过20亿活跃用户，是全球最受欢迎的即时通讯类软件之一。在2014年，WhatsApp被Facebook以190亿美元收购。