9月21日，英国数据保护组织ICO对一家加拿大的数据分析公司Aggregate lQ（AIQ）开出的“执法通知”引起了国内外关注。我们注意到，AIQ公司涉嫌与英国的一些右翼组织（Vote Leave、BeLeave、英国退伍军人组织、DUP）进行数据分析合作，向选民定向推送政治广告影响脱欧及大选等政治活动的情况，在2018年3月份就已经在发酵。根据ICO开出的“执法通知”表明，ICO已经在今年5月份即对AIQ进行了调查。根据BBC等境外媒体以及ICO的官方“执法通知”我们梳理了AIQ涉及此次事件的前后情况，并就该公司涉及违反GDPR的具体条款情况进行了初步分析。

【事件背景】

1、揭发

今年3月，一名“剑桥分析”（Cambridge Analytica）公司的前员工克里斯托弗·威利（ChristopherWylie）揭发，在2016年英国脱欧以及大选过程中，支持英国脱欧的团体有一个“共同计划”。这个计划的组织团体通过使用AIQ的数据分析，定位摇摆的选民，而AIQ是通过“特许经营权”获取“剑桥分析”的数据。

Wylie告诉应该国会议员，他于2015年11月与Vote Leave（支持英国脱欧的团体）竞选主管Dominic Cummings会面，不久之后竞选团队就聘请了AIQ。他表示，他确信AIQ在公投期间使用了“剑桥分析”的数据库，并表示了他当时的“困惑”：在英国只有几个月的公司如何在没有数据访问的情况下“创建了大规模的定位操作”。他暗示，这些数据是用来对500万到700万被认为可以投票给英国脱欧的人进行筛选。

图：Christopher Wylie

此外，一名前Vote Leave志愿者Shahmir Sanni声称，通过与其他志同道合的团体协调他们的活动，VoteLeave活动超过了公投的支出限制，其中包括针对年轻选民的“Be Leave”团体。Sanni说，Vote Leave给了Be Leave £625,000，但要求它将现金花在AIQ上。这种协调支出将违反竞选支出规则。

此外，据报道AIQ从其网站的主页上删除了Vote Leave的首席策略师Dominic Cummings的一句话。此前，他曾说：“毫无疑问，Vote Leave在很大程度上取决于AIQ的工作。没有他们，我们不可能做到。”

2、“剑桥分析”与AIQ回应

“剑桥分析”对Wylie的指控嗤之以鼻，并宣称其在2014年7月离开公司后，没有“直接了解”其工作，Wylie是在兜售“虚假信息，猜测和完全没有根据的阴谋论”。

“剑桥分析”在一份声明中表示，它已经在2014年和2015年将一些工作分包给了AIQ，但声称它在欧盟公投中与他们合作的做法“完全是错误的”。“除了早期的销售推销到Vote Leave，“剑桥分析”没有与该集团或他们的任何供应商互动。”

AIQ的律师表示，该公司“从未与Cambridge Analytica达成合同”，而卡明斯先生表示，这些说法“实际上是错误的”，选举委员会已经批准了公投前的捐款。

3、英国政治团体回应

在2016年的欧盟公投期间，DUP（政治团体）花费了32,750英镑用于使用AIQ进行营销。他们在2017年大会选举期间再次聘请该公司，宣布数字广告超过8,000英镑。DUP表示，他们根据选举委员会的要求宣布所有支出，并选择了AIQ，因为该公司是该领域的专家。

Vote Leave等组织也否认在英国2016年公投期间违反了是否留在欧盟的支出规则的指控。

4、英国选举委员会

在公投前几天，应一位活动家Grimes的要求，Vote Leave向加拿大数字机构AIQ支付了62万英镑。这使Vote Leave超过其700万英镑的选举开支限额近50万英镑。选举委员会最初表示“没有合理理由怀疑”关于报告费用的法律已被打破。但是在2017年10月，委员会改变了主意，开始调查Vote Leave和Grimes先生的支出。监管机构在今年7月份得出结论，Vote Leave和Grimes都错误地报告了他们的开支。Vote Leave被罚款61,000英镑，Grimes先生被委员会罚款2万英镑，并将此事提交给警方。

Vote Leave抗辩，在公民投票活动期间，选举委员会给出了关于通过Grimes先生的小组Be Leave汇集资金的合法性的错误建议。选举委员会表示，从未向AIQ提供任何建议或讨论付款。

目前，英国选举委员会与。Vote Leave对簿公堂，案件可能上诉至高等法院审理。

【ICO调查情况】

英国数据保护组织ICO针对这一情况对AIQ开展了调查，并于2018年7月6日向AIQ出具了“执法通知”，在这份通知中，我们可以了解到监管机构对于AIQ公司的认定结论：

一、AIQ的主体评价与法律管辖

1. AIQ是GDPR和“2018年数据保护法”（“DPA”）中定义的控制者。

2. 根据DPA第207（3）条和GDPR第3（2）（b）条，前述法规适用于AIQ（“控制者”）处理个人数据的活动。（注：对数据主体发生在欧盟境内的行为进行监控）

二、AIQ涉及的数据收集、处理活动

1. AIQ代表英国政治组织（Vote Leave，Be Leave，英国退伍军人组织和DUP）处理个人数据用于脱欧投票。

2. 作为AIQ与这些政治组织签订合同的一部分，AIQ已获得包括英国个人的姓名和电子邮件地址在内的个人数据。然后，这些个人数据被用于在社交媒体上向特定目标个体推送政治广告信息。

3. 在2018年5月31日与专员通信时，AIQ确认他们仍然持有英国公民的个人数据。此数据存储在代码存储库中，之前已被第三方未经授权访问。

三、AIQ违反GDPR以及DPA的相关规定情况

1、未遵守处理个人信息“合法、公平、透明”以及“数据最小化”的原则

ICO专员确信，AIQ公司未遵守GDPR第5（1）（a）-（c）条和第6条规定。首先，AIQ公司对数据主体信息的处理，是以数据主体不知道的方式处理的，即数据主体没有“知情同意”。此外，AIQ公司也不具备其他合法处理这些数据的合法事由。

2、数据的处理活动与最初收集数据的目的不相容

ICO专员认为，AIQ公司将英国公民的个人数据进行处理，用于对其政治倾向进行分析、判断，不符合这些数据被收集时的目的，已经超出了合理的预期。

3、未向数据主体告知从第三方获得其个人数据的情况

ICO专员确认，AIQ也未能遵守GDPR第14条的规定，因为据ICO专员了解，AIQ没有向数据主体提供第14条第（1）款和第（2）款规定的信息，并且没有列出的例外情况，而且第14(5)条所列例外都不适用。

【ICO采取的措施】

在“执法通知”中，ICO表明其在决定是否送达执行通知时，已考虑AIQ公司的错误是否已造成或可能导致任何人受损或遇险。ICO专员认为，由于数据主体被剥夺了正确理解控制者可以处理关于他们的个人数据的机会，或者能够有效地行使对数据主体提供的数据的各种其他权利，可能对数据主体会造成损害或痛苦。

据此，ICO决定作出执法通知，要求AIQ公司在该通知发出后30内：停止处理从英国政治组织或其他方面获得的英国或欧盟公民的任何个人数据。这些处理数据获得包括用于数据分析，政治竞选或任何其他广告目的。

如果AIQ不遵循通知，将面临的处罚为：

根据“DPA”第155（1）（b）条，专员可向该人发出罚款通知书，要求支付高达2000万欧元的金额，或承诺每年全球总营业额的4％，以较高者为准。

【结语】

此次事件被国内媒体认为是GDPR生效后开出的“首张”执行通知，但实际上其应为一个带有强制执行力的“禁止令”，只有在AIQ未履行禁止义务时，相关的法则才会启动，同时，执行通知仍给予了AIQ公司上诉的权利。根据报道，AIQ已经提出了上诉。

同时，这起处罚背景也是需要我们关注的，英国脱欧被认为是2016年世界三起“黑天鹅”事件之一（另外两件为：美国大选特朗普当选、意大利修宪公投失利），而恰巧是，在这三起事件中，都或多或少看到了FB及其类似事件的影响。数据分析的滥用被认为是动摇西方民主政治基础的重大挑战。因此在可预见的未来，对于个人数据的利用，极可能是欧洲监管部门重点关注的领域，也是我们在做GDPR合规时需要重点把握的关键环节。

作者田申为字节跳动数据安全法务

附：Terms of Notice原文

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

   
   

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程
   

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）