查看原文
其他

CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

洪延青 网安寻路人 2020-02-26

欧洲时间7月29日,欧盟最高司法机关——欧洲法院(Court of Justice of the European Union)作出判决,认定:网站运营商在其网站上嵌入Facebook的“点赞”按钮("Like" button)并将访问者个人数据收集、传输给Facebook,其与Facebook一同构成数据的共同控制者(joint controllers)。就该判决,欧洲法院发布了新闻公告,DPO社群成员第一时间全文翻译了公告,请见下文。



这是一个非常重要的判决。因为在GDPR中,关于“共同控制者”是这么规定的:


第26条:共同数据控制者


  1. 当两个或多个数据控制者共同决定数据处理的目的和方式,它们将被认定为共同数据控制者。他们应以透明的方式,决定各自遵守《条例》应承担的责任和义务,特别是在数据主体行使权利方面,以及在向数据主体提供信息方面的各自分工。上述分工应与合同的形式予以固定,合同中还应明确可供数据主体的联系的渠道和人员。

  2. 上述分工应恰当地反映共同数据控制者各自与数据主体的关系及角色。共同数据控制者内部的关系应向数据主体公开。

  3. 不论共同数据控制者内部作出何种安排和分工,数据主体就共同数据控制者中的任何一方提出《条例》规定的权利诉求。


换言之,当被认定为共同控制者,同为控制者的各方应当针对个案的具体情形,一同决定向数据主体告知的内容和告知的形式。而不能简单地通过格式合同,将告知的责任推到某一方中去。


在本案中,页面运营者决定嵌入Facebook提供的“点赞”按钮,访问该页面的个人用户(无论是否Facebook用户,也无论是否其点击了“点赞”按钮)其个人数据会被传输至Facebook。页面运营者辩称的“点赞”按钮由Facebook提供,“点赞”按钮收集哪些信息、如何收集信息,页面运营者无法知情也无法决定。但在欧洲法院看来,这样的辩解站不住脚。既然是页面运营者引入了Facebook,在数据收集和传输阶段,其与Facebook构成共同数据控制者。


回想到APP中嵌入的SDK,如何履行向用户明示收集个人信息的“目的、方式和范围”并取得用户同意,显然欧盟的司法和监管机构均不认同通过某一方的格式合同条款就能搞定。也就是说,是网页运营者决定嵌入Facebook的“点赞”按钮,是APP决定嵌入某个SDK,这样的决定就导致至少在数据收集和传输者两个动作中,两者构成了共同的数据控制者。因此“点赞”按钮和SDK收集个人信息的类型、方式、频率等,网页运营者和APP都很难推脱说没有任何责任。【请见:第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?


事实上,法国个人数据监管机构CNIL已经在对四款SDK的整改要求中,已经提出了这样的要求,SDK应当与宿主APP合作,一同设计向用户告知并取得同意的界面。【请见:英法两国对 AdTech和广告类SDK的监管案例分析,以及英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)】以下贴出CNIL在SDK整改后认为合规的告知和同意界面。



总的来说,当出于商业目的或营利目的,APP或网站决定引入第三方,这个决定就会导致至少在数据收集和传输阶段,双方构成了共同数据控制者。既然双方是共同数据控制者,则第三方不能通过格式合同将取得同意的责任,一刀切地推到宿主那。而宿主也不能简单地说,第三方收集哪些信息是第三方的事情,自己没有任何责任。以下是CJEU就该判决发布的新闻公告的全文翻译:




欧洲法院

第99/19号新闻公告

2019年7月29日,卢森堡

判决文书编号C-40/17

FashionID GmbH & Co. KG v Verbraucherzentrale NRW eV 



 

网站运营商在其网站上嵌入Facebook的点赞按钮并将访问者个人数据收集、传输给Facebook,其与Facebook一同构成数据的共同控制者

 

不过,网站运营商原则上对Facebook随后对该个人数据的单独处理不承担控制者的责任。


Fashion ID是德国一家网上服装销售商,在其网站上嵌入了Facebook的“点赞(Like)”按钮。当访问者访问其网站时,不论该访问者是否拥有Facebook社交账号或者是否点击“点赞”按钮,该访问者的个人数据均在访问者不知情的情况下被传输至Facebook 公司。


Verbraucherzentrale NRW作为德国一家消费者保护公共服务协会认为Fashion ID向Facebook公司传输访问者个人数据的行为一方面没有取得访问者的同意,另一方面违反了个人数据保护法律要求的告知义务,并对Fashion ID提起诉讼。


审理该争议的德国杜鲁尔多夫高级地区法院(The Oberlandesgericht Düsseldorf)请求欧洲法院对该案适用的前《95数据保护指令》(2018年5月28日后被《通用数据保护条例》替代)中的若干条款进行解释。


法院在今天公布的判决中作出以下认定:


(1)前数据保护指令并未排除消费者保护协会对侵犯个人数据保护义务的主体提起诉讼或辩护的权利。新的《通用数据保护条例》更是明确了这种可能性。


(2)本案中的数据的收集和处理进程可以分为两个阶段:Fashion ID收集并传输给Facebook公司阶段和传输后Facebook公司独立处理数据阶段。

就第一个阶段而言,FashionID和Facebook共同决定了数据收集和处理的目的和方式(据德国杜鲁尔多夫高级地区法院现有调查所确定的相关细节),因此可以认定Fashion ID就本案中第一阶段的数据的收集和传输行为与Facebook一同构成共同控制者;


就第二个阶段而言,当Facebook接收到数据并进行独立处理,法院认为此时不应再将FashionID视为数据的共同控制者,因为在数据开始收集之时Fashion ID并不能决定Facebook对这部分数据处理的目的和方式。


法院认为,Fashion ID在其网站中嵌入Facebook点赞按钮的目的是使得其商品在Facebook上更容易被看到,从而优化其宣传效果。因此,Fashion ID至少含蓄地同意收集和传输个人数据,以便从这种商业优势中获益。对该等数据的收集并传输给Facebook公司的行为是合乎FashionID和Facebook双方的经济利益的。Fashion ID 将数据收集并传输给Facebook供其自行进一步处理即为FashionID获得商业上好处的对价。


法院明确表示,像Fashion ID这样的网站运营商,作为数据(共同)控制者在处理其网站访问者的个人数据时(如收集并传输给Facebook),须在收集时向访问者提供特定信息,包括收集者和第三方的身份以及处理的目的。


法院同样就95指令中规定的处理数据的六种合法依据中与本案情形相关的两种依据的适用提供参考意见。该两种依据分别为获得信息主体的同意以及证明处理对于追求的正当利益是必要的。


如果采用获得信息主体的同意这一依据,法院认为像FashionID这样的网站运营商须单独对其作为数据(共同)控制者阶段的数据的收集和传输获得数据主体的事先同意。


如果采用证明处理对于追求的正当利益是必要的这一依据,法院认为,共同控制者,即网站运营商和社交插件提供者均须证明通过数据的收集和使用追求的是正当利益。





数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告

  13. 【时评】ICO对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. 评价GDPR一周年:一些正负面观点

  40. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  41. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  42. 英法两国对 AdTech和广告类SDK的监管案例分析

  43. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)



Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存