尘埃落定!EDPB 发布关于Meta的紧急约束性决定
文/ 王捷律师团队
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
本期W&W地区观察聚焦:一、欧盟EDPB 发布关于Meta的紧急约束性决定,对Meta案详细时间线进行整体的梳理;2、欧洲议会和欧盟理事会就《人工智能法案》达成政治协议。
01
欧盟:EDPB 发布关于Meta的紧急约束性决定
01
2023 年 12 月 7 日,欧洲数据保护委员会(the European Data Protection Board,以下简称EDPB)宣布发布第 1/2023 号紧急约束性决定,该决定禁止爱尔兰Meta Platforms 有限公司(以下简称Meta)基于合同和合法利益,在欧洲经济区范围内处理个人数据以行为广告(behavioral advertising,行为广告即根据数据主体历史行为推送个性化/定向广告)推送。继2023年9月26日收到挪威数据保护机构Datatilsynet的请求后,EDPB发现,Meta目前存在违反GDPR第6(1)条的行为,鉴于数据主体的权利和自由面临风险,迫切需要采取行动。EDPB 认定,Meta在处理为行为广告目的而收集的个人数据时,使用“履行合同所必需”和“合法利益”这两个合法性基础是不恰当的。
此外,EDPB表示对Meta无法适用常规合作机制。由于违反GDPR的侵权行为持续存在,可能对数据主体造成严重且不可挽回的伤害,因此迫切需要下令采取最终措施(final measures)。最终措施由爱尔兰数据保护委员会(Irish data protection authority,以下简称IE DPA)下令实施。
根据EDPB的紧急决定及其对IE DPC 的指示,IE DPC对Meta实施了禁令,禁止Meta在Meta产品上对个人数据进行基于GDPR第6(1)(b)和第6(1)(f)条款的行为广告处理。该禁令在通知Meta一周后生效。Meta必须在遵守通知的28天期限内,通知IE DPC和任何相关的数据主体已采取的步骤以符合通知要求。
Meta案时间线梳理
01
2022年12月31日,IE DPC认定Meta基于行为广告的数据收集缺乏合法性,不能适用GDPR第6条(1)款(b)项(履行合同所必需)为合法性基础,并要求Meta在三个月内改正其行为。
02
随后,挪威数据保护机构Datatilsynet经调查发现,Meta进行数据收集的合法性基础更改为第6条(1)款(f)项(合法利益),但Datatilsynet认为Meta仍不能满足此类数据收集行为的合法性,并于2023年5月要求临时禁止Meta的此类数据收集行为。
03
2023年7月,欧盟法院裁定Meta当前的数据收集行为并不符合GDPR第6条(1)款(b)项、(f)项要求,缺乏数据处理的合法性。
04
2023年10月27日,EDPB做出第1/2023号紧急约束性决定,认为有必要采取紧急措施,禁止Meta在全欧洲范围以行为广告为目的进行数据收集。
05
2023年12月7日,EDPB正式宣布第1/2023号紧急约束性决定。IE DPC 进一步就第1/2023号紧急约束性决定发布了执行通知。
垦丁W&W简评
Meta主张以“履行合同所必需”以及以“合法利益“作为推送行为广告的合法性基础,均被欧洲监管机构否决。我们理解,目前根据欧盟监管机构的决定,推送行为广告需要以“同意”为合法性基础,即依据GDPR第6条1款(a)项数据主体的“同意”为合法性基础处理个人信息用于推送行为广告。
02
欧盟:欧洲议会和欧盟理事会就人工智能法案达成政治协议
02
欧洲议会(the European Parliament)于2023年12月9日宣布,其与欧盟理事会(the Council of the European Union)已就《人工智能法案》(the Artificial Intelligence Act)达成政治协议。
1
在哪些关键领域达成了协议?
欧洲议会和欧盟理事会在几个关键领域达成了协议,包括:
禁止的人工智能应用程序;
执法豁免;
高风险人工智能系统的义务;
通用人工智能系统的防护系统(guardrails);
制裁(sanctions);
生效日期。
2
哪些人工智能系统被禁止?
具体来说,被禁止的人工智能系统包括:
使用敏感特征的生物识别分类系统(biometric categorization systems);
从互联网或闭路电视录像中无针对性地截取面部图像以创建面部识别数据库;
工作场所和教育机构中的情绪识别;
基于社会行为或个人特征的社交评分;
认知行为操控;
利用自然人的弱点(包括年龄、残疾、社会或经济状况等)的人工智能;
3
高风险人工智能系统
和通用人工智能系统的义务
关于被列为高风险的人工智能系统,欧洲议会确认,除其他要求外,还商定了强制性基本权利影响评估(fundamental rights impact assessment )。公民有权对人工智能系统提出投诉,并有权就影响其权利的高风险人工智能系统决策获得解释。此外,欧盟理事会确定了通用人工智能系统(General purpose AI)的要求,例如透明度要求;同时对高影响力的通用人工智能系统采取了更严格的要求,包括进行评估(包括模型评估)和减轻系统性风险、进行对抗性测试和向欧盟委员会报告严重事件等。
4
制裁
不遵守规则的企业将被处以以下金额的罚款:
违反被禁止的人工智能应用软件的行为将被罚款3500万欧元或违规公司上一财政年度全球年营业额的7%(以较高者为准)。
违反《人工智能法案》其他义务的行为将被处以1500万欧元或全球营业额3%的罚款;
提供错误信息的行为将被处以750万欧元或全球营业1.5%的罚款。
垦丁W&W简评
欧盟的《人工智能法案》是全球首个关于人工智能的综合法律框架,欧洲议会和欧盟理事会达成临时协议,意味着欧盟的人工智能监管正式迈入新时代。欧盟根据人工智能对社会造成危害的能力,将监管重点放在可识别的风险上,风险越高,监管更严格,以确保放到欧洲市场上的人工智能系统是安全可信的。
相较于欧盟委员会的初步提案,企业需要关注该临时协议增加的新内容,包括:
对于被归类为高风险的人工智能系统,临时协议纳入了强制性基本权利影响评估和减轻系统性风险等严格的要求。
绝大多数人工智能系统的风险并不高。风险极度轻微的人工智能系统不承担义务,如人工智能推荐系统或垃圾邮件过滤器等。风险有限的人工智能系统将承担非常轻微的透明度义务,例如披露内容是人工智能生成的。
考虑到人工智能系统可用于多种不同目的(通用人工智能),以及通用人工智能技术随后被集成到另一个高风险系统中的情况,通用人工智能系统将被施加与管理风险和监测严重事故、执行模型评估和对抗测试有关的具有约束力的义务。欧盟委员会还设立了一个人工智能办公室来监督通用人工智能系统新规则的实施和执行。
由于人工智能系统是通过复杂的价值链开发和销售的,因此临时协议还进行了一些修改,明确了这些价值链中各行为方的责任分配和作用。
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至
W&W解读|欧洲动态|指南+1!Cookie等跟踪技术指南草案通过