辛瑞姆斯与Meta之间隐私战争的最新篇章

刚刚发布

文章发布于2024年1月19日，由撰写。

上个月我们提到关于Meta遵循欧盟GDPR隐私法的新进展，这场旷日持久的斗争至关重要，原因有二：首先，Meta是一家大型公司，影响著全球数十亿人的生活，因此它不仅需要遵守法律，还需要让人们看到其遵守的努力。其次，Meta遵循的规则也将适用于所有在欧盟运营的主要公司。这场诉讼的结果可能会决定全球在线隐私格局的形势，因为GDPR的影响力不容小觑。

上一篇文章详细说明了隐私专家兼活动家马克斯·辛瑞姆斯（MaxSchrems）及其组织noyb.eu向奥地利数据保护机构提出的针对Meta的投诉，因为Meta推出的新。主要的担忧是这不符合GDPR所要求的「自由同意」，而且Meta为去广告所收取的订阅费过高：网站每年€120（约$130），而在iOS和Android应用程序上则为每年€156（约$170）。辛瑞姆斯指出，这是一个大问题，因为来自noyb.eu的行业数据显示，仅有3%的人希望被追踪，但超过99%的人在面对任何形式的「隐私费用」时会选择不付款。将订阅费设定得如此之高几乎保证了只有少数人会选择这一选项——这无疑是Meta所希望的。进一步聚焦于昂贵的无广告订阅问题。

Meta在自由同意方面的缺陷并不是唯一的问题。一旦用户同意被追踪，随后取消同意的途径却非常困难，这是违法的。尽管GDPR第7条明确指出「撤回同意应与给予同意一样容易」，但唯一的「撤回」选项是购买一个€251.88的订阅。此外，投诉者还必须通过几个窗口和横幅找到实际可以撤回同意的页面。

根据noyb.eu的说法，GDPR规则要求撤回同意的过程必须与给予同意同样简单。但支付€251.88（约$275）——这是Facebook账户与Instagram账户连结的年费——明显比仅仅点击屏幕上的按钮来同意Meta的追踪要困难得多。noyb.eu指出：

欧洲数据保护委员会（EDPB）[欧盟的最高数据保护机构]在其指导方针中甚至提到过，金钱成本是一种与GDPR第7条原则不相容的负担范例，这清楚表明Meta使撤回同意的过程远没有给予同意那么简单。

noyb.eu代表一名投诉者向奥地利数据保护机构（DSB）提出投诉。该投诉请求DSB命令Meta使其处理操作符合欧洲数据保护法，并为用户提供一种不需支付费用即可轻松撤回同意的途径。此外，noyb.eu还希望奥地利数据保护机构对Meta处以罚款，以「防止进一步违反GDPR」的行为。有趣的是，DSB有一份FAQ，专门针对去年Meta所引入的「支付或同意」系统。在奥地利数据保护机构看来，任何采用「」方式的公司必须遵循以下几点（翻译由DeepL提供）：

• 完全遵守所有数据保护法规（特别是GDPR），以基于同意（「同意」）进行的数据处理；
• 仍需考虑同意的细致化要求；
• 不涉及任何机构或其他公共机构；
• 对内容或服务的提供不具排他性，即具有明确公众（供应）独立任务或普遍服务商的公司不能合法使用「支付或同意」；
• 公司在市场上不应有垄断或类似垄断的地位；
• 支付替代方案的价格必须合理和公平，即不应以完全不现实的高价格形式提供支付替代方案；
• 如果用户通过支付替代方案访问网站，不得处理个人数据用于广告目的。

DSB强调，这只是他们的「当前观点」，目前尚未有欧盟最高法院（CJEU）的判例。noyb.eu认为，DSB将把此案转交给爱尔兰数据保护委员会（DPC），该机构在欧盟中是Meta的「主导机构」。DPC对Meta的支持倾向是如此之久拖延辛瑞姆斯对Meta的诉讼—自2018年5月以来——这也是我们在2022年12月报导的原因之一。

令人关注的是，DPC是否会再次支持Meta。在这个问题上，即使是如此，EDPB也可能再次推翻它。关键在于，像Meta这样的互联网巨头是否可以引入不合理昂贵的无广告订阅，而这并非用户愿意支付，进而从根本上影响GDPR对用户「自愿同意」的关键要求。如果DPC、EDPB或CJEU认定Meta的方法违反GDPR，那么将会为在欧盟运营的公司设立一个新的标准，并在全球范围内产生连锁反应。

图片来源：noyb.eu。