猎云网注:NOYB是个去年刚刚成立的组织,在隐私权保护领域,致力于与各大公司斗争。虽然成立时间不长,但是这个组织从名字就让人觉着杀气腾腾。NOYB是“None of Your Business”的缩写,也就是“我们用户的隐私和你们大公司没有关系,你们离我们的隐私远点儿”的意思,异常生猛。文章来源:APUS(ID:apusapps),作者:APUS研究院。
最近,我们在关注几起GDPR投诉。
2018年5月25日,GDPR法案正式生效当天,一个名叫NOYB的奥地利非营利组织,分别向法国、奥地利、比利时和德国的数据保护执法机构(“DPA”)投诉,直指Facebook、Google等公司“强制”其用户“同意”其收集和处理个人数据,要求各国DPA合计处以各巨头合计几十亿欧元的罚款。
Google和Facebook不用多讲,大家都熟,实打实的互联网霸主。但这位刚上场的NOYB选手貌似只是一个毫无名气的弱鸡。
但是!这都是假象!
我们简单介绍下,让小伙伴们认识认识敢与巨头叫板的NOYB。
NOYB其事
NOYB是个去年刚刚成立的组织,在隐私权保护领域,致力于与各大公司斗争。虽然成立时间不长,但是这个组织从名字就让人觉着杀气腾腾。NOYB是“None of Your Business”的缩写,也就是“我们用户的隐私和你们大公司没有关系,你们离我们的隐私远点儿”的意思,异常生猛。
成员呢,包括欧洲议会的成员、欧盟委员会的专家、法学教授和技术专家等各路大佬。
为啥要成立这么个组织?一个原因是这些大佬们认为各国DPA数据保护的工作,咋说呢,可能会干的不太好 [ 被原话翻译成:“各国“法律、政治及实际情况(比如有限的行动资源)限制了各国DPA的工作能力和热情” ] 。
虽然如此,NOYB还是强调,他们不会试图取代DPA或者干涉DPA的工作,而是就以一个非盈利组织的状态,充分运用GDPR第80条等条款赋予的权力,以打报告、打官司或者堵大门的方式(“brings important issues tothe attention of DPAs, enforces the law in civil court or directly engages withcompanies”)与各大公司展开各种斗争。
马律师其人
这样一群大佬组成的组织,自然需要一个大佬中的巨佬镇场子。NOYB的灵魂人物、欧洲著名个人隐私保护社会活动家,人称“Facebook克星”的奥地利的大律师马克斯施雷姆斯先生(Max Schrems),请到台前来。
港真,收集本文资料的时候,我们一度想放弃原来的选题,改写一篇马律师小传。
毕竟马律师实在是太厉害了。
马律师特别会告状和打官司。为什么叫会呢?我们说,判断一个人犀不犀利,要看这个人宿敌或对手的层次,比如C罗和梅西。从2011年起,马律师一直且始终只与一个对手死磕,那就是Facebook。在这种青铜对王者的悬殊实力对比下,马律师竟然凭借自己坚强不屈的斗志和层出不穷的骚操作,取得了相当骄人的战绩,包括但不限于:
逼着Facebook删除了资料和停用了面部识别软件;
逼着Facebook的副总裁Richard Allan带着小弟来维也纳和他对喷六个小时;
以一己之力打官司告赢了Facebook并且最震惊的是赢了官司后还顺带逼着欧盟修改了和美国之间的数据传输协议(从“安全港”到“隐私盾”);
马律师果真是浩瀚宇宙中不可多得的人才!
这次,马律师带领NOYB前脚在5月25日投诉了Facebook、Google,西方世界主流媒体CNN后脚就在当天发表文章,说Facebook、Google“官司上头了”。
看着没,这就是马律师的江湖地位。
5月25日当日,Facebook的首席隐私官Erin Egan发表声明称Facebook“用了过去18个月的时间来确保满足GDPR”的各项要求…Facebook一定是合规的”。Google则以沉默应对NOYB的投诉。
确认过眼神,不是一家人,抄家伙干吧。我们简单梳理了NOYB晒出来的针对Google的投诉信,为各位解说这场大战中的第一套组合拳。
NOYB第一击:同意不“自由”
老实说,NOYB挂在网上的投诉信写的相当有趣。
按道理讲,举报别人,一般套路是要大谈特谈被举报人多么缺德,我们神圣的利益怎么被侵犯等等这样的事实问题。比如我去居委会投诉一楼老王在小区明目张胆盖窝棚养鸡,就跟居委会大妈唠了一下午老王这人私生活混乱,作风不好,严重影响我们小区的声誉。
但NOYB老哥很暴躁啊,我不但要举报,我还要给DPA普法。于是投诉信上出现了大段的法理论述,给法兰西DPA介绍了下Google的“同意”机制真的不自由。专家范,实在是高。
NOYB认为,Google虽然列了四个基础(同意、合法利益、合同目的及法定义务),但实际使用的只有“同意”机制(我们之前介绍过,GDPR提供了多种法律基础供企业选择,“同意”只是其中之一)。原因很简单,Google提供给用户的协议中写着,“使用我们的服务,代表您同意谷歌按照其隐私政策使用您的个人数据”;Google提供服务需要用户“同意”其隐私政策和条款;Google也没说明白哪些数据是按照什么法律基础怎么用的。
NOYB接着分析,“同意”不但是Google处理用户数据唯一的法律基础,而且还不自由,不合法。
第一,GDPR说了,如果企业很强,用户很弱,以至于用户不能真正去选择是否同意企业搜集用户个人数据,即使用户在这样的情况下同意企业收集数据,也不好使。Google是互联网龙头企业,安卓系统覆盖全球85%的智能手机,如果用户不同意Google的隐私协议,就只能买苹果了,啥?苹果又又又又要涨价?总而言之,NOYB认为 Google取得的“同意”不能算数,因为用户和Google的这关系太不平等了,无效无效。
第二,GDPR又说了,假如提供一个服务总共只需要三种数据,企业不能拿着这三种以外的数据对用户说,你不同意我收集其他数据,我就不给你提供服务。NOYB认为Google玩的更彻底,不同意谷歌的隐私协议,连手机都直接不让用了。
第三,GDPR又又说了,这个“同意”啊,措辞上不能搞形式主义,“同意”内容的颗粒度要细,啥数据,啥目的,咋用,得安排的明明白白。NOYB认为Google的隐私协议不但让用户必须同意,还说同意这一个隐私协议就代表同意Google所有产品都可以使用用户的数据,Youtube、Chrome、Google map啥的都一揽子数据共享?闹呢?太抽象了吧。
第四,GDPR又又又说了,即使用户不同意信息被收集,企业也不能降低服务质量。NOYB觉着说,不同意Google隐私协议,用户连手机都开不了,这真的不是服务降低了,而是直接触底了。
NOYB第二击:“自由”又怎样,其他问题一箩筐
如果说第一击只是展示了NOYB深厚的理论基础,套路二则展现了NOYB以马律师为首的一众猛人丰富的斗争实战经验。因为不论第一击多么完美,对于Google这样的庞然大物,总还是存在DPA认为“同意”是自由做出的可能性,此时就要套路二上场了。
亲爱的DPA,如果上一波操作没有效果,请看NOYB第二波输出。
就算是法兰西DPA认为“同意”是自由的,
第一,Google还侵犯了用户在GDPR下的知情权。隐私政策写的又难读又笼统,基本等同于Google可以“在任何产品,为任何目的,处理任何数据”。
第二,Google隐私政策写的一点也不明确。道理同上。
第三,“同意”必须是单独提出,Google把“同意”的内容藏在用户协议条款里,违反了GDPR。
第四,如果DPA认定Google根据其他GDPR法律基础,而不是“同意”,处理了用户的个人数据,那我NOYB实名举报他Google不按套路出牌,用“同意”的外貌,欺骗用户善良的感情。
第五,如果Google说现在使用个人信息是因为这些用户在GDPR生效前就同意了Google使用他们的个人信息,那真是天大的笑话,现在Google都问题一大堆,那GDPR生效前的同意岂不更是漏洞百出。
NOYB亮剑:37亿欧元把你Google罚吐血
NOYB说(Pen)完了,但是这篇投诉才刚刚接近高潮。
在投诉的结尾,NOYB写到,GDPR生效后,Google这样的行业巨头仍然知法犯法,且以营利为目的,因此除停止违规处理措施外,还应施加GDPR下顶格行政罚款,也就是Google2017年全球营收的4%,也就是37.9亿欧元,以儆效尤。
后记
NOYB大战Google和Facebook还远远没到落幕的时候,截止发稿日我们也没有看到受理投诉的DPA对此事作出实质性的回应。如果有新的进展,我们一定第一时间为大家发来战报与解读。
那看完故事后,对诸位来说,从这个故事中学到了哪些新知识呢?
答案是,没有。
这个事件带给我们很多启发,其中最重要的是隐私政策的内容和定位问题。比如信息采集和使用情况披露的颗粒度更细,比如用额外弹窗征求用户同意其收集敏感信息,再比如我们如何让用户知晓,产品隐私协议并不是“同意”的对话框。
而从另一个侧面,NOYB用实际行动提醒诸位,GDPR真的不是花拳绣腿,如果不在意,可能会招致不(牛)必(X)要(大)的(佬)成(踹)本(门)。
GDPR系列文章阅读:
APUS研究院|GDPR实战指南(一)写给出海的伙伴:GDPR,一个可以讨论的话题
APUS研究院|GDPR实战指南(三)全球首例GDPR案件分析
APUS研究院|GDPR实战指南(四)浅谈企业GDPR合规中的项目管理
APUS研究院|GDPR实战指南(五)移动App的产品设计——启动页面和账号注册实例
APUS研究院|GDPR实战指南(六)Google的开源Consent解决方案解析
APUS研究院|GDPR实战指南(七)并不简单的“个人数据”判断
介绍:APUS研究院,致力于研究数据合规的前沿问题,持续跟进高新行业的合规热点和动态。