德國政府機構被敦促在明年之前刪除其Facebook頁面
據外媒TechCrunch報導,德國聯邦信息專員似乎已經對Facebook失去了耐心。上個月,德國首席聯邦隱私監管機構烏爾里希-凱爾伯(Ulrich Kelber)寫信給政府機構,”強烈建議”他們關閉自己的官方Facebook頁面,因為持續存在的數據保護合規問題以及這家科技巨頭未能解決這一問題。
在信中,凱爾伯警告政府機構,他打算從2022年1月開始採取執法行動–基本上是給他們一個最後期限,即明年從Facebook上刪除他們的頁面。
因此,預計在未來幾個月內不會看到德國政府機構的官方Facebook頁面。雖然凱爾伯自己的機構–BfDi–似乎沒有Facebook頁面,但其他許多德國聯邦機構都有–比如衛生部,其公共頁面有超過76萬的粉絲。
如果這些網頁在聖誕節前從Facebook的平台上消失–或者被Kelber命令在明年初刪除–那麼唯一的選擇似乎是這家科技巨頭對其平台的運營方式做出比目前更多的實質性改變,允許這些網頁以符合歐盟法律的方式在德國運營。
然而,Facebook在無視隱私期望和數據保護法方面有很長的歷史。最近,它還表明自己非常願意降低用戶可用信息的質量–如果這樣做能促進其商業利益的話(例如游說反對媒體法)。因此,看起來更有可能的是,德國政府機構不久將不得不悄悄退出該平台……
凱爾伯表示,他一直避免對各部門的Facebook頁面採取行動,因為這些公共機構認為他們的Facebook頁面是他們接觸公民的重要途徑。然而,他在信中指出,政府機構必須成為遵守法律的”榜樣”,因此有遵守數據保護法的”特殊責任”。(EDPS正在採取類似的做法,審查歐盟機構對美國雲服務巨頭的使用。)
根據他的評估,Facebook在2019年提供的”附錄”並沒有糾正合規問題,他的結論是,Facebook沒有對其數據處理操作進行修改,以使頁面運營商遵守歐盟《通用數據保護條例》( GDPR)中的要求。
歐洲最高法院早在2018年6月作出的一項裁決在這里特別相關–因為它認為,Facebook上粉絲頁面的管理員與Facebook共同負責處理該頁面訪問者的數據。這意味著,這些頁面的運營商也面臨著數據保護的合規義務,不能簡單地認為Facebook的條款和條件為他們提供了科技巨頭進行數據處理的法律保障。
簡而言之,問題在於,Facebook沒有為頁面運營者提供足夠的信息或保證,說明其如何處理用戶的數據–這意味著他們無法遵守GDPR的問責和透明原則,因為例如,他們無法充分告知其Facebook頁面的粉絲,他們的數據被如何處理。
Facebook頁面運營商也沒有辦法關閉(或以其他方式阻止)Facebook對其頁面關注者的廣泛處理。即使他們不使用Facebook提供給頁面運營商的任何分析功能。處理仍然發生。這是因為Facebook採用了”要么接受,要么放棄”的”數據最大化”模式–為其廣告定位引擎提供信息。
但是,如果因為關鍵服務大規模遷移到其平台之外,最終永久性地降低了其網絡上可用信息的質量,那麼這種做法可能會適得其反。例如,歐盟的每個政府機構都刪除了其Facebook頁面。
BfDi網站上的一篇相關博文還提出希望,“符合數據保護的社交網絡”可能會在Facebook的合規真空中發展起來。當然,對於那些試圖在尊重用戶權利的基礎上銷售服務的替代平台來說,可能會有競爭機會。
在討論BfDis的干預時,奧斯陸大學挪威計算機和法律研究中心的研究員Luca Tosoni告訴TechCrunch:“這一發展與歐盟法院最近關於聯合控制權的案例法嚴格相關。特別是,它考慮到了Wirtschaftsakademie的裁決,該裁決認為,在處理頁面訪問者的個人數據方面,Facebook頁面的管理員應被視為與Facebook的共同控制人。”
“這並不意味著頁面管理員和Facebook對與使用Facebook頁面有關的所有階段的數據處理活動承擔同等責任。但是,他們必須有一個明確分配角色和責任的協議。根據德國聯邦數據保護和信息自由專員的說法,Facebook目前的數據保護’附錄’似乎不足以滿足後一項要求。”
“值得注意的是,歐盟委員會在其《時尚身份》的裁決中認為,GDPR對聯合控制者的義務與他們實際行使控制權的那些數據處理階段相稱,”Tosoni補充說。“這意味著,Facebook頁面管理員的數據保護義務通常會相當有限。”
對其他社交媒體服務的警告
這個特殊的合規問題影響到了德國的Facebook–以及可能影響到其他歐盟市場。但其他社交媒體服務也可能面臨類似問題。例如,Kelber在信中指出,正在對Instagram、TikTok和Clubhouse進行審計–警告它們提供的數據保護水平也存在”缺陷”。他繼續建議各機構避免在業務設備上使用這三個應用程序。
在早些時候,即2019年對政府機構使用社交媒體服務的評估中,BfDi建議Twitter的使用可以–相比之下–符合數據保護規則。例如,至少在隱私設置完全啟用和分析功能被禁用的情況下。
當時,BfDi還警告說,Facebook旗下的Instagram也面臨著與Facebook類似的合規問題,他說整個集團都採取了同樣的”濫用”同意方式。
就凱爾伯對政府機構的最新建議,Facebook向TechCrunch發送了這份通用聲明:
“在2019年底,我們更新了頁面洞察力附錄,並澄清了Facebook和頁面管理員的責任,為此我們考慮到了有關數據處理透明度的問題。對我們來說,重要的是,聯邦機構也可以使用Facebook頁面,以符合隱私的方式與我們平台上的人溝通。”
在歐盟法院去年夏天作出Schrems II裁決後,法律上的不確定性給Facebook帶來了額外的複雜性。
歐洲最高法院宣佈歐盟-美國隱私保護安排無效,該安排允許公司自我證明有足夠的數據保護水平,取消了將歐盟用戶的個人數據轉移到美國的最便捷途徑。雖然法院沒有完全取締歐盟用戶個人數據的國際轉移,但它明確指出,如果數據保護機構懷疑信息被轉移到一個地方,並且以這種方式被置於風險之中,就必須進行干預並暫停數據流動。
在Schrems II之後,如果數據被一家受《外國情報監視法案》702條款約束的美國公司處理,向美國的轉移顯然是有問題的,Facebook就是這種情況。
事實上,Facebook從歐盟到美國的數據傳輸是Schrems II案(由同名的Max Schrems)中投訴人的最初目標。該科技巨頭的主要歐盟數據監管機構是否會貫徹去年的初步命令,即暫停其歐盟數據流動–在未來幾個月內作出決定,仍有待決定。
即使在愛爾蘭期待已久的清算之前,其他歐盟DPA現在也在介入採取行動–Kelber的信中提到Schrems II的裁決是另一個值得關注的問題。
Tosoni同意,GDPR的執行終於加強了一個檔次。但他也表示,遵守Schrems II裁決有很多細微的差別,因為每個數據流都必須逐案評估–控制者可能會採取一系列的補充措施。”這一發展也表明,歐洲數據保護當局正在認真執行歐盟法院在Schrems II中解釋的GDPR數據傳輸要求,因為德國聯邦數據保護和自由專員將此作為另一個痛點,”他說。
“然而,德國聯邦專員在EDPB通過其關於CJEU Schrems II裁決後國際數據傳輸補充措施的建議的最終版本前幾天發出了他關於Facebook頁面使用的信件。因此,德國數據保護機構在未來評估德國公共機構使用Facebook頁面的GDPR合規性時,將如何考慮這些新建議,還有待觀察。”
“這些建議並沒有確立全面禁止向美國轉移數據的規定,而是強制要求採取嚴格的保障措施,要繼續將Facebook頁面的德國訪問者的數據轉移到美國,就必須遵循這些保障措施。”
歐盟法院最近的另一項判決重申,歐盟數據保護機構在某些情況下可以根據GDPR的一站式機制,在其不是特定公司的主要數據監管者時採取行動–如果當地機構認為迫切需要採取行動,則擴大了成員國監督機構的訴訟可能性。
雖然,在德國政府機構使用Facebook頁面的情況下,歐盟法院早先對聯合法律控制權的裁定意味著BfDi已經有明確的管轄權,可以自己針對這些機構的Facebook頁面。