歐洲最高法庭解除了對大型科技公司的GDPR訴訟的障礙
歐盟最高法院今日發布的一項裁決將解除消費者保護組織提出的一系列訴訟。據悉,這些組織正在尋求針對Facebook和Twitter等科技巨頭的《通用數據保護條例(GDPR)》標準,以解決他們在處理用戶們的數據時是否徵得適當的知情同意等問題。
在今日的判決中,歐洲法院(CJEU)肯定了消費者保護組織可以對違反GDPR下保護人們數據的集團法律的行為提起代表訴訟。
提交給CJEU的案件是由德國聯邦消費者組織和協會聯盟(又稱vzbv)對Meta提出。據悉,該案涉及到在其平台上運行的某些免費遊戲應用的服務條款,該條款通過不提供拒絕處理的選項來強迫用戶同意。
Meta的一位發言人在一份簡短的回應聲明中指出:“相關的法律程序表明存在一些開放性問題,CJEU現在已經解決了這些問題。我們將審查該決定並評估其影響。”
CJEU的裁決預示著一個更廣泛的變化–明年,當代表行動指令在6月開始實施時,歐盟將進一步擴大消費者權益團體代表他們認為權利受到侵犯的個人進行訴訟的能力。
科技巨頭通常試圖通過辯稱CJEU在GDPR下沒有管轄權來破壞這類隱私訴訟–GDPR的目的是協調該領域的國家立法。另外,它還包含一個機制(一站式,OSS),即通過每個實體的區域總部所在的歐盟成員國的牽頭數據保護機構來輸送跨境GDPR投訴。
雖然歐盟立法者通過OSS簡化了企業的合規性,但它的存在加劇了反消費者權利的論壇購物做法–企業巨頭們聚集在“友好”的監管機構周圍,並在政治層面上施加壓力以鼓勵符合其商業利益的監督。
這種策略還通過堆積複雜的案件工作有效地縮減了監管機構的資源。
所有這些壓力可能並已經導致了GDPR的執行瓶頸、決定的延遲乃至調查被放棄或一開始就沒有啟動。最近,對這一問題的投訴導致歐盟委員會對歐盟監察員對GDPR應用的監督進行了調查。
在Facebook的案例中,愛爾蘭的監督導致了相當於完全凍結執法–因為自2018年5月法規生效以來,儘管有無數的投訴,但該服務沒有受到任何一個GDPR最終決定的影響。
去年,愛爾蘭終於就針對Facebook旗下WhatsApp的投訴做出了決定。但更多的投訴仍被繼續擱置–就在今天,歐洲隱私權組織noyb宣布,愛爾蘭數據保護委員會(DPC)已就其描述的跟Facebook旗下的Instagram和WhatsApp有關的兩個案件的“嚴重拖延”與其達成和解,該委員會還表示,愛爾蘭納稅人將支付數万歐元的法律費用。
“在關於Facebook’同意繞過’的案件提交47個月後,DPC同意為延遲的司法審查支付數万的費用,”noyb在一份新聞稿中寫道,“雖然GDPR要求’毫不拖延’地做出決定,但DPC認為,四年的時間來製作一個決定草案是合理的。在大多數歐盟成員國,法律要求在3至12個月內做出決定。”
Noyb的新聞稿為論壇購物提供了一個視覺隱喻–用一張蝸牛在一堆錢上爬行的圖片來說明這個永無止境的監管傳奇中的最新痛苦發展。。
這一令人尷尬的GDPR執行瓶頸繼續使歐盟的旗艦數據保護法規大放異彩–使個人極難對最強大的科技平台行使其權利。
這反過來意味著,儘管明年泛歐盟的變化應該會釋放出更多的行動,但任何開闢針對大型科技公司的更多訴訟可能性的途徑對於重新設定平台巨頭和個人網絡用戶之間的權力不平衡都非常重要。
儘管如此,vzbv在其網站上的一份說明中稱歐盟法院的決定是一個具有里程碑意義的裁決,說這意味著聯邦法院“又上了火車”。多年來,該消費者組織一直試圖在不公平的隱私設置等領域對Facebook提起訴訟,而Meta的律師卻給它打了個擦邊球,認為當地法院沒有任何管轄權來審理這些挑戰。
在這份聲明中,vzbv的董事會成員Jutta Gurkmann補充稱,今天歐盟法院的裁決“結束了關於消費者協會的數據保護起訴權的令人厭倦的辯論”。
另外,她還指出:“一些歐洲數據保護機構不太能夠應對大型技術公司不斷升級的數據收集,這已經是一個公開的秘密。在過去,這種執法赤字越來越多地啃噬著人們對GDPR的接受程度。現在很清楚了:除了監管機構外,像vzbv這樣的民間組織也可以在很大程度上懲罰違反GDPR的行為。長期以來,vzbv一直在有效地起訴Meta、Google和公司上獲得成功。今天歐洲法院的判決創造了法律的確定性,直到今年將實施的歐洲集體訴訟指令,其中也包含這樣的權力。”
歐洲消費者組織BEUC的副總幹事Ursula Pachl也在一份聲明中對歐盟法院的裁決表示歡迎,認為這是一個好消息,與此同時還強調了2023年6月的泛歐盟指令的重要性。
“今天的裁決是個好消息,因為它強調消費者團體可以在違反GDPR的情況下對Meta等公司提出集體索賠,只要這個程序在國家層面存在。GDPR是一部保護歐盟人民個人數據的重要法律,”她說道,“它必須得到更好的執行,而像今天這樣的裁決將有所幫助。從明年開始,歐盟的新規則將允許消費者團體發起代表行動,這將進一步改善情況。屆時,所有歐盟國家的消費者協會只要符合某些標準就有可能對違法的公司發起禁令或集體補救索賠,其中包括根據GDPR。屆時,消費者團體執法的新時代將開始。”