自上周以来,马克·扎克伯格(Mark Zuckerberg)的meta公司正迫使其欧洲用户要么接受他们侵犯隐私的做法,要么每年支付156欧元,在不跟踪广告的情况下访问Facebook和Instagram。
对欧盟来说,这是对《通用数据保护条例》(GDPR)可信度的又一次考验。为了做出回应,欧盟必须把重点放在三件事上:迅速执行有约束力的裁决,确定meta新模式的法律依据的有效性,以及全面审查GDPR以确保更有效的执行。
但这也引发了对GDPR的质疑——为什么他们的期望如此之高,结果却如此之少?
《通用数据保护条例》(GDPR)于2016年获得通过,人们期望它将在一系列丑闻发生后,遏制大型科技公司的“监控资本主义”模式,并保障欧洲的数据隐私。
如今,就在GDPR诞生五周年之际,它并没有兑现自己的承诺。
一个重要的问题是所谓的“一站式服务机制”导致的执法不力,该机制将大部分工作委托给了国家数据保护机构(dpa)。
由于大多数科技企业集团出于税收原因将欧洲总部设在爱尔兰,爱尔兰数据保护委员会(Irish Data Protection Commission, DPC)承担着确保它们遵守GDPR规则的第一线工作。
这是都柏林监管机构并不总是愿意执行的任务。
在Facebook和Instagram的案件中,欧盟表面上认为meta的子公司基本上是在欧盟法律范围内行事,尽管其他国家监管机构持相反观点。最终,这导致了欧洲数据保护委员会(EDPB)对爱尔兰DPC的严厉推翻,以及挪威DPA在紧急GDPR执行下的临时禁令所推动的具有里程碑意义的决定。
由于爱尔兰DPC的“商业友好”态度和GDPR框架中的断层线,大型科技公司一再逃脱不合规的惩罚。罚款太少、太迟、太弱。例如,在2020年,meta因其不当行为支付了7.47亿欧元的罚款,相当于该公司当年1166亿美元收入的0.6%多一点。
meta的新“付费或接受”模式真的可行吗?
最近的行动似乎终于促使扎克伯格的公司重新考虑其在欧洲的数据收集方法。然而,meta并没有选择遵从的道路,而是采用了一种有争议的“为你的权利付费”模式。几周前,该公司向欧洲用户每月收取9.99欧元至12.99欧元的订阅费,以体验无广告服务。
这一发展发生在欧洲及其数字政策未来的关键时刻,并引发了关于meta行动合法性和合法性的根本辩论。
马克斯·施雷姆斯(Max Schrems)的隐私倡导非政府组织noyb认为,合法性问题取决于对两个漏洞的解释。第一个是对开创cookie付费墙的媒体的判断。第二个漏洞是欧盟法院(ECJ)的一份只有六个字的“讣告”(法官顺便说的话),其中规定,在拒绝同意特定数据处理做法的情况下,公司可以“在必要时支付适当费用”提供替代方案。
然而,可以肯定的是,并非每个人的经济能力都能承受如此昂贵的订阅费用。
利用这一点,meta巧妙地为用户提供了一个“像以前一样免费”的选项,这是以持续的个人数据收集为代价的。这显然是一种歧视性做法,极有可能加剧已有的数字不平等。
毫无疑问,梅塔再次向欧盟发出挑战,而这一次,欧盟的反应方式将对全球产生影响。事实上,meta本身已经表明,欧洲将作为一个实验,看看向其他国家推出类似的订阅服务是否可行和可取。
这是欧洲的一个重要时刻。有效的GDPR执法,以及《数字服务法》(Digital Services Act)和《数字市场法》(Digital Markets Act)的实施,是对欧盟控制大型科技公司最具滥用和社会破坏性做法能力的关键考验。
因此,坚决的行动是必不可少的。历史表明,爱尔兰数据保护委员会一再轻视自己的任务,认为meta可以绕过GDPR。这种情况不能再出现了。
最重要的是,爱尔兰DPC确保meta完全遵守EDPB的紧急约束性决定,否则将被禁止在欧洲经济区收集数据。此外,监管机构需要认识到,新的订阅模式促进了一种“全面共识”的方法,这与GDPR对“自由给予、具体、知情和明确”的同意的理解不兼容。
然后,欧盟法院需要澄清其在meta Platforms Inc.诉Bundeskartellamt案的细则上的立场。施雷姆斯已经对meta提起了第一次诉讼,但这取决于法院澄清其对7月裁决的立场,并为讣告的有效性带来法律确定性。
与此同时,欧洲消费者组织(BEUC)也在周四(11月30日)向消费者保护机构网络提交了一份针对meta“不公平的付费或同意模式”的集体投诉。
最后,欧盟必须审查GDPR。
今年7月,欧盟委员会提出了一项简化执法的提案。然而,这一举措未能解决GDPR的主要问题,其中之一就是欧盟委员会自身执法不力。因此,不顾欧盟总局的好意,似乎是时候重启GDPR了。
这样做,就有机会让监管变成一个成功的故事。然而,这需要比目前讨论的内容更重大的改革,也需要一个明确的信号,即隐私在欧洲是非卖品。
