欧盟 《通用数据保护条例》(以下简称《条例》)虽规定,欧盟成员国的数据监管机构有权行使《条例》赋予的职权,包括审查相关个人数据处理是否符合《条例》的要求。但是,对于欧盟成员国的反垄断机构是否可以行使上述权力,《条例》则未作规定。同时,《条例》虽对个人数据处理的合法性基础作出了规定,但是,对于这些规定在社交网络的场景下应如何理解和适用,《条例》则未予明确。欧盟法院在近期判决的Meta平台爱尔兰公司等诉德国联邦卡特尔局案中,对这些问题作出了明确的指引。
基本案情
Meta平台爱尔兰公司(以下简称Meta爱尔兰公司)是Meta集团的成员,该公司在欧盟境内运营“脸书”这一在线社交网络平台。Meta爱尔兰公司依据其与用户签订的协议,对用户的个人数据进行处理,“脸书”的用户点击“注册”按钮,即视为接受了该公司草拟的通用条款,而用户接受该条款系其使用“脸书”的必要条件。该条款提及了Meta爱尔兰公司的数据和cookies政策,根据这些政策的规定,Meta爱尔兰公司将收集与用户活动相关的用户数据和设备数据,并将这些数据与用户的“脸书”账户相关联。上述数据包括用户在“脸书”以外活动相关数据,主要是访问第三方网页和手机软件的数据,以及使用Meta集团提供的其他服务的数据。
德国联邦卡特尔局对Meta爱尔兰公司等发起反垄断调查,并于2019年2月作出决定,禁止Meta爱尔兰公司等在案涉通用条款中,将处理德国用户在“脸书”以外的活动的数据,作为使用“脸书”的条件,并禁止这些公司在缺乏德国用户同意的情况下,基于案涉通用条款处理这些用户的数据,主要理由是案涉通用条款构成对Meta爱尔兰公司市场支配地位的滥用,特别是对用户在“脸书”以外活动数据的处理,违反了《条例》的相关规定。
Meta爱尔兰公司等对德国联邦卡特尔局的决定不服,向德国杜塞尔多夫高等地区法院提起诉讼。因本案涉及《条例》的解释问题,杜塞尔多夫高院遂决定中止本案诉讼,并请求欧盟法院就以下五个问题作出先予裁决:
一是根据《条例》的规定,欧盟成员国反垄断机构是否可以在对相关企业滥用市场支配地位的反垄断调查中,认定该企业有关个人数据处理的通用条款及条款的执行违反了《条例》的规定?如是,则在上述条款正在同时接受欧盟成员国数据监管机构调查的情况下,欧盟成员国反垄断机构是否仍然可以作出此类认定?
二是根据《条例》的规定,用户访问相关网站或手机软件,并且输入相关信息或者点击该网站或手机软件中的按钮的情况下,是否可以认定该用户自行公开了相关个人数据?
三是根据《条例》的规定,社交网络运营商对个人数据的处理,包括:(1)从其隶属的企业集团为用户提供的其他服务中收集他的个人数据;(2)从用户对第三方网站或手机软件的访问中收集他的个人数据;(3)将这些数据与用户的社交网络账户相关联,并对这些数据予以使用,是否可以视为用户为履行合同所必需,或者运营商或第三方为追求合法权益所必需?
四是根据《条例》的规定,上述个人数据处理是否可视为为履行社交网络运营商的法定义务所必需?为保护数据主体或他人的重大利益所必需?为执行公共利益领域的任务或行使运营商被赋予的公务职权所必需?
五是根据《条例》的规定,运营商在社交网络市场享有支配地位的情况下,用户向运营商作出的同意,是否满足了《条例》规定的条件,特别是同意必须自由作出这一条件?
欧盟法院的判决
2023年7月4日,欧盟法院就该案作出判决。在判决中,欧盟法院发表了如下意见:
关于第一个问题,欧盟法院认为,如果相关反垄断调查需要认定相关企业有关个人数据处理的通用条款及其对此类条款的执行违反了《条例》的规定,则欧盟成员国的反垄断机构可以在与欧盟成员国数据监管机构精诚合作的前提下,在反垄断调查中作出上述认定。
关于第二个问题,欧盟法院认为,在访问相关网站或手机软件的情况下,用户并未自行公开该运营商通过cookies或类似存储技术收集的相关的个人数据。同时,如果用户在相关网站或手机软件中输入相关信息或者点击该网站或手机软件中的按钮,则只有在用户基于充分了解事实而选择了相关个性化设置,并且已通过该设置明确作出相关选择的情况下,方可认定他已经自行公开了其输入的或因其点击相关按钮而产生的个人数据。
关于第三个问题,欧盟法院认为,首先,运营商对个人数据的处理,只有在客观上对于实现相关目的不可或缺,而该目的又构成用户合同义务不可或缺的一部分,从而导致如果不处理该个人数据,则该合同的主要义务即无法履行的情况下,方可视为为履行该用户作为一方当事人的合同所必需。
其次,运营商对个人数据的处理,只有满足了以下三个条件,方可视为为该运营商或第三方追求合法权益所必需:其一,该运营商已将其个人数据处理所追求的合法权益告知相关用户;其二,此类个人数据处理仅在为实现该合法权益所必需的情况下进行;其三,对案件所涉的相互冲突的权益进行的平衡来看,用户的合法权益并不优先于该运营商或第三方的合法权益。
关于第四个问题,欧盟法院认为,首先,运营商对个人数据的处理,只有满足了以下两个条件,方可视为为履行其法定义务所必需:其一,该个人数据处理确实为该运营商履行其依照欧盟或欧盟成员国法律承担的法定义务所必需,并且此法律应当符合公共利益目标并与其追求的合法目标成比例;其二,该个人数据处理仅在充分必要的情况下进行。
其次,运营商对个人数据的处理,原则上不能视为为保护数据主体或他人的重大利益所必需,或者为执行公共利益领域的任务或为行使运营商被赋予的公务职权所必需。
关于第五个问题,欧盟法院认为,运营商在社交网络市场享有支配地位这一事实,并不能阻止用户就其个人数据的处理作出有效同意。但是,在认定此类同意是否事实上是由用户有效作出,特别是自由作出时,上述事实是一个重要的考量因素。用户的同意是否有效作出或是自由作出,应当由运营商举证证明。
(作者系法律工作者)