WhatsApp不够“透明”被罚2亿欧元，GDPR实施启示我国数据执法

　　原标题：WhatsApp不够“透明”被罚2亿欧元，GDPR实施启示我国数据执法

　　近日，爱尔兰数据保护委员会（Data Protection Commission，DPC）宣布，脸书旗下即时通讯软件WhatsApp因违反欧盟通用数据保护条例（GDPR）被罚款2.25亿欧元。这是DPC有史以来开出的最高罚单，也是欧盟GDPR实施以来的第二高罚单。

　　受GDPR第63条规定的“一致性机制”的约束，DPC最终罚款水平比原本开出的罚款金额5000万欧元，提升了四倍多。受访专家向21记者提到，该机制保障了处罚结果的公平性，也让基于此被处罚的WhatsApp不会因同一违法行为在欧盟其他成员国再次被罚。

　　另一方面，WhatsApp罚款的大幅度调升也是迫于各方对GDPR执法力度的不满声音。GDPR自生效以来就被寄予对抗互联网巨头的厚望，执法行为具有明显的示范效应和预防警示，然而目前对互联网巨头的震慑威力尚不尽人意。

　　在我国《数据安全法》刚刚生效、《个人信息保护法》即将于11月1日生效的时机下，受访专家表示，GDPR监管机构与对象同时约束、实体与程序并重的执法理念，以及对企业合规、执法的透明度的重视等先行经验，值得我国日后执法的借鉴。

　　多项并罚

　　DPC的调查始于2018年12月10日，涉及WhatsApp的信息处理、隐私政策，以及与母公司Facebook共享数据的方式是否足够透明等。9月2日，这项调查有了最终定论——对WhatsApp做出2.25亿欧元巨额罚款，并对其提出三个月期限的整改要求，以提高数据处理透明度水平。

　　DPC公布的决定内容显示，WhatsApp违反了GDPR的多项条款。其中，包括第5（1）（a）条，未能以合法、公平和透明的方式处理用户的个人数据，罚9000万欧元；第12条，未能“以简洁、透明、易懂且易于访问的形式，使用清晰明了的语言”提供有关如何收集数据的信息。若收集行为针对儿童，该信息还应易于儿童理解，违反该项罚3000万欧元；第13条，未能通知用户数据的存储位置、相关联系人的详细信息，以及收集数据的目的和接收数据的人，罚3000万欧元；以及第14条，未能通知用户何时从第三方获取和处理他们的个人数据以及这些数据的来源，罚7500万欧元。

　　WhatsApp对此并不认同。“我们已致力于确保提供的信息透明和全面，并将继续如此。”一位发言人称，DPC的处罚与其违反行为完全不成比例，公司正计划提起上诉。

　　公开资料显示，WhatsApp于2014年被脸书斥资190亿美元收购。2020年2月，WhatsApp宣布用户数量突破20亿。在今年新年前夜，WhatsApp用户更是打出了超过14亿次的语音和视频通话，创下了一天时间内的通话次数记录。

　　WhatsApp已成为脸书旗下最受欢迎的应用程序之一。因与脸书之间的数据共享，也让WhatsApp遭到了多次质疑。

　　今年5月，德国汉堡数据监管机构发布禁令，禁止Facebook处理来自WhatsApp的用户数据，起因是后者的新隐私条款将与脸书共享更多数据，涉嫌违反GDPR。此前的1月，WhatsApp已因同样的问题分别面临来自印度和土耳其的压力。

　　真正的麻烦不止于此，美国正在试图将WhatsApp从脸书中拆分出来。

　　去年12月9日，美国联邦贸易委员会（FTC）正式起诉脸书的非法垄断行为。FTC希望向联邦法院寻求一项永久禁令：要求脸书剥离包括Instagram 和 WhatsApp在内的资产，禁止脸书向软件开发者施加反竞争条件，且脸书未来的收并购案都必须寻求事先通知和批准。

　　该诉讼一波三折。今年6月，哥伦比亚特区联邦地区法官驳回了FTC的诉讼请求。但50天过去，FTC重整旗鼓，再次提起脸书的反垄断诉讼，仍然主张对其进行业务拆分。

　　为何被重罚？

　　此次针对WhatsApp2.67亿美元的处罚，是DPC有史以来开出的最高罚单，也是欧盟GDPR实施以来的第二高罚单。第一高是今年7月卢森堡数据保护当局对亚马逊开出的7.46亿欧元罚单。

　　值得注意的是，爱尔兰的DPC原本开出的罚款金额仅为5000万欧元，但在受到来自其他欧洲国家的压力后，最终罚款水平提升了四倍多。一方面，这与GDPR的“一致性机制”（Consistency Mechanism）有关。

　　该机制意在确保GDPR在整个欧盟的一致、同等适用，要求各成员国的监管机构加强执法过程中的合作，以及与欧盟数据保护委员会（EDPB）保持沟通与合作。根据GDPR的有关规定，在某一执法行为或决策可能影响多个成员国时，EDPB在平衡、协调不同成员国监管机构的不同诉求时有巨大的影响力和权限。

　　“‘一致性机制’一定程度上防止一国滥用或误用执法权，从程序上保障了处罚结果的公平性、避免由单独一方做出处罚的绝对性，因此更容易使被处罚方接受。”中国政法大学网络法学研究所副所长商希雪评价，最终罚款数目的变更，背后原因可能因为Facebook屡次侵犯用户隐私被处罚而未彻底更正，相对低额罚款的警示力度不够明显。

　　上海申伦律师事务所律师夏海龙表示，基于“一致性机制”产生的处罚，可以理解为WhatsApp基本不会因同一违法行为在欧盟其他成员国再次被罚。

　　事实上，2.67亿美元的罚款仅占其母公司脸书2020年总营收859.65亿美元的0.3%，但处罚宣布当天，脸书股价仍直接下跌6.77美元，跌幅为1.77%。

　　“无论最终处罚是否坐实，都给WhatsApp和脸书敲响了一记警钟。”商希雪表示，两者的整改或有望为业内用户信息合规工作提供高标准的样本参照。

　　对我国的借鉴

　　对WhatsApp罚款的大幅度调升，伴有各方对GDPR执法力度的不满声音。据Privacy Affairs网站统计，截至9月2日，GDPR执法总数超过800起，总罚金超过120亿欧元，欧盟所有成员国均有相关执法记录。但在此次针对WhatsApp的处罚和今年7月对亚马逊的创纪录罚款之前，数额最大的罚款仅是2019年法国政府的隐私保护机构对谷歌处以的5000万欧元。

　　GDPR初颁布时被誉为世界上最全面的数据隐私法，以对抗脸书、谷歌等互联网巨头的数据囤积行为。“对于互联网企业违规，处罚金额过低没有震慑力，过高则小型互联网企业难以承受。”商希雪认为，欧盟数字经济发展策略之一是鼓励与发展中小企业，因此以跨国互联网巨头为数据保护机关的执法对象，执法行为具有明显的示范效应和预防警示。

　　在我国《数据安全法》刚刚生效、《个人信息保护法》即将于11月1日生效的时机下，欧盟GDPR在数据领域的先行经验对我国日后的执法有何借鉴？

　　在夏海龙看来，GDPR对监管机构的资格、目标和权限都作了具体的规定，对具体执法程序也有直接的规定。这些规定对于约束监管机构的裁量权有重要作用，很大程度上能够避免在施行GDPR过程中对企业的不当干预和执法不公。“这种对监管机构与监管对象同时约束、实体与程序并重的执法理念非常值得借鉴，以提高我国相关领域执法的科学性和公正性。”

　　从以往GDPR执法行动来看，透明度仍然是整个欧洲数据保护工作关注的重点。商希雪则表示，对于我国境内的互联网企业来说，《数据安全法》《个人信息保护法》《民法典》中关于透明度的要求将是企业数据合规工作的重点和难点。

　　其次，执法机关应该确保数据执法的透明性和公平性，一是要在裁定文书中公布处罚事由、过程、依据和结果；二是对违规企业做出处罚判断时，要综合各因素做以考量，包括市场份额、示范意义、处罚影响等。

　　商希雪提醒，尽管透明度是重点执法目标，其他合规要求也是明确的执法范围，法国国家信息与自由委员会（CNIL）在2019年和2020年分别依据GDPR和《电子隐私指令》（e-Privacy Directive）对谷歌公司分别处以5000万欧元和1亿欧元的罚款，其执法原因也不相同。“因此，数据保护执法并非‘一次性处理’，而是动态监管状态。对应的，企业的数据合规工作也会是常态化的运行机制。”

　　（作者：郭美婷，黄婉仪，实习生张晓凤 ）

海量资讯、精准解读，尽在新浪财经APP

责任编辑：李墨轩