GDPR視域下定向廣告的隱私合規
——以亞馬遜受罰案為例

劉雨佳

（武漢大學，湖北武漢430000）

一、亞馬遜受罰案件背景

根據亞馬遜7 月30 日向美國證券交易委員會（SEC）提交的文件，盧森堡國家數據保護委員會（CNPD）于2021 年7 月16 日對亞馬遜作出處罰決定，據媒體證實，CNPD針對亞馬遜的調查始于2018年，此時法國非政府組織La Quadrature du Net（以下簡稱“該組織”）經10065人授權，針對亞馬遜的個人數據處理行為向法國國家信息與自由委員會（CNIL）提起集體投訴。

該組織認為，亞馬遜處理用戶數據，進行行為分析和定向廣告缺乏法律依據，違反GDPR關于“處理數據的合法性”的規定，故請求對亞馬遜采取以下措施：（1）根據GDPR 第58.2.f 條禁止投訴中所述的行為分析和定向廣告；（2）根據GDPR 第83.2 和83.5條的規定，由于所發現違規行為的大規模、持久性和明顯蓄意性質，實施盡可能高額的行政罰款。亞馬遜當時的辯護為“沒有數據泄露、沒有客戶的數據被暴露給第三方”。

此外，去年11月，經歐盟專員調查，亞馬遜利用市場上的第三方賣家數據為其自營業務牟利，具體而言，亞馬遜數據處理系統通過分析海量賣家數據，幫助亞馬遜自營業務“跟賣”平臺暢銷商品，或比照賣家數據優化商品定價。當時歐盟表示，亞馬遜此舉規避正常市場競爭風險，可能因違反歐盟反壟斷法被罰款280億美元。

本次CNPD的決定內容包括：（1）亞馬遜的行為分析和定向廣告缺乏法律依據，違反GDPR；（2）給予亞馬遜6 個月的期限糾正此缺陷，即結束定向廣告或獲得用戶的自由同意；（3）如未能罰款；（4）其他歐洲國家數據保護當局已同意盧森堡當局作出的決定。

二、亞馬遜的數據處理行為與法國非政府組織的主張

（一）亞馬遜的行為分析與定向廣告行為

亞馬遜在其隱私聲明中描述了它在提供服務時處理的數據，并聲明：“我們使用您的個人信息來顯示您可能感興趣的功能、產品和服務的廣告”。在“興趣導向的廣告”一節中，亞馬遜說明：“為了向您提供興趣導向的廣告，我們使用諸如您與亞馬遜網站、內容或服務的互動等信息”。用戶有權利選擇不接收來自亞馬遜的興趣導向廣告，在這種情況下，用戶仍會看到廣告，但這些廣告不會基于該用戶的興趣。

亞馬遜在“關于廣告”聲明中，將此種興趣導向的廣告歸類于“第三方廣告商和其他網站或應用程序的鏈接”，并明確區分了此種廣告和個性化產品推薦的區別。法國該組織將亞馬遜的此種行為總結為“行為分析與定向廣告”，其目的是“分析用戶行為并建立檔案，以進行廣告定位，而不僅僅是通過cookies 進行定位”。依據此種信息推斷，“行為分析與定向廣告”與產品的個性化推薦、優先推薦不同，更傾向于指代第三方廣告的鏈接和彈窗。

（二）法國非政府組織對該行為違法的主張

法國非政府組織認為亞馬遜的這種數據處理沒有法律依據，因此違反GDPR。該組織在其集體投訴申請中對亞馬遜行為具體分析如下：

1.處理數據的法律基礎

亞馬遜發布的任何文件都沒有表明它將行為分析和廣告定向的數據處理建立在用戶同意的基礎上，但用戶可以選擇不接收興趣導向廣告。

此外，亞馬遜沒有明確援引其合法利益作為其行為分析和定向廣告處理的基礎。該組織指出，鑒于歐盟關于新技術下出于直接營銷目的處理信息的法律規定的發展，對用戶終端上信息的訪問和存儲的法律基礎不再是合法利益，而僅限于同意。

2.亞馬遜的《使用條款》

《使用條款》寫明：“在使用亞馬遜服務前，請仔細閱讀這些條款。使用亞馬遜服務，即表示您同意受這些條款的約束”；針對定制內容，其說明：“作為亞馬遜服務的一部分，我們將推薦您可能感興趣的功能、產品和服務，包括第三方廣告，確定您的偏好，并個性化您的體驗。”

通過這種方式，亞馬遜表明，其行為分析和定向廣告處理包含在與用戶簽訂的合同中，履行合同的目的使該處理行為合法。然而，該組織認為，進行這種行為分析與定向廣告并非亞馬遜在用戶使用其服務時追求的主要目標，不能以履行合同目的作為該數據處理行為的法律依據。

該組織總結：亞馬遜為了直接營銷進行的行為分析與廣告定向行為未經當事人事先同意，也不能基于與用戶簽訂合同的需要，缺少法律依據，違反GDPR。

三、法律解讀和相關案例

（一）GDPR適用范圍：亞馬遜受罰的前提

1.GDPR項下的數據處理與定向廣告

在適用對象上，GDPR 第2 條規定，其適用于全自動或半自動個人數據處理，以及形成或旨在形成用戶畫像的非自動個人數據處理。而“個人數據”是指任何已識別或可識別的自然人（數據主體）的相關信息。學者認為，定向廣告是一種形式的精準營銷，而精準營銷是指：“通過收集一段時間內特定計算機或移動設備在互聯網上的相關行為信息，例如瀏覽網頁、適用在線服務或應用等，預測用戶的偏好或興趣，再基于此種預測，通過互聯網對特定計算機或移動設備投放廣告的行為。”而這種行為往往引發廣告交易平臺等數據控制者或處理者以外的第三方介入。亞馬遜的涉案行為則與此相同，是通過分析數據主體的行為并建立檔案，且將分析結果暴露給第三方，使第三方的廣告和彈窗能夠更為精準地出現在被分析主體的設備界面上。

2.GDPR的地域適用范圍

在地域適用范圍上，GDPR 采用屬地兼屬人原則。根據GDPR 第3 條，它不僅適用于所有在歐盟內部設立的數據控制者或處理者對個人數據的處理，同樣適用于境外主體所有對歐盟公民個人數據的處理，無論數據控制或處理行為是否在歐盟境內。即使沒有上述情形，基于國際公法，該數據控制者在其所在地區適用了歐盟成員國法律的，同樣受到GDPR的管轄。

（二）數據處理的法律基礎：亞馬遜受罰的依據

此次亞馬遜受罰的主要原因是其行為分析和定向廣告的數據處理缺乏法律基礎。GDPR 第5 條第1 款a 項規定，個人數據應以對數據主體合法、公平和透明的方式被處理，第6 條列明了可以合法處理數據的六種情況，其中與本案相關的主要是數據主體的同意、履行合同所必需和實現控制者或第三方合法利益所必需，如上所述，也正是該組織投訴中主張的三項。歐盟對這幾項法律基礎進行了多次解讀：

1.數據主體的同意

GDPR 第6.1.a 條規定，如果數據主體已同意出于一個或多個特定目的處理個人數據，則處理是合法的。此條中的“同意”要求數據控制者以公平的方式請求，而數據主體必須以明確和自由的方式給予。

（1）明確同意

GDPR 規定，“同意”必須通過聲明或明確的積極行為表達，沉默、默認選中的復選框不能表示同意。GDPR 不允許控制者提供需要數據主體干預以阻止的勾選框或退出機制，且僅僅繼續正常使用網站的事實并不能推斷出數據主體對擬議處理表示同意。

（2）自由同意

“同意”必須是數據主體依照其意愿自愿作出的、具體的、知情的、明確的確認意思表示。在確定是否自由給予時，應考慮：第一，合同的執行，包括提供服務，是否前提是同意處理對履行合同沒有必要的個人數據；第二，如果無法拒絕或撤回其同意，則不認為該同意為自由給予；第三，如果不能對不同的個人數據處理操作給予單獨同意，則推定該同意不是自由給予的；第四，如果數據主體沒有真正的選擇，感到被迫同意，或者如果不同意就將遭受負面效果，則同意無效；如果同意被捆綁為條款不可協商部分，則推定它不是自動給予的。

（3）同意請求的公平性

所有與處理此類個人數據有關的信息和通信都易于訪問、易于理解并以清晰簡單的術語表述；應當告知數據主體相關的處理規則、保證、風險和權利，以及行使相關權利的程序；數據主體有權隨時撤回其同意，且這種權利應在數據主體同意前就告知。

需要注意的是，如果數據控制者對個人數據的處理既基于數據主體同意又基于其他法律依據，則不可能合法，因為這必將導致數據主體受到誤導。例如，數據主體撤回同意，但控制者將可能根據其他法律基礎對數據進行處理。

2.履行合同所必需

GDPR 第6.1.b 條規定，如果“是為履行數據主體作為一方的合同所必需”，則處理可能是合法的。

歐盟第06/2014 號意見對此條進行嚴格解釋，“不包括處理對于履行合同并非真正必要，而是控制者單方面強加給數據主體的情況”。此外，“合同涵蓋某些數據處理操作的事實并不自動意味著這些處理操作是執行所必需的”。這意味著，數據處理必須和合同執行目的之間有直接和客觀的聯系。

3.實現合法利益

GDPR第6.1.f條規定，如果“為實現控制者或第三方所追求的合法利益所必需”，處理可能是合法的，但數據主體個人數據的利益、基本權利和自由優先于上述利益的除外。針對這一法律基礎，歐盟進行了多次解讀與修訂，2009/136/CE 要求用戶終端上的信息訪問和存儲不再依賴于合法利益，僅限于同意；而（EU）2016/679號決議規定：“出于直接營銷目的處理個人數據可能被視為合法利益。”歐盟認為，在實踐中，需要判斷當事人的利益或基本權利和自由是否得到充分保護，以實現兩類利益之間的平衡。

法 國CNIL 2017 年4 月27 日SAN-2017-006 號審議對于以上三項法律基礎均進行了較為細致的分析，該審議是對X、Y 公司作出處罰決定。X、Y 公司出于廣告定向目的，對注冊人在網站上創建賬戶時提供的數據、注冊人在網站上活動相關的數據進行合并處理。CNIL 認為，首先，從“同意”角度而言，Y 公司僅說明數據使用是為了改進其廣告系統，沒有明確提到數據的大量交叉合并；此外，定向廣告相關說明被分散在“數據使用政策”、“cookies 使用政策”和“關于頁面的廣告”三個文件中，用戶難以了解整體過程，因此，用戶的同意是不知情、不具體、不自由的；其次，從“實現合法利益”而言，Y公司辯稱，公司的數據合并有助于用戶個性化，對用戶沒有負面影響，是合法追求經濟和商業利益。但就數據收集規模而言，這些數據不僅在本網站收集，也在第三方網站或應用程序收集，可能無視用戶的利益并侵犯他們尊重私人生活的權利；第三，從“履行合同必需”而言，該服務的主要目的是提供網絡社交，用于定向廣告目的的用戶數據處理不符合合同主要目的，也不符合用戶合理期望，因此，公司不能將“履行合同所必需”作為處理用戶數據進行定向廣告的法律基礎。

四、與《個人信息保護法》的比較

2021 年8 月20 日，《個人信息保護法》通過，并已于同年11 月1 日正式施行。根據《個人信息保護法》：“處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息”；同時，規定處理個人信息應限于最小影響、最小范圍收集、公開透明、保證質量。相較于前文提到的GDPR 第5 條，《個人信息保護法》特別提出了必要與誠信。其一方面是對《民法典》第1035 條第1款規定的承接，另一方面，在《民法典》規定的處理個人信息原則的基礎上補充了誠信原則，并對通過誤導、欺詐、脅迫等方式處理個人信息的行為作出了針對性的規定。

根據第13條，個人信息處理者應當滿足下列情形之一：取得個人同意；為訂立、履行合同必需，或按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；為履行法定職責或者法定義務所必需；為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理；依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息。相較于GDPR 第6 條，《個人信息保護法》減少了以數據控制者或第三方所追求的合法利益作為處理信息的合法性基礎一項；同時，依據《個人信息保護法》基于個人同意處理信息，對不同的數據處理行為應當單獨選擇是否同意，在特殊情形下還應當取得單獨同意或書面同意，因此，在進行涉及第三方的用戶行為分析與定向廣告行為時就應當獲得數據主體對該事項的單獨同意。例如，如果國內企業發生奧地利處罰案中受罰企業相似的情況，將其處理的個人信息提供給其他個人信息處理者前，即使個人信息處理者將相關內容置于隱私政策中合理且顯眼的位置，與其他隱私內容混在一起“一攬子同意”，也是違反《個人信息保護法》的。可以說，《個人信息保護法》的規定相較于GDPR更為嚴格。

五、結論

本次亞馬遜被行政處罰7.64 億歐元，系迄今對違反GDPR 的企業開出的最高罰單，結合當前已有的相關案例，可見歐洲監管對行為分析、個性化服務的嚴格執法態度，因此，對于國內涉歐美業務的個人信息處理者而言，在嚴格遵循《個人信息保護法》相關規定的基礎上，面對歐盟對相關數據處理行為的合法性判定時的極高標準，個人信息處理者對涉及定向廣告的業務應當進行嚴格的風險評估，并謹慎選擇合法性基礎。

以同意作為合法性基礎時應滿足：（1）針對不同的個人數據處理操作提供單獨的同意請求，并避免默認開啟；提供拒絕或撤回同意的路徑，且選擇該選項的路徑應和選擇同意一樣簡單、方便；（2）確保數據處理的透明度和公正性。提供清晰、便于理解并易于訪問的隱私說明，告知數據主體所有相關的處理規則、保證、風險和權利，以及行使相關權利的程序。針對廣告定向等涉及多方面用戶政策的內容，也應在隱私政策中進行全面說明，避免用戶對此種數據處理行為不知情。切勿設置具有誘導性的內容與格式；（3）切勿混用“數據主體同意”和其他合法處理的理由作為處理數據的法律基礎。

如果將“履行合同所必需”作為處理數據的法律基礎，應確保該數據處理與合同的主要目的有直接、客觀的聯系，確保這種數據處理能夠符合用戶的合理期待。同時，在進行數據處理時，應考慮相關數據處理是否采取對數據主體權益影響最小的方式，數據收集是否限于實現處理目的的最小范圍。

需要注意的是，數據控制者或處理者的行為分析與定向廣告行為往往涉及第三方，除了應將該第三方的相關信息與相關合作內容告知數據主體并獲取同意外，數據控制者或處理者在進行隱私合規分析時，還應主動注意第三方的資質、合規情況和相應的數據保護能力，以降低第三方帶來的法律風險。