中心研究 | 数据法案例（一）—Meta爱尔兰案（个性化广告的合法性基础之辩）

本文约12000字，细读约30分钟

姬祥|中国信息通信研究院互联网法律研究中心研究员

CIPP/US CIPP/E

编者按

在业务场景纷繁复杂、技术快速迭代的数据法领域，抽象的法律原则和难以具体到每一实践场景的规则，在各方对于具体案件充分的说理、论述和激辩中迸发生命力。Daniel J. Solove教授曾谈到，美国联邦贸易委员会作出的隐私“判例法”（jurisprudence）[1]，在功能上等同于（functionally equivalent）普通法，或者说是一种事实上的普通法（De Facto Common Law）[2]。笔者认为，这一判断放眼各国皆然。因此，笔者试图对数据法领域的经典案例进行基础的梳理。供业界参考。本期带来2023年1月爱尔兰数据保护委员会针对Meta案作出的决定，各方围绕服务条款、数据政策的性质；用户点击“我接受”的行为是否构成数据保护法中的授权同意；个性化广告适用的合法性基础等问题展开了充分的讨论。有错漏之处还请多多批评！

笔者此前梳理的相关案例，请见：

1.美国伊利诺伊州Cothron诉White Castle指纹识别信息侵权案【损害认定；损害赔偿请求权的发生；损害赔偿金的认定】

2.位置数据合规要点—详细梳理谷歌与四十州和解案【虚假陈述；侵害用户知情权和控制能力；交叉使用数据以进行个性化推荐】

3.数据保护影响评估要点—基于微软DPIA报告的梳理和分析（上）【数据处理活动范围；控制者/处理者角色区分；合法性基础；用户的控制能力；跨境传输；执法机构调取等】

4.数据保护影响评估要点—基于微软DPIA报告的梳理和分析（下）【数据主体权利响应；风险评估和降低风险的措施】

目录

一、案情简介

二、事实部分

三、争议焦点一：用户点击“我接受”是否可以理解为作出了GDPR项下的“授权同意”

（一）FB是否试图使用授权同意作为相关数据处理活动的合法性基础

（二）案涉数据处理活动是否必须以授权同意作为合法性基础

四、争议焦点二：FB是否能够以“为合同所必需”作为开展服务条款涉及数据处理活动的合法性基础

（一）服务条款和数据政策之间的关系

（二）FB是否能够以“为合同所必需”作为开展服务条款涉及数据处理活动的合法性基础

五、争议焦点三：FB是否以某种方式歪曲了投诉人对其处理活动合法性基础的理解，导致投诉人认为是作出了授权同意

六、一些思考

（一）我国“以‘告知-同意’为核心”观念对实践的影响

（二）“功能导向”的隐私设置到“个人信息导向”的隐私设置

（三）“问责制”（Accountability）原则下的责任和自由

2018年4月，为了符合即将生效的欧盟《通用数据保护条例》（GDPR）的规定，Facebook（Meta、Facebook均简称“FB”）对其服务条款进行了更新，并要求新用户和现有用户通过对服务条款点击“我接受”按钮以使用/继续使用服务。2018年5月25日，即GDPR生效当日，奥地利的数据主体（以下简称“投诉人”）针对FB服务提出了投诉，这一投诉根据GDPR中设置的一站式执法机制转由作为牵头监管机构（lead authority）的爱尔兰数据保护委员会（以下简称“DPC”）处理。投诉主要涉及以下争议焦点：第一，用户点击“我接受”是否可以理解为作出了GDPR项下的“授权同意”，FB是否只能依赖“授权同意”作为案涉数据处理活动的合法性基础；第二，FB是否能够以“为合同所必需”作为开展服务条款涉及数据处理活动的合法性基础，特别是涉及到个性化广告的场景；第三，FB是否满足了GDPR项下透明度的要求。

关于争议焦点一，DPC认为，需要区分订立合同的意思表示和数据保护法上的授权同意。并且，GDPR没有规定合法性基础的适用场景和顺序上的优先级，FB并不一定需要依赖授权同意作为案涉处理活动的合法性基础。

关于争议焦点三，DPC认为，FB的服务条款属于合同，数据政策仅是其为满足GDPR中关于透明度原则要求的合规文件，但存在透明度不足的问题。

关于争议焦点二，FB认为，个性化广告构成了FB服务的基础和资金来源，构成了FB与用户间合同的核心要素，因此相关的数据处理活动可以适用“为合同所必需”。DPC认为，GDPR并没有排除FB在个性化广告相关数据处理活动中适用“为合同所必需”的可能性，并以此为结论作出了《决定（草案）》，发送至47个有关监管机构征求意见，其中10个有关监管机构对此提出反对。最终，由欧洲数据保护委员会（EDPB）根据GDPR第63条的“一致性机制”（Consistency mechanism）和第65条的“执法争议解决机制”作出了有约束力的决定，DPC据此作出了《最终决定》（以下简称“《决定》”），^[3]认为需要考虑立法的目的，优先采取与基本法律相一致的解释，用户使用FB并接受服务条款的目的主要是与他人沟通，而不是接收个性化广告，因此不能适用“为合同所必需”这一合法性基础。 

Facebook是一个在线社交网络和社交媒体平台。为了使用FB，用户必须注册FB账户，并且需要接受FB的服务条款（Terms of Service）。2018年4月，为了符合即将生效的欧盟《一般数据保护条例》（GDPR）的规定，FB对其服务条款进行了更新。现有用户如需继续使用FB，也需要表示对更新后的服务条款表示接受。不愿意接受的现有用户可以选择删除FB账户，并可以选择下载此前FB处理的其个人数据的副本。

GDPR生效当日，投诉人向DPC发起投诉，认为FB存在以下违法行为：第一，强制获取用户同意。由于FB数据政策（Data Policy）是其服务条款的一部分，因此用户面临一个非此即彼的选择：要么接受服务条款，要么删除FB账户。因此，投诉人认为FB以“强制同意”（forced consent）作为个人数据处理活动的基础，没有给用户可以在权利不受损害的情况下拒绝更新后服务条款的选择权，并且以“欺骗性”和误导性的方式设计有关业务流程。第二，违反GDPR透明度原则要求。由于FB仅是列出了GDPR规定的全部六个合法性基础，并没有确切说明每种特定处理活动对应的合法性基础类型，违反了GDPR中透明度原则的要求。^[4]

DPC评估后认为，需要对以下三个关键问题进行分析：第一，行为的性质。用户在服务条款页面中点击“我接受”的行为，是否应被解释为作出了GDPR意义上的“授权同意”。第二，相关数据处理活动的合法性基础。如果将用户点击“我接受”的行为认为是一种订立合同的意思表示，FB是否能够以“为合同所必需”作为开展相关数据处理活动的合法性基础。第三，透明度要求。FB是否以某种方式歪曲了投诉人对其处理活动合法性基础的理解，导致投诉人认为是作出了授权同意。并且，FB是否未能提供服务条款和数据政策涉及的数据处理活动合法性基础的必要信息，也即未能满足GDPR透明度的要求。

DPC认为，这一问题可以进一步细分为两个问题：第一，FB是否试图使用授权同意作为相关数据处理活动的合法性基础。第二，有关数据处理活动是否必须以授权同意作为合法性基础。

（一）FB是否试图使用授权同意作为相关数据处理活动的合法性基础

投诉人认为，任何“数据主体表示同意处理其个人数据的意愿表达（expression）”都属于GDPR下“同意”的范畴，必须明确授权同意的适用范围（scope of application）和有效要件（conditions of validity）。^[5]FB将某些不应构成合同条款的内容放在合同内容中，使得用户感觉上认为作出了授权同意，是一种“错误描述”（falsa demonstratio）。^[6]投诉人认为，在某些场景下，只有授权同意才能作为数据处理活动的合法性基础，即使控制者没有寻求同意的主观意愿，在该等场景下也必须适用有效同意的规则进行判断。

FB认为，“合同的签订”与“获取任何形式的授权同意”是完全独立的。授权同意只是GDPR规定的六个合法性基础之一，并非所有的数据处理活动都必须进行关于授权同意的有效要件审查，只有在控制者表明以授权同意为有关数据处理活动的合法性基础时，才需要评估同意的有效性。在本案场景下，FB并不以同意作为合法性基础。

DPC赞同FB的观点，认为GDPR第4（11）条、第6（1）（a）条和第7条只是规定了授权同意的定义和作为数据处理活动合法性基础的某些条件，并未确定同意适用的场景。并且由于FB并未在该等场景下试图以授权同意作为合法性基础，“强迫同意”的前提条件不能成立。

（二）案涉数据处理活动是否必须以授权同意作为合法性基础

投诉人认为，如果在合同订立过程中，双方意思表示（declaration of intent）指向的标的（subject matter）主要是数据处理活动，那么适当的合法性基础就必须是“授权同意”，如果合同要约（contractual offer）的标的主要是一些其他的合同服务，则可以适用“为合同所必需”这一合法性基础。DPC认为，投诉人实际上表达了这样的观点：在主要涉及数据处理活动的合同中，同意是唯一适当的合法性基础，也就意味着相较于其他合法性基础，授权同意在这一情况下有着更高的适用顺序上的优先级。

DPC认为，关键在于区分“同意（agreeing）订立可能涉及数据处理的合同所作出的意思表示”和“GDPR项下对于数据处理活动的授权同意（consent）”，正如欧洲数据保护委员会（EDPB）在《关于在向数据主体提供在线服务的背景下根据GDPR第6条第（1）款（b）项处理个人数据的指南》（以下简称“2/2019号《指南》”）指出的，两者是完全不同的概念，有着不同的要求和法律后果。^[7]DPC强调，GDPR没有设定合法性基础在适用顺序上的优先级，第29条工作组在2014年发布的《关于95/46/EC指令第7条规定的数据控制者合法利益概念的意见》（文件编号为WP217，以下简称“WP217”）中就已经作出了阐明。^[8]并且，欧盟法院（CJEU）2019年在案件中驳回了“获得数据主体的同意是适用其他合法性基础的必要条件”这一观点。^[9]

DPC补充说明，以下观点是错误的：第一，存在一个特定的合法性基础，比其他的合法性基础当然地优先（intrinsically preferable）适用。第二，存在一个特定的合法性基础，比其他的合法性基础在法律上具备优先地位。第三，满足某一合法性基础的要求是满足另一合法性基础要求的先决条件。DPC总结，GDPR没有要求必须适用“授权同意”作为某些特定数据处理活动的合法性基础，并且重申，EDPB认为在为了履行合同而进行的数据处理活动中，授权同意并不是适当的合法性基础。

结合本案事实，DPC认为，没有任何判例或者监管机构观点表明，实体仅仅因为其业务主要涉及数据处理，就不能（或者至少部分不能）以“为合同所必需”作为合法性基础。

投诉人称，在案涉场景下，FB必须基于授权同意作为涉案数据处理活动的合法性基础，而不能基于“为合同所必需”。DPC认为这可以细分为两个问题：第一，服务条款和数据政策之间的关系。第二，FB是否能够以“为合同所必需”作为开展服务条款涉及数据处理活动的合法性基础。

（一）服务条款和数据政策之间的关系

FB认为，虽然服务条款列出了FB需要提供的服务和需要遵守的义务，并且这些服务的交付和义务的履行涉及对个人数据的处理，但是其并没有试图通过服务条款将所有的个人数据处理活动全面列出，这是通过数据政策进行的。数据政策是为满足GDPR透明度要求的一份解释性文件（explanatory document），服务条款才是合同。

DPC认同FB的观点，FB开展的数据处理活动涉及不同的合法性基础，在适用“为合同所必需”的场景下，只有服务条款属于“合同”，数据政策只是一份关于FB数据处理活动的解释性文件，目的是符合GDPR透明度原则的要求。

（二）FB是否能够以“为合同所必需”作为开展服务条款涉及数据处理活动的合法性基础

由于投诉内容涉及与行为广告（behavioural advertising，或称“个性化广告”）有关的数据处理活动，DPC对此场景下是否能够适用“为合同所必需”进行了特别分析。

投诉人认为，FB只能够在对于合同履行而言是“严格必要”（strictly necessary）的情况下才能够适用“为合同所必需”为合法性基础，WP217中说明了“必须对‘为合同所必需’进行严格解释，其并不包含对履行合同不是真正必要（genuinely necessary）而是由控制者单方面强加给数据主体的情况”。本案场景下，个性化内容发布和社交通信功能构成了FB服务条款中的核心要素，但是个性化广告并非如此。投诉人认为，每一份合同都对应着一个可识别的“目的”（purpose）或“核心”（core），并不被合同文本限定，而是可以通过参考合同内容和双方意图得出。因此，需要对服务条款进行评估以确定合同的核心目的，任何以非合同核心目的进行的数据处理活动都不能以“为合同所必需”为合法性基础。

投诉人的观点在于，应尽可能对“为合同所必需”的适用采用侵入性最小（least invasive）的解释。而FB的观点在于，应采用一种更宽泛灵活的解释，为“履行合同所必需”的适用赋予一定的合同自由。FB认为，“为合同所必需”是“数据受保护权”（right to data protection）的一部分，通过解释数据可以被处理的场景来提供保障，而不是对权利的减损和限制。具体到定向行为广告场景，FB认为，个性化广告是FB继续提供服务和为研发提供持续资金的重要保障，并且对于用户而言，好的个性化服务也对用户有明显好处，这本身就构成了FB提供服务的核心。

DPC引用了EDPB在2/2019号《指南》的观点，认为“如果数据处理活动没有发生，特定合同与数据主体有关的主要标的就无法被履行，该等数据处理活动就被认为是为履行合同所必需”，“不能仅仅因为在合同条款中介绍或提及数据处理活动，就认定该等数据处理活动‘为履行合同所必需’”，特别需要在特定合同涉及的场景下考虑必要性。因此，关键点不在于对于一般意义上的“社交网络”目的实现而言什么是必需的，而在于履行FB和其用户的特定合同的核心功能而言什么是必需的。EDPB对此提出了五个辅助认定的问题：第一，向数据主体提供服务的性质是什么；第二，合同的显著特征是什么；第三，合同的基础要素是什么；第四，合同各方当事人的期望是什么；第五，如何向数据主体推广或宣传服务？该服务的普通用户是否会有合理期望？

FB认为，个性化广告构成了其服务的核心，是FB服务的显著特征，而且显然是一种推广和宣传。DPC认为，根据媒体对此进行的公开讨论，一个理性的用户会清楚知晓这就是FB合同内容中提供服务的本质。EDPB在2/2019号《指南》中说明，“一般情况下”（as a general rule）或者“通常情况下”（Normally），为行为广告目的处理个人数据对于履行在线服务合同而言是不必要的，GDPR第21条赋予了数据主体反对出于直接营销目的处理其个人数据的绝对权（absolute right）。而DPC认为，这只是说明了一般情况下的规则，而不是一个绝对适用的规则，EDPB同样说明了“内容的个性化可能（但并不总是）构成某些在线服务的基本或可预期的要素”。因此，需要判断个性化广告作为FB商业模式的核心，同时也是FB与其用户达成的交易的核心，对于履行相关合同而言是否必要。

DPC认为，在消费者侧没有为服务付费的情况下，FB商业模式的核心是个性化广告。即使EDPB认为“仅仅因为处理活动对于控制者更宽泛的商业模式而言是必要的，不能够适用‘为合同所必需’”，但本案中FB与数据主体签订合同的核心服务明确包含了个性化广告。FB服务的显著特征就是由个性化广告产生的收益作为资金支持，这些信息是明确的且公众可访问的，应当认为是理性用户期望的一部分，即使他们可能更希望市场能够为他们提供更好的替代选择。

因此，DPC得出结论：在本案中，GDPR并没有排除FB适用“为合同所必需”作为个性化广告服务处理个人数据合法性基础的可能性。

随后，作为牵头监管机构（leading authority）的DPC将《决定》草案发送给其他有关监管机构征求意见，47个有关监管机构中，10个提出了反对。由于未能达成一致，EDPB最终发布了具有约束力的决定。

EDPB认为，FB个性化广告的实践场景复杂、应用规模较大，且具备较强的侵入性，需要判断理性用户接受FB服务条款并认为服务具备必要性时，对于个性化广告的理解和期待的程度。EDPB指出，GDPR进一步发展了作为欧盟基本法律的《欧盟基本权利宪章》（以下简称“《宪章》”）第8（1）条和《欧盟运作条约》第16（1）条规定的个人数据受保护权这一基本权利，正如CJEU在Ligue des droits humains ASBL诉Conseil des ministres案中论述的，^[10]“对欧盟行动（EU act）的解释，应当尽可能不影响其有效性，并符合整个基本法律，特别是《宪章》的规定。因此，如果欧盟次级法律的表述可以有多种解释时，应当优先考虑与基本法律相一致的解释”。^[11]GDPR规定了，个人数据受保护权不是一项绝对性权利，需要与其他基本权利和自由相平衡，例如控制者根据比例原则开展业务的自由。根据欧盟的基本法律，GDPR将个人数据受保护权作为一种数据主体与生俱来的基本权利和尊严，而不是一种数据主体可以通过合同进行交易的商品。^[12]CJEU在谷歌西班牙案中指出，数据主体的隐私权和数据受保护权等基本权利，通常（as a rule）应当优先于控制者的经济利益受到保护。^[13]EDPB认可DPC和FB的观点，即各类合法性基础之间没有适用顺序上的优先级不同。但是，这不意味着控制者有绝对的自由裁量权（absolute discretion）来选择更适合其商业利益的合法性基础。如果合法性基础的适用不能达到GDPR第5（1）（a）条和第6条在实践效果上的“有效性”（effet utile），^[14]则可以认定为不适当。

EDPB还认为，应当对“为合同所必需”的适用采用严格的解释，避免控制者利用这一条规避授权同意的要求。FB需要对其商业模式进行调整，以符合GDPR第6条合法性原则和其他一般性规定，而不是反过来让法律从解释上贴合其商业模式的需要。EDPB认为，即使从合同法上看，对涉案情况也无法进行解释。首先，服务条款中并没有把提供个性化广告作为一项合同义务，FB不会因为没能提供个性化广告而构成违约，从FB用户角度看这不是为履行合同所必需的；其次，数据主体拥有反对出于直接营销目的处理其个人数据的绝对权利，如果数据主体能够没有任何理由地任意选择退出合同，那么有关的数据处理活动对于合同履行而言不是必要的；再次，普通用户难以从服务条款和数据政策简短的信息中了解到出于个性化广告目的处理个人数据的高复杂性、大规模性和严重侵入性的特点，不应认为普通用户对将要享受的服务中有着什么程度的“个性化”具备了合理期望。

综合前述观点，EDPB认为，用户使用FB并接受服务条款的目的主要是与他人沟通，而不是接收个性化广告。而FB没有遵守透明度义务，混淆了合法性基础的适用，信息不对称和合法性基础的不适当使得对数据主体权利造成的风险在本案相关等情况下更高。并且，FB在相关市场的市场支配地位使得用户的选择性更小，拒绝接受服务条款还会进一步影响到数据主体的言论自由。

DPC最终在《决定》中明确，FB无权适用“为合同所必需”作为在个性化广告中处理投诉人个人数据的合法性基础。^[15]

投诉人称，FB服务条款和数据政策点击接受按钮的接受模式，使得用户相信所有相关的处理活动基于“授权同意”。如前所述，“强迫同意”使得相关数据处理活动不具备合法性，并且，服务条款中还涉及适用其他合法性基础的数据处理活动。因此，FB违反了GDPR透明度原则的要求。

DPC对分层展示，数据处理活动、数据类别和合法性基础的对应等方面进行了分析。DPC认为，脱离特定的数据处理活动对有关信息进行笼统说明，且存在各种重合和冲突的情况，是不符合GDPR规定的，用户在信息提供不清晰的情况下，只能对具体数据处理活动的合法性基础适用进行猜测，造成了投诉人所称“强迫同意”的情况。DPC认为FB的行为没有满足适用“授权同意”这一合法性基础的构成要件，应当结合特定的合法性基础向数据主体提供数据处理活动中具体操作的信息，并符合GDPR关于授权同意有效性的其他要求。

《最终决定》中，DPC对Meta Ireland处以2.1亿欧元罚款。但本案被认为远没有结束。EDPB 主席Andrea Jelinek认为，“这些决定也可能对其他以行为广告为商业模式核心的平台产生重要影响”，DPC表示，将会就EDPB作出的有约束力的决定向欧盟法院CJEU提起诉讼。

（一）我国“以‘告知-同意’为核心”观念对实践的影响

2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上全国人大常委会法制工作委员会副主任刘俊臣作《关于<中华人民共和国个人信息保护法（草案）>的说明》中提到，“确立以‘告知-同意’为核心的个人信息处理一系列规则”。^[16]笔者以为，这一观念可能是自《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《网络安全法》等有关法律规定将“同意”作为开展个人信息处理活动的必需要件这一思想一脉相承而来，是一种立法上的“路径依赖”，^[17]也可能源于理论界早期对欧盟数据保护法的误读，实质上包含了“授权同意”优先适用的意味。以“同意”为核心显然加剧了授权同意适用上的形式化，^[18]实践中的处理者也有利用这一合法性基础作为一种避风港的可能。近期，已有学者总结并分析了中、美、欧对于隐私政策性质的不同认识，指出告知同意适用的困境，认为告知与同意应当进行适度解绑，通过多样分层的沟通机制强化和完善“告知”，基于风险对隐私政策进行模块化设计并作为处理者内部的合规指引。^[19]笔者认为，应当明确《个人信息保护法》第13条规定的各类合法性基础只可能存在适用的场景不同，而不应当有法律规定的优先适用或者“核心”、“非核心”之分。处理者也应当意识到授权同意的适用有着严格的要件，实际上不利于业务连续性。应当削弱处理者对授权同意的依赖，鼓励处理者依照自身商业模式对合法性基础的适用进行探索。

（二）“功能导向”的隐私设置到“个人信息导向”的隐私设置

本案主要涉及个性化广告的合法性基础之辩。个性化推荐离不开对“用户标签”的处理。用户标签是指信息处理者为了方便发现和识别自然人基本特征而对自然人个体的特定属性（如消费偏好、行为轨迹、生活习惯等）高度提炼而形成的特征标识。^[20]有学者认为，用户标签并不当然是个人信息，需要满足“有充足数量的其他用户标签进行结合分析”和“采用相同的标签类目体系和标签设置标准”，以及“企业内部特定的算法”三个条件。^[21]对个人信息的认定标准如果仅考量客观上的“关联+识别”标准，^[22]可能造成保护范围过于宽泛的问题，“可能将越来越多的信息都纳入其保护范围，无法区分真正需要保护的信息类型”，^[23]有关法律也会成为“无所不包的法。”^[24]笔者认为，是否应当结合“信息披露的范围”和“实体是否有能力将该等信息关联并识别到特定个人”等因素，来判断对于特定的信息处理者而言，该信息是否属于个人信息。这一点在域外案例中已有体现，2016年的Patrick Breyer v. Bundesrepublik Deutschland案中，欧盟法院认为，在没有额外信息与动态IP结合的情况下，动态IP本身不会直接揭示自然人的身份，但因为作为网站运营者的德国政府有可用的法律手段，要求电信运营商提供额外的信息，能够结合动态IP识别到特定用户，因此本案中对于德国政府而言，动态IP构成个人数据。^[25]

值得注意的是，目前的行业实践中，隐私设置多采“功能导向”。然而，如果认为“开启个性化服务开关”包含了“授权处理用户标签等个人信息”，存在一定模糊性，如果反推“关闭个性化服务开关”包含了“撤回授权同意”，则处理者在用户关闭开关后继续对个人信息进行“留存”的行为在合法性基础上存在疑问。笔者认为，在目前主流观点认为个性化广告相关数据处理活动需要以“授权同意”为合法性基础的背景下，处理者可以考虑尽可能加强用户对有关个人信息的控制能力和知情权，将“功能导向”的隐私设置转向“个人信息导向”的隐私设置，降低合规风险。

（三）“问责制”（Accountability）原则下的责任和自由

问责制原则最初见于经济合作与发展组织（OECD）1980年发布的《隐私保护与个人数据跨境流动准则》（以下简称“OECD《准则》”）中，首次作为一项正式地个人数据保护原则被提出。^[26]在OECD《准则》附带的《解释性备忘录》中，给出了将问责制原则作为个人数据保护基本原则的理由，指出“数据控制者决定了数据处理活动并从中获利，因此相应地，应当根据国内法将遵守隐私保护规则和有关决定的责任施加给数据控制者。”^[27]有学者认为，问责制包括两个关键要素：责任分配和赋权，以及对权力使用的应答。其中，权力与责任相互对应，有权力意味着有行为的能力、控制的能力和决定的自由，也因此需要为有权力者施以责任，防止其滥用权力，使其能够理性地、可靠地和一致地为某行为。对权力使用情况的应答则表明有权力的主体需要报告和解释其行为，服从外部对于有关其义务遵守情况的判断。^[28]GDPR将问责制作为个人数据保护的原则之一，在第5条第2款规定，数据控制者应当对各项数据保护原则的实施负责，并能够证明其行为的合规性。除此之外，GDPR第30条第1款还规定，“各控制者和控制者的代表（如适用），应当保存其负责的数据处理活动的记录”。可以看出，问责制并未对数据控制者提出新的责任和义务，而是要求控制者能够证明其遵守了GDPR项下的其他责任和义务。

笔者认为，问责制固然赋予数据控制者责任，但同时也给予其一定的自由。在尊重数据主体“个人数据受保护权”这一基本权利的前提下，仍需考虑《欧盟基本权利宪章》第16条规定的同为基本权利的“经营自由”（Freedom to conduct a business）。控制者在业务发展需求和法律合规义务平衡的探索中，可以就数据处理活动适用的合法性基础和其他具体规则的落地情况进行调整，只要能够证明其行为的合规性。事实上，本案中FB已经成功说服了包括DPC在内的大多数相关监管机构，虽然最终被EDPB驳回，但正是这样的多方辩论和博弈，才能避免法律适用在日新月异的实践中变得僵化，扼杀新技术和新商业模式应有的生命力。近年来，其他国家在关于新技术新业务监管路径的讨论中，有观点认为“旧瓶”可能未必适合装“新酒”。^[29]笔者不禁回想到，2021年12月8日美国国会众议院金融服务委员会举办的“数字资产与金融的未来：理解美国金融创新的挑战和益处”听证会中，第一位登场的北卡罗莱纳州代表发言人Patrick McHenry就数字资产和Web3.0议题在发言开头向听证会各方发出的“灵魂拷问”——“Do you know enough about this technology to have a serious debate?”^[30]

引注：

^{[1] Jurisprudence的词义多有演变，本指法学、法理学、法律哲学、法律体系，在美语中，该词的含义由“法律”扩及至“判例法”与“法庭判决”。参见《元照英美法词典》，北京大学出版社2014年版，第755至756页。}

^{[2] Daniel J. Solove, Woodrow Hartzog, The FTC and the New Common Law of Privacy, Columbia Law Review,  Vol.114, 2014.}

^{[3] DPC《最终决定》，请见：https://edpb.europa.eu/system/files/2023-01/facebook-18-5-5_final_decision_redacted_en.pdf；EDPB作出的《有约束力的决定》，请见：https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-32022-dispute-submitted_en；DPC宣布调查结束的新闻稿，请见：https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland；Instagram等关联案例，请见：https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-decisions_en。}

^{[4] GDPR第6条明确了合法性原则，要求个人数据控制者开展个人数据处理活动之前必须具备合法性基础。此外，根据GDPR第5条第1款的透明度原则，以及第13条第1款（c）项的规定，控制者必须在收集个人数据时，告知数据主体有关的处理活动适用的合法性基础。}

^{[5] GDPR第4条第1款第（11）项规定，数据主体的“同意”（Consent）是指数据主体通过声明或肯定性行为作出的任何自由给予的、具体的、知情的和明确的关于同意处理与他或她相关的个人数据的指示。EDPB在《2016/679号法规下关于同意的指南》中将有效同意的要件分为四个：自由给予的、具体的、知情的和明确的。参见https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf.}

^{[6] falsa demonstratio，指错误标识、错误描述，可指在法律文书中对某人或某物的描述有误。参见《元照英美法词典》，北京大学出版社2014年版，第529页。}

^{[7] EDPB, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, at https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_en.}

^{[8] WP29, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, at https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.}

^{[9] TK v. Asociaţia de Proprietari bloc M5A-ScaraA, Case C-708/18, paragraph 41, at https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62018CJ0708.}

^{[10] Ligue des droits humains ASBL v. Conseil des ministers, Case C-817/19, at https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62019CJ0817.}

^{[11] 欧盟层面的立法存在不同位阶，其法律渊源有三类：一是基本法律（primary law）。欧盟的行为须得以条约（treaties）为授权基础，条约作为欧盟成员国之间有约束力的协议，规定了欧盟的目标、机构设置规则、决议制定规则以及欧盟和欧盟成员国之间的关系，因此，条约被称为欧盟法律的起点（starting point），也是欧盟的基本法律，包括《欧洲联盟条约》《欧盟运作条约》《欧洲原子能共同体条约》，以及欧盟条约修订案、初始条约和修正条约所附的议定书、新成员国加入欧盟所订立的条约，《欧盟基本权利宪章》也属于基本法律；二是欧盟法律的一般原则（general principles of EU law）。包括欧盟法院CJEU判例法形成的不成文法律渊源，包括成员国共有的宪法传统的结果，以及条约中列明的基础权利，例如《欧洲保护人权和基本自由公约》保障的基本权利就是欧盟法律的一般原则；三是次级法律（secondary law）。遵照条约中的原则和目标制定的其他法律，被称为次级法律，包括法规（regulations）、指令（directives）、决定（decisions）、建议（recommendations）和意见（opinions），还包括机构间协议、机构议事规则等非典型行为（atypical acts）。请参见：https://ec.europa.eu/info/law/law-making-process/types-eu-law_en；另请参见：https://eur-lex.europa.eu/EN/legal-content/summary/sources-of-european-union-law.html；另请参见：https://www.europarl.europa.eu/factsheets/en/sheet/6/sources-and-scope-of-european-union-law，}

^{[12] EDPB Guidelines 2/2019 on Article 6(1)(b) GDPR, paragraph 54.}

^{[13] Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González, Case C‑131/12, at https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62012CJ0131.}

^{[14] 有效性原则（principle of effet utile），也称为“有用性原则”（principle of useful effet），意味着法律条款必需始终以有效实现立法意图为目的进行解释。除了考虑文义解释和目的解释外，还应当采用动态解释的方法，使得特定法律背景下使用的法律术语适应不断变化的需求和期望。参见LENAERTS, KOEN: L’égalité de traitement en droit communautaire. Un principe unique aux apparences multiples en Cahiers de droit européen, 1991。转引自Katalin Gombos, EU Law viewed through the eyes of a national judge, at https://ec.europa.eu/dgs/legal_service/seminars/20140703_gombos_speech_en.pdf.}

^{[16] 参见中国人大网，http://www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml，2023年4月23日最后访问。}

^{[17] 立法上的“路径依赖”这一总结词，为笔者于某次会议丁晓东老师发言中习得。}

^{[18] 参见周汉华:《个人信息保护的法律定位》，载《法商研究》2022 年第3期。}

^{[19] 参见丁晓东：《隐私政策的多维解读:告知同意性质的反思与制度重构》，载《现代法学》2023年第1期。}

^{[20] 参见赵精武：《用户标签的法律性质与治理逻辑》，载《现代法学》2022年第6期。}

^{[21] 参见赵精武：《用户标签的法律性质与治理逻辑》，载《现代法学》2022年第6期。}

^{[22] 参见张平主编：《中华人民共和国个人信息保护法理解适用与案例解读》，中国法制出版社2021年版。}

^{[23] 参见丁晓东：《论个人信息概念的不确定性及其法律应对》，载《比较法研究》，2022年第5期。}

^{[24] Paul M. Schwartz & Daniel J. Solove, Reconciling Personal Information in the United States and European Union, California Law Review,}

^{[25] Patrick Breyer v. Bundesrepublik Deutschland, Case C-582/14, https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62014CJ0582.}

^{[26] OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, https://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf.}

^{[27] OECD, EXPLANATORY MEMORANDUM of OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, https://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf.}

^{[28] Joseph Alhadeff, Brendan Van Alsenoy & Jos Dumortier, The Accountability Principle in Data Protection Regulation: Origin, Development and Future Directions. Managing Privacy through Accountability, 2012, p.54.}

^{[29] Information Technology & Innovation Foundation, Biden Administration Should Avoid Pursuing Precautionary Rules for AI in Newly Announced Regulatory Review, Says Center for Data Innovation, https://itif.org/publications/2023/04/11/biden-administration-should-avoid-pursuing-precautionary-rules-for-ai/.}

^{[30] https://www.congress.gov/event/117th-congress/house-event/LC67987/text}