欧盟进一步明确社交媒体平台的个人数据保护要求

作者|刘耀华 中国信息通信研究院互联网法律研究中心研究员

杨默涵 中国信息通信研究院互联网法律研究中心实习生

2021年4月13日，在EDPB第48次全体会议上，《关于针对社交媒体用户的指南》获得通过，对社交媒体平台的个人用户数据保护明确了相关要求。

一、出台背景

过去十年，社交媒体在网络上快速兴起。越来越多的人使用社交媒体与家人和朋友保持联系。在该指南里，社交媒体被理解为能够构建网络用户社区的在线平台，其中产生的信息和内容是共享的。社交媒体的主要特点是个人能够注册，可以为自己创建“账户”或生成“个人数据”，通过共享用户生成的内容或其他内容相互交流，并与其他用户建立联系。

作为商业模式的一部分，许多社交媒体提供商都提供定向服务。定向服务使自然人或法人能够向社交媒体用户传达特定信息，以促进获取商业、政治或其他利益。提供定向服务的显著特征是被定向的个人或群体与所传递的信息之间的感知契合度，契合度越好，接受率（转化率）越高，因此定向活动越有效（投资回报）。

对不同来源的数据进行组合和分析，加上在社交媒体中处理的个人数据的潜在敏感性，给个人的基本权利和自由带来了风险。从数据保护的角度来看，许多风险的产生源于缺乏透明度和用户缺乏控制权。

二、适用范围

社交媒体服务可能涉及不同的主体，就本指南而言，这些主体应分为四类：社交媒体服务提供商、用户、目标群体和可能参与目标确定过程的其他行为者。

本指南的主要目的是明确社交媒体服务提供商和目标群体之间的角色和责任。为了做到这一点，指南还指出了对个人权利和自由可能产生的潜在风险、主要主体及其作用，并解释了个人数据保护的相关要求（如合法性和透明度、数据保护影响评估DPIA等），以及社交媒体提供商和目标方之间相关的关键要素。

三、个人数据处理对用户权利和自由构成的风险

GDPR强调，必须适当评估和减轻个人数据处理给个人权利和自由带来的任何风险。可用于锁定社交媒体用户的机制以及能够锁定目标的基本数据处理活动可能会对个人带来重大风险。EDPB认为在该指南中有必要指出某些类型的风险，并提供了一些这些风险的详细例子。具体如下：

第一，针对社交媒体用户，可能涉及违反或超出个人合理预期的个人数据使用，从而违反数据保护原则和规则。

第二，涉及歧视和排斥的可能性，针对社交媒体用户确定的标签可能直接或间接涉及个人的种族或族裔、健康状况、性取向或相关个人的其他受保护特征，并产生歧视性影响。

第三，由于个人数据的使用在某些情况下是用来影响个人的行为和选择的，因此还涉及对用户的潜在操纵，无论是影响消费者的购买决策还是影响公民的政治决策，这种潜在操纵都是存在的。

第四，存在监视的风险，社交媒体服务提供商收集的个人数据不仅仅限于个人在社交媒体平台上进行的互动，可能还会涉及个人在社交媒体平台之外进行的浏览行为或其他活动的相关信息，通过这些信息锁定社交媒体用户，会存在对个人行为进行系统监控的风险。

第五，就儿童等弱势群体而言，锁定目标的潜在不利影响可能要大得多。锁定目标会影响儿童个人偏好和兴趣的形成，最终影响他们的自主权和发展权。

四、对目标对象的限制

“用户”通常指在服务中注册的个人，即拥有“账户”或“个人资料”的个人。然而许多社交媒体服务也可以由没有注册的个人访问。即使在没有实名政策的情况下，仍有可能锁定有问题的用户，因为大多数类型的锁定不依赖于用户名，而是依赖于其他类型的个人数据。

社交媒体服务提供商有机会收集与用户和未注册用户的行为和互动相关的大量个人数据，这使其能够获得对用户的社会特征、兴趣和偏好的深入了解。本指南使用“目标对象”一词来指使用社交媒体服务的自然人或法人。服务提供商可以根据特定的参数或标准向一组社交媒体用户发送特定的消息。目标用户可以直接使用社交媒体提供商提供的定位机制，也可以使用其他提供商的服务，如数据经纪人和数据管理提供商也是在锁定社交媒体用户方面发挥重要作用的相关行为者。

五、不同靶向机制的分析

靶向机制是指根据提供的数据确定目标，这里的数据包括用户向社交媒体提供商提供的数据，社交媒体平台的用户向目标方提供的数据，以及根据观察到的数据确定目标。数据服务提供商以对这些数据的推断为基础构建靶向机制。

第一，根据提供的数据锁定个人。“提供的数据”是指数据主体主动向社交媒体提供商和/或目标方提供的信息。

第二，根据观察到的数据确定目标。服务提供商也可以根据观察到的数据确定社交媒体目标用户。观察到的数据是数据主体通过使用服务或设备产生的数据。

第三，基于推断数据进行目标定位。“推断数据”或“衍生数据”是由数据控制者根据数据主体提供的数据或控制者观察到的数据创建的。

六、透明度和使用权

GDPR第5（1）（a）条规定，应合法、公平和透明地处理与数据主体有关的个人数据。GDPR第5（1）（b）条还规定，个人数据的收集应出于特定、明确和合法的目的。GDPR第12、13、14条载有关于数据控制者透明度义务的具体规定。

EDPB提醒说，仅仅使用“广告”一词不足以告知用户，他们的活动正受到有针对性的广告的监控。数据服务提供商的规则应该对个人透明，说明进行了哪些类型的处理活动。如果社交平台分别基于目标用户在平台或网站上的在线行为建立档案，则应以易于理解的语言告知数据主体，向用户提供有关为建立此类档案而收集的个人数据类型的信息，并最终获取目标用户同意，进行目标定位和发送广告。社交平台应直接在屏幕上以交互方式向用户提供相关信息，并在适当或必要时通过分层通知提供相关信息。

七、数据保护影响评估（DPIA）

在某些情况下，广告产品或服务的性质、信息的内容或广告的传递方式可能会对个人产生影响，需要进一步评估。例如针对弱势人群的产品可能就属于这种情况。根据广告活动的目的及其侵入性，或者如果涉及对观察到的、推断出的或推导出的个人数据的处理，可能会出现额外的风险，均应当进行DPIA。

除了GDPR第26（1）条具体提及的义务之外，共同数据控制者在确定其各自的义务时还应准确界定各自的义务。

八、数据的特殊类别

GDPR对涉及个人基本权利和自由的特别敏感的个人数据提供强化保护。GDPR第9条将此类数据定义为特殊类别的个人数据，包括关于个人健康、种族或民族血统、生物统计学、宗教或哲学信仰、政治观点、工会成员、性生活或性取向的数据。

在社交媒体提供定向服务的背景下，有必要确定个人数据的处理是否涉及“特殊类别的数据”，以及这些数据是否由社交媒体服务提供商、目标方或两者共同处理。如果处理特殊类别的个人数据，必须确定社交媒体服务提供商和目标方是否以及在何种条件下可以合法处理此类数据。如果社交媒体提供商出于定向目的处理特殊类别的数据，则必须在GDPR第6条找到处理的法律依据，并可以根据GDPR第9（2）条进行豁免。第9（2）（e）条允许在数据主体明显公开数据的情况下处理特殊类别的数据，“明显”一词意味着依赖这种豁免必须有很高的门槛。

在实践中，控制者可能需要考虑以下因素，以证明数据主体已经清楚表明了公开意图：

·社交媒体平台的默认设置；

·社交媒体平台的性质；

·发布敏感数据页面的可访问性；

·信息的可见性，其中数据主体被告知他们发布的信息的公开性质；

·数据主体是否已经公布了自己的敏感数据，或者该数据是否已经由第三方公布或推断。

九、共同数据控制者和责任

GDPR第26（1）条要求共同数据控制者以透明的方式确定各自在协议中遵守GDPR的责任，包括如上所述的透明度要求。为了制定全面的安排，社交媒体提供商和目标方都必须了解并掌握关于正在进行的特定数据处理操作的详细信息。

EDPB观察到，希望使用社交媒体提供商提供的定向工具的目标方可能需要遵守预先确定的安排，并且没有谈判或修改的可能性。这种情况并不否定社交媒体提供商和目标方的共同责任，也不免除任何一方在GDPR下的义务。共同协议下的双方也有义务确保责任分配以实际、真实和透明的方式适当反映各自在数据主体方面的作用和关系。

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。