2019年1月18日，歐洲非政府組織“不關(guān)你事(NOYB：None of Your Business)”對8家跨國流媒體服務(wù)公司提出了10起GDPR相關(guān)投訴。投訴稱，涉事流服務(wù)公司沒能以透明的信息、通信及方式(GDPR第12條)響應(yīng)數(shù)據(jù)主體的合法訪問權(quán)(GDPR第15條)，因而違反了GDPR。

[[256583]]

其中4家公司為美國大型企業(yè)：Amazon Prime;Apple Music;Netflix和YouTube。另外4家是歐洲公司：DAZN(倫敦)、Flimmit(維也納)、SoundCloud(柏林)和Spotify(斯德哥爾摩)。***罰金從80.2億歐元(蘋果)到2000萬歐元(DAZN和Spotify)不等。投訴根據(jù)GDPR第80條的授權(quán)提出，該條款規(guī)定：數(shù)據(jù)主體享有授權(quán)恰當(dāng)非營利性機(jī)構(gòu)、組織或協(xié)會(huì)的權(quán)利。

NOYB由隱私活動(dòng)家兼律師 Max Schrems 創(chuàng)建。Schrems在學(xué)生時(shí)期就依據(jù)GDPR的前身《歐洲數(shù)據(jù)保護(hù)指令》對Facebook提出了投訴，令歐洲法院以違憲為由撕毀了歐洲與美國之間的個(gè)人信息跨國流通安全港協(xié)議。

Schrems的GDPR戰(zhàn)績不少。就在GDPR生效當(dāng)天(2018年5月25日)，NOYB分別對谷歌(安卓)、Instagram、WhatsApp和Facebook提出投訴。對谷歌的投訴由法國國家信息自由委員會(huì)(CNIL)受理。不知是否巧合，本周一(2019年1月21日)，CNIL對谷歌開出的5000萬歐元罰單中有部分也是NOYB的功勞。另一個(gè)互聯(lián)網(wǎng)自由組織 La Quadrature du Net 在NOYB的投訴提交幾天之后也遞交了一份類似的投訴。

CNIL認(rèn)為谷歌違反了GDPR的兩項(xiàng)主要規(guī)定。首先，谷歌違反了透明性與信息原則;其次，谷歌的廣告?zhèn)€性化處理缺乏必要的法律依據(jù)。數(shù)據(jù)安全與分析提供商Varonis銷售工程總監(jiān) Matt Lock 評論道：

谷歌無疑會(huì)對此裁決提出上訴。

同時(shí)，透明性問題也成為了投訴的焦點(diǎn)。NOYB與與8家流媒體服務(wù)的8個(gè)用戶合作，向這些流媒體服務(wù)提出了數(shù)據(jù)訪問請求。流服務(wù)公司需在1個(gè)月內(nèi)做出回復(fù)(Apple Music 的申請?jiān)?018年10月2日就提交了)。結(jié)果，DAZN和SoundCloud根本沒有任何回復(fù)，其他人雖然有所響應(yīng)，卻沒達(dá)到NOYB的期望。NOYB按原始數(shù)據(jù)、可理解性和背景信息來衡量流服務(wù)公司的響應(yīng)。

僅Flimmit提供了讓NOYB滿意的原始數(shù)據(jù)。僅Flimmit和Netflix提供了可理解的數(shù)據(jù)。提供了用戶數(shù)據(jù)的所有案例都僅僅是部分可接受的——Flimmit和Netflix的“背景信息”部分可接受，其他公司則完全不存在背景信息。在NOYB眼中，這8家公司里沒有任何一家符合GDPR的要求，所以都提出了投訴。

Schrems稱：

雖然乍看之下用戶數(shù)據(jù)訪問權(quán)似乎只是GDPR中不怎么重要的一個(gè)方面，但該項(xiàng)權(quán)利切切實(shí)實(shí)觸碰到了GDPR立法的核心。背景數(shù)據(jù)應(yīng)該提供信息，而不僅僅是數(shù)據(jù)本身，還應(yīng)附有數(shù)據(jù)的存儲(chǔ)位置、共享對象等信息。很多人都知情同意了個(gè)人數(shù)據(jù)收集，但極少有人會(huì)知情同意個(gè)人數(shù)據(jù)被未知第三方共享。

所以，正如谷歌以圍繞數(shù)據(jù)收集的透明性展開，這些投訴以第三方共享的透明性為中心。

全部8個(gè)投訴都提交給了奧地利數(shù)據(jù)保護(hù)機(jī)構(gòu)(DSB)，DSB再轉(zhuǎn)交給流服務(wù)主要運(yùn)營國的監(jiān)管機(jī)構(gòu)。于是，DSB自己負(fù)責(zé)Flimmit投訴，將DAZN投訴轉(zhuǎn)交英國的信息專員辦公室。這2家公司因?yàn)楦緵]有響應(yīng)數(shù)據(jù)訪問請求而切實(shí)違反了GDPR。

其他6家公司確實(shí)響應(yīng)了，所以投訴的理由是它們響應(yīng)得不夠充分。Amazon Prime 應(yīng)交由盧森堡監(jiān)管機(jī)構(gòu)處理，Apple Music 在愛爾蘭，Netflix在荷蘭。目前還不清楚針對YouTube的投訴由哪家監(jiān)管機(jī)構(gòu)受理。

這些投訴歷時(shí)多久才能處理完畢也尚未可知。既然去年5月底的投訴在今年1月底由法國監(jiān)管機(jī)構(gòu)做出了對谷歌罰款5000萬歐元的裁決，那么調(diào)查過程可能會(huì)歷時(shí)9個(gè)月到1年。

監(jiān)管機(jī)構(gòu)大概事情太多，是根據(jù)明顯的重要性來排序待辦案件的吧。劍橋分析公司數(shù)據(jù)泄露事件之后，英國(可能其他地方也如此)的注意力都放在了數(shù)據(jù)的政治性使用上。大洋彼岸的美國也是如此，美國聯(lián)邦貿(mào)易委員會(huì)目前就在考慮就同一事件對Facebook處以重罰。

Apple Music 投訴案頗有意思，因?yàn)槠?**執(zhí)行官 Tim Cook 最近一直在嘗試通過支持個(gè)人隱私來將蘋果公司與其他科技公司區(qū)別開來。2018年10月的演講中，Cook表達(dá)了對歐洲和美國隱私權(quán)立法的支持，并評論道：

NOYB的投訴要么證實(shí)蘋果對個(gè)人隱私的尊重，要么暴露出該公司的銷售花招。同時(shí)，針對6家確實(shí)做出響應(yīng)的公司的投訴也不乏不當(dāng)之處。比如，對蘋果的投訴中包含如下用語：“有理由懷疑被訴人……”，以及“被訴人似乎保留了……”

值得指出的是，這些投訴似乎都只基于單個(gè)訪問請求。所以英國律師 Brian Bandey 才會(huì)評論道：目前他們不清楚NOYB到底要干什么。NOYB要求了“勸阻”性質(zhì)的罰款。但Bandey認(rèn)為，罰款和其他形式的處罰應(yīng)與數(shù)據(jù)主體遭受的損失和傷害成正比。

NOYB的投訴中寫道：我們將走針對性、戰(zhàn)略性訴訟的道路，***化對個(gè)人隱私權(quán)未來的影響。Bandey律師當(dāng)前不確定這些投訴到底是“結(jié)構(gòu)性的”(即針對被訴公司架構(gòu)提出的嚴(yán)正控訴)，還是戰(zhàn)略性的(即旨在突出當(dāng)前GDPR的缺陷以敦促其改進(jìn))。

即便投訴得到支持，也不會(huì)產(chǎn)生類似CNIL對谷歌開出的那種高額罰單。6家被訴公司切實(shí)響應(yīng)了訪問請求，僅僅是沒達(dá)到NOYB的標(biāo)準(zhǔn)而已。NOYB可能是要暴露出這些公司在執(zhí)行GDPR上的缺陷，而不是真正想對他們大罰特罰。這些投訴在地理位置上的均衡性(4家美國公司，4家橫跨至少7個(gè)歐洲監(jiān)管機(jī)構(gòu)司法權(quán)的歐洲公司)，也表現(xiàn)出了其戰(zhàn)略性投訴的意圖。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文