APUS研究院｜GDPR實戰指南（八）：谷歌和Facebook被投訴了?！_風聞

最近，我們在關注幾起GDPR投訴。

2018年5月25日，GDPR法案正式生效當天，一個名叫NOYB的奧地利非營利組織，分別向法國、奧地利、比利時和德國的數據保護執法機構（“DPA”）投訴，直指Facebook、Google等公司“強制”其用户“同意”其收集和處理個人數據，要求各國DPA合計處以各巨頭合計幾十億歐元的罰款。

Google和Facebook不用多講，大家都熟，實打實的互聯網霸主。但這位剛上場的NOYB選手貌似只是一個毫無名氣的弱雞。

但是！這都是假象！

我們簡單介紹下，讓小夥伴們認識認識敢與巨頭叫板的NOYB。

NOYB其事

NOYB是個去年剛剛成立的組織，在隱私權保護領域，致力於與各大公司鬥爭。雖然成立時間不長，但是這個組織從名字就讓人覺着殺氣騰騰。NOYB是“None of Your Business”的縮寫，也就是“我們用户的隱私和你們大公司沒有關係，你們離我們的隱私遠點兒”的意思，異常生猛。

成員呢，包括歐洲議會的成員、歐盟委員會的專家、法學教授和技術專家等各路大佬。

為啥要成立這麼個組織？一個原因是這些大佬們認為各國DPA數據保護的工作，咋説呢，可能會幹的不太好 [ 被原話翻譯成：“各國“法律、政治及實際情況（比如有限的行動資源）限制了各國DPA的工作能力和熱情” ] 。

雖然如此，NOYB還是強調，他們不會試圖取代DPA或者干涉DPA的工作，而是就以一個非盈利組織的狀態，充分運用GDPR第80條等條款賦予的權力，以打報告、打官司或者堵大門的方式（“brings important issues tothe attention of DPAs, enforces the law in civil court or directly engages withcompanies”）與各大公司展開各種鬥爭。

馬律師其人

這樣一羣大佬組成的組織，自然需要一個大佬中的巨佬鎮場子。NOYB的靈魂人物、歐洲著名個人隱私保護社會活動家，人稱“Facebook剋星”的奧地利的大律師馬克斯施雷姆斯先生（Max Schrems），請到台前來。

港真，收集本文資料的時候，我們一度想放棄原來的選題，改寫一篇馬律師小傳。

畢竟馬律師實在是太厲害了。

馬律師特別會告狀和打官司。為什麼叫會呢？我們説，判斷一個人犀不犀利，要看這個人宿敵或對手的層次，比如C羅和梅西。從2011年起，馬律師一直且始終只與一個對手死磕，那就是Facebook。在這種青銅對王者的懸殊實力對比下，馬律師竟然憑藉自己堅強不屈的鬥志和層出不窮的騷操作，取得了相當驕人的戰績，包括但不限於：

逼着Facebook刪除了資料和停用了面部識別軟件；

逼着Facebook的副總裁Richard Allan帶着小弟來維也納和他對噴六個小時；

以一己之力打官司告贏了Facebook並且最震驚的是贏了官司後還順帶逼着歐盟修改了和美國之間的數據傳輸協議（從“安全港”到“隱私盾”）；

…

馬律師果真是浩瀚宇宙中不可多得的人才！

這次，馬律師帶領NOYB前腳在5月25日投訴了Facebook、Google，西方世界主流媒體CNN後腳就在當天發表文章，説Facebook、Google“官司上頭了”。

看着沒，這就是馬律師的江湖地位。

5月25日當日，Facebook的首席隱私官Erin Egan發表聲明稱Facebook“用了過去18個月的時間來確保滿足GDPR”的各項要求…Facebook一定是合規的”。Google則以沉默應對NOYB的投訴。

確認過眼神，不是一家人，抄傢伙幹吧。我們簡單梳理了NOYB曬出來的針對Google的投訴信，為各位解説這場大戰中的第一套組合拳。

NOYB第一擊：同意不“自由”

老實説，NOYB掛在網上的投訴信寫的相當有趣。

按道理講，舉報別人，一般套路是要大談特談被舉報人多麼缺德，我們神聖的利益怎麼被侵犯等等這樣的事實問題。比如我去居委會投訴一樓老王在小區明目張膽蓋窩棚養雞，就跟居委會大媽嘮了一下午老王這人私生活混亂，作風不好，嚴重影響我們小區的聲譽。

但NOYB老哥很暴躁啊，我不但要舉報，我還要給DPA普法。於是投訴信上出現了大段的法理論述，給法蘭西DPA介紹了下Google的“同意”機制真的不自由。專家範，實在是高。

NOYB認為，Google雖然列了四個基礎（同意、合法利益、合同目的及法定義務），但實際使用的只有“同意”機制（我們之前介紹過，GDPR提供了多種法律基礎供企業選擇，“同意”只是其中之一）。原因很簡單，Google提供給用户的協議中寫着，“使用我們的服務，代表您同意谷歌按照其隱私政策使用您的個人數據”；Google提供服務需要用户“同意”其隱私政策和條款；Google也沒説明白哪些數據是按照什麼法律基礎怎麼用的。

NOYB接着分析，“同意”不但是Google處理用户數據唯一的法律基礎，而且還不自由，不合法。

第一，GDPR説了，如果企業很強，用户很弱，以至於用户不能真正去選擇是否同意企業蒐集用户個人數據，即使用户在這樣的情況下同意企業收集數據，也不好使。Google是互聯網龍頭企業，安卓系統覆蓋全球85%的智能手機，如果用户不同意Google的隱私協議，就只能買蘋果了，啥？蘋果又又又又要漲價？總而言之，NOYB認為 Google取得的“同意”不能算數，因為用户和Google的這關係太不平等了，無效無效。

第二，GDPR又説了，假如提供一個服務總共只需要三種數據，企業不能拿着這三種以外的數據對用户説，你不同意我收集其他數據，我就不給你提供服務。NOYB認為Google玩的更徹底，不同意谷歌的隱私協議，連手機都直接不讓用了。

第三，GDPR又又説了，這個“同意”啊，措辭上不能搞形式主義，“同意”內容的顆粒度要細，啥數據，啥目的，咋用，得安排的明明白白。NOYB認為Google的隱私協議不但讓用户必須同意，還説同意這一個隱私協議就代表同意Google所有產品都可以使用用户的數據，Youtube、Chrome、Google map啥的都一攬子數據共享？鬧呢？太抽象了吧。

第四，GDPR又又又説了，即使用户不同意信息被收集，企業也不能降低服務質量。NOYB覺着説，不同意Google隱私協議，用户連手機都開不了，這真的不是服務降低了，而是直接觸底了。

NOYB第二擊：“自由”又怎樣，其他問題一籮筐

如果説第一擊只是展示了NOYB深厚的理論基礎，套路二則展現了NOYB以馬律師為首的一眾猛人豐富的鬥爭實戰經驗。因為不論第一擊多麼完美，對於Google這樣的龐然大物，總還是存在DPA認為“同意”是自由做出的可能性，此時就要套路二上場了。

親愛的DPA，如果上一波操作沒有效果，請看NOYB第二波輸出。

就算是法蘭西DPA認為“同意”是自由的，

第一，Google還侵犯了用户在GDPR下的知情權。隱私政策寫的又難讀又籠統，基本等同於Google可以“在任何產品，為任何目的，處理任何數據”。

第二，Google隱私政策寫的一點也不明確。道理同上。

第三，“同意”必須是單獨提出，Google把“同意”的內容藏在用户協議條款裏，違反了GDPR。

第四，如果DPA認定Google根據其他GDPR法律基礎，而不是“同意”，處理了用户的個人數據，那我NOYB實名舉報他Google不按套路出牌，用“同意”的外貌，欺騙用户善良的感情。

第五，如果Google説現在使用個人信息是因為這些用户在GDPR生效前就同意了Google使用他們的個人信息，那真是天大的笑話，現在Google都問題一大堆，那GDPR生效前的同意豈不更是漏洞百出。

NOYB亮劍：37億歐元把你Google罰吐血

NOYB説（Pen）完了，但是這篇投訴才剛剛接近高潮。

在投訴的結尾，NOYB寫到，GDPR生效後，Google這樣的行業巨頭仍然知法犯法，且以營利為目的，因此除停止違規處理措施外，還應施加GDPR下頂格行政罰款，也就是Google2017年全球營收的4%，也就是37.9億歐元，以儆效尤。

後記    

NOYB大戰Google和Facebook還遠遠沒到落幕的時候，截止發稿日我們也沒有看到受理投訴的DPA對此事作出實質性的回應。如果有新的進展，我們一定第一時間為大家發來戰報與解讀。

那看完故事後，對諸位來説，從這個故事中學到了哪些新知識呢？

答案是，沒有。

這個事件帶給我們很多啓發，其中最重要的是隱私政策的內容和定位問題。比如信息採集和使用情況披露的顆粒度更細，比如用額外彈窗徵求用户同意其收集敏感信息，再比如我們如何讓用户知曉，產品隱私協議並不是“同意”的對話框。

而從另一個側面，NOYB用實際行動提醒諸位，GDPR真的不是花拳繡腿，如果不在意，可能會招致不（牛）必（X）要（大）的（佬）成（踹）本（門）。