當地時間10月13日消息，愛爾蘭數據保護委員會（The Irish Data Protection Commission，DPC）在一份決定草案中向歐盟提議，因其數據處理缺乏清晰度和透明度，要求對Facebook處以2800萬至3600萬歐元的罰款，并在三個月內整改完成。目前，該草案已發送給其他監管機構征求意見，其將在一個月內作出回應。

　　據報道，2018年5月，非營利數字權利組織NOYB的數據保護活動家馬克斯·施雷姆斯（Max Schrems）向奧地利數據監管機構就Facebook提起投訴，指控其強制要求用戶同意服務條款，并對其處理個人數據的合法性表示質疑。后來，該投訴轉交于愛爾蘭數據監管機構，同時針對Facebook展開十多項調查。

　　歐盟于2018年5月出臺的《通用數據保護條例》（簡稱GDPR）對數據主體的“同意”做出過明確定義，即數據主體依據其個人意愿，自由、明確、知情并清楚地通過陳述或積極行為表示對其個人數據進行處理的同意，同時將同意作為個人數據處理的合法要件之一。

　　據悉，決定草案針對投訴所質疑的核心問題——用戶接受Facebook關于數據處理的服務條款是否意味著接受GDPR中的同意協議作出了判定。

　　決定草案顯示，Facebook沒有義務以GDPR的同意協議作為處理個人數據的法律依據，因為它通過將用戶與Facebook之間達成的數據使用協議解釋為“合同”而非同意協議的做法，使GDPR有關同意的規定不再適用于Facebook。

　　這也意味著，Facebook憑借此可將擁有的全部用戶數據用于其各種服務，比如廣告和在線跟蹤，并且不再需要征得用戶的自愿同意或給他們隨時撤銷同意的機會。而草案對Facebook此舉予以認可。

　　這一判定引發了施雷姆斯的不滿，他認為，Facebook以合同代替同意協議的行為明顯是為了繞過GDPR相關規則的約束，一旦這種做法被接受，任何公司都可通過將數據處理寫入合同來使未經用戶同意的數據使用行為合法化。

　　“這絕對違背GDPR明確禁止在條款和條件中隱藏同意協議的意圖。”施雷姆斯指出，自羅馬時代開始，這種以“重貼標簽”繞行法律的行為就是非法的，就好比出售可卡因的時候，不可能通過在賬單上寫“白色粉末”就繞過毒品法律——“似乎只有愛爾蘭的DPC會中招。”他說。

　　此外，施雷姆斯認為決定草案的這一判定可能與Facebook及DPC之間自2018年春節開始的十次秘密會議有關。在他看來，DPC作為監管機構正在為Facebook開“綠燈”，它已不是監管機構，而是成為了大型科技企業的顧問。

　　值得注意的是，DPC提議對Facebook處以高額罰款的根本原因在于，Facebook未能充分告知用戶其數據的處理方式。決定草案顯示，DPC的調查結果表明Facebook違反了GDPR中“數據主體以合法、公平和透明的方式處理”等有關數據透明度和公開度的要求。

　　南都·隱私護衛隊梳理發現，去年12月，DPC因Twitter未能及時申報和正確記錄數據泄露而處以45萬歐元的罰款；今年9月，WhatsApp因處理用戶個人信息不夠透明而被DPC罰款2.25億歐元。有媒體推測，愛爾蘭對Facebook的決定可能招致其他監管機構的反對，最終給予Facebook更嚴厲的處罰。