吴沈括

北京师范大学网络法治国际中心执行主任、博导

中国互联网协会研究中心副主任

李颖妍 

北京师范大学网络法治国际中心研究助理

【执法要旨】

1、在用户被迫同意的压力下，没有正确告知他们所同意的内容的商业模式不符合法律。

2、GDPR的一个重要目标恰恰是防止“接受或离开”的所谓“同意”。

3、出于营销或广告目的的侵入性分析和跟踪做法（例如涉及跨多个网站、位置、设备、服务或数据代理跟踪个人的行为）必须征得同意。

4、行政处罚应当是有效的、相称的和有遏阻力的。

挪威数据保护局（Datatilsynet）2021年1月26日向约会应用程序Grindr发出了1亿挪威克朗（9,600,000欧元）行政罚款的预先通知。

计划中的罚款是一年前挪威消费者委员会与noyb和欧洲数字权利中心一起提起法律诉讼的结果。

 “这是正在进行的工作中的一个里程碑，以确保消费者的隐私受到在线保护。数据保护局已明确确定，未经用户许可，公司收集和共享个人数据是不可接受的。”挪威消费者委员会数字政策主管Finn Myrstad表示。

挪威数据保护局强调，Grindr用户未获得有关如何收集个人数据以及如何与第三方广告商共享的足够信息。操作中，消费者必须接受与第三方的数据共享才能使用该应用程序。

根据挪威数据保护局的规定，罚款将占Grindr全球年营业额的10％。它说罚款的水平反映了这样一个事实，即侵权行为是故意的，并且数据与多达160个第三方共享。此外，挪威受影响的数据主体的数量非常多，共享的数据类型包括特殊类别的个人数据，例如有关性取向的数据。鉴于此，挪威数据保护局强调：“1亿挪威克朗的数额似乎是有效，成比例的并且具有遏阻性。”

挪威数据保护局官方意见

挪威数据保护局已通知Grindr LLC（Grindr），我们打算对未遵守GDPR同意规则的行为处以1亿挪威克朗的行政罚款。

计划向Grindr LLC处以960万欧元的罚款

挪威数据保护局局长BjørnErik Thon表示，我们的初步结论是Grindr已在没有法律依据的情况下将用户数据共享给了许多第三方。

Grindr是一个针对同性恋、双性恋、跨性别者和同性恋者的基于位置的社交网络应用程序（APP）。2020年，挪威消费者委员会对Grindr提出申诉，声称出于营销目的与第三方非法共享个人数据。共享的数据包括GPS位置、用户配置文件数据以及相关用户在Grindr上的事实。

挪威数据保护局的初步结论是，Grindr需要同意才能共享这些个人数据，并且Grindr的自身同意无效。此外，我们认为某人是Grindr用户的事实说明了他们的性取向，因此这构成了值得特别保护的特殊类别数据。

挪威数据保护局认为这是一个严重的案例。用户无法对其数据共享进行真正有效的控制。挪威数据保护局局长BjørnErik Thon说，在用户被迫同意的压力下，没有正确告知他们所同意的内容的商业模式不符合法律。

无效的同意

挪威数据保护局认为，作为一般性规则，出于营销或广告目的的侵入性分析和跟踪做法（例如涉及跨多个网站、位置、设备、服务或数据代理跟踪个人的行为）必须征得同意。商业应用程序希望共享有关用户性取向的数据时，也是如此。

用户被迫完全接受使用该应用程序的隐私政策，并且没有特别询问他们是否要同意与第三方共享数据。此外，有关共享个人数据的信息未正确传达给用户。挪威数据保护局认为这违反了GDPR的有效同意要求。

Grindr APP被视为安全的空间，许多用户希望保持独立。尽管如此，Thon补充说，他们的数据已与未知数量的第三方共享，有关此信息的任何信息都被隐藏了。

可能导致迄今为止最高的挪威GDPR罚款

行政处罚应当是有效的、相称的和有遏阻力的。 

挪威数据保护局已通知Grindr，计划处以高额罚款，因为调查结果表明该APP严重违反了GDPR。Grindr拥有1370万活跃用户，其中数千用户居住在挪威。挪威数据保护局认为这些人的个人数据被非法共享。GDPR的一个重要目标恰恰是防止“接受或离开”的所谓“同意”。托恩强调，必须停止这种做法。

挪威数据保护局发现Grindr在全球范围内的年营业额至少为1亿美元。这意味着官方提议的罚款将占公司营业额的10％左右。 

挪威数据保护局的调查重点是从GDPR生效到2020年4月Grindr更改应用程序征求同意的方式期间所适用的同意机制。迄今为止，官方尚未评估后续变更是否符合GDPR。

不是最终决定

挪威数据保护局已发给Grindr的文件是决定草案。Grindr将有机会在2021年2月15日前对官方的发现发表申论。一旦官方评估了公司的任何申论，官方将做出最终决定。 

官方的决定草案涉及Grindr应用程序的免费版本。

挪威消费者委员会还对接收来自Grindr的数据的五个第三方提出了投诉：MoPub（Twitter公司拥有），Xandr Inc.（以前称为AppNexus Inc。），OpenX Software Ltd.，AdColony Inc.和Smaato  Inc.。目前这些案件仍在进行之中。

（图文编辑：北京师范大学 安宇洁）