申 军
作者系法国执业律师,瀚申律师事务所创办人,里昂第三大学法学博士
2023年1月12日,法国国家信息技术与自由委员会(以下称为“CNIL”)在其网站上发布了处罚TIKTOK的决议(Délibération)。在这份共计21页的决议中,CNIL的小型专设委员会(法文表述为La formation restreinte,直译为人数有限的团体)对TIKTOK信息技术英国有限公司(以下称为“TIKTOK 英国”)和TIKTOK技术有限公司(以下称为“TIKTOK 爱尔兰”)分别处以250万欧元的行政性罚款,TIKTOK 英国的法国子公司TIKTOK SAS(即TIKTOK简易股份公司,以下称为“TIKTOK 法国”)被判定支付该笔总计500万欧元的款项。此外,该决议还被判定于当日在CNIL网站和次日在Légifrance 网站(法国政府发布法律信息的官方网站)向大众公布; 自其公布日起2年到期后,该决议将不再指明相涉公司的名称。
值得阐明的背景信息是,CNIL的小型专设委员会是其内设的处罚机构(以下称为“处罚委员会”),由CNIL的5位成员和和1位非CNIL总裁的主席成员构成。它可对不遵守法律的数据处理负责人(Responsable de traitement ,英文称谓为Controller,即数据控制人)祭出多种处罚,依据欧盟《通用数据保护规章》(以下称为“GDPR”)处以金额可达2000万欧元的罚款,或是对相涉企业处以可达其全球年度营业额4%的罚款; 相关金融处罚可向大众公开。
另外,根据该决议提供的信息,TIKTOK 英国和TIKTOK爱尔兰(以下在被一并提及时称为“TIKTOK公司”)隶属于TIKTOK集团,后者的母公司是注册于开曼群岛的BYTEDANCE LTD(字节跳动有限公司)。从2020年7月29日起,TIKTO公司取代了TIKTOK INC.(该公司注册于美国,其称谓于2019年5月由MUSICAL. LY INC.变更而来),共同负责TIKTOK欧洲用户个人性质数据的处理。TIKTOK法国则于2020年3月在巴黎注册设立,由TIKTOK英国100%持股。TIKTOK集团还在法国波尔多设有另一机构NEWS REPUBLIC(注: 根据公开资料,该公司已于2022年12月下旬被予注销),其单一股东亦为TIKTOK英国。
本案的基本情况是: CNIL分别于2020年5月14日和2021年6月3日对tiktok.com网站(以下称为“TIKTOK网站”)执行了两次在线核查。其间的2020年6月3日,它还向TIKTOK INC.(其时的数据处理负责人)寄送调查问卷以进行文件核查(即监控TIKTOK应其要求所提供的文件)。TIKTOK英国也收到一份问卷拷贝。其后TIKTOK 公司与CNIL进行了多次电邮及信件交流,按照对方要求提交了补充性信息,或是给予了进一步澄清。时任CNIL女总裁为此还于2022年2月3日任命了一位CNIL女性成员作为报告人(其不是处罚委员会成员,以下称为“专员报告人”)。专员报告人于2022年5月22日写信要求TIKTOK公司的律师提供补充信息,尤其是针对TIKTOK法国和NEWS REPUBLIC的实际运行、TIKTOK法国、NEWS REPUBLIC、TIKTOK爱尔兰与TIKTOK英国之间的法律关联、名为“全部拒绝”的按键被添加在TIKTOK网站有关cookies(用作网络连接证据的小型文本文档)横幅上的日期。同年6月14日,相关补充因素通过信件被转达给报告人。其后CNIL女总裁应专员报告人之请求,在2022年6月30日就TIKTOK网站上实施的数据处理安排了一次新的验核。2022年7月7日,专员报告人向TIKTOK告知了一份处罚报告; 该报告详述了她认为的本案中违反法国1978年《信息技术与自由法》(以下称为法国LIL法)第82条之处。她向CNIL处罚委员会建议对TIKTOK公司处以行政性罚款,并勒令对方停止设置须经TIKTOK网站法国用户同意的cookies和追踪器。专员报告人还建议处罚决议应公诸大众,但在其公布之日起2年后TIKTOK公司的名称将被匿名处理。在2022年8月至10月间,TIKTOK公司与专员报告人就该份处罚报告数次沟通。该案卷宗在2022年11月被纳入处罚委员会同年12月1日的会议日程。专员报告人和TIKTOK公司后来在此会议上各自陈述了口头意见。
2022年12月29日,CNIL处罚委员会在其作出的处罚决议中,首先确定了CNIL对该案的属事和属地管辖权,其次认定了TIKTOK英国和TIKTOK爱尔兰是用户数据的共同处理负责人,再者认定了TIKTOK公司的行为触犯了法国LIL法第82条的诸项规定,最后阐明了处罚内容。
1
首先,处罚委员会认为,该案的数据处理议题关乎居住在法国的用户导览TIKTOK网站时,cookies和追踪器在其终端设备上的设置; 这属于欧盟《私人生活和电子通讯指令》(即《电子隐私指令》,以下称为“欧盟e-Privacy指令”)的适用范围。该指令颁布于2002年,后在2006年和2009年被两度修改。其第5条第3段有涉订户或用户终端设备中既存信息之读取或存储; 相关规定被转化为法国LIL法第82条。根据该法第16条和第20条的规定,当数据处理负责人或分包人(Sous-traitant,英文为Processor,即数据处理人)不遵守该法规定的义务时,CNIL的总裁可以诉诸处罚委员会,后者可对相关负责人或分包人采取措施和宣布处罚。
此外,处罚委员会援引法国最高行政法院在2022年1月28日Google案中的判决指出,监控一项电子通讯服务在法用户终端中的信息读取与记录之操作,属于CNIL的属事管辖权限,即便相关操作来自于跨境处理。GDPR第56条所适用的“单一柜台(guichet unique)”机制在此案中不予适用。该机制的英文称谓为“一站式商店(one-stop shop)” 机制,是GDPR引入的一套新程序,意在从欧洲层面协调各国数据保护机构在涉及跨境数据处理方面的决定。因此,处罚委员会认为CNIL有资格核查属于欧盟e-Privacy指令适用范围的、由TIKTOK公司执行的数据处理,和对它们启动处罚程序。
处罚委员会还认定CNIL对本案拥有属地管辖权。根据法国LIL法第3条的规定,在数据处理负责人在法机构的业务框架下执行的个人数据处理,适用于该法全部条款,不论处理是否发生在法国境内。处罚委员会依据欧盟司法法院的判决(比如2015年10月1日的Weltimmo判决),认定在法国注册、在巴黎拥有办公场所的TIKTOK法国是TIKTOK英国和TIKTOK爱尔兰在法国领土上设立的“机构”(Établissement或 Establishment)。它还援引法国最高行政法院在2022年6月27日AMAZON EUROPE CORE案中的判决指出,当位于法国的用户在使用TIKTOK社群网络时(TIKTOK网站的主域和子域),对其终端设备中的信息进行读取或记录,与TIKTOK法国的业务有着内在关联。实际上,TIKTOK英国和TIKTOK爱尔兰经营的TIKTOK网站上留有广告区域,由广告发布者购买。其在法国市场的销售以及更大范围广告工具的推广由TIKTOK法国执行。倘若个性化的广告能向一个特定的网民发布,那么唯有其在TIKTOK应用程序中的导览能被追踪才有可能,以便确定什么广告内容的显示与之最为相关。因此,对读取或记录在法TIKTOK用户终端内信息之操作进行的数据处理,是在作为“机构”的TIKTOK法国的业务框架下被执行的。
据此,处罚委员会认为法国LIL法第3条第1段规定的适用标准均被满足。因此法国法在本案中可予适用。CNIL在属事和属地管辖方面均有资格执行它的权力,其中包括对涉及属于欧盟e-Privacy指令适用范围的数据处理予以处罚。
2
其次,处罚委员会认定TIKTOK英国和TIKTOK爱尔兰是共同数据处理负责人。其一、它认为,鉴于法国LIL法第82条中提及了“处理负责人”的概念,GDPR第4条第7段(规定了处理负责人的定义)和第26条第1段(规定了共同处理负责人的定义)适用于本案。其二、它重申了欧盟司法法院对“共同处理负责人”概念的数次裁定,指出编号95/46/EC的欧盟《个人数据保护指令》(后被GDPR替代)第2条第6点关于处理负责人的规定,乃是藉由一个宽泛的责任人定义,以期确保对于相涉个人(Personne concernée,英文称谓是Data Subject,即数据主体)有效和完全的保护; 不同的行为者可在一项个人数据处理的不同阶段按照不同的程度介入,从而承担共同责任。其三、它强调,TIKTOK 英国在2020年6月29日的一封致函中,明确了其和TIKTOK爱尔兰将成为欧盟TIKTOK用户个人数据处理的共同负责人; TIKTOK爱尔兰在2020年9月24日的致函中,阐明了其和TIKTOK英国作为处理欧洲经济区TIKTOK个人用户数据共同负责人的角色。处罚委员会还在2021年6月3日的在线核查中发现,TIKTOK网站中显示的保密方针亦称: TIKTOK爱尔兰和TIKTOK英国提供TIKTOK平台以及相连的服务,并依照该方针中的条款和它们的服务条件共同处理个人数据。 TIKTOK公司的律师则在2022年6月15日的致函中确认,TIKTOK英国和TIKTOK爱尔兰所属BYTEDANCE集团之重组并不影响它们身为有涉TIKTOK网站的共同处理负责人; 这两家公司共同决定处理活动的目的和手段。实际上,TIKTOK网站可供住在法国的TIKTOK用户使用,相关数据处理涉及当地用户在使用TIKTOK服务时、对其终端中的信息进行的读取和记录。处罚委员会由此得出的结论是,TIKTOK英国和TIKTOK爱尔兰共同决定涉及居法用户终端中信息处理之目的和手段,因此构成了相关数据的共同处理负责人。
3
再者,处罚委员会认定TIKTOK公司的行为触犯了法国LIL法的相关规定。该法第82条是由欧盟e-Privacy指令第5条第3段转化而来,规定数据处理负责人在试图读取任何电子通信服务订户或用户终端设备上的既存信息、或是在该设备上记录信息时,须以清晰和完全的方式告知后者(除非其已被提前告知)此种行为之目的、以及后者拥有的用于反对相关行为之手段。唯有订户或用户清晰地表达了合意,读取或记录行为方可发生。不过,倘若这些行为的唯一目的是令电子通讯得以进行或使之往来便利,或是对于依照用户明示要求提供在线通讯服务而言,它们实属必需,那么相关告知和合意的规定即不适用。
根据TIKTOK公司的说法,当用户登入TIKTOK网站,数种cookies会被设置在他们的终端上,其中三种是《tt_webid 》、《 tt_webid_v2 》 (已均于2022年8月31日被取消) 和《ttwid》 。TIKTOK爱尔兰就此明确说,这些cookies的目的分别是安全和欺诈侦测(识别网络机器人)、平台最流行视频观看频率上限、平台广告传播频率上限和A/B测试(即用于侦测和防止垃圾邮件以及比较同一页面的两种版本)。TKITOK公司认为这些cookies是基本的,被免于收集用户之合意。
►►►
处罚委员会为此进行了探讨:
其一、关于阅读及/或书写操作的收集合意之必要性。通过对本案诸多要素的评估,它认为,在用户采取任何行动之前,上述三种cookies在用户终端上的登记不能被裁定为具有触犯法国LIL法第82条的性质。不过它亦指出,从TIKTOK公司书面文件上可以显示,其它不能免除用户合意的cookies被设置在了TIKTOK的子域名。
其二、关于设置和阅读非基本cookies时收集合意之条件。它指出,根据欧盟e-Privacy指令的规定(第2条第f点),一个用户或订户的合意对应着欧盟《个人数据保护指令》(后被GDPR替代)中所称的相涉个人之合意。 因此,自GDPR生效以来,源出欧盟e-Privacy指令的法国LIL法第82条所规定的合意,应依照GDPR第4条第11段予以理解,即合意应由一种自由、专门、清晰和不含糊的方式给出,由一个积极的行动显示。藉此定义的合意自由之原则,若被置于用户接受和拒绝在其终端上设置cookies的假设中,则意味着用户应该享有一种“真正的选择自由”(见诸GDPR第42条立法动机阐述),故而向其提供的表达该选择之方式不应具有令其同意之偏向。而根据专员报告人的观察, 在2021年6月3日CNIL执行在线监控时,TIKTOK网站显示的横幅中包含了可令用户迅速接受cookies的一个按键. 但是用户未被提供相似的方式,以轻易地一键拒绝这些cookies的设置。反之,用户应该执行至少三个行动,即需在“管理参数”、“开启cookies参数”和“登记”选项上按键。在专员报告人看来,此种机制漠视了合意自由的法定要求(该要求意味着不鼓励网络用户接受cookies)。依据前述情况,处罚委员会认为,从2021年6月3日到2022年2月28日(当日TIKTOK公司设置了名为“全部拒绝”的按键),用户没有可能像其接受处理负责人的阅读及/或书写操作时那样,以同样的简单程度拒绝相关操作,因此依据GDPR所诠释的法国LIL第82条受到了触犯。
其三、关于用户的欠缺信息。它重申,欧盟e-Privacy指令第5条第3段和法国LIL法第82条均明确规定,用户应被完全告知cookies的设置和阅读操作所追求的目的性、以及其拥有的反对相关操作的手段。然而在本案中,TIKTOK网站所显示的信息横幅仅对被设置的全部cookies之目的做了一般和大概的描述。它认为,数据处理负责人在TIKTOK网站上使用的术语“改善您在我们网站上的体验”和“为了分析和营销之目的”很不精确。
4
最后,处罚委员会阐明了拟采取的矫正性措施和相关公布事宜。它援引法国LIL法第20条的规定指出,CNIL总裁在数据处理负责人或其分包人不遵守该法或GDPR规定的义务时,可将相关案件提交给处罚委员会,以便后者在经由反驳程序后宣布一项或数项措施。比如,命令当事人遵行相关数据处理的合规义务(可配以滞纳金的缴付),或是对之处以高额的行政性罚款(根据不同情况,最高金额可达1000万或2000万欧元、或是可达相涉企业上一年度全球营业额的2%或4%)。处罚委员会在决定相关罚款金额时,会考虑GDPR第83条第2段所确定的具体标准,以确保在每个案件中所施加的罚款是有效的、成比例的和有劝阻性的。
鉴于本案中TIKTOK公司所涉数据处理的庞大性(根据该决议引述的公开资料,2021年8月TIKTOK社群网络的在法访客约占全法人口的1/4)与影响度(同样根据公开资料,38%的在法TIKTOK用户是13-17岁的未成年人)、以及TIKTOK公司后在规定期限内答复了CNIL的所有信息要求从而履行了法国LIL法第18条的义务,并根据这两家公司各自的责任和财务能力,处罚委员会依据GDPR和法国LIL法,对TIKTOK英国和TIKTOK爱尔兰分别处以250万欧元的行政罚款。相关罚款被判定由TIKTOK法国支付,则佐证了处罚委员会认定的TIKTOK法国与TIKTOK公司之间的关联。就此处罚决议的公布事宜而言,它认为,鉴于涉案违法行为的严重性、数据处理的范围和相涉个人的数量,将之予以公布是合理的。
值得补充的是,如果TIKTOK公司质疑上述决议,它们可在被通知此决议起4个月内向法国最高行政法院请求将之撤销。如是,本处罚决议的后续无疑值得进一步关注,尤其是对一些计划或是已经出海、意图或是加深了解欧盟数据合规的国内互联网企业而言。
参考资料:
· CNIL – Délibération de la formation restreinte n°SAN-2022-027 du 29 décembre 2022 concernant les sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED et TIKTOK TECHNOLOGY LIMITED
· CNIL – Cookies : la CNIL sanctionne TIKTOK à hauteur de 5 millions d’euros, 12 janvier 2023
· CNIL – Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations
de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019
· Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
· Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
· Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
· Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n o 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs
· Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
· Conseil d’État, 10ème – 9ème chambres réunies, 28/01/2022, 449209 (Société GOOGLE
LLC et société GOOGLE IRELAND LIMITED )
