在欧盟统一数据法案（GDPR）刚刚生效后不久，隐私保护组织noyb.eu分别代表4位欧盟公民向奥地利、比利时、法国、德国的当地监管机构提起申诉，控诉Google, Facebook, WhatsApp ,Instagram四家公司违反GDPR的规定，请求对其发起进一步调查、确定其用户权利是否被侵犯，并请求禁止其相关数据处理行为，并处以惩戒性罚金。

申诉指出，上述公司更新了隐私政策，通过页面展示方式要求用户同意，在用户同意前不提供服务，该行为涉及未能给予数据主体对数据处理作出同意的自由选择权（free choice to give consent）。

按照GDPR所确定的处罚原则，如果上述指控成立，则该四家公司将最高可能面临其全球营业额4%的罚款。按照上述四家公司的财报显示，罚款总数将高达76亿欧元的罚款。四家公司分别可能受到的处罚如下表所示：

需要说明的是，WhatsApp、Instagram均属于Facebook旗下产品，在这一事件中，谷歌和脸书两大美国互联网巨头可谓平分秋色。

实际上，罚款虽然巨大，但与该申诉中提出的要求禁止数据处理行为相比，后者的杀伤力显然更大。对于互联网企业而言，停止数据处理意味着企业失去的欧盟区开展业务受到极大的限制，这是企业无法承受的代价。我们以本案作为了解欧盟GDPR数据处理规则的一个案例，希望对中国企业有所启示。

一、申诉所指控的内容

该项指控主要针对Google及Facebook更新的隐私条款未能给予用户作出同意的自由选择权。具体而言，体现为“强迫的同意”或“隐藏的同意”。

1、强迫的同意（接受或离开）

主要是指数据主体（互联网用户）与数据控制者或处理者（公司）由于地位的不对等，用户除了接受隐私条款，并无其他选择。一旦用户不同意隐私条款，将要承受无法使用相关系统或无法使用网络账号、网络应用的后果。特别是在商家具有市场支配地位的条件下，或者用户对于某些网络应用具有依赖性和极高用户粘性的条件下，数据主体针对该类“全赢or全输”的条款，事实上并无自由选择权。

本案中，Google（安卓）强制要求信息数据主体同意整个隐私政策和条款。当数据主体激活一个新的安卓手机时，必须同意隐私政策和条款。Facebook则是要求信息数据主体同意整个隐私政策和条款。用户只能选择接受新政策或删除账户，没有任何形式的反对、排除部分选项或说不的选择。

该项指控还认为，上述更新的隐私条款并非用户接受服务前即全面告知，而是在服务中通过更新了的隐私条款强迫用户同意，因此该行为并无正当性。请求通过申诉程序裁决该控制方的处理行为是否符合GDPR第6条第1点第（a）款及/或第9条第2点第（a）款的要求，以及违规程度如何。

2、隐藏的同意

隐藏的同意，一般是指数据处理主体将为了完成特定交易所必要的数据之外的数据，隐藏在同意条款中。通常以模糊的告知或者误导的告知，使数据主体误以为该数据处理行为是为完成特定服务所必须的，或者数据主体无法在隐藏的同意条款中明确理解到同意的后果。比如，类似如下条款：“为了帮助您发现您感兴趣的内容、产品及服务：我们向您展示广告、要约及其他赞助内容，以帮助您发现许多商业组织利用Facebook及其他Facebook产品提供的内容、产品及服务。”或“为了履行我们Facebook服务条款或Instagram使用条款的必要”。

在此类条款中，精准营销的条款被隐藏在一般的同意条款之中，被作为合同的附随义务展示，但事实上，此类服务事项是否为完成特定服务所必要的事项？noyb认为，除了强迫用户同意隐私政策，控制方显然试图在隐私条款中“隐藏”对处理行为的同意，以期引起误解，使人认为该等处理行为符合GDPR第6条第1点第（b）款的规定（即为了数据主体履行合同义务的必要/为了应数据主体要求履行签约前的步骤）。

二、Google及Facebook案件所体现的GDPR几个核心问题

1、Google及Facebook是否受欧盟GDPR管辖？

依据GDPR第一章第3 条地域范围的规定，确定GDPR是否拥有管辖权有两个标准，一是数据的控制者或处理者标准，二是个人数据主体的标准。

GDPR第一章第3 条之1条款规定，“适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。”即，设立在欧盟的数据控制者或者处理者对于个人数据的处理，适用GDPR。

GDPR第一章第3 条之2条款规定，“适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为a) 发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付费用；或b) 是对数据主体发生在欧盟内行为的监控。”

从上述条款看出，数据控制者或处理者如果设立在欧盟区域，受GDPR管辖；即使数据控制者或处理者没有设立在欧盟区域，只要其数据处理行为发生在向欧盟内的数据主体提供商品或服务的过程中，也受到GDPR管辖。

本案中，Google及Facebook均为美国公司，但在欧盟区拥有大量用户，欧盟区相关国家的监管机构受理上述申诉，拥有法律上的管辖权。

至于能否通过协议约定排除欧盟GDPR的管辖，笔者认为，GDPR关于管辖的规定属于强制性规定，即使隐私条款或其他协议中通过约定排除欧盟管辖，其约定也不会产生法律效力。

2、处罚金额确定的依据

对于Google及Facebook等四家公司可能面临的76亿欧元天价罚单如何计算，这也是人们对于GDPR严厉性最为顾忌的地方。该法第83条规定了严厉的处罚措施：“违反下列规定的将被处以最高达2000 万欧元的行政罚款，或就一项经营而言，最高可处以上一财政年度全球年营业额的4%，两者以较高者为准：a) 根据第5、6、7 和9 条处理的基本原则，包括同意的条件。”

对于违反信息处理的知情同意原则，处罚的上限是2000万欧元，或者上一财政年度全球营业额的4%，并且以两者孰高作为最终的处罚金额。谷歌2017财年全球营业额为1107亿美元，按照上述标准处罚，4%金额约37亿欧元。

由此可见，基于GDPR的处罚，将成为欧盟区最为严厉的合规处罚措施之一。对于跨国经营的公司而言，欧盟的数据合规风险成为重大的风险因素。

三、中国企业在GDPR规制下的风险

当前中国是全球最为重要互联网服务所在国和贸易大国，全球排名靠前的互联网企业中，总部在中国的占到相当大的比例，可以说美国与中国在全球互联网企业排名方面占据了绝对的主导地位；同时，由于大量的传统企业互联网转型，大量的中国企业在向境外提供商品或服务过程中，也将互联网作为最基本的工具，比如银行、贸易公司等，这些经营者的经营活动如果面向欧盟用户，都可能会存在处理欧盟内用户数据的问题。主要的风险来自以下几个方面：

1、中国企业向欧盟内用户提供服务受GDPR管辖

如前所述，企业是否设立在欧盟区不是判断欧盟GDPR能否管辖的依据，而是看企业是否向欧盟内的个人数据主体销售商品或提供服务。对于中国企业而言，如果其商品或贸易服务涉及欧盟区内的个人数据主体，将会受到欧盟GDPR的管辖。

2、未能充分预判最大风险值

过错程度或非法获益金额与处罚结果挂钩，是常见的处罚原则，也是国内企业对于行政合规风险中的“罚款”并不忌惮的原因之一，由于我国相关法规中关于惩罚性罚金设置的标准往往非常低，企业长期以来对于罚金处罚的风险认知不足。

但是在GDPR规制下，罚金往往可以达到天价。由于罚金的征收依据是违规企业的全球收入，罚金与被处罚企业在欧盟区的营业收入相比，更是显得巨大，甚至是完全不成正比。可能企业在欧盟的销售金额很小，但由于根据全球收入计算罚金，对企业而言，一旦遭遇GDPR的处罚，其代价将是非常沉重的。

3、因执法环境的不同而产生误判

我国《网络安全法》生效后，虽然各地也有大量的处罚案例，但总体上处罚的力度较弱。并且作为网络大国，国内实际上存在大数据战略和个人信息保护的平衡问题，理论界和立法机构、实务部门一直在寻找一个合适的平衡点，在法律的立法价值和执法的价值方面，面临与欧盟不完全一样的环境。不同的执法环境，也可能导致中国企业对于欧盟GDPR风险的预判不足。

四、中国企业的对策

GDPR的制裁风险已经实实在在的落在了美国公司面前，同为互联网大国与贸易大国，中国企业如何应对呢？笔者认为，应从以下几个入手：

1、合理评估欧盟区业务状况

企业应对自身的跨境业务战略进行审慎评估，审视自身有没有面向欧盟成员国公民用户的需要？以及当前是否已经产生了面对欧盟区内数据主体的产品销售或服务提供。

如果企业在欧盟区设立有分支机构，则应对其涉及个人数据主体的数据处理行为的整体合规进行梳理，排除GDPR的风险。

如果企业在欧盟区的产品或服务销售金额非常小，或者可以忽略不计，并且未来也没有进一步在欧盟区拓展业务的需求，则可以通过明确的服务条款排除对欧盟内成员的服务，以免得不偿失。

如果有欧盟区的业务拓展计划，则应严格根据GDPR完善自身的数据处理规则和隐私条款。

2、构建自身的数据处理规则及隐私条款

对于企业而言，数据处理规则是面对全球主要市场都需要考虑的问题。事实上，欧盟的GDPR所确立的用户信息保护原则及基本规则，与我国的《网络安全法》及个人信息保护规范并无实质性的差异。

企业应建立个人数据的处理规则，并设置合理的隐私条款，让用户充分知情，并取得同意，以此为企业的数据处理和大数据运用打下坚实的基础。

当然，考虑到不同市场的法律差异及执法环境的差异，对于多平台的企业而言，也可以在企业内部基本数据规则的基础上，针对不同市场作出差异化的策略。

3、平衡数据合规与用户体验

企业都希望一键解决所有问题，从而追求用户的最佳体验。但按照GDPR的规则，对于特殊主体的数据处理，需要特别的同意条款；并且，由于明示同意的要求，在部分与当前服务并无直接关系的数据处理过程中，也需要明示的告知和同意。这些规则的要求，必然会增加知情告知环节和同意环节的流程，从而影响用户体验。如何平衡两者之间的关系，也是中国企业面对GDPR需要深入考虑的问题。

针对Google及Facebook的申诉案件是GDPR生效后的重大事件，也为中国企业敲响了警钟。如何面对欧盟业务战略，如何按照构建自身的数据合规体系，是本案给我们的最大启示。

注：本文仅作为学术研究之用，不代表监管的意见，也不属于法律意见或操作指导。任何对本文观点的引用，均不代表作者的任何操作指导，作者不承担任何法律责任。