2021年4月13日，在EDPB第48次全體會議上，《關(guān)于針對社交媒體用戶的指南》獲得通過，對社交媒體平臺的個人用戶數(shù)據(jù)保護明確了相關(guān)要求。

　　一、出臺背景

　　過去十年，社交媒體在網(wǎng)絡(luò)上快速興起。越來越多的人使用社交媒體與家人和朋友保持聯(lián)系。在該指南里，社交媒體被理解為能夠構(gòu)建網(wǎng)絡(luò)用戶社區(qū)的在線平臺，其中產(chǎn)生的信息和內(nèi)容是共享的。社交媒體的主要特點是個人能夠注冊，可以為自己創(chuàng)建“賬戶”或生成“個人數(shù)據(jù)”，通過共享用戶生成的內(nèi)容或其他內(nèi)容相互交流，并與其他用戶建立聯(lián)系。

　　作為商業(yè)模式的一部分，許多社交媒體提供商都提供定向服務。定向服務使自然人或法人能夠向社交媒體用戶傳達特定信息，以促進獲取商業(yè)、政治或其他利益。提供定向服務的顯著特征是被定向的個人或群體與所傳遞的信息之間的感知契合度，契合度越好，接受率（轉(zhuǎn)化率）越高，因此定向活動越有效（投資回報）。

　　對不同來源的數(shù)據(jù)進行組合和分析，加上在社交媒體中處理的個人數(shù)據(jù)的潛在敏感性，給個人的基本權(quán)利和自由帶來了風險。從數(shù)據(jù)保護的角度來看，許多風險的產(chǎn)生源于缺乏透明度和用戶缺乏控制權(quán)。

　　二、適用范圍

　　社交媒體服務可能涉及不同的主體，就本指南而言，這些主體應分為四類：社交媒體服務提供商、用戶、目標群體和可能參與目標確定過程的其他行為者。

　　本指南的主要目的是明確社交媒體服務提供商和目標群體之間的角色和責任。為了做到這一點，指南還指出了對個人權(quán)利和自由可能產(chǎn)生的潛在風險、主要主體及其作用，并解釋了個人數(shù)據(jù)保護的相關(guān)要求（如合法性和透明度、數(shù)據(jù)保護影響評估DPIA等），以及社交媒體提供商和目標方之間相關(guān)的關(guān)鍵要素。

　　三、個人數(shù)據(jù)處理對用戶權(quán)利和自由構(gòu)成的風險

　　GDPR強調(diào)，必須適當評估和減輕個人數(shù)據(jù)處理給個人權(quán)利和自由帶來的任何風險?？捎糜阪i定社交媒體用戶的機制以及能夠鎖定目標的基本數(shù)據(jù)處理活動可能會對個人帶來重大風險。EDPB認為在該指南中有必要指出某些類型的風險，并提供了一些這些風險的詳細例子。具體如下：

　　第一，針對社交媒體用戶，可能涉及違反或超出個人合理預期的個人數(shù)據(jù)使用，從而違反數(shù)據(jù)保護原則和規(guī)則。

　　第二，涉及歧視和排斥的可能性，針對社交媒體用戶確定的標簽可能直接或間接涉及個人的種族或族裔、健康狀況、性取向或相關(guān)個人的其他受保護特征，并產(chǎn)生歧視性影響。

　　第三，由于個人數(shù)據(jù)的使用在某些情況下是用來影響個人的行為和選擇的，因此還涉及對用戶的潛在操縱，無論是影響消費者的購買決策還是影響公民的政治決策，這種潛在操縱都是存在的。

　　第四，存在監(jiān)視的風險，社交媒體服務提供商收集的個人數(shù)據(jù)不僅僅限于個人在社交媒體平臺上進行的互動，可能還會涉及個人在社交媒體平臺之外進行的瀏覽行為或其他活動的相關(guān)信息，通過這些信息鎖定社交媒體用戶，會存在對個人行為進行系統(tǒng)監(jiān)控的風險。

　　第五，就兒童等弱勢群體而言，鎖定目標的潛在不利影響可能要大得多。鎖定目標會影響兒童個人偏好和興趣的形成，最終影響他們的自主權(quán)和發(fā)展權(quán)。

　　四、對目標對象的限制

　　“用戶”通常指在服務中注冊的個人，即擁有“賬戶”或“個人資料”的個人。然而許多社交媒體服務也可以由沒有注冊的個人訪問。即使在沒有實名政策的情況下，仍有可能鎖定有問題的用戶，因為大多數(shù)類型的鎖定不依賴于用戶名，而是依賴于其他類型的個人數(shù)據(jù)。

　　社交媒體服務提供商有機會收集與用戶和未注冊用戶的行為和互動相關(guān)的大量個人數(shù)據(jù)，這使其能夠獲得對用戶的社會特征、興趣和偏好的深入了解。本指南使用“目標對象”一詞來指使用社交媒體服務的自然人或法人。服務提供商可以根據(jù)特定的參數(shù)或標準向一組社交媒體用戶發(fā)送特定的消息。目標用戶可以直接使用社交媒體提供商提供的定位機制，也可以使用其他提供商的服務，如數(shù)據(jù)經(jīng)紀人和數(shù)據(jù)管理提供商也是在鎖定社交媒體用戶方面發(fā)揮重要作用的相關(guān)行為者。

　　五、不同靶向機制的分析

　　靶向機制是指根據(jù)提供的數(shù)據(jù)確定目標，這里的數(shù)據(jù)包括用戶向社交媒體提供商提供的數(shù)據(jù)，社交媒體平臺的用戶向目標方提供的數(shù)據(jù)，以及根據(jù)觀察到的數(shù)據(jù)確定目標。數(shù)據(jù)服務提供商以對這些數(shù)據(jù)的推斷為基礎(chǔ)構(gòu)建靶向機制。

　　第一，根據(jù)提供的數(shù)據(jù)鎖定個人?！疤峁┑臄?shù)據(jù)”是指數(shù)據(jù)主體主動向社交媒體提供商和/或目標方提供的信息。

　　第二，根據(jù)觀察到的數(shù)據(jù)確定目標。服務提供商也可以根據(jù)觀察到的數(shù)據(jù)確定社交媒體目標用戶。觀察到的數(shù)據(jù)是數(shù)據(jù)主體通過使用服務或設(shè)備產(chǎn)生的數(shù)據(jù)。

　　第三，基于推斷數(shù)據(jù)進行目標定位?！巴茢鄶?shù)據(jù)”或“衍生數(shù)據(jù)”是由數(shù)據(jù)控制者根據(jù)數(shù)據(jù)主體提供的數(shù)據(jù)或控制者觀察到的數(shù)據(jù)創(chuàng)建的。

　　六、透明度和使用權(quán)

　　GDPR第5（1）（a）條規(guī)定，應合法、公平和透明地處理與數(shù)據(jù)主體有關(guān)的個人數(shù)據(jù)。GDPR第5（1）（b）條還規(guī)定，個人數(shù)據(jù)的收集應出于特定、明確和合法的目的。GDPR第12、13、14條載有關(guān)于數(shù)據(jù)控制者透明度義務的具體規(guī)定。

　　EDPB提醒說，僅僅使用“廣告”一詞不足以告知用戶，他們的活動正受到有針對性的廣告的監(jiān)控。數(shù)據(jù)服務提供商的規(guī)則應該對個人透明，說明進行了哪些類型的處理活動。如果社交平臺分別基于目標用戶在平臺或網(wǎng)站上的在線行為建立檔案，則應以易于理解的語言告知數(shù)據(jù)主體，向用戶提供有關(guān)為建立此類檔案而收集的個人數(shù)據(jù)類型的信息，并最終獲取目標用戶同意，進行目標定位和發(fā)送廣告。社交平臺應直接在屏幕上以交互方式向用戶提供相關(guān)信息，并在適當或必要時通過分層通知提供相關(guān)信息。

　　七、數(shù)據(jù)保護影響評估（DPIA）

　　在某些情況下，廣告產(chǎn)品或服務的性質(zhì)、信息的內(nèi)容或廣告的傳遞方式可能會對個人產(chǎn)生影響，需要進一步評估。例如針對弱勢人群的產(chǎn)品可能就屬于這種情況。根據(jù)廣告活動的目的及其侵入性，或者如果涉及對觀察到的、推斷出的或推導出的個人數(shù)據(jù)的處理，可能會出現(xiàn)額外的風險，均應當進行DPIA。

　　除了GDPR第26（1）條具體提及的義務之外，共同數(shù)據(jù)控制者在確定其各自的義務時還應準確界定各自的義務。

　　八、數(shù)據(jù)的特殊類別

　　GDPR對涉及個人基本權(quán)利和自由的特別敏感的個人數(shù)據(jù)提供強化保護。GDPR第9條將此類數(shù)據(jù)定義為特殊類別的個人數(shù)據(jù)，包括關(guān)于個人健康、種族或民族血統(tǒng)、生物統(tǒng)計學、宗教或哲學信仰、政治觀點、工會成員、性生活或性取向的數(shù)據(jù)。

　　在社交媒體提供定向服務的背景下，有必要確定個人數(shù)據(jù)的處理是否涉及“特殊類別的數(shù)據(jù)”，以及這些數(shù)據(jù)是否由社交媒體服務提供商、目標方或兩者共同處理。如果處理特殊類別的個人數(shù)據(jù)，必須確定社交媒體服務提供商和目標方是否以及在何種條件下可以合法處理此類數(shù)據(jù)。如果社交媒體提供商出于定向目的處理特殊類別的數(shù)據(jù)，則必須在GDPR第6條找到處理的法律依據(jù)，并可以根據(jù)GDPR第9（2）條進行豁免。第9（2）（e）條允許在數(shù)據(jù)主體明顯公開數(shù)據(jù)的情況下處理特殊類別的數(shù)據(jù)，“明顯”一詞意味著依賴這種豁免必須有很高的門檻。

　　在實踐中，控制者可能需要考慮以下因素，以證明數(shù)據(jù)主體已經(jīng)清楚表明了公開意圖：

　　● 社交媒體平臺的默認設(shè)置；

　　● 社交媒體平臺的性質(zhì)；

　　● 發(fā)布敏感數(shù)據(jù)頁面的可訪問性；

　　● 信息的可見性，其中數(shù)據(jù)主體被告知他們發(fā)布的信息的公開性質(zhì)；

　　● 數(shù)據(jù)主體是否已經(jīng)公布了自己的敏感數(shù)據(jù)，或者該數(shù)據(jù)是否已經(jīng)由第三方公布或推斷。

　　九、共同數(shù)據(jù)控制者和責任

　　GDPR第26（1）條要求共同數(shù)據(jù)控制者以透明的方式確定各自在協(xié)議中遵守GDPR的責任，包括如上所述的透明度要求。為了制定全面的安排，社交媒體提供商和目標方都必須了解并掌握關(guān)于正在進行的特定數(shù)據(jù)處理操作的詳細信息。

　　EDPB觀察到，希望使用社交媒體提供商提供的定向工具的目標方可能需要遵守預先確定的安排，并且沒有談判或修改的可能性。這種情況并不否定社交媒體提供商和目標方的共同責任，也不免除任何一方在GDPR下的義務。共同協(xié)議下的雙方也有義務確保責任分配以實際、真實和透明的方式適當反映各自在數(shù)據(jù)主體方面的作用和關(guān)系。