2021年9月2日，愛爾蘭數(shù)據(jù)保護(hù)當(dāng)局頒布WhatsApp一案最終決定：對(duì)WhatsApp違反《一般數(shù)據(jù)保護(hù)條例》（以下稱GDPR）第5、12、13、14條的多項(xiàng)行為，合計(jì)罰款2.25億歐元。本案歷時(shí)近三年，核心爭(zhēng)點(diǎn)涉及理論和實(shí)務(wù)上的一系列疑難，包括個(gè)人數(shù)據(jù)的認(rèn)定、告知的具體范圍、罰款金額裁量因素等等。本案堪稱經(jīng)典，包括主要監(jiān)管機(jī)構(gòu)和合作監(jiān)管機(jī)構(gòu)的意見以及歐盟數(shù)據(jù)保護(hù)委員會(huì)（以下稱EDPB）對(duì)此其中的爭(zhēng)議評(píng)述，對(duì)理論和實(shí)務(wù)皆有價(jià)值。本文從愛爾蘭數(shù)據(jù)當(dāng)局的最終決定[1]和EDPB頒布的、論述各數(shù)據(jù)當(dāng)局分歧的有約束力決定[2]（以下合稱“決定”）出發(fā)，解析了其中重點(diǎn)的疑難問題。

　　一、程序性事實(shí)

　　1、調(diào)查前事實(shí)

　　以2018年12月、愛爾蘭數(shù)據(jù)保護(hù)局對(duì)WhatsApp發(fā)起調(diào)查為分界點(diǎn)，本案事實(shí)歷程可以大致分為“調(diào)查前”和“調(diào)查后”兩部分?！罢{(diào)查前”系指：在正式調(diào)查前發(fā)生、但對(duì)案件決定有實(shí)質(zhì)性影響的事實(shí)；“調(diào)查后”系指：調(diào)查開始后，案件各主要程序的時(shí)間節(jié)點(diǎn)。

　　2018年12月以前發(fā)生的關(guān)鍵事實(shí)，主要有二：一是實(shí)質(zhì)影響WhatsApp違法行為的動(dòng)機(jī)認(rèn)定、進(jìn)而影響罰款計(jì)算的先行調(diào)查。2012年時(shí)，加拿大隱私專員辦公室和荷蘭數(shù)據(jù)保護(hù)局聯(lián)合對(duì)WhatsApp發(fā)起調(diào)查，調(diào)查范圍直指非WhatsApp注冊(cè)用戶（即non-user）電話號(hào)碼數(shù)據(jù)的處理問題。調(diào)查結(jié)論之一，便是將非WhatsApp注冊(cè)用戶的電話號(hào)碼認(rèn)定為個(gè)人數(shù)據(jù)。決定據(jù)此認(rèn)定：WhatsApp因此知曉相應(yīng)非WhatsApp注冊(cè)用戶的手機(jī)號(hào)碼應(yīng)當(dāng)被認(rèn)定為個(gè)人數(shù)據(jù)的性質(zhì)，這一點(diǎn)又在一定程度上說(shuō)明了“WhatsApp的漫不經(jīng)心[過失]”。由于“故意抑或過失”是GDPR第83條規(guī)定的、計(jì)算罰款金額的裁量因素之一，這影響了與非用戶數(shù)據(jù)相關(guān)的違法行為的罰款計(jì)算。二是2014年Facebook并購(gòu)WhatsApp和后續(xù)的數(shù)據(jù)共享，這是本案的核心爭(zhēng)點(diǎn)之一，實(shí)質(zhì)影響到違法行為的認(rèn)定和罰款金額的計(jì)算。

　　2. GDPR項(xiàng)下的一站式和合作與一致性機(jī)制

　　根據(jù)GDPR規(guī)定，數(shù)據(jù)控制者或處理者跨境處理數(shù)據(jù)的，則主要營(yíng)業(yè)場(chǎng)所或單一營(yíng)業(yè)場(chǎng)所的監(jiān)管機(jī)構(gòu)有權(quán)作為主要監(jiān)管機(jī)構(gòu)（Lead Supervisory Authority），根據(jù)GDPR規(guī)定的合作機(jī)制與其他的相關(guān)監(jiān)管機(jī)構(gòu)（Concerned Supervisory Authorities）進(jìn)行合作，保證一致性。在此適用條件下，主要監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)是進(jìn)行跨境數(shù)據(jù)處理活動(dòng)的數(shù)據(jù)控制者或處理者的唯一對(duì)話者。該機(jī)制被稱為一站式。

　　然而，為了保證一致性，GDPR又規(guī)定了合作條款。主要監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)與其他相關(guān)監(jiān)管機(jī)構(gòu)按照合作條款的要求努力達(dá)成共識(shí)。主要監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)向其他相關(guān)監(jiān)管機(jī)構(gòu)提交決定草案，并咨詢他們的意見，考慮他們的觀點(diǎn)。其他相關(guān)監(jiān)管機(jī)構(gòu)可以在規(guī)定時(shí)間內(nèi)對(duì)決定草案提出相關(guān)且合理（relevant and reasonable）的反對(duì)意見。主要監(jiān)管機(jī)構(gòu)如果不遵循該相關(guān)且合理的反對(duì)意見，或者認(rèn)為該反對(duì)意見既不相關(guān)也不合理的，則應(yīng)將案件提交到EDPB，由EDPB作出有約束力的決定，該決定應(yīng)當(dāng)關(guān)注所有相關(guān)且合理的反對(duì)意見針對(duì)的事項(xiàng)，尤其是是否違反GDPR的規(guī)定。

　　在本案中，愛爾蘭數(shù)據(jù)保護(hù)局是主要監(jiān)管機(jī)構(gòu)。2018年12月愛爾蘭數(shù)據(jù)保護(hù)局開始調(diào)查，在2019年時(shí)形成了調(diào)查報(bào)告初稿、在2020年底形成了決定草案并提交給相關(guān)的監(jiān)管機(jī)構(gòu)。隨即，德國(guó)、德國(guó)巴登-符騰堡州、法國(guó)、匈牙利、意大利、荷蘭、波蘭、葡萄牙等地?cái)?shù)據(jù)保護(hù)局就決定草案提出了“相關(guān)且合理”的反對(duì)意見。2021年6月由于愛爾蘭數(shù)據(jù)保護(hù)局既未接受反對(duì)意見、又未能說(shuō)明相應(yīng)意見不相關(guān)或?qū)崯o(wú)理?yè)?jù)，根據(jù)GDPR第61條和第65條，則應(yīng)當(dāng)由EDPB就案件相關(guān)且合理的反對(duì)意見作出有約束力的決定。2021年7月，EDPB作出決定。2021年8月，愛爾蘭數(shù)據(jù)保護(hù)局根據(jù)EDPB決定、作出最終決定。2021年9月2日，愛爾蘭當(dāng)局正式頒布最終決定。

　　二、愛爾蘭數(shù)據(jù)保護(hù)局的最終決定

　　愛爾蘭數(shù)據(jù)保護(hù)局的最終決定包含四類違法行為，具體包括如下：

　　1、針對(duì)WhatsApp非注冊(cè)用戶的場(chǎng)景下是否滿足透明性要求

　　該行為主要針對(duì)的是通訊錄匹配功能，如果WhatsApp注冊(cè)用戶同意開啟通訊錄匹配功能，WhatsApp會(huì)收集并使用聯(lián)系人的電話號(hào)碼。經(jīng)過匹配會(huì)發(fā)現(xiàn)未注冊(cè)用戶，則將未注冊(cè)用戶的電話號(hào)碼進(jìn)行有損哈希（lossy hash），刪除原始的電話號(hào)碼。WhatsApp抗辯有損哈希構(gòu)成匿名化，因此不需要履行GDPR項(xiàng)下相應(yīng)的義務(wù)。

　　愛爾蘭數(shù)據(jù)保護(hù)局認(rèn)定：

　　在有損哈希前，非注冊(cè)用戶的手機(jī)號(hào)構(gòu)成用戶數(shù)據(jù)，因?yàn)樵撾娫捥?hào)碼可以間接識(shí)別用戶身份。在有損哈希后仍然構(gòu)成用戶數(shù)據(jù)。WhatsApp處理非注冊(cè)用戶的數(shù)據(jù)時(shí)可以認(rèn)定為控制者，但未履行GDPR提供信息義務(wù)。

　　2、 針對(duì)WhatsApp注冊(cè)用戶的場(chǎng)景下是否滿足透明性要求

　　愛爾蘭數(shù)據(jù)保護(hù)局認(rèn)定：

　　因WhatsApp提供的信息就其質(zhì)量來(lái)說(shuō)，無(wú)法讓人識(shí)別具體的處理行為與其相應(yīng)的合法性基礎(chǔ)、以及追求合法利益下相應(yīng)的數(shù)據(jù)類型等詳細(xì)信息，而且從提供信息的方式來(lái)看，盡管合法性基礎(chǔ)一節(jié)鏈接到了“我們?nèi)绾问褂脭?shù)據(jù)”，但是鏈接到的“我們?nèi)绾问褂脭?shù)據(jù)”并未獲得更多新的或更詳細(xì)的信息，因此不符合GDPR第13條第1款第（c）項(xiàng)要求提供處理個(gè)人數(shù)據(jù)的目的以及其合法性基礎(chǔ)，以及（d）項(xiàng)如果基于追求合法利益的目的來(lái)處理數(shù)據(jù)的，則要求提供數(shù)據(jù)控制者或第三方所追求的合法利益的規(guī)定。

　　關(guān)于數(shù)據(jù)分享部分內(nèi)容，如下圖所示，從WhatsApp提供的信息質(zhì)量來(lái)說(shuō)，不符合透明性原則指南，未能使用戶理解什么類型的用戶數(shù)據(jù)將被傳輸給哪些第三方，基于什么目的而傳輸，以及對(duì)數(shù)據(jù)主體的后果。同時(shí)從信息提供方式來(lái)說(shuō)，需要用戶在不同的鏈接之間進(jìn)行跳轉(zhuǎn)，內(nèi)容似乎散落在隱私政策、服務(wù)協(xié)議、合法性基礎(chǔ)通知以及相關(guān)的文檔和常見問題等。因此，WhatsApp違反了GDPR第13條第1款第（e）項(xiàng)要求提供個(gè)人數(shù)據(jù)的接收者或接受者的類別。

　　關(guān)于跨境傳輸部分，WhatsApp未明確說(shuō)明是否依賴充分性認(rèn)定來(lái)進(jìn)行跨境傳輸，僅用了其“it may rely on, if applicable”的模糊用語(yǔ)。而且WhatsApp沒有提供給數(shù)據(jù)主體有意義的方式去了解充分性認(rèn)定或者其他跨境傳輸機(jī)制。簡(jiǎn)單來(lái)說(shuō)，僅僅鏈接到歐盟委員會(huì)的官方頁(yè)面是不足夠的，因此違反了GDPR第13條第1款第（f）項(xiàng)“應(yīng)提供數(shù)據(jù)控制者向第三國(guó)或國(guó)際組織傳輸數(shù)據(jù)的事實(shí)以及歐盟委員會(huì)是否作出充分性認(rèn)定的情況或者GDPR第46條、第47條、第49條第1款第2項(xiàng)規(guī)定的轉(zhuǎn)移情形下獲取相應(yīng)副本和相應(yīng)的安全保障措施的信息”。

　　關(guān)于數(shù)據(jù)存儲(chǔ)部分，WhatsApp在隱私政策中數(shù)據(jù)保留到用戶刪除賬號(hào)或滿足處理目的，以先發(fā)生的為準(zhǔn)。對(duì)于用戶未刪除部分，WhatsApp簡(jiǎn)單地說(shuō)明保存期限基于逐案分析的方式判斷，參考因素如數(shù)據(jù)類型、收集使用的原因以及相關(guān)法律要求保存期限。但是另外在常見問題中又說(shuō)明了即使刪除賬號(hào)后，有部分?jǐn)?shù)據(jù)仍然保存，如log records，而常見問題未被鏈接到隱私政策。愛爾蘭數(shù)據(jù)保護(hù)局認(rèn)定，WhatsApp未提供了有意義的信息用以判斷當(dāng)用戶注銷賬號(hào)后是否會(huì)刪除以及多久會(huì)刪除，關(guān)于刪除后仍然保留的數(shù)據(jù)以及說(shuō)明log records雖然會(huì)保留但是不會(huì)關(guān)聯(lián)到用戶的說(shuō)明未納入到隱私政策中，因此不符合GDPR第13條第2款（a）項(xiàng)要求提供“用戶數(shù)據(jù)的存儲(chǔ)期限，若不可能，則應(yīng)提供決定存儲(chǔ)期限的標(biāo)準(zhǔn)”。

　　關(guān)于撤回同意部分，WhatsApp在隱私政策中“如何行使你的權(quán)利”部分未說(shuō)明撤回同意方式，而是寫入了合法性基礎(chǔ)的“你的同意”部分，而且未說(shuō)明清楚撤回同意的后果即不影響撤回前已經(jīng)合法處理的數(shù)據(jù)。因此不符合GDPR第13條第2款（c）項(xiàng)要求提供“數(shù)據(jù)主體有權(quán)隨時(shí)撤回其同意，該撤銷不具有溯及力”。

　　關(guān)于說(shuō)明個(gè)人數(shù)據(jù)是基于何種合法性基礎(chǔ)以及數(shù)據(jù)主體是否必須提供，不能提供的后果部分，WhatsApp在隱私政策中說(shuō)明了所收集的數(shù)據(jù)是基于使用何種服務(wù)，以及采用了“must”、“may”不同的用語(yǔ)表示是否為強(qiáng)制，同時(shí)在合法性基礎(chǔ)通知的合同履行的必要部分，另在服務(wù)條款里通過關(guān)于我們的服務(wù)，說(shuō)明注冊(cè)等服務(wù)。上述內(nèi)容散見在各個(gè)文件，且并未明確指出必須提供的數(shù)據(jù)類型以及不提供的后果。因此違反了GDPR第13條第2款第（e）項(xiàng)。

　　3、針對(duì)WhatsApp和Facebook之間分享數(shù)據(jù)的場(chǎng)景下是否符合透明性要求

　　WhatsApp對(duì)告知規(guī)定的違反，體現(xiàn)在至少四個(gè)方面。首先，WhatsApp的隱私政策未能詳盡地告知數(shù)據(jù)事宜。盡管Facebook網(wǎng)站上確有一比較完整地告知共享的頁(yè)面（FAQ），WhatsApp的隱私政策里，只在“我們?nèi)绾闻c其它Facebook公司合作”一節(jié)鏈接了一次FAQ，而沒有在用戶更有可能去尋找數(shù)據(jù)共享內(nèi)容的、“你和我們共享的信息”一節(jié)鏈接到FAQ。因此，僅僅按照各節(jié)目錄瀏覽政策的用戶，將錯(cuò)過“關(guān)于數(shù)據(jù)共享”的最完整的信息。其次，有關(guān)何為“Facebook公司”，列舉“Facebook公司”“Facebook產(chǎn)品”“Facebook商業(yè)工具”的若干頁(yè)面彼此不一致，導(dǎo)致難以確定這一范圍內(nèi)究竟包含哪些實(shí)體。例如，難以確定Oculus是否屬于Facebook公司。再次，告知并未明確WhatsApp與Facebook間究竟是“控制者-處理者”關(guān)系還是“控制者-控制者”關(guān)系。又次，假使二者關(guān)系確屬后者，僅告知“為了安全[而共享]”、而不告知為了安全所需的具體處理行為，不能滿足對(duì)信息質(zhì)量的要求。最后，WhatsApp實(shí)質(zhì)上未基于安全原因與Facebook進(jìn)行數(shù)據(jù)分享，所以陳述內(nèi)容存在誤導(dǎo)，其他關(guān)于分享的陳述過于概括，并不具有實(shí)質(zhì)意義。

　　因此，愛爾蘭數(shù)據(jù)保護(hù)局認(rèn)定WhatsApp對(duì)于如何與Facebook公司分享數(shù)據(jù)部分的內(nèi)容不符合透明性要求，違反GDPR第13條第1款（c）和（e）項(xiàng)以及第12條第1款。而且進(jìn)一步指示，除非WhatsApp有具體的計(jì)劃包括具體的開始時(shí)間，基于安全原因?qū)崿F(xiàn)控制者對(duì)控制者的數(shù)據(jù)分享，否則應(yīng)當(dāng)刪除在合法性基礎(chǔ)通知和Facebook常見問題里的誤導(dǎo)性陳述。

　　4、WhatsApp是否遵守公開透明原則

　　在上述違反第13條和第12條的規(guī)定基礎(chǔ)上，EDPB通過有約束力的決定要求愛爾蘭數(shù)據(jù)保護(hù)局修改決定草案，認(rèn)定違反了GDPR第5條第1款（a）項(xiàng)的透明性原則。具體請(qǐng)見本文第3部分。

　　三、EDPB論述的主要爭(zhēng)議點(diǎn)

　　相較初稿，EDPB決定在以下關(guān)鍵爭(zhēng)點(diǎn)上有實(shí)質(zhì)不一致：個(gè)人數(shù)據(jù)認(rèn)定、WhatsApp告知不充分是否違反GDPR第5條、以及罰款金額的計(jì)算，等等。

　　1、有損哈希（Lossy Hash）、可識(shí)別性與個(gè)人數(shù)據(jù)的認(rèn)定

　　核心爭(zhēng)議點(diǎn)在于有損哈希是否足以實(shí)現(xiàn)匿名化，使得哈希值不構(gòu)成個(gè)人數(shù)據(jù)。由于WhatsApp堅(jiān)持認(rèn)為有損哈希值不構(gòu)成個(gè)人數(shù)據(jù)，于是，WhatsApp并未履行假定哈希值屬于個(gè)人數(shù)據(jù)時(shí)、應(yīng)當(dāng)履行的一系列義務(wù)。愛爾蘭數(shù)據(jù)保護(hù)局的調(diào)查同樣聚焦于哈希值是否屬于個(gè)人數(shù)據(jù)。就有損哈希而言，這一技術(shù)最重要的特性有二：首先，哈希是不可逆的加密方式，從有損哈希反求手機(jī)號(hào)碼的原始值，“在計(jì)算[能力]上屬于不可能”；其次，有損哈希和手機(jī)號(hào)碼（或者說(shuō)，位數(shù)給定的數(shù)字）之間并非“一對(duì)一”的關(guān)系，而是“一對(duì)十六”的關(guān)系——每一有損哈希值，對(duì)應(yīng)于十六個(gè)可能的電話號(hào)碼。WhatsApp據(jù)此辯稱，哈希值無(wú)法合理地關(guān)聯(lián)到個(gè)體，從而不構(gòu)成個(gè)人數(shù)據(jù)。愛爾蘭數(shù)據(jù)保護(hù)局也在初稿中贊同了這一觀點(diǎn)[3]。如果哈希值不屬于個(gè)人數(shù)據(jù)，則WhatsApp也就不再需要履行GDPR下的告知等一系列義務(wù)。

　　然而，EDPB基于至少四個(gè)方面的論證，最終決定推翻了愛爾蘭當(dāng)局的初稿觀點(diǎn)，認(rèn)為有損哈希值仍然屬于個(gè)人數(shù)據(jù)。首先，EDPB指出，在認(rèn)定個(gè)人數(shù)據(jù)時(shí)，不能“孤立地考慮[有損哈希]這一技術(shù)步驟”，而是需要考慮“所有的客觀場(chǎng)景因素”、以判斷識(shí)別或再識(shí)別的概率。其次，盡管每一有損哈希值理論上可以對(duì)應(yīng)十六個(gè)號(hào)碼，實(shí)踐中，由于號(hào)碼格式和號(hào)段使用率等原因，對(duì)應(yīng)的數(shù)量可能遠(yuǎn)少于十六個(gè)，“甚至只有一個(gè)”。再次，WhatsApp聲稱有損哈?？梢詫?shí)現(xiàn)匿名化，但有損哈希值又可以實(shí)現(xiàn)、也實(shí)際用于識(shí)別特定用戶，這是“自相矛盾的”。最后，在識(shí)別或重識(shí)別特定用戶時(shí)，WhatsApp不僅使用了哈希值，還使用了基于號(hào)碼存儲(chǔ)而建立的社交關(guān)系數(shù)據(jù)，二者聯(lián)合，可以構(gòu)造出具備識(shí)別能力的“關(guān)系簽名”。綜上，考慮“客觀場(chǎng)景因素”，有損哈希值應(yīng)當(dāng)認(rèn)定為個(gè)人數(shù)據(jù)。

　　這一點(diǎn)至少引起了三方面的思考。首先，恰如部分研究者指出：“匿名化”是個(gè)法律概念，不能僅僅通過技術(shù)上的判斷得到認(rèn)定。因此，不能因?yàn)椴捎昧嗽诶碚撋峡梢缘挚怪刈R(shí)別攻擊的技術(shù)措施，就認(rèn)為無(wú)須遵從個(gè)人數(shù)據(jù)/信息保護(hù)的相應(yīng)規(guī)定。其次，如果合規(guī)架構(gòu)建立在對(duì)特定匿名化技術(shù)的信任之上，則需結(jié)合現(xiàn)有案例、并綜合考慮法律上有所本的“所有客觀場(chǎng)景因素”，對(duì)技術(shù)是否足以在法律上認(rèn)定為匿名化作出論證。最后，也是更加具體的一點(diǎn)，如果在通訊錄匹配、反作弊等“目的即[至少部分地]在于識(shí)別”的功能中采用匿名化技術(shù)以合規(guī)，當(dāng)警惕“自相矛盾”的問題。

　　2、透明性原則下的告知要求要做到什么程度？

　?。?）WhatsApp對(duì)數(shù)據(jù)處理的告知不符合透明性要求

　　從GDPR第13條，尤其是第13條第1款下（c）和（d）規(guī)定的告知義務(wù)出發(fā)，愛爾蘭數(shù)據(jù)保護(hù)局決定詳盡地調(diào)查了WhatsApp對(duì)處理目的、合法性基礎(chǔ)和合法利益（如適用）的告知方式，并詳盡地闡述了三類告知義務(wù)所要求的具體告知范圍。簡(jiǎn)言之，值得關(guān)注的有至少兩方面：一方面，決定對(duì)信息質(zhì)量相關(guān)要求的闡述；另一方面，信息展示方式，包括隱私政策以及相關(guān)頁(yè)面間的鏈接結(jié)構(gòu)和文字表述的差異性，足以影響數(shù)據(jù)保護(hù)當(dāng)局對(duì)處理者是否違反GDPR第13條相應(yīng)條款的判斷。

　　信息質(zhì)量層面，從第13條第1款下（c）出發(fā)，處理者應(yīng)就每一類別個(gè)人數(shù)據(jù)告知相應(yīng)的處理行為，并就每一處理行為告知相應(yīng)的合法性基礎(chǔ)。告知的信息質(zhì)量，應(yīng)當(dāng)使得主體“足以理解為何需要出于[相應(yīng)]目的而處理他/她的個(gè)人數(shù)據(jù)”，在更加基礎(chǔ)的意義上，還應(yīng)當(dāng)使得主體“可以行使GDPR下的權(quán)利”。例如，僅僅告知“出于[為合同所必須的]安全措施……處理您的個(gè)人信息”，無(wú)法滿足對(duì)信息質(zhì)量的要求。反之，告知“出于同意……為了提供特定的產(chǎn)品特性和服務(wù)，而收集和使用位置信息”，在“告知相應(yīng)處理行為”方面，就更加符合決定的要求。然而，如果在收集和處理方面還有其它處理行為，但又未能告知，則同樣不滿足GDPR。對(duì)第13條第1款下（d）項(xiàng)，首先，不能使用類似“維持服務(wù)”的寬泛表述進(jìn)行告知，而需澄清“服務(wù)”的具體含義；其次，同樣需要告知每一合法利益所對(duì)應(yīng)的處理行為。

　　信息展示方式層面，決定注意到了WhatsApp在不同場(chǎng)景中至少四方面的不足。第一，即使WhatsApp告知了信息質(zhì)量層面所要求的許多內(nèi)容，這些內(nèi)容分散在隱私政策頁(yè)面和其中散布的多個(gè)鏈接中，“缺乏一個(gè)整合的文本或分層的示意圖”，來(lái)讓數(shù)據(jù)主體理解針對(duì)特定數(shù)據(jù)的相應(yīng)處理行為和合法性基礎(chǔ)。第二，WhatsApp在不同的文本（散布在前述鏈接中）中用相似的表述告知實(shí)則不同的內(nèi)容，容易導(dǎo)致數(shù)據(jù)主體的困惑、難以發(fā)現(xiàn)其間的差異之處。第三，WhatsApp將“并不復(fù)雜的[有關(guān)向Facebook共享數(shù)據(jù)的]”內(nèi)容分散在隱私政策、服務(wù)協(xié)議、合法性基礎(chǔ)告知和外部幫助、答問文檔（FAQ）中，而非“整合信息……并以清楚、簡(jiǎn)潔的形式展示”。第四，WhatsApp沒有在隱私政策中包含一個(gè)有助于理解個(gè)人數(shù)據(jù)共享的鏈接。第五，隱私政策和其它頁(yè)面間存在不一致的內(nèi)容。

　　綜之，對(duì)數(shù)據(jù)合規(guī)而言，此處決定至少引起兩方面的思考。首先，在個(gè)人數(shù)據(jù)類別、處理行為、合法性基礎(chǔ)之間建立完整的映射關(guān)系，日益必要。實(shí)際上，按WhatsApp案決定，這已經(jīng)成為合規(guī)的“底線”。其次，無(wú)論是告知的內(nèi)容，還是告知的形式，都應(yīng)當(dāng)采取“用戶中心”的視角——考慮用戶“會(huì)不會(huì)困惑”，考慮用戶“能不能理解應(yīng)當(dāng)告知”，以及尤其重要的、考慮用戶“能不能順利地行使自己的權(quán)利”。具體到實(shí)踐中，則應(yīng)避免決定指出的多種問題，盡量以“整合的文本或分層的示意圖”，清晰、簡(jiǎn)潔地告知數(shù)據(jù)類別、處理行為和合法性基礎(chǔ)間的映射，并告知GDPR規(guī)定的其它內(nèi)容。

　?。?）第13條信息提供義務(wù)與透明性原則的關(guān)系

　　來(lái)自EDPB的決定進(jìn)一步闡明了在何種條件下，對(duì)告知義務(wù)的違反同樣構(gòu)成對(duì)透明性原則的違反。決定明確了透明性的兩方面特性：一方面，透明性應(yīng)是“以用戶為中心”、而非“拘泥法律”的，需要“通過一系列對(duì)數(shù)據(jù)控制者和處理者施加實(shí)踐要求的條款來(lái)實(shí)現(xiàn)”；另一方面，透明性原則既是公平原則的表達(dá)，又與可問責(zé)性原則存有內(nèi)在聯(lián)系，因之，透明性是GDPR中居于體系高位的概念，由此可以展開諸多條款與義務(wù)。當(dāng)然，違反透明性原則下展開的義務(wù)，未必導(dǎo)致對(duì)原則本身的違反。本案中，WhatsApp在告知信息質(zhì)量和方式等各方面的諸多欠缺，導(dǎo)致用戶“未能獲得足以行使主體權(quán)利的信息”、“無(wú)法作出是否繼續(xù)使用服務(wù)的決定”，是“完全的失敗”。總之，鑒于WhatsApp違反GDPR的嚴(yán)重程度，以及相應(yīng)違反及其影響的廣泛程度（以至影響到WhatsApp開展的全部數(shù)據(jù)處理），決定認(rèn)為存在對(duì)原則本身的違反。

　　如上，對(duì)數(shù)據(jù)合規(guī)而言，此處決定亦至少有兩方面啟發(fā)。首先，依然是“以用戶為中心”：按照決定，僅從法律要求出發(fā)、將所有要求的信息展示在用戶可見的頁(yè)面上，僅此依然不足以完全合規(guī)。充分的合規(guī)，應(yīng)當(dāng)以用戶為中心，保障用戶體驗(yàn)，隱私合規(guī)也是一種產(chǎn)品體驗(yàn)。其次，具體義務(wù)違反和抽象原則違反間后果上的差異（據(jù)GDPR第83條第5款，后者處罰更重），令合規(guī)工作的考量變得更加復(fù)雜。例如，即使完全的合規(guī)面臨各方面的挑戰(zhàn)，避免嚴(yán)重且廣泛的違反、以免違反原則性條款，依然應(yīng)該是合規(guī)的重點(diǎn)。

　　3、如何計(jì)算罰款

　　綜合考慮GDPR第83條第2款列舉的各項(xiàng)裁量因素后，決定作出如下處罰：就WhatsApp違反第5條透明性原則，罰款9000萬(wàn)歐元；就WhatsApp違反第12、13、14條的各項(xiàng)告知義務(wù)，分別罰款3000萬(wàn)、3000萬(wàn)和7500萬(wàn)歐元，以上合計(jì)2.25億歐元[4]。決定此處有意義的內(nèi)容很多，本文重點(diǎn)討論其中三方面：如何裁量對(duì)違反原則的行為的處罰；存在先行調(diào)查時(shí)，第83條第2款下（b）“動(dòng)機(jī)（包括故意和過失）”如何裁量；以及，在Facebook并購(gòu)WhatsApp后，如何計(jì)算與罰款金額有關(guān)的營(yíng)業(yè)額。

　　盡管決定在定性的層面強(qiáng)調(diào)了“違反原則之下義務(wù)”和“違反原則本身”的區(qū)分，在定量計(jì)算罰款金額時(shí)，決定很大程度上混同了二者：“……由于各[對(duì)具體義務(wù)的]違反都與透明性有關(guān)，又由于這些違反有著相同的特性目的、很可能在第83條第2款的語(yǔ)境下產(chǎn)生相同或相似的后果……我[來(lái)自愛爾蘭數(shù)據(jù)當(dāng)局的調(diào)查者]會(huì)同時(shí)評(píng)估各項(xiàng)違反[對(duì)第5、12、13、14條的違反]，并統(tǒng)稱其為‘違反’……”隨后，決定相當(dāng)“直截了當(dāng)”地評(píng)估了WhatsApp對(duì)第5條原則的違反，如前，由于“WhatsApp違反GDPR的嚴(yán)重程度，以及相應(yīng)違反及其影響的廣泛程度”，WhatsApp對(duì)原則的違反，不可謂不嚴(yán)重。此外，決定還考慮了WhatsApp對(duì)第12、13等各條的整體遵從情況：“[WhatsApp]僅僅提供了41%的規(guī)定需要提供的信息[5]……距離滿足WhatsApp的義務(wù)有很大差距……這是第5條違反的裁量因素的加重因素……”

　　在評(píng)估WhatsApp動(dòng)機(jī)時(shí)，對(duì)部分具體義務(wù)和原則性條款[6]，決定認(rèn)為：WhatsApp違反系出自位于故意與一般過失間的“高度過失”。簡(jiǎn)言之，在缺乏證據(jù)說(shuō)明故意的前提下，決定從一般過失出發(fā)，通過考慮部分加重因素，最終得到了高度過失的結(jié)論。相應(yīng)加重因素至少有二：其一，得到不利結(jié)論的先行調(diào)查。如前，加拿大和荷蘭曾經(jīng)在2012年對(duì)WhatsApp通訊錄匹配所涉的個(gè)人數(shù)據(jù)處理開展調(diào)查，并得出對(duì)WhatsApp不利、與本案爭(zhēng)點(diǎn)密切相關(guān)、且在本案中得到進(jìn)一步確認(rèn)的結(jié)論。盡管先行調(diào)查發(fā)生在GDPR生效前多年，WhatsApp也始終不認(rèn)可相應(yīng)結(jié)論，這一點(diǎn)仍足以說(shuō)明：WhatsApp在知曉歐盟內(nèi)數(shù)據(jù)當(dāng)局不太可能贊同其立場(chǎng)的前提下，依舊違反了相應(yīng)義務(wù)。于是，應(yīng)認(rèn)定WhatsApp違反出于高度過失。其二，整體角度下信息缺失的嚴(yán)重程度，足以認(rèn)為對(duì)第5條的違反亦屬于高度過失。

　　最后，由于罰款金額的上限依賴于“公司的全球營(yíng)業(yè)額”，又由于Facebook已經(jīng)并購(gòu)了WhatsApp，以哪個(gè)公司——是WhatsApp，還是“Facebook公司”——的全球年?duì)I業(yè)額作為計(jì)算基準(zhǔn)，將對(duì)罰款金額產(chǎn)生實(shí)質(zhì)影響。此處，首先，由于Facebook（通過一子公司）全資擁有涉案的WhatsApp公司，可以推定Facebook對(duì)WhatsApp擁有“決定性的影響”。又因WhatsApp未能反證這一推定，故WhatsApp與Facebook構(gòu)成“單一經(jīng)濟(jì)實(shí)體”。其次，根據(jù)歐盟法院（一般簡(jiǎn)稱CJEU）的一系列判決：如果子公司和母公司構(gòu)成單一實(shí)體，則母公司可以對(duì)子公司的違法行為承擔(dān)責(zé)任（包括罰款），且母公司的年?duì)I業(yè)額可以作為子公司違法罰款上限的計(jì)算基準(zhǔn)。因此，包括Facebook集團(tuán)各組成公司在內(nèi)的全球年?duì)I業(yè)額，應(yīng)作為本案的基準(zhǔn)。這一基準(zhǔn)最終厘定為859.65億美元，是相應(yīng)實(shí)體2020年的年?duì)I業(yè)額。

　　結(jié)語(yǔ)

　　以上，本文從五個(gè)角度述評(píng)了WhatsApp被罰2.25億美元一案。首先，以調(diào)查開始為節(jié)點(diǎn)，簡(jiǎn)要整理了節(jié)點(diǎn)之前有實(shí)質(zhì)影響的關(guān)鍵事實(shí)和節(jié)點(diǎn)之后調(diào)查的關(guān)鍵時(shí)點(diǎn)。其次，述評(píng)了決定對(duì)個(gè)人數(shù)據(jù)的認(rèn)定思路和對(duì)有損哈希這一匿名化技術(shù)的分析和結(jié)論。再次，從信息質(zhì)量和信息展示方式出發(fā)，述評(píng)了決定對(duì)告知范圍的分析。又次，對(duì)關(guān)鍵點(diǎn)WhatsApp與Facebook間的數(shù)據(jù)共享，展開了決定對(duì)WhatsApp為何違反具體義務(wù)和為何違反原則條款的分析。次之，在前述各項(xiàng)內(nèi)容的基礎(chǔ)上，重點(diǎn)敘述了決定裁量罰款金額的部分考量。對(duì)幾乎每一部分，也從實(shí)務(wù)視角出發(fā)，提出了少許初步的思考。

　　盡管決定大體上僅與告知有關(guān)，而幾未涉及數(shù)據(jù)共享行為本身的合法性，亦未涉及數(shù)據(jù)共享與競(jìng)爭(zhēng)法間的復(fù)雜聯(lián)系，理解Facebook并購(gòu)WhatsApp后綿延至今的數(shù)據(jù)合規(guī)風(fēng)波，難以脫離對(duì)后兩項(xiàng)議題的思考。例如，2017年時(shí)，由于Facebook作出有關(guān)并購(gòu)的虛假陳述——盡管Facebook實(shí)有能力自動(dòng)化匹配同一個(gè)體的WhatsApp賬戶和Facebook賬戶，F(xiàn)acebook卻對(duì)歐盟委員會(huì)否認(rèn)這一點(diǎn)，歐盟委員會(huì)對(duì)其罰款1.1億歐元[7]。又如，在大西洋的另一側(cè)，聯(lián)邦貿(mào)易委員會(huì)（一般簡(jiǎn)稱FTC）針對(duì)并購(gòu)案的訴訟也仍在進(jìn)行中[8]。于是，完整理解這一并購(gòu)的數(shù)據(jù)合規(guī)意義，需要更寬的視野和更多的時(shí)間。