GDPR 遇见 ISS：法院如何解读数据控制者角色

通用数据保护条例 (GDPR) 与信息社会服务 (ISS) 的交集继续呈现复杂的法律挑战，特别是围绕数据控制权概念。GDPR 将 控制器 定义为决定处理个人数据目的和手段的实体。然而，当数字平台——其中许多符合 ISS 资格——与用户和第三方内容提供商互动时，责任界限变得模糊。

欧盟法院 (CJEU) 的近期判例法显著扩展了 共同控制权 的解释，为平台运营商、网站所有者和从事协作数据处理的 服务提供商带来了新的义务。下面，我们探讨关键判决及其对平台问责制的含义。

Facebook 粉丝页面案 (C-210/16)：共同控制权的诞生

在 Wirtschaftsakademie Schleswig-Holstein v Facebook Ireland 一案中，CJEU 裁定 Facebook 粉丝页面 的管理员与 Facebook 一起是访客数据处理的 共同控制器。管理员使用了 Facebook Insights，这是一个提供用户参与匿名统计数据的工具。

关键发现：

• 尽管页面管理员无法直接访问个人数据，但 CJEU 认定其通过配置页面和选择目标人群来 影响数据处理的目的和手段。
• 该决定引入了 广泛且功能性的定义，强调对数据使用的实际影响，而不仅仅是访问权。

含义：

• 在网站上嵌入第三方服务或分析工具的组织可能对数据处理承担共同责任。
• 提供可配置服务（例如页面自定义、广告偏好或跟踪设置）的 ISS 提供商必须根据 GDPR 第 26 条评估共同责任。

Fashion ID 案 (C-40/17)：社交插件和共享责任

在 Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW 一案中，CJEU 讨论了嵌入 Facebook “点赞”按钮 的网站是否为向 Facebook 传输个人数据的共同控制器。

关键发现：

• 网站运营商是向 Facebook 收集和传输个人数据（例如 IP 地址和浏览器信息）的 共同控制器。
• 运营商 不是 Facebook 单独进行的后续处理的控制器。

含义：

• 这一裁决突显了 共同控制权的颗粒性本质，仅限于数据处理的具体阶段。
• 使用嵌入式工具的网站必须在隐私通知中披露数据传输，并在需要时获得 有效同意 以进行第三方数据收集。

Jehovan Todistajat 案 (C-25/17)：共同控制权的离线应用

虽然并非针对 ISS，但 Jehovan Todistajat 案进一步巩固了共同控制权的广泛范围。该宗教社区成员在挨家挨户布道期间收集个人数据，而没有正式文档或集中存储。

关键发现：

• 该宗教社区和个别成员根据 GDPR 是 共同控制器，即使没有正式协调或访问完整数据集。
• 法院强调了 共同目的 在确立控制权中的重要性，即使技术手段是碎片化的。

对 ISS 的含义：

• 平台和附属机构即使是非正式地合作进行用户数据收集，也可能承担共同责任。
• 非正式或分散的处理结构 不能免除实体承担共同控制权义务。

Bundeskartellamt v Meta (Case T-201/22)：竞争法与 GDPR 的交汇

虽然仍处于司法发展中，但德国竞争机构针对 Facebook（现为 Meta）的案件根据 GDPR 和竞争法 挑战了 过度数据收集 实践。CJEU 需要澄清 平台主导地位和用户同意 是否在数据保护原则下互动。

新兴趋势：

• 法院和监管机构越来越将 平台范围内的跟踪 和 跨服务的 数据整合 视为潜在滥用或非法，除非伴随知情、自由给予的同意。

对 ISS 提供商的关键要点

1. 主动评估共同控制权
   任何涉及共享工具、插件或分析功能的合作都可能产生共同责任。通过合同和隐私政策正式化安排并澄清角色。
2. 细分处理阶段
   责任可能仅适用于处理过程的某些阶段。清楚识别您的组织在哪里启动或贡献数据收集和传输。
3. 加强透明度和同意机制
   嵌入第三方工具？突出披露它们，并在法律要求时获得用户同意——特别是针对营销和画像。
4. 实施共同控制器协议 (JCA)
   根据 GDPR 第 26 条，共同控制器必须建立 共同控制器协议，分配责任并为数据主体提供联系点。
5. 跟踪数据保护以外的法律发展
   共同控制权问题现在与竞争法、消费者保护和平台监管相交。保持对影响数字服务的更广泛法律趋势的认识。

结论

CJEU 不断发展的判例法已牢固确立 信息社会服务可以与网站运营商、合作伙伴甚至用户共享控制权责任，这取决于数据互动的性质。对于法律顾问和合规团队来说，将平台分类为中立主机已不再足够。实际对数据收集和使用方式的影响现在是决定性因素。

随着数字服务法案、ePrivacy 条例和持续 GDPR 执行下监管环境变得更加复杂，ISS 提供商必须采用 全面且有文档化的方法 来处理数据治理和控制器责任。

需要帮助审查您的数据处理关系或起草符合 GDPR 的共同控制器协议吗？我们的数据保护团队为欧盟各地的平台和数字服务提供商提供咨询，指导构建合法、透明的数据实践。请联系我们进行咨询。