2021年4月13日，在EDPB第48次全體會(huì)議上，《關(guān)于針對社交媒體用戶的指南》獲得通過，對社交媒體平臺(tái)的個(gè)人用戶數(shù)據(jù)保護(hù)明確了相關(guān)要求。

　　一、出臺(tái)背景

　　過去十年，社交媒體在網(wǎng)絡(luò)上快速興起。越來越多的人使用社交媒體與家人和朋友保持聯(lián)系。在該指南里，社交媒體被理解為能夠構(gòu)建網(wǎng)絡(luò)用戶社區(qū)的在線平臺(tái)，其中產(chǎn)生的信息和內(nèi)容是共享的。社交媒體的主要特點(diǎn)是個(gè)人能夠注冊，可以為自己創(chuàng)建“賬戶”或生成“個(gè)人數(shù)據(jù)”，通過共享用戶生成的內(nèi)容或其他內(nèi)容相互交流，并與其他用戶建立聯(lián)系。

　　作為商業(yè)模式的一部分，許多社交媒體提供商都提供定向服務(wù)。定向服務(wù)使自然人或法人能夠向社交媒體用戶傳達(dá)特定信息，以促進(jìn)獲取商業(yè)、政治或其他利益。提供定向服務(wù)的顯著特征是被定向的個(gè)人或群體與所傳遞的信息之間的感知契合度，契合度越好，接受率（轉(zhuǎn)化率）越高，因此定向活動(dòng)越有效（投資回報(bào)）。

　　對不同來源的數(shù)據(jù)進(jìn)行組合和分析，加上在社交媒體中處理的個(gè)人數(shù)據(jù)的潛在敏感性，給個(gè)人的基本權(quán)利和自由帶來了風(fēng)險(xiǎn)。從數(shù)據(jù)保護(hù)的角度來看，許多風(fēng)險(xiǎn)的產(chǎn)生源于缺乏透明度和用戶缺乏控制權(quán)。

　　二、適用范圍

　　社交媒體服務(wù)可能涉及不同的主體，就本指南而言，這些主體應(yīng)分為四類：社交媒體服務(wù)提供商、用戶、目標(biāo)群體和可能參與目標(biāo)確定過程的其他行為者。

　　本指南的主要目的是明確社交媒體服務(wù)提供商和目標(biāo)群體之間的角色和責(zé)任。為了做到這一點(diǎn)，指南還指出了對個(gè)人權(quán)利和自由可能產(chǎn)生的潛在風(fēng)險(xiǎn)、主要主體及其作用，并解釋了個(gè)人數(shù)據(jù)保護(hù)的相關(guān)要求（如合法性和透明度、數(shù)據(jù)保護(hù)影響評估DPIA等），以及社交媒體提供商和目標(biāo)方之間相關(guān)的關(guān)鍵要素。

　　三、個(gè)人數(shù)據(jù)處理對用戶權(quán)利和自由構(gòu)成的風(fēng)險(xiǎn)

　　GDPR強(qiáng)調(diào)，必須適當(dāng)評估和減輕個(gè)人數(shù)據(jù)處理給個(gè)人權(quán)利和自由帶來的任何風(fēng)險(xiǎn)?？捎糜阪i定社交媒體用戶的機(jī)制以及能夠鎖定目標(biāo)的基本數(shù)據(jù)處理活動(dòng)可能會(huì)對個(gè)人帶來重大風(fēng)險(xiǎn)。EDPB認(rèn)為在該指南中有必要指出某些類型的風(fēng)險(xiǎn)，并提供了一些這些風(fēng)險(xiǎn)的詳細(xì)例子。具體如下：

　　第一，針對社交媒體用戶，可能涉及違反或超出個(gè)人合理預(yù)期的個(gè)人數(shù)據(jù)使用，從而違反數(shù)據(jù)保護(hù)原則和規(guī)則。

　　第二，涉及歧視和排斥的可能性，針對社交媒體用戶確定的標(biāo)簽可能直接或間接涉及個(gè)人的種族或族裔、健康狀況、性取向或相關(guān)個(gè)人的其他受保護(hù)特征，并產(chǎn)生歧視性影響。

　　第三，由于個(gè)人數(shù)據(jù)的使用在某些情況下是用來影響個(gè)人的行為和選擇的，因此還涉及對用戶的潛在操縱，無論是影響消費(fèi)者的購買決策還是影響公民的政治決策，這種潛在操縱都是存在的。

　　第四，存在監(jiān)視的風(fēng)險(xiǎn)，社交媒體服務(wù)提供商收集的個(gè)人數(shù)據(jù)不僅僅限于個(gè)人在社交媒體平臺(tái)上進(jìn)行的互動(dòng)，可能還會(huì)涉及個(gè)人在社交媒體平臺(tái)之外進(jìn)行的瀏覽行為或其他活動(dòng)的相關(guān)信息，通過這些信息鎖定社交媒體用戶，會(huì)存在對個(gè)人行為進(jìn)行系統(tǒng)監(jiān)控的風(fēng)險(xiǎn)。

　　第五，就兒童等弱勢群體而言，鎖定目標(biāo)的潛在不利影響可能要大得多。鎖定目標(biāo)會(huì)影響兒童個(gè)人偏好和興趣的形成，最終影響他們的自主權(quán)和發(fā)展權(quán)。

　　四、對目標(biāo)對象的限制

　　“用戶”通常指在服務(wù)中注冊的個(gè)人，即擁有“賬戶”或“個(gè)人資料”的個(gè)人。然而許多社交媒體服務(wù)也可以由沒有注冊的個(gè)人訪問。即使在沒有實(shí)名政策的情況下，仍有可能鎖定有問題的用戶，因?yàn)榇蠖鄶?shù)類型的鎖定不依賴于用戶名，而是依賴于其他類型的個(gè)人數(shù)據(jù)。

　　社交媒體服務(wù)提供商有機(jī)會(huì)收集與用戶和未注冊用戶的行為和互動(dòng)相關(guān)的大量個(gè)人數(shù)據(jù)，這使其能夠獲得對用戶的社會(huì)特征、興趣和偏好的深入了解。本指南使用“目標(biāo)對象”一詞來指使用社交媒體服務(wù)的自然人或法人。服務(wù)提供商可以根據(jù)特定的參數(shù)或標(biāo)準(zhǔn)向一組社交媒體用戶發(fā)送特定的消息。目標(biāo)用戶可以直接使用社交媒體提供商提供的定位機(jī)制，也可以使用其他提供商的服務(wù)，如數(shù)據(jù)經(jīng)紀(jì)人和數(shù)據(jù)管理提供商也是在鎖定社交媒體用戶方面發(fā)揮重要作用的相關(guān)行為者。

　　五、不同靶向機(jī)制的分析

　　靶向機(jī)制是指根據(jù)提供的數(shù)據(jù)確定目標(biāo)，這里的數(shù)據(jù)包括用戶向社交媒體提供商提供的數(shù)據(jù)，社交媒體平臺(tái)的用戶向目標(biāo)方提供的數(shù)據(jù)，以及根據(jù)觀察到的數(shù)據(jù)確定目標(biāo)。數(shù)據(jù)服務(wù)提供商以對這些數(shù)據(jù)的推斷為基礎(chǔ)構(gòu)建靶向機(jī)制。

　　第一，根據(jù)提供的數(shù)據(jù)鎖定個(gè)人?！疤峁┑臄?shù)據(jù)”是指數(shù)據(jù)主體主動(dòng)向社交媒體提供商和/或目標(biāo)方提供的信息。

　　第二，根據(jù)觀察到的數(shù)據(jù)確定目標(biāo)。服務(wù)提供商也可以根據(jù)觀察到的數(shù)據(jù)確定社交媒體目標(biāo)用戶。觀察到的數(shù)據(jù)是數(shù)據(jù)主體通過使用服務(wù)或設(shè)備產(chǎn)生的數(shù)據(jù)。

　　第三，基于推斷數(shù)據(jù)進(jìn)行目標(biāo)定位?！巴茢鄶?shù)據(jù)”或“衍生數(shù)據(jù)”是由數(shù)據(jù)控制者根據(jù)數(shù)據(jù)主體提供的數(shù)據(jù)或控制者觀察到的數(shù)據(jù)創(chuàng)建的。

　　六、透明度和使用權(quán)

　　GDPR第5（1）（a）條規(guī)定，應(yīng)合法、公平和透明地處理與數(shù)據(jù)主體有關(guān)的個(gè)人數(shù)據(jù)。GDPR第5（1）（b）條還規(guī)定，個(gè)人數(shù)據(jù)的收集應(yīng)出于特定、明確和合法的目的。GDPR第12、13、14條載有關(guān)于數(shù)據(jù)控制者透明度義務(wù)的具體規(guī)定。

　　EDPB提醒說，僅僅使用“廣告”一詞不足以告知用戶，他們的活動(dòng)正受到有針對性的廣告的監(jiān)控。數(shù)據(jù)服務(wù)提供商的規(guī)則應(yīng)該對個(gè)人透明，說明進(jìn)行了哪些類型的處理活動(dòng)。如果社交平臺(tái)分別基于目標(biāo)用戶在平臺(tái)或網(wǎng)站上的在線行為建立檔案，則應(yīng)以易于理解的語言告知數(shù)據(jù)主體，向用戶提供有關(guān)為建立此類檔案而收集的個(gè)人數(shù)據(jù)類型的信息，并最終獲取目標(biāo)用戶同意，進(jìn)行目標(biāo)定位和發(fā)送廣告。社交平臺(tái)應(yīng)直接在屏幕上以交互方式向用戶提供相關(guān)信息，并在適當(dāng)或必要時(shí)通過分層通知提供相關(guān)信息。

　　七、數(shù)據(jù)保護(hù)影響評估（DPIA）

　　在某些情況下，廣告產(chǎn)品或服務(wù)的性質(zhì)、信息的內(nèi)容或廣告的傳遞方式可能會(huì)對個(gè)人產(chǎn)生影響，需要進(jìn)一步評估。例如針對弱勢人群的產(chǎn)品可能就屬于這種情況。根據(jù)廣告活動(dòng)的目的及其侵入性，或者如果涉及對觀察到的、推斷出的或推導(dǎo)出的個(gè)人數(shù)據(jù)的處理，可能會(huì)出現(xiàn)額外的風(fēng)險(xiǎn)，均應(yīng)當(dāng)進(jìn)行DPIA。

　　除了GDPR第26（1）條具體提及的義務(wù)之外，共同數(shù)據(jù)控制者在確定其各自的義務(wù)時(shí)還應(yīng)準(zhǔn)確界定各自的義務(wù)。

　　八、數(shù)據(jù)的特殊類別

　　GDPR對涉及個(gè)人基本權(quán)利和自由的特別敏感的個(gè)人數(shù)據(jù)提供強(qiáng)化保護(hù)。GDPR第9條將此類數(shù)據(jù)定義為特殊類別的個(gè)人數(shù)據(jù)，包括關(guān)于個(gè)人健康、種族或民族血統(tǒng)、生物統(tǒng)計(jì)學(xué)、宗教或哲學(xué)信仰、政治觀點(diǎn)、工會(huì)成員、性生活或性取向的數(shù)據(jù)。

　　在社交媒體提供定向服務(wù)的背景下，有必要確定個(gè)人數(shù)據(jù)的處理是否涉及“特殊類別的數(shù)據(jù)”，以及這些數(shù)據(jù)是否由社交媒體服務(wù)提供商、目標(biāo)方或兩者共同處理。如果處理特殊類別的個(gè)人數(shù)據(jù)，必須確定社交媒體服務(wù)提供商和目標(biāo)方是否以及在何種條件下可以合法處理此類數(shù)據(jù)。如果社交媒體提供商出于定向目的處理特殊類別的數(shù)據(jù)，則必須在GDPR第6條找到處理的法律依據(jù)，并可以根據(jù)GDPR第9（2）條進(jìn)行豁免。第9（2）（e）條允許在數(shù)據(jù)主體明顯公開數(shù)據(jù)的情況下處理特殊類別的數(shù)據(jù)，“明顯”一詞意味著依賴這種豁免必須有很高的門檻。

　　在實(shí)踐中，控制者可能需要考慮以下因素，以證明數(shù)據(jù)主體已經(jīng)清楚表明了公開意圖：

　　● 社交媒體平臺(tái)的默認(rèn)設(shè)置；

　　● 社交媒體平臺(tái)的性質(zhì)；

　　● 發(fā)布敏感數(shù)據(jù)頁面的可訪問性；

　　● 信息的可見性，其中數(shù)據(jù)主體被告知他們發(fā)布的信息的公開性質(zhì)；

　　● 數(shù)據(jù)主體是否已經(jīng)公布了自己的敏感數(shù)據(jù)，或者該數(shù)據(jù)是否已經(jīng)由第三方公布或推斷。

　　九、共同數(shù)據(jù)控制者和責(zé)任

　　GDPR第26（1）條要求共同數(shù)據(jù)控制者以透明的方式確定各自在協(xié)議中遵守GDPR的責(zé)任，包括如上所述的透明度要求。為了制定全面的安排，社交媒體提供商和目標(biāo)方都必須了解并掌握關(guān)于正在進(jìn)行的特定數(shù)據(jù)處理操作的詳細(xì)信息。

　　EDPB觀察到，希望使用社交媒體提供商提供的定向工具的目標(biāo)方可能需要遵守預(yù)先確定的安排，并且沒有談判或修改的可能性。這種情況并不否定社交媒體提供商和目標(biāo)方的共同責(zé)任，也不免除任何一方在GDPR下的義務(wù)。共同協(xié)議下的雙方也有義務(wù)確保責(zé)任分配以實(shí)際、真實(shí)和透明的方式適當(dāng)反映各自在數(shù)據(jù)主體方面的作用和關(guān)系。