还没搞清楚 GDPR 是什么？Google 和 Facebook 已经被投

小提示：您能找到这篇{还没搞清楚 GDPR 是什么？Google 和 Facebook 已经被投}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的还没搞清楚 GDPR 是什么？Google 和 Facebook 已经被投内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

作者：APUS 研究院（ID：apusapps）

出海注：本文是 APUS 研究院发布在出海的专栏 GDPR 系列文章，转载须保留本段文字，并注明作者和来源。商业转载/使用请前往 ，联系寻求作者授权。

最近，我们在关注几起 GDPR 投诉。

2018 年 5 月 25 日，GDPR 法案正式生效当天，一个名叫 NOYB 的奥地利非营利组织，分别向法国、奥地利、比利时和德国的数据保护执法机构（“DPA”）投诉，直指 Facebook、Google 等公司“强制”其用户“同意”其收集和处理个人数据阿里巴巴新闻发布会，要求各国 DPA 合计处以各巨头合计几十亿欧元的罚款。

Google 和 Facebook 不用多讲，大家都熟，实打实的互联网霸主。但这位刚上场的 NOYB 选手貌似只是一个毫无名气的弱鸡。

但是！这都是假象！

我们简单介绍下，让小伙伴们认识认识敢与巨头叫板的 NOYB。

一、NOYB 其事

NOYB 是个去年刚刚成立的组织，在隐私权保护领域，致力于与各大公司斗争。虽然成立时间不长，但是这个组织从名字就让人觉着杀气腾腾。NOYB 是“None of Your Business”的缩写，也就是“我们用户的隐私和你们大公司没有关系，你们离我们的隐私远点儿”的意思，异常生猛。

成员呢，包括欧洲议会的成员、欧盟委员会的专家、法学教授和技术专家等各路大佬。

为啥要成立这么个组织？一个原因是这些大佬们认为各国 DPA 数据保护的工作，咋说呢，可能会干得不太好 [ 被原话翻译成：“各国“法律、政治及实际情况（比如有限的行动资源）限制了各国 DPA 的工作能力和热情” ] 。

虽然如此，NOYB 还是强调，他们不会试图取代 DPA 或者干涉 DPA 的工作，而是就以一个非盈利组织的状态，充分运用 GDPR 第 80 条等条款赋予的权力，以打报告、打官司或者堵大门的方式（“brings important issues tothe attention of DPAs, enforces the law in civil court or directly engages withcompanies”）与各大公司展开各种斗争。

二、马律师其人

这样一群大佬组成的组织，自然需要一个大佬中的巨佬镇场子。NOYB 的灵魂人物、欧洲著名个人隐私保护社会活动家，人称“Facebook克星”的奥地利的大律师马克斯 施雷姆斯先生（Max Schrems），请到台前来。

港真，收集本文资料的时候，我们一度想放弃原来的选题，改写一篇马律师小传。

毕竟马律师实在是太厉害了。

马律师特别会告状和打官司。为什么叫会呢？我们说，判断一个人犀不犀利，要看这个人宿敌或对手的层次，比如 C 罗和梅西。从 2011 年起，马律师一直且始终只与一个对手死磕，那就是 Facebook。在这种青铜对王者的悬殊实力对比下，马律师竟然凭借自己坚强不屈的斗志和层出不穷的骚操作，取得了相当骄人的战绩，包括但不限于：

逼着 Facebook 删除了资料和停用了面部识别软件；

逼着 Facebook 的副总裁 Richard Allan 带着小弟来维也纳和他对喷六个小时；

以一己之力打官司告赢了 Facebook，并且最震惊的是赢了官司后还顺带逼着欧盟修改了和美国之间的数据传输协议（从“安全港”到“隐私盾”）；

…

马律师果真是浩瀚宇宙中不可多得的人才！

这次，马律师带领 NOYB 前脚在 5 月 25 日投诉了 Facebook、Google，西方世界主流媒体 CNN 后脚就在当天发表文章，说 Facebook、Google“官司上头了”。

看着没，这就是马律师的江湖地位。

5 月 25 日当日，Facebook 的首席隐私官 Erin Egan 发表声明称 F信息流广告提升acebook“用了过去 18 个月的时间来确保满足 GDPR”的各项要求…Facebook 一定是合规的”。Google 则以沉默应对 NOYB 的投诉。

确认过眼神，不是一家人，抄家伙干吧。我们简单梳理了 NOYB 晒出来的针对 Google 的投诉信，为各位解说这场大战中的第一套组合拳。

三、NOYB 第一击：同意不“自由”

老实说，NOYB 挂在网上的投诉信写的相当有趣。

按道理讲，举报别人，一般套路是要大谈特谈被举报人多么缺德，我们神圣的利益怎么被侵犯等等这样的事实问题。比如我去居委会投诉一楼老王在小区明目张胆盖窝棚养鸡，就跟居委会大妈唠了一下午老王这人私生活混乱，作风不好，严重影响我们小区的声誉。

但 NOYB 老哥很暴躁啊，我不但要举报，我还要给 DPA 普法。于是投诉信上出现了大段的法理论述，给法兰西 DPA 介绍了下 Google 的“同意”机制真的不自由。专家范，实在是高。

NOYB 认为，Google 虽然列了四个基础（同意、合法利益、合同目的及法定义务），但实际使用的只有“同意”机制（我们之前介绍过，GDPR 提供了多种法律基础供企业选择，“同意”只是其中之一）。原因很简单，Google 提供给用户的协议中写着，“使用我们的服务，代表您同意谷歌按照其隐私政策使用您的个人数据”；Google 提供服务需要用户“同意”其隐私政策和条款；Google 也没说明白哪些数据是按照什么法律基础怎么用的。

NOYB 接着分析，“同意”不但是 Google 处理用户数据唯一的法律基础，而且还不自由，不合法。

第一，GDPR 说了，如果企业很强，用户很弱，以至于用户不能真正去选择是否同意企业搜集用户个人数据，即使用户在这样的情况下同意企业收集数据，也不好使。Google 是互联网龙头企业，安卓系统覆盖全球 85% 的智能手机，如果用户不同意 Google 的隐私协议，就只能买苹果了，啥？苹果又又又又要涨价？总而言之，NOYB 认为 Google 取得的“同意”不能算数，因为用户和 Google 的这关系太不平等了，无效无效。

第二，GDPR 又说了，假如提供一个服务总共只需要三种数据，企业不能拿着这三种以外的数据对用户说，你不同意我收集其他数据，我就不给你提供服务。NOYB 认为 Google 玩的更彻底，不同意谷歌的隐私协议，连手机都直接不让用了。

第三，GDPR 又又说了，这个“同意”啊，措辞上不能搞形式主义，“同意”内容的颗粒度要细，啥数据，啥目的，咋用，得安排的明明白白。NOYB 认为 Google 的隐私协议不但让用户必须同意，还说同意这一个隐私协议就代表同意 Google 所有产品都可以使用用户的数据，Youtube、Chrome、Google map 啥的都一揽子数据共享？闹呢？太抽象了吧。

第四，GDPR 又又又说了，即使用户不同意信息被收集，企业也不能降低服务质量。NOYB 觉着说，不同意 Google 隐私协议，用户连手机都开不了，这真的不是服务降低了，而是直接触底了。

四、NOYB 第二击：“自由”又怎样，其他问题一箩筐

如果说第一击只是展示了 NOYB 深厚的理论基础，套路二则展现了 NOYB 以马律师为首的一众猛人丰富的斗争实战经验。因为不论第一击多么完美，对于 Google 这样的庞然大物，总还是存在 DPA 认为“同意”是自由做出的可能性，此时就要套路二上场了。

亲爱的 DPA，如果上一波操作没有效果，请看 NOYB 第二波输出。

就算是法兰西 DPA 认为“同意”是自由的，

第一，Google 还侵犯了用户在 GDPR 下的知情权。隐私政策写的又难读又笼统，基本等同于 Google可以“在任何产品，为任何目的，处理任何数据”。

第二，Google 隐私政策写的一点也不明确。道理同上。

第三，“同意”必须是单独提出，Google 把“同意”的内容藏在用户协议条款里，违反了 GDPR。

第四，如果 DPA 认定 Google 根据其他 GDPR 法律基础，而不是“同意”，处理了用户的个人数据，那我 NOYB 实名举报他 Google 不按套路出牌，用“同意”的外貌，欺骗用户善良的感情。

第五，如果 Google 说现在使用个人信息是因为这些用户在 GDPR 生效前就同意了 Google 使用他们的个人信息，那真是天大的笑话，现在 Google 都问题一大堆，那 GDPR 生效前的同意岂不更是漏洞百出。

五、NOYB 亮剑：37 亿欧元把你 Google 罚吐血

NOYB 说（Pen）完了，但是这篇投诉才刚刚接近高潮。

在投诉的结尾，NOYB 写到，GDPR 生效后，Google 这样引流那里好的行业巨头仍然知法犯法，且以营利为目的，因此除停止违规处理措施外，还应施加 GDPR 下顶格行政罚款，也就是 Google 2017 年全球营收的 4%，也就是 37.9 亿欧元，以儆效尤。

后记     

NOYB 大战 Google 和 Facebook 还远远没到落幕的时候，截止发稿日我们也没有看到受理投诉的 DPA 对此事作出实质性的回应。如果有新的进展，我们一定第一时间为大家发来战报与解读。

那看完故事后，对诸位来说，从这个故事中学到了哪些新知识呢？

答案是，没有。

这个事件带给我们很多启发，其中最重要的是隐私政策的内容和定位问题。比如信息采集和使用情况披露的颗粒度更细，比如用额外弹窗征求用户同意其收集敏感信息，再比如我们如何让用户知晓，产品隐私协议并不是“同意”的对话框。

而从另一个侧面，NOYB 用实际行动提醒诸位，GDPR 真的不是花拳绣腿，如果不在意，可能会招致不（牛）必（X）要（大）的（佬）成（踹）本（门）。