2021年9月2日，愛爾蘭數據保護當局頒布WhatsApp一案最終決定：對WhatsApp違反《一般數據保護條例》（以下稱GDPR）第5、12、13、14條的多項行為，合計罰款2.25億歐元。本案歷時近三年，核心爭點涉及理論和實務上的一系列疑難，包括個人數據的認定、告知的具體范圍、罰款金額裁量因素等等。本案堪稱經典，包括主要監管機構和合作監管機構的意見以及歐盟數據保護委員會（以下稱EDPB）對此其中的爭議評述，對理論和實務皆有價值。本文從愛爾蘭數據當局的最終決定[1]和EDPB頒布的、論述各數據當局分歧的有約束力決定[2]（以下合稱“決定”）出發，解析了其中重點的疑難問題。

　　一、程序性事實

　　1、調查前事實

　　以2018年12月、愛爾蘭數據保護局對WhatsApp發起調查為分界點，本案事實歷程可以大致分為“調查前”和“調查后”兩部分。“調查前”系指：在正式調查前發生、但對案件決定有實質性影響的事實；“調查后”系指：調查開始后，案件各主要程序的時間節點。

　　2018年12月以前發生的關鍵事實，主要有二：一是實質影響WhatsApp違法行為的動機認定、進而影響罰款計算的先行調查。2012年時，加拿大隱私專員辦公室和荷蘭數據保護局聯合對WhatsApp發起調查，調查范圍直指非WhatsApp注冊用戶（即non-user）電話號碼數據的處理問題。調查結論之一，便是將非WhatsApp注冊用戶的電話號碼認定為個人數據。決定據此認定：WhatsApp因此知曉相應非WhatsApp注冊用戶的手機號碼應當被認定為個人數據的性質，這一點又在一定程度上說明了“WhatsApp的漫不經心[過失]”。由于“故意抑或過失”是GDPR第83條規定的、計算罰款金額的裁量因素之一，這影響了與非用戶數據相關的違法行為的罰款計算。二是2014年Facebook并購WhatsApp和后續的數據共享，這是本案的核心爭點之一，實質影響到違法行為的認定和罰款金額的計算。

　　2. GDPR項下的一站式和合作與一致性機制

　　根據GDPR規定，數據控制者或處理者跨境處理數據的，則主要營業場所或單一營業場所的監管機構有權作為主要監管機構（Lead Supervisory Authority），根據GDPR規定的合作機制與其他的相關監管機構（Concerned Supervisory Authorities）進行合作，保證一致性。在此適用條件下，主要監管機構應當是進行跨境數據處理活動的數據控制者或處理者的唯一對話者。該機制被稱為一站式。

　　然而，為了保證一致性，GDPR又規定了合作條款。主要監管機構應當與其他相關監管機構按照合作條款的要求努力達成共識。主要監管機構應當向其他相關監管機構提交決定草案，并咨詢他們的意見，考慮他們的觀點。其他相關監管機構可以在規定時間內對決定草案提出相關且合理（relevant and reasonable）的反對意見。主要監管機構如果不遵循該相關且合理的反對意見，或者認為該反對意見既不相關也不合理的，則應將案件提交到EDPB，由EDPB作出有約束力的決定，該決定應當關注所有相關且合理的反對意見針對的事項，尤其是是否違反GDPR的規定。

　　在本案中，愛爾蘭數據保護局是主要監管機構。2018年12月愛爾蘭數據保護局開始調查，在2019年時形成了調查報告初稿、在2020年底形成了決定草案并提交給相關的監管機構。隨即，德國、德國巴登-符騰堡州、法國、匈牙利、意大利、荷蘭、波蘭、葡萄牙等地數據保護局就決定草案提出了“相關且合理”的反對意見。2021年6月由于愛爾蘭數據保護局既未接受反對意見、又未能說明相應意見不相關或實無理據，根據GDPR第61條和第65條，則應當由EDPB就案件相關且合理的反對意見作出有約束力的決定。2021年7月，EDPB作出決定。2021年8月，愛爾蘭數據保護局根據EDPB決定、作出最終決定。2021年9月2日，愛爾蘭當局正式頒布最終決定。

　　二、愛爾蘭數據保護局的最終決定

　　愛爾蘭數據保護局的最終決定包含四類違法行為，具體包括如下：

　　1、針對WhatsApp非注冊用戶的場景下是否滿足透明性要求

　　該行為主要針對的是通訊錄匹配功能，如果WhatsApp注冊用戶同意開啟通訊錄匹配功能，WhatsApp會收集并使用聯系人的電話號碼。經過匹配會發現未注冊用戶，則將未注冊用戶的電話號碼進行有損哈希（lossy hash），刪除原始的電話號碼。WhatsApp抗辯有損哈希構成匿名化，因此不需要履行GDPR項下相應的義務。

　　愛爾蘭數據保護局認定：

　　在有損哈希前，非注冊用戶的手機號構成用戶數據，因為該電話號碼可以間接識別用戶身份。在有損哈希后仍然構成用戶數據。WhatsApp處理非注冊用戶的數據時可以認定為控制者，但未履行GDPR提供信息義務。

　　2、 針對WhatsApp注冊用戶的場景下是否滿足透明性要求

　　愛爾蘭數據保護局認定：

　　因WhatsApp提供的信息就其質量來說，無法讓人識別具體的處理行為與其相應的合法性基礎、以及追求合法利益下相應的數據類型等詳細信息，而且從提供信息的方式來看，盡管合法性基礎一節鏈接到了“我們如何使用數據”，但是鏈接到的“我們如何使用數據”并未獲得更多新的或更詳細的信息，因此不符合GDPR第13條第1款第（c）項要求提供處理個人數據的目的以及其合法性基礎，以及（d）項如果基于追求合法利益的目的來處理數據的，則要求提供數據控制者或第三方所追求的合法利益的規定。

　　關于數據分享部分內容，如下圖所示，從WhatsApp提供的信息質量來說，不符合透明性原則指南，未能使用戶理解什么類型的用戶數據將被傳輸給哪些第三方，基于什么目的而傳輸，以及對數據主體的后果。同時從信息提供方式來說，需要用戶在不同的鏈接之間進行跳轉，內容似乎散落在隱私政策、服務協議、合法性基礎通知以及相關的文檔和常見問題等。因此，WhatsApp違反了GDPR第13條第1款第（e）項要求提供個人數據的接收者或接受者的類別。

　　關于跨境傳輸部分，WhatsApp未明確說明是否依賴充分性認定來進行跨境傳輸，僅用了其“it may rely on, if applicable”的模糊用語。而且WhatsApp沒有提供給數據主體有意義的方式去了解充分性認定或者其他跨境傳輸機制。簡單來說，僅僅鏈接到歐盟委員會的官方頁面是不足夠的，因此違反了GDPR第13條第1款第（f）項“應提供數據控制者向第三國或國際組織傳輸數據的事實以及歐盟委員會是否作出充分性認定的情況或者GDPR第46條、第47條、第49條第1款第2項規定的轉移情形下獲取相應副本和相應的安全保障措施的信息”。

　　關于數據存儲部分，WhatsApp在隱私政策中數據保留到用戶刪除賬號或滿足處理目的，以先發生的為準。對于用戶未刪除部分，WhatsApp簡單地說明保存期限基于逐案分析的方式判斷，參考因素如數據類型、收集使用的原因以及相關法律要求保存期限。但是另外在常見問題中又說明了即使刪除賬號后，有部分數據仍然保存，如log records，而常見問題未被鏈接到隱私政策。愛爾蘭數據保護局認定，WhatsApp未提供了有意義的信息用以判斷當用戶注銷賬號后是否會刪除以及多久會刪除，關于刪除后仍然保留的數據以及說明log records雖然會保留但是不會關聯到用戶的說明未納入到隱私政策中，因此不符合GDPR第13條第2款（a）項要求提供“用戶數據的存儲期限，若不可能，則應提供決定存儲期限的標準”。

　　關于撤回同意部分，WhatsApp在隱私政策中“如何行使你的權利”部分未說明撤回同意方式，而是寫入了合法性基礎的“你的同意”部分，而且未說明清楚撤回同意的后果即不影響撤回前已經合法處理的數據。因此不符合GDPR第13條第2款（c）項要求提供“數據主體有權隨時撤回其同意，該撤銷不具有溯及力”。

　　關于說明個人數據是基于何種合法性基礎以及數據主體是否必須提供，不能提供的后果部分，WhatsApp在隱私政策中說明了所收集的數據是基于使用何種服務，以及采用了“must”、“may”不同的用語表示是否為強制，同時在合法性基礎通知的合同履行的必要部分，另在服務條款里通過關于我們的服務，說明注冊等服務。上述內容散見在各個文件，且并未明確指出必須提供的數據類型以及不提供的后果。因此違反了GDPR第13條第2款第（e）項。

　　3、針對WhatsApp和Facebook之間分享數據的場景下是否符合透明性要求

　　WhatsApp對告知規定的違反，體現在至少四個方面。首先，WhatsApp的隱私政策未能詳盡地告知數據事宜。盡管Facebook網站上確有一比較完整地告知共享的頁面（FAQ），WhatsApp的隱私政策里，只在“我們如何與其它Facebook公司合作”一節鏈接了一次FAQ，而沒有在用戶更有可能去尋找數據共享內容的、“你和我們共享的信息”一節鏈接到FAQ。因此，僅僅按照各節目錄瀏覽政策的用戶，將錯過“關于數據共享”的最完整的信息。其次，有關何為“Facebook公司”，列舉“Facebook公司”“Facebook產品”“Facebook商業工具”的若干頁面彼此不一致，導致難以確定這一范圍內究竟包含哪些實體。例如，難以確定Oculus是否屬于Facebook公司。再次，告知并未明確WhatsApp與Facebook間究竟是“控制者-處理者”關系還是“控制者-控制者”關系。又次，假使二者關系確屬后者，僅告知“為了安全[而共享]”、而不告知為了安全所需的具體處理行為，不能滿足對信息質量的要求。最后，WhatsApp實質上未基于安全原因與Facebook進行數據分享，所以陳述內容存在誤導，其他關于分享的陳述過于概括，并不具有實質意義。

　　因此，愛爾蘭數據保護局認定WhatsApp對于如何與Facebook公司分享數據部分的內容不符合透明性要求，違反GDPR第13條第1款（c）和（e）項以及第12條第1款。而且進一步指示，除非WhatsApp有具體的計劃包括具體的開始時間，基于安全原因實現控制者對控制者的數據分享，否則應當刪除在合法性基礎通知和Facebook常見問題里的誤導性陳述。

　　4、WhatsApp是否遵守公開透明原則

　　在上述違反第13條和第12條的規定基礎上，EDPB通過有約束力的決定要求愛爾蘭數據保護局修改決定草案，認定違反了GDPR第5條第1款（a）項的透明性原則。具體請見本文第3部分。

　　三、EDPB論述的主要爭議點

　　相較初稿，EDPB決定在以下關鍵爭點上有實質不一致：個人數據認定、WhatsApp告知不充分是否違反GDPR第5條、以及罰款金額的計算，等等。

　　1、有損哈希（Lossy Hash）、可識別性與個人數據的認定

　　核心爭議點在于有損哈希是否足以實現匿名化，使得哈希值不構成個人數據。由于WhatsApp堅持認為有損哈希值不構成個人數據，于是，WhatsApp并未履行假定哈希值屬于個人數據時、應當履行的一系列義務。愛爾蘭數據保護局的調查同樣聚焦于哈希值是否屬于個人數據。就有損哈希而言，這一技術最重要的特性有二：首先，哈希是不可逆的加密方式，從有損哈希反求手機號碼的原始值，“在計算[能力]上屬于不可能”；其次，有損哈希和手機號碼（或者說，位數給定的數字）之間并非“一對一”的關系，而是“一對十六”的關系——每一有損哈希值，對應于十六個可能的電話號碼。WhatsApp據此辯稱，哈希值無法合理地關聯到個體，從而不構成個人數據。愛爾蘭數據保護局也在初稿中贊同了這一觀點[3]。如果哈希值不屬于個人數據，則WhatsApp也就不再需要履行GDPR下的告知等一系列義務。

　　然而，EDPB基于至少四個方面的論證，最終決定推翻了愛爾蘭當局的初稿觀點，認為有損哈希值仍然屬于個人數據。首先，EDPB指出，在認定個人數據時，不能“孤立地考慮[有損哈希]這一技術步驟”，而是需要考慮“所有的客觀場景因素”、以判斷識別或再識別的概率。其次，盡管每一有損哈希值理論上可以對應十六個號碼，實踐中，由于號碼格式和號段使用率等原因，對應的數量可能遠少于十六個，“甚至只有一個”。再次，WhatsApp聲稱有損哈希可以實現匿名化，但有損哈希值又可以實現、也實際用于識別特定用戶，這是“自相矛盾的”。最后，在識別或重識別特定用戶時，WhatsApp不僅使用了哈希值，還使用了基于號碼存儲而建立的社交關系數據，二者聯合，可以構造出具備識別能力的“關系簽名”。綜上，考慮“客觀場景因素”，有損哈希值應當認定為個人數據。

　　這一點至少引起了三方面的思考。首先，恰如部分研究者指出：“匿名化”是個法律概念，不能僅僅通過技術上的判斷得到認定。因此，不能因為采用了在理論上可以抵抗重識別攻擊的技術措施，就認為無須遵從個人數據/信息保護的相應規定。其次，如果合規架構建立在對特定匿名化技術的信任之上，則需結合現有案例、并綜合考慮法律上有所本的“所有客觀場景因素”，對技術是否足以在法律上認定為匿名化作出論證。最后，也是更加具體的一點，如果在通訊錄匹配、反作弊等“目的即[至少部分地]在于識別”的功能中采用匿名化技術以合規，當警惕“自相矛盾”的問題。

　　2、透明性原則下的告知要求要做到什么程度？

　　（1）WhatsApp對數據處理的告知不符合透明性要求

　　從GDPR第13條，尤其是第13條第1款下（c）和（d）規定的告知義務出發，愛爾蘭數據保護局決定詳盡地調查了WhatsApp對處理目的、合法性基礎和合法利益（如適用）的告知方式，并詳盡地闡述了三類告知義務所要求的具體告知范圍。簡言之，值得關注的有至少兩方面：一方面，決定對信息質量相關要求的闡述；另一方面，信息展示方式，包括隱私政策以及相關頁面間的鏈接結構和文字表述的差異性，足以影響數據保護當局對處理者是否違反GDPR第13條相應條款的判斷。

　　信息質量層面，從第13條第1款下（c）出發，處理者應就每一類別個人數據告知相應的處理行為，并就每一處理行為告知相應的合法性基礎。告知的信息質量，應當使得主體“足以理解為何需要出于[相應]目的而處理他/她的個人數據”，在更加基礎的意義上，還應當使得主體“可以行使GDPR下的權利”。例如，僅僅告知“出于[為合同所必須的]安全措施……處理您的個人信息”，無法滿足對信息質量的要求。反之，告知“出于同意……為了提供特定的產品特性和服務，而收集和使用位置信息”，在“告知相應處理行為”方面，就更加符合決定的要求。然而，如果在收集和處理方面還有其它處理行為，但又未能告知，則同樣不滿足GDPR。對第13條第1款下（d）項，首先，不能使用類似“維持服務”的寬泛表述進行告知，而需澄清“服務”的具體含義；其次，同樣需要告知每一合法利益所對應的處理行為。

　　信息展示方式層面，決定注意到了WhatsApp在不同場景中至少四方面的不足。第一，即使WhatsApp告知了信息質量層面所要求的許多內容，這些內容分散在隱私政策頁面和其中散布的多個鏈接中，“缺乏一個整合的文本或分層的示意圖”，來讓數據主體理解針對特定數據的相應處理行為和合法性基礎。第二，WhatsApp在不同的文本（散布在前述鏈接中）中用相似的表述告知實則不同的內容，容易導致數據主體的困惑、難以發現其間的差異之處。第三，WhatsApp將“并不復雜的[有關向Facebook共享數據的]”內容分散在隱私政策、服務協議、合法性基礎告知和外部幫助、答問文檔（FAQ）中，而非“整合信息……并以清楚、簡潔的形式展示”。第四，WhatsApp沒有在隱私政策中包含一個有助于理解個人數據共享的鏈接。第五，隱私政策和其它頁面間存在不一致的內容。

　　綜之，對數據合規而言，此處決定至少引起兩方面的思考。首先，在個人數據類別、處理行為、合法性基礎之間建立完整的映射關系，日益必要。實際上，按WhatsApp案決定，這已經成為合規的“底線”。其次，無論是告知的內容，還是告知的形式，都應當采取“用戶中心”的視角——考慮用戶“會不會困惑”，考慮用戶“能不能理解應當告知”，以及尤其重要的、考慮用戶“能不能順利地行使自己的權利”。具體到實踐中，則應避免決定指出的多種問題，盡量以“整合的文本或分層的示意圖”，清晰、簡潔地告知數據類別、處理行為和合法性基礎間的映射，并告知GDPR規定的其它內容。

　　（2）第13條信息提供義務與透明性原則的關系

　　來自EDPB的決定進一步闡明了在何種條件下，對告知義務的違反同樣構成對透明性原則的違反。決定明確了透明性的兩方面特性：一方面，透明性應是“以用戶為中心”、而非“拘泥法律”的，需要“通過一系列對數據控制者和處理者施加實踐要求的條款來實現”；另一方面，透明性原則既是公平原則的表達，又與可問責性原則存有內在聯系，因之，透明性是GDPR中居于體系高位的概念，由此可以展開諸多條款與義務。當然，違反透明性原則下展開的義務，未必導致對原則本身的違反。本案中，WhatsApp在告知信息質量和方式等各方面的諸多欠缺，導致用戶“未能獲得足以行使主體權利的信息”、“無法作出是否繼續使用服務的決定”，是“完全的失敗”。總之，鑒于WhatsApp違反GDPR的嚴重程度，以及相應違反及其影響的廣泛程度（以至影響到WhatsApp開展的全部數據處理），決定認為存在對原則本身的違反。

　　如上，對數據合規而言，此處決定亦至少有兩方面啟發。首先，依然是“以用戶為中心”：按照決定，僅從法律要求出發、將所有要求的信息展示在用戶可見的頁面上，僅此依然不足以完全合規。充分的合規，應當以用戶為中心，保障用戶體驗，隱私合規也是一種產品體驗。其次，具體義務違反和抽象原則違反間后果上的差異（據GDPR第83條第5款，后者處罰更重），令合規工作的考量變得更加復雜。例如，即使完全的合規面臨各方面的挑戰，避免嚴重且廣泛的違反、以免違反原則性條款，依然應該是合規的重點。

　　3、如何計算罰款

　　綜合考慮GDPR第83條第2款列舉的各項裁量因素后，決定作出如下處罰：就WhatsApp違反第5條透明性原則，罰款9000萬歐元；就WhatsApp違反第12、13、14條的各項告知義務，分別罰款3000萬、3000萬和7500萬歐元，以上合計2.25億歐元[4]。決定此處有意義的內容很多，本文重點討論其中三方面：如何裁量對違反原則的行為的處罰；存在先行調查時，第83條第2款下（b）“動機（包括故意和過失）”如何裁量；以及，在Facebook并購WhatsApp后，如何計算與罰款金額有關的營業額。

　　盡管決定在定性的層面強調了“違反原則之下義務”和“違反原則本身”的區分，在定量計算罰款金額時，決定很大程度上混同了二者：“……由于各[對具體義務的]違反都與透明性有關，又由于這些違反有著相同的特性目的、很可能在第83條第2款的語境下產生相同或相似的后果……我[來自愛爾蘭數據當局的調查者]會同時評估各項違反[對第5、12、13、14條的違反]，并統稱其為‘違反’……”隨后，決定相當“直截了當”地評估了WhatsApp對第5條原則的違反，如前，由于“WhatsApp違反GDPR的嚴重程度，以及相應違反及其影響的廣泛程度”，WhatsApp對原則的違反，不可謂不嚴重。此外，決定還考慮了WhatsApp對第12、13等各條的整體遵從情況：“[WhatsApp]僅僅提供了41%的規定需要提供的信息[5]……距離滿足WhatsApp的義務有很大差距……這是第5條違反的裁量因素的加重因素……”

　　在評估WhatsApp動機時，對部分具體義務和原則性條款[6]，決定認為：WhatsApp違反系出自位于故意與一般過失間的“高度過失”。簡言之，在缺乏證據說明故意的前提下，決定從一般過失出發，通過考慮部分加重因素，最終得到了高度過失的結論。相應加重因素至少有二：其一，得到不利結論的先行調查。如前，加拿大和荷蘭曾經在2012年對WhatsApp通訊錄匹配所涉的個人數據處理開展調查，并得出對WhatsApp不利、與本案爭點密切相關、且在本案中得到進一步確認的結論。盡管先行調查發生在GDPR生效前多年，WhatsApp也始終不認可相應結論，這一點仍足以說明：WhatsApp在知曉歐盟內數據當局不太可能贊同其立場的前提下，依舊違反了相應義務。于是，應認定WhatsApp違反出于高度過失。其二，整體角度下信息缺失的嚴重程度，足以認為對第5條的違反亦屬于高度過失。

　　最后，由于罰款金額的上限依賴于“公司的全球營業額”，又由于Facebook已經并購了WhatsApp，以哪個公司——是WhatsApp，還是“Facebook公司”——的全球年營業額作為計算基準，將對罰款金額產生實質影響。此處，首先，由于Facebook（通過一子公司）全資擁有涉案的WhatsApp公司，可以推定Facebook對WhatsApp擁有“決定性的影響”。又因WhatsApp未能反證這一推定，故WhatsApp與Facebook構成“單一經濟實體”。其次，根據歐盟法院（一般簡稱CJEU）的一系列判決：如果子公司和母公司構成單一實體，則母公司可以對子公司的違法行為承擔責任（包括罰款），且母公司的年營業額可以作為子公司違法罰款上限的計算基準。因此，包括Facebook集團各組成公司在內的全球年營業額，應作為本案的基準。這一基準最終厘定為859.65億美元，是相應實體2020年的年營業額。

　　結語

　　以上，本文從五個角度述評了WhatsApp被罰2.25億美元一案。首先，以調查開始為節點，簡要整理了節點之前有實質影響的關鍵事實和節點之后調查的關鍵時點。其次，述評了決定對個人數據的認定思路和對有損哈希這一匿名化技術的分析和結論。再次，從信息質量和信息展示方式出發，述評了決定對告知范圍的分析。又次，對關鍵點WhatsApp與Facebook間的數據共享，展開了決定對WhatsApp為何違反具體義務和為何違反原則條款的分析。次之，在前述各項內容的基礎上，重點敘述了決定裁量罰款金額的部分考量。對幾乎每一部分，也從實務視角出發，提出了少許初步的思考。

　　盡管決定大體上僅與告知有關，而幾未涉及數據共享行為本身的合法性，亦未涉及數據共享與競爭法間的復雜聯系，理解Facebook并購WhatsApp后綿延至今的數據合規風波，難以脫離對后兩項議題的思考。例如，2017年時，由于Facebook作出有關并購的虛假陳述——盡管Facebook實有能力自動化匹配同一個體的WhatsApp賬戶和Facebook賬戶，Facebook卻對歐盟委員會否認這一點，歐盟委員會對其罰款1.1億歐元[7]。又如，在大西洋的另一側，聯邦貿易委員會（一般簡稱FTC）針對并購案的訴訟也仍在進行中[8]。于是，完整理解這一并購的數據合規意義，需要更寬的視野和更多的時間。