noyb 就非法跨境转移数据对 Fitbit 提起 GDPR 申诉

noyb 就非法跨境转移数据对 Fitbit 提起 GDPR 申诉

Kaamel Lab
Kaamel Lab 2023年9月20日

2023年8月31日,隐私维权组织 noyb(None of Your Business)向奥地利(DSB)、荷兰(AP)和意大利(Garante)三国数据保护机构提起申诉,指控 Fitbit 强迫欧洲用户“同意”将个人数据转移至美国等第三国,违反 GDPR。核心问题在于:创建 Fitbit 账户时用户被迫勾选数据跨境转移同意,撤回同意的唯一方式却是删除账户、丢失全部健康记录。基于 Alphabet(谷歌母公司)营业额,潜在罚款可能高达112.8亿欧元。这个案子把“用户同意能否单独支撑常规化数据出境”这一 GDPR 老问题推到了执法前台。

TL;DR

用户无法规避的数据转移

当欧洲用户创建 Fitbit 账户时,会被要求“同意将个人数据转移到具有不同数据保护法的美国和其他国家”。noyb 指出,Fitbit 既未告知数据会转往哪些具体国家,也未说明所用的转移机制,导致这种“同意”既不自由也不具体。更关键的是撤回路径:Fitbit 隐私政策规定,撤回同意的唯一方法是删除账户——这意味着用户会失去所有已记录的锻炼与健康数据,即便购买了每年79.99欧元的高级订阅也不例外。

Fitbit 注册界面强制勾选“同意将个人数据转移至美国及其他国家”的选项

Fitbit 共享的数据高度私密:不仅包括邮箱、出生日期和性别,还可能涉及“食物、体重、睡眠、饮水或女性健康跟踪日志”,以及用户在平台上的留言互动。三名申诉人都行使了向数据保护官索取信息的访问权,但除自动确认邮件外从未收到实质回复——依 GDPR 第12(3)条,控制者应在收到请求后一个月内答复。

争议核心:SCC 与同意能否并用

noyb 的控诉思路可归纳为两条主线:转移缺乏透明度与信息,以及转移缺乏合法基础。

noyb 对 Fitbit 的控诉思路:转移缺乏透明度、缺乏合法基础与同意无效

GDPR 第49条把“明确同意”列为在无充分性决定或第46条适当保障措施(如标准合同条款 SCC)时的例外让步。欧洲数据保护委员会(EDPB)2018年关于第49条减损的指南明确:数据出口方应首先使用第45、46条的机制搭建转移框架,只有在没有这些机制时才诉诸第49(1)的让步。而 Fitbit 却声称它依赖“在世界各地合法转移数据的多种法律依据”,同时并用明确同意和 SCC——noyb 认为这与 GDPR 第五章(尤其第44、49条)相悖。

更深的问题是“同意”本身的性质。GDPR Recital 111 用“偶尔”(occasional)、第49(1)用“非重复”(not repetitive)限定了减损的适用场景。Fitbit 对所有用户健康数据的例行化跨境转移,显然是长期、有规律发生的,不属于“偶然”事件,因此同意不能作为其合法依据。这一逻辑与 Meta 因 SCC 失效被开出12亿欧元罚单、以及 Uber 因违规向美国传输司机数据被罚2.9亿欧元的裁量方向一致。

有效同意的三个要件

GDPR 第4(11)条把同意定义为“自由作出的、具体的、充分知情且明确的”意思表示。本案中三个要件均存疑:

举证责任由控制者承担——这是贯穿 GDPR 的问责制原则的体现。当第7(4)条适用时,Fitbit 更难证明同意是数据主体自由作出的。

对出海企业的启示

Fitbit 案给向欧盟提供服务的企业上了一课:跨境转移个人数据不能靠一个模糊的“我同意”兜底。noyb 近年频繁对跨境违规发起申诉,包括对六家中国公司的数据跨境投诉。合规落地上应做到:优先以充分性决定或 SCC 等第46条机制搭建转移框架,而非把同意当作主依据;在征求同意时明确列出接收数据的第三国与转移机制;提供不必删除账户即可撤回同意、且不损害核心服务的路径;并在法定期限内实质响应数据主体的访问请求。跨境转移是否合规还需结合数据转移影响评估(TIA)逐案判断。noyb 的申诉说明见 https://noyb.eu/en/fitbit-forces-users-consent-data-transfers

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.