10月14日消息，爱尔兰数据保护委员会（Data Protection Commission，简称DPC）提议欧盟向Facebook开出罚单，最高3600万欧元（约2.71亿人民币）。

上个月，因旗下软件WhatsApp违反欧盟隐私法，Facebook被DPC罚款2.25亿欧元。

DPC提交的决定草案回应了以下争议：

不应允许Facebook依据GDPR第6(1)(b)条来处理基于其服务条款的用户数据，以及Facebook有义务在法律上依靠GDPR第6(1)(a)条规定的同意为法律基础。

GDPR第六条 数据处理的合法性（Lawfulness of Processing） 

1.只有符合以下情况之一的个人数据处理行为才是合法的：

（a）数据主体已经对基于一个或多个具体目的而处理其个人数据的行为表示同意。

（b）履行数据主体为一方当事人的合同或在订立合同前为实施数据主体要求的行为所必要的数据处理。

此外，该决定草案驳回了这些论点：认为GDPR没有规定任何形式的合法依据，可以用于处理个人数据。

最终，决定草案认为Facebook还是没有提供有关其根据“接受服务条款”进行数据处理的法律依据，并指出Facebook所提供的信息相互脱节。因此，Facebook违反了GDPR第5(1)(a)、12(1)和13(1)(c)条，应对其处以2800万至3600万欧元的罚款。

针对该决定草案，网络隐私组织None of your business(NOYB)的Max Schrems认为：“很明显，Facebook只是试图绕过GDPR的明确规则，将数据使用协议重新标记为‘合同’。如果这被接受，任何公司都可以把数据处理写进合同，从而使未经同意使用客户数据的行为合法化。这绝对违背了GDPR的意图，它明确禁止在条款和条件中隐藏同意协议。” 

NOYB进一步概述说，该决定草案已被送交其他欧洲数据保护机构，并可能到达欧洲数据保护委员会(EDPB)，不过考虑到Facebook子公司WhatsApp此前被DPC罚款2.25亿欧元（16.8亿人民币），但罚款一直没有推进，因此此次相关机构也可能会推翻DPC的决定。（文章来源：NOYB、赛博研究院）