2021年9月2日，爱尔兰数据保护当局颁布WhatsApp一案最终决定：对WhatsApp违反《一般数据保护条例》（以下称GDPR）第5、12、13、14条的多项行为，合计罚款2.25亿欧元。本案历时近三年，核心争点涉及理论和实务上的一系列疑难，包括个人数据的认定、告知的具体范围、罚款金额裁量因素等等。本案堪称经典，包括主要监管机构和合作监管机构的意见以及欧盟数据保护委员会（以下称EDPB）对此其中的争议评述，对理论和实务皆有价值。本文从爱尔兰数据当局的最终决定[1]和EDPB颁布的、论述各数据当局分歧的有约束力决定[2]（以下合称“决定”）出发，解析了其中重点的疑难问题。

　　一、程序性事实

　　1、调查前事实

　　以2018年12月、爱尔兰数据保护局对WhatsApp发起调查为分界点，本案事实历程可以大致分为“调查前”和“调查后”两部分。“调查前”系指：在正式调查前发生、但对案件决定有实质性影响的事实；“调查后”系指：调查开始后，案件各主要程序的时间节点。

　　2018年12月以前发生的关键事实，主要有二：一是实质影响WhatsApp违法行为的动机认定、进而影响罚款计算的先行调查。2012年时，加拿大隐私专员办公室和荷兰数据保护局联合对WhatsApp发起调查，调查范围直指非WhatsApp注册用户（即non-user）电话号码数据的处理问题。调查结论之一，便是将非WhatsApp注册用户的电话号码认定为个人数据。决定据此认定：WhatsApp因此知晓相应非WhatsApp注册用户的手机号码应当被认定为个人数据的性质，这一点又在一定程度上说明了“WhatsApp的漫不经心[过失]”。由于“故意抑或过失”是GDPR第83条规定的、计算罚款金额的裁量因素之一，这影响了与非用户数据相关的违法行为的罚款计算。二是2014年Facebook并购WhatsApp和后续的数据共享，这是本案的核心争点之一，实质影响到违法行为的认定和罚款金额的计算。

　　2. GDPR项下的一站式和合作与一致性机制

　　根据GDPR规定，数据控制者或处理者跨境处理数据的，则主要营业场所或单一营业场所的监管机构有权作为主要监管机构（Lead Supervisory Authority），根据GDPR规定的合作机制与其他的相关监管机构（Concerned Supervisory Authorities）进行合作，保证一致性。在此适用条件下，主要监管机构应当是进行跨境数据处理活动的数据控制者或处理者的唯一对话者。该机制被称为一站式。

　　然而，为了保证一致性，GDPR又规定了合作条款。主要监管机构应当与其他相关监管机构按照合作条款的要求努力达成共识。主要监管机构应当向其他相关监管机构提交决定草案，并咨询他们的意见，考虑他们的观点。其他相关监管机构可以在规定时间内对决定草案提出相关且合理（relevant and reasonable）的反对意见。主要监管机构如果不遵循该相关且合理的反对意见，或者认为该反对意见既不相关也不合理的，则应将案件提交到EDPB，由EDPB作出有约束力的决定，该决定应当关注所有相关且合理的反对意见针对的事项，尤其是是否违反GDPR的规定。

　　在本案中，爱尔兰数据保护局是主要监管机构。2018年12月爱尔兰数据保护局开始调查，在2019年时形成了调查报告初稿、在2020年底形成了决定草案并提交给相关的监管机构。随即，德国、德国巴登-符腾堡州、法国、匈牙利、意大利、荷兰、波兰、葡萄牙等地数据保护局就决定草案提出了“相关且合理”的反对意见。2021年6月由于爱尔兰数据保护局既未接受反对意见、又未能说明相应意见不相关或实无理据，根据GDPR第61条和第65条，则应当由EDPB就案件相关且合理的反对意见作出有约束力的决定。2021年7月，EDPB作出决定。2021年8月，爱尔兰数据保护局根据EDPB决定、作出最终决定。2021年9月2日，爱尔兰当局正式颁布最终决定。

　　二、爱尔兰数据保护局的最终决定

　　爱尔兰数据保护局的最终决定包含四类违法行为，具体包括如下：

　　1、针对WhatsApp非注册用户的场景下是否满足透明性要求

　　该行为主要针对的是通讯录匹配功能，如果WhatsApp注册用户同意开启通讯录匹配功能，WhatsApp会收集并使用联系人的电话号码。经过匹配会发现未注册用户，则将未注册用户的电话号码进行有损哈希（lossy hash），删除原始的电话号码。WhatsApp抗辩有损哈希构成匿名化，因此不需要履行GDPR项下相应的义务。

　　爱尔兰数据保护局认定：

　　在有损哈希前，非注册用户的手机号构成用户数据，因为该电话号码可以间接识别用户身份。在有损哈希后仍然构成用户数据。WhatsApp处理非注册用户的数据时可以认定为控制者，但未履行GDPR提供信息义务。

　　2、 针对WhatsApp注册用户的场景下是否满足透明性要求

　　爱尔兰数据保护局认定：

　　因WhatsApp提供的信息就其质量来说，无法让人识别具体的处理行为与其相应的合法性基础、以及追求合法利益下相应的数据类型等详细信息，而且从提供信息的方式来看，尽管合法性基础一节链接到了“我们如何使用数据”，但是链接到的“我们如何使用数据”并未获得更多新的或更详细的信息，因此不符合GDPR第13条第1款第（c）项要求提供处理个人数据的目的以及其合法性基础，以及（d）项如果基于追求合法利益的目的来处理数据的，则要求提供数据控制者或第三方所追求的合法利益的规定。

　　关于数据分享部分内容，如下图所示，从WhatsApp提供的信息质量来说，不符合透明性原则指南，未能使用户理解什么类型的用户数据将被传输给哪些第三方，基于什么目的而传输，以及对数据主体的后果。同时从信息提供方式来说，需要用户在不同的链接之间进行跳转，内容似乎散落在隐私政策、服务协议、合法性基础通知以及相关的文档和常见问题等。因此，WhatsApp违反了GDPR第13条第1款第（e）项要求提供个人数据的接收者或接受者的类别。

　　关于跨境传输部分，WhatsApp未明确说明是否依赖充分性认定来进行跨境传输，仅用了其“it may rely on, if applicable”的模糊用语。而且WhatsApp没有提供给数据主体有意义的方式去了解充分性认定或者其他跨境传输机制。简单来说，仅仅链接到欧盟委员会的官方页面是不足够的，因此违反了GDPR第13条第1款第（f）项“应提供数据控制者向第三国或国际组织传输数据的事实以及欧盟委员会是否作出充分性认定的情况或者GDPR第46条、第47条、第49条第1款第2项规定的转移情形下获取相应副本和相应的安全保障措施的信息”。

　　关于数据存储部分，WhatsApp在隐私政策中数据保留到用户删除账号或满足处理目的，以先发生的为准。对于用户未删除部分，WhatsApp简单地说明保存期限基于逐案分析的方式判断，参考因素如数据类型、收集使用的原因以及相关法律要求保存期限。但是另外在常见问题中又说明了即使删除账号后，有部分数据仍然保存，如log records，而常见问题未被链接到隐私政策。爱尔兰数据保护局认定，WhatsApp未提供了有意义的信息用以判断当用户注销账号后是否会删除以及多久会删除，关于删除后仍然保留的数据以及说明log records虽然会保留但是不会关联到用户的说明未纳入到隐私政策中，因此不符合GDPR第13条第2款（a）项要求提供“用户数据的存储期限，若不可能，则应提供决定存储期限的标准”。

　　关于撤回同意部分，WhatsApp在隐私政策中“如何行使你的权利”部分未说明撤回同意方式，而是写入了合法性基础的“你的同意”部分，而且未说明清楚撤回同意的后果即不影响撤回前已经合法处理的数据。因此不符合GDPR第13条第2款（c）项要求提供“数据主体有权随时撤回其同意，该撤销不具有溯及力”。

　　关于说明个人数据是基于何种合法性基础以及数据主体是否必须提供，不能提供的后果部分，WhatsApp在隐私政策中说明了所收集的数据是基于使用何种服务，以及采用了“must”、“may”不同的用语表示是否为强制，同时在合法性基础通知的合同履行的必要部分，另在服务条款里通过关于我们的服务，说明注册等服务。上述内容散见在各个文件，且并未明确指出必须提供的数据类型以及不提供的后果。因此违反了GDPR第13条第2款第（e）项。

　　3、针对WhatsApp和Facebook之间分享数据的场景下是否符合透明性要求

　　WhatsApp对告知规定的违反，体现在至少四个方面。首先，WhatsApp的隐私政策未能详尽地告知数据事宜。尽管Facebook网站上确有一比较完整地告知共享的页面（FAQ），WhatsApp的隐私政策里，只在“我们如何与其它Facebook公司合作”一节链接了一次FAQ，而没有在用户更有可能去寻找数据共享内容的、“你和我们共享的信息”一节链接到FAQ。因此，仅仅按照各节目录浏览政策的用户，将错过“关于数据共享”的最完整的信息。其次，有关何为“Facebook公司”，列举“Facebook公司”“Facebook产品”“Facebook商业工具”的若干页面彼此不一致，导致难以确定这一范围内究竟包含哪些实体。例如，难以确定Oculus是否属于Facebook公司。再次，告知并未明确WhatsApp与Facebook间究竟是“控制者-处理者”关系还是“控制者-控制者”关系。又次，假使二者关系确属后者，仅告知“为了安全[而共享]”、而不告知为了安全所需的具体处理行为，不能满足对信息质量的要求。最后，WhatsApp实质上未基于安全原因与Facebook进行数据分享，所以陈述内容存在误导，其他关于分享的陈述过于概括，并不具有实质意义。

　　因此，爱尔兰数据保护局认定WhatsApp对于如何与Facebook公司分享数据部分的内容不符合透明性要求，违反GDPR第13条第1款（c）和（e）项以及第12条第1款。而且进一步指示，除非WhatsApp有具体的计划包括具体的开始时间，基于安全原因实现控制者对控制者的数据分享，否则应当删除在合法性基础通知和Facebook常见问题里的误导性陈述。

　　4、WhatsApp是否遵守公开透明原则

　　在上述违反第13条和第12条的规定基础上，EDPB通过有约束力的决定要求爱尔兰数据保护局修改决定草案，认定违反了GDPR第5条第1款（a）项的透明性原则。具体请见本文第3部分。

　　三、EDPB论述的主要争议点

　　相较初稿，EDPB决定在以下关键争点上有实质不一致：个人数据认定、WhatsApp告知不充分是否违反GDPR第5条、以及罚款金额的计算，等等。

　　1、有损哈希（Lossy Hash）、可识别性与个人数据的认定

　　核心争议点在于有损哈希是否足以实现匿名化，使得哈希值不构成个人数据。由于WhatsApp坚持认为有损哈希值不构成个人数据，于是，WhatsApp并未履行假定哈希值属于个人数据时、应当履行的一系列义务。爱尔兰数据保护局的调查同样聚焦于哈希值是否属于个人数据。就有损哈希而言，这一技术最重要的特性有二：首先，哈希是不可逆的加密方式，从有损哈希反求手机号码的原始值，“在计算[能力]上属于不可能”；其次，有损哈希和手机号码（或者说，位数给定的数字）之间并非“一对一”的关系，而是“一对十六”的关系——每一有损哈希值，对应于十六个可能的电话号码。WhatsApp据此辩称，哈希值无法合理地关联到个体，从而不构成个人数据。爱尔兰数据保护局也在初稿中赞同了这一观点[3]。如果哈希值不属于个人数据，则WhatsApp也就不再需要履行GDPR下的告知等一系列义务。

　　然而，EDPB基于至少四个方面的论证，最终决定推翻了爱尔兰当局的初稿观点，认为有损哈希值仍然属于个人数据。首先，EDPB指出，在认定个人数据时，不能“孤立地考虑[有损哈希]这一技术步骤”，而是需要考虑“所有的客观场景因素”、以判断识别或再识别的概率。其次，尽管每一有损哈希值理论上可以对应十六个号码，实践中，由于号码格式和号段使用率等原因，对应的数量可能远少于十六个，“甚至只有一个”。再次，WhatsApp声称有损哈希可以实现匿名化，但有损哈希值又可以实现、也实际用于识别特定用户，这是“自相矛盾的”。最后，在识别或重识别特定用户时，WhatsApp不仅使用了哈希值，还使用了基于号码存储而建立的社交关系数据，二者联合，可以构造出具备识别能力的“关系签名”。综上，考虑“客观场景因素”，有损哈希值应当认定为个人数据。

　　这一点至少引起了三方面的思考。首先，恰如部分研究者指出：“匿名化”是个法律概念，不能仅仅通过技术上的判断得到认定。因此，不能因为采用了在理论上可以抵抗重识别攻击的技术措施，就认为无须遵从个人数据/信息保护的相应规定。其次，如果合规架构建立在对特定匿名化技术的信任之上，则需结合现有案例、并综合考虑法律上有所本的“所有客观场景因素”，对技术是否足以在法律上认定为匿名化作出论证。最后，也是更加具体的一点，如果在通讯录匹配、反作弊等“目的即[至少部分地]在于识别”的功能中采用匿名化技术以合规，当警惕“自相矛盾”的问题。

　　2、透明性原则下的告知要求要做到什么程度？

　　（1）WhatsApp对数据处理的告知不符合透明性要求

　　从GDPR第13条，尤其是第13条第1款下（c）和（d）规定的告知义务出发，爱尔兰数据保护局决定详尽地调查了WhatsApp对处理目的、合法性基础和合法利益（如适用）的告知方式，并详尽地阐述了三类告知义务所要求的具体告知范围。简言之，值得关注的有至少两方面：一方面，决定对信息质量相关要求的阐述；另一方面，信息展示方式，包括隐私政策以及相关页面间的链接结构和文字表述的差异性，足以影响数据保护当局对处理者是否违反GDPR第13条相应条款的判断。

　　信息质量层面，从第13条第1款下（c）出发，处理者应就每一类别个人数据告知相应的处理行为，并就每一处理行为告知相应的合法性基础。告知的信息质量，应当使得主体“足以理解为何需要出于[相应]目的而处理他/她的个人数据”，在更加基础的意义上，还应当使得主体“可以行使GDPR下的权利”。例如，仅仅告知“出于[为合同所必须的]安全措施……处理您的个人信息”，无法满足对信息质量的要求。反之，告知“出于同意……为了提供特定的产品特性和服务，而收集和使用位置信息”，在“告知相应处理行为”方面，就更加符合决定的要求。然而，如果在收集和处理方面还有其它处理行为，但又未能告知，则同样不满足GDPR。对第13条第1款下（d）项，首先，不能使用类似“维持服务”的宽泛表述进行告知，而需澄清“服务”的具体含义；其次，同样需要告知每一合法利益所对应的处理行为。

　　信息展示方式层面，决定注意到了WhatsApp在不同场景中至少四方面的不足。第一，即使WhatsApp告知了信息质量层面所要求的许多内容，这些内容分散在隐私政策页面和其中散布的多个链接中，“缺乏一个整合的文本或分层的示意图”，来让数据主体理解针对特定数据的相应处理行为和合法性基础。第二，WhatsApp在不同的文本（散布在前述链接中）中用相似的表述告知实则不同的内容，容易导致数据主体的困惑、难以发现其间的差异之处。第三，WhatsApp将“并不复杂的[有关向Facebook共享数据的]”内容分散在隐私政策、服务协议、合法性基础告知和外部帮助、答问文档（FAQ）中，而非“整合信息……并以清楚、简洁的形式展示”。第四，WhatsApp没有在隐私政策中包含一个有助于理解个人数据共享的链接。第五，隐私政策和其它页面间存在不一致的内容。

　　综之，对数据合规而言，此处决定至少引起两方面的思考。首先，在个人数据类别、处理行为、合法性基础之间建立完整的映射关系，日益必要。实际上，按WhatsApp案决定，这已经成为合规的“底线”。其次，无论是告知的内容，还是告知的形式，都应当采取“用户中心”的视角——考虑用户“会不会困惑”，考虑用户“能不能理解应当告知”，以及尤其重要的、考虑用户“能不能顺利地行使自己的权利”。具体到实践中，则应避免决定指出的多种问题，尽量以“整合的文本或分层的示意图”，清晰、简洁地告知数据类别、处理行为和合法性基础间的映射，并告知GDPR规定的其它内容。

　　（2）第13条信息提供义务与透明性原则的关系

　　来自EDPB的决定进一步阐明了在何种条件下，对告知义务的违反同样构成对透明性原则的违反。决定明确了透明性的两方面特性：一方面，透明性应是“以用户为中心”、而非“拘泥法律”的，需要“通过一系列对数据控制者和处理者施加实践要求的条款来实现”；另一方面，透明性原则既是公平原则的表达，又与可问责性原则存有内在联系，因之，透明性是GDPR中居于体系高位的概念，由此可以展开诸多条款与义务。当然，违反透明性原则下展开的义务，未必导致对原则本身的违反。本案中，WhatsApp在告知信息质量和方式等各方面的诸多欠缺，导致用户“未能获得足以行使主体权利的信息”、“无法作出是否继续使用服务的决定”，是“完全的失败”。总之，鉴于WhatsApp违反GDPR的严重程度，以及相应违反及其影响的广泛程度（以至影响到WhatsApp开展的全部数据处理），决定认为存在对原则本身的违反。

　　如上，对数据合规而言，此处决定亦至少有两方面启发。首先，依然是“以用户为中心”：按照决定，仅从法律要求出发、将所有要求的信息展示在用户可见的页面上，仅此依然不足以完全合规。充分的合规，应当以用户为中心，保障用户体验，隐私合规也是一种产品体验。其次，具体义务违反和抽象原则违反间后果上的差异（据GDPR第83条第5款，后者处罚更重），令合规工作的考量变得更加复杂。例如，即使完全的合规面临各方面的挑战，避免严重且广泛的违反、以免违反原则性条款，依然应该是合规的重点。

　　3、如何计算罚款

　　综合考虑GDPR第83条第2款列举的各项裁量因素后，决定作出如下处罚：就WhatsApp违反第5条透明性原则，罚款9000万欧元；就WhatsApp违反第12、13、14条的各项告知义务，分别罚款3000万、3000万和7500万欧元，以上合计2.25亿欧元[4]。决定此处有意义的内容很多，本文重点讨论其中三方面：如何裁量对违反原则的行为的处罚；存在先行调查时，第83条第2款下（b）“动机（包括故意和过失）”如何裁量；以及，在Facebook并购WhatsApp后，如何计算与罚款金额有关的营业额。

　　尽管决定在定性的层面强调了“违反原则之下义务”和“违反原则本身”的区分，在定量计算罚款金额时，决定很大程度上混同了二者：“……由于各[对具体义务的]违反都与透明性有关，又由于这些违反有着相同的特性目的、很可能在第83条第2款的语境下产生相同或相似的后果……我[来自爱尔兰数据当局的调查者]会同时评估各项违反[对第5、12、13、14条的违反]，并统称其为‘违反’……”随后，决定相当“直截了当”地评估了WhatsApp对第5条原则的违反，如前，由于“WhatsApp违反GDPR的严重程度，以及相应违反及其影响的广泛程度”，WhatsApp对原则的违反，不可谓不严重。此外，决定还考虑了WhatsApp对第12、13等各条的整体遵从情况：“[WhatsApp]仅仅提供了41%的规定需要提供的信息[5]……距离满足WhatsApp的义务有很大差距……这是第5条违反的裁量因素的加重因素……”

　　在评估WhatsApp动机时，对部分具体义务和原则性条款[6]，决定认为：WhatsApp违反系出自位于故意与一般过失间的“高度过失”。简言之，在缺乏证据说明故意的前提下，决定从一般过失出发，通过考虑部分加重因素，最终得到了高度过失的结论。相应加重因素至少有二：其一，得到不利结论的先行调查。如前，加拿大和荷兰曾经在2012年对WhatsApp通讯录匹配所涉的个人数据处理开展调查，并得出对WhatsApp不利、与本案争点密切相关、且在本案中得到进一步确认的结论。尽管先行调查发生在GDPR生效前多年，WhatsApp也始终不认可相应结论，这一点仍足以说明：WhatsApp在知晓欧盟内数据当局不太可能赞同其立场的前提下，依旧违反了相应义务。于是，应认定WhatsApp违反出于高度过失。其二，整体角度下信息缺失的严重程度，足以认为对第5条的违反亦属于高度过失。

　　最后，由于罚款金额的上限依赖于“公司的全球营业额”，又由于Facebook已经并购了WhatsApp，以哪个公司——是WhatsApp，还是“Facebook公司”——的全球年营业额作为计算基准，将对罚款金额产生实质影响。此处，首先，由于Facebook（通过一子公司）全资拥有涉案的WhatsApp公司，可以推定Facebook对WhatsApp拥有“决定性的影响”。又因WhatsApp未能反证这一推定，故WhatsApp与Facebook构成“单一经济实体”。其次，根据欧盟法院（一般简称CJEU）的一系列判决：如果子公司和母公司构成单一实体，则母公司可以对子公司的违法行为承担责任（包括罚款），且母公司的年营业额可以作为子公司违法罚款上限的计算基准。因此，包括Facebook集团各组成公司在内的全球年营业额，应作为本案的基准。这一基准最终厘定为859.65亿美元，是相应实体2020年的年营业额。

　　结语

　　以上，本文从五个角度述评了WhatsApp被罚2.25亿美元一案。首先，以调查开始为节点，简要整理了节点之前有实质影响的关键事实和节点之后调查的关键时点。其次，述评了决定对个人数据的认定思路和对有损哈希这一匿名化技术的分析和结论。再次，从信息质量和信息展示方式出发，述评了决定对告知范围的分析。又次，对关键点WhatsApp与Facebook间的数据共享，展开了决定对WhatsApp为何违反具体义务和为何违反原则条款的分析。次之，在前述各项内容的基础上，重点叙述了决定裁量罚款金额的部分考量。对几乎每一部分，也从实务视角出发，提出了少许初步的思考。

　　尽管决定大体上仅与告知有关，而几未涉及数据共享行为本身的合法性，亦未涉及数据共享与竞争法间的复杂联系，理解Facebook并购WhatsApp后绵延至今的数据合规风波，难以脱离对后两项议题的思考。例如，2017年时，由于Facebook作出有关并购的虚假陈述——尽管Facebook实有能力自动化匹配同一个体的WhatsApp账户和Facebook账户，Facebook却对欧盟委员会否认这一点，欧盟委员会对其罚款1.1亿欧元[7]。又如，在大西洋的另一侧，联邦贸易委员会（一般简称FTC）针对并购案的诉讼也仍在进行中[8]。于是，完整理解这一并购的数据合规意义，需要更宽的视野和更多的时间。