北京时间10月14日早间消息,爱尔兰数据保护委员会（Data Protection Commission，简称DPC）提议欧盟向Facebook开出罚单，最高3600万欧元（约2.71亿人民币）。

DPC提交的决定草案回应了以下争议：

不应允许Facebook依据GDPR第6（1）（b）条来处理基于其服务条款的用户数据，以及Facebook有义务在法律上依靠GDPR第6(1)(a)条规定的同意为法律基础。

此外，该决定草案驳回了这些论点：认为GDPR没有规定任何形式的合法依据，可以用于处理个人数据。

最终，决定草案认为Facebook还是没有提供有关其根据“接受服务条款”进行数据处理的法律依据，并指出Facebook所提供的信息相互脱节。因此，Facebook违反了GDPR第5(1)(a)、12(1)和13(1)(c)条,应对其处以2800万至3600万欧元的罚款。

针对该决定草案，None of your business(NOYB)的Max Schrems认为：“很明显，Facebook只是试图绕过GDPR的明确规则，将数据使用协议重新标记为‘合同’。如果这被接受，任何公司都可以把数据处理写进合同，从而使未经同意使用客户数据的行为合法化。这绝对违背了GDPR的意图，它明确禁止在条款和条件中隐藏同意协议。”

NOYB进一步概述说，该决定草案已被送交其他欧洲数据保护机构，并可能到达欧洲数据保护委员会(EDPB)，不过考虑到Facebook子公司WhatsApp此前被DPC罚款2.25亿欧元，但罚款一直没有推进，因此此次相关机构也可能会推翻DPC的决定。

【来源：DPC】