观点 | 欧盟修订“隐私与电子通讯指令”的启示
再不点蓝字关注,机会就要飞走了哦
为了加强“单边数字市场”的安全性和可靠性,欧盟委员会于2017年1月10日通过了“隐私与电子通讯指令”(ePrivacy Directive, 简称ePD)的修订草案。此次修订是在2002年颁布的ePD的基础上进行,其目的主要是为了与2016年5月通过的“一般数据保护条例”(GDPR)中关于数据保护的规定相一致,提高欧盟数据保护的整体水平。ePD与GDPR共同构成了欧盟数据保护法律框架的两大支柱,为欧盟公民数字隐私权保护提供了基础指引。
一、“隐私与电子通讯指令”起源与发展
ePrivacy指令最早源于“通信隐私指令”(97/66/EC,以下简称“97年指令”)。97年指令的规定主要集中于通信领域,包括个人数据处理中的隐私权保护,以及欧盟内部通信数据的自由流动等。
2002年欧盟出台“隐私和电子通信指令”(2002/58/EC,以下简称“2002年指令”),以此取代了97年指令。2002年指令将适用范围扩展到了“分组交换传输”(互联网上的数据传输),要求对个人数据和公开通信服务用户的隐私提供同等保护,并特别强调对公开可用的电子通讯设备的用户的位置信息的保护。同时对于“电信服务”“网络”的定义进行了更新,使其能够覆盖所有电子通信服务。
2009年欧盟对2002年指令进行了修订,对于电子通信服务和网络服务提供者的义务进行了专门规定:(1)对于个人数据泄露,以及因数据泄露给用户造成的损害具有通知义务;(2)存储、处理用户已经存储在终端设备中的信息需要经得事先同意(例如cookies);(3)不得提供未经授权认证的电信服务;(4)具有收集、识别数据功能的设备也应纳入指令管理范畴。
二、“隐私与电子通讯指令”修订案的主要内容
2017年1月通过的ePD修正案规定了电子通信领域对于用户隐私高水平的保护。其主要的修订内容体现为以下七个方面:
一是适用主体增加。ePD中的隐私保护规则将同样适用于新兴的电子通信服务提供者,比如WhatsApp、Facebook Messenger、Skype等。确保当前新兴的通信服务提供者与传统通信服务提供者能够为用户的隐私提供同等水平的保护。
二是适用范围扩大。根据新规,欧盟所有的个人和企业在电子通信领域享受同样的保护。同时对于企业的数据保护规定了一套规定。
三是规定对通信内容和元数据的保护。通信内容和元数据(通话时间、位置等)也被包括在隐私保护的范畴之内。元数据中包括了高度隐私的内容,除用于计费等的数据外,未经用户同意所有元数据都需要进行匿名化处理或删除。
四是通信服务提供者可以通过数据处理开发新业务。一旦用户同意处理通信信息(通信内容或者元数据),传统服务提供者可以利用数据处理结果提供附加服务,培育新的商业机会。比如可以通过个人出现的位置数据生产热度地图,能够对于公共服务部门和运输公司建设交通基础设施提供指引。
五是关于Cookies的规则。在电脑、智能手机或其他与互联网连接的终端设备中存储、接入用户的cookie要实现经得用户同意。但由于过去有关Cookies的规定导致需要过度的征求互联网用户的同意,因此新规对此进行了简化。新规更加有利于用户操作,其规定搜索设置提供简易的方式明确用户是否同意跟踪其cookies记录或其他标识符。新规同时明确,用于改善互联网体验、不涉及隐私侵犯的cookies(如购物车记录等),以及用于清查网站访客数量的cookies,无需获得用户同意即可获取。
六是对垃圾函件的规定。新规禁止电子通信服务提供者未经请求发送电子信息,如邮件、短信、骚扰电话等。根据国内法,人们或是默认被保护,或者是通过“黑名单”屏蔽营销电话。营销电话需要显示呼叫号码,或者是通过特殊的预先设定好的标注以表明其是营销电话。
七是更加有效的执行机制。根据新规,其中保密规则的具体实施由数据保护机构的具体负责。同时,数据保护机构还要负责GDPR中相关规则的落实。
三、“隐私与电子通讯指令”修订的启示
在GDPR颁布实施和电子通讯立法框架更新的背景之下,欧委会根据实践发展的需要,对于ePD进行了及时的更新和修订,对于我国通信领域数据保护相关规定修订具有重要的借鉴意义。ePD修订案直接回应了网络信息服务提供者对于用户隐私保护的义务,元数据、用户通信内容的隐私保护程度,cookies的隐私保护范围,电信业务经营者大数据业务开展边界,以及隐私规则实施部门等问题,并明确提出了应对举措。我国在用户个人信息保护中同样面临上述问题,可以参照欧盟做法,在相关法律法规中增加相应规定。
作者简介
赵淑钰,中国信息通信研究院互联网法律研究中心研究员,中国社会科学院法学博士。联系方式:zhaoshuyu@caicat.ac.cn
推荐阅读
好文章,快分享,一起涨姿势~