欧盟《隐私与电子通信条例》(e-Privacy Regulation)草案介绍
数据隐私和网络安全
专栏
作者:冯坚坚 周星童
(本文全长5172字,全文阅读约需10分钟)
在众多中国企业的注意力被欧盟《通用数据保护条例》(GDPR)吸引的同时,一项专注于电子通信领域隐私保护,同时也是GDPR的重要配套法规的欧盟新条例正等待上线,即《隐私与电子通信条例》(Regulation on Privacy and Electronic Communications,本文简称ePR)。ePR的出台背景和大致内容是什么?与其将要取代的e-Privacy Directive(本文简称ePD)以及与GDPR的关系又是怎样的?对于中国企业可能产生哪些影响?本文将一一道来。
壹
背景
2017年1月10日,欧盟委员会公布了关于在电子通信领域尊重私人生活、保护个人数据以及废除“2002/58/EC”指令(即e-Privacy Directive,ePD)的条例草案(ePR)。
该草案的提出是欧盟发展“数字化单一市场”战略(The Digital Single Market Strategy)的内在要求。随着经济和技术的发展,消费者和企业都倾向于新兴的以互联网为基础的产品或服务,不再局限于依赖传统的通信服务,因此,新兴的通信服务(OTTs)常常脱离了欧盟现有电子通信法律框架的规制范围,导致法律框架与科技发展脱节,该等通信服务无法获得相应的法律保障。此外,ePR的制定也是实现与欧盟现有政策规定一致性的需要,作为GDPR的特别法,ePR将对作为个人数据的电子通信数据进行具体及补充性的规定,ePR也将与欧盟的其他政策如关于欧洲电子通信代码以及无线电设备的政策保持一致。
ePR基本信息
(一) 立法进程
跟绝大多数欧盟立法一样,ePR的制定适用普通立法程序(Ordinary Legislative Procedure),也称共同决策程序(Co-decision Procedure),需要由欧洲议会和欧盟理事会共同决策通过。
2017年年初,欧盟委员会在公布ePR提案的同时将提案分别提交给了欧洲议会和理事会,在欧洲议会中,ePR提案转至公民自由、司法与内政事务委员会(Civil Liberties, Justice and Home Affairs,LIBE Committee)进行处理,10月19日,历经半年多的争议和讨论,LIBE委员会以31票赞成、24票反对、1票弃权的表决结果通过了提案,并附加一系列修正案;10月26日,议会全体会议决定进入机构间协商阶段(Interinstitutional Negotiations)。
根据欧盟官网显示的最新消息,目前提案尚处在一读阶段(1st reading)。
提案的第29条虽规定了ePR应于2018年5月25日开始正式适用,与GDPR的步伐保持一致,但从提案公布的时间及目前的立法进度来看,ePR正式落地可能还需要一段时间。而且一读程序没有时间限制,如果议会和理事会未能在一读阶段达成一致意见,相关提案还需进入二读程序。
考虑到自提案公布以来,就充斥着来自各方面的评论和批判,可以预见,在欧洲议会和理事会达成一致意见前,还有许多问题需要讨论和解决。
(二) 主要内容
在草案内容尚存争议的情形下,以下罗列的内容主要以欧盟委员会发出的草案文本为基础,未纳入现阶段各方的修改意见,最终的条例内容应以立法程序完成后在欧盟官方公报上公告的为准。
立法目的
ePR提案规定了在提供或使用电子通信服务过程中,保护自然人和法人基本权利及自由的基本规则,尤其强调对私人生活和通信的尊重,以及在个人数据处理过程中对自然人的保护。同时,ePR提案还提出应确保欧盟境内电子通信数据和服务的自由流动,并规定该等流动不应受前述对相关权益保护的限制。
从立法目的可以看出,如何权衡隐私保护与数据的自由流通,以及如何合理界定隐私的边界,是ePR制定过程中不可回避的议题。
适用条件
ePR适用于在提供或使用电子通信服务过程中对电子通信数据进行的处理,以及与终端用户的终端设备所相关的信息。
ePR不适用的情形与GDPR适用的除外情形基本一致,包括:欧盟法律管辖以外的活动;成员国实施欧盟条约第五编第二章范围内的活动;非公共可用的电子通信服务;有权机关为预防、调查、侦查、起诉刑事犯罪或执行刑罚进行的活动。
管辖范围
受ePR管辖的行为有:1)向欧盟境内的终端用户提供电子通信服务(无论付费与否);和2)对该等服务的使用;以及3)对位于欧盟境内的终端用户终端设备的相关信息进行保护的行为。
如果电子通信服务的提供者未设立在欧盟境内,需向欧盟境内的终端用户提供服务的,应当在欧盟境内以书面的形式设定代表。该等代表有权出于合规的目的,代替其所代表的服务提供者向监管机构、终端用户等主体提供有关通信数据处理的相关信息,但该等代表的设定并不能阻止有关机构对从欧盟境外向欧盟境内的终端用户提供服务过程中进行数据处理的自然人或法人采取法律行为。
从上述规定来看,只要涉及对欧盟境内的终端用户提供通信服务中的数据处理,或与终端用户终端设备相关的信息时,无论该等行为发生在欧盟境外或境内,均属于ePR的调整范围。
对电子通信数据的保护
除终端用户外,其他任何人不得对电子通信数据加以干扰,如通过窃听、存储、监视、拦截或其他处理的方式,但以下情形除外:
1. 通信网络和服务的提供者可以在以下情形中进行通信数据(data)的处理: 是通信传输的必要;是维护通信网络及服务安全性,或检测通信传输技术故障的必要。
2. 通信网络和服务的提供者可在以下情形中进行通信元数据(metadata)的处理: 是满足强制性服务质量要求的必要;是开具账单、计算互联支付、检测阻止通信服务中的欺诈或滥用行为的必要;相关终端用户已经同意出于一个或多个特定的目的处理元数据,包括向该等用户提供特定的服务等,但前述目的需是通过匿名手段无法实现的。
3. 通信网络和服务的提供者仅可以在下述情形中进行通信内容(content)的处理: 出于向终端用户提供特定服务的单一目的,且用户已经同意处理其通信内容(如果不对该等通讯内容进行处理,提供服务的目的就无法实现);相关终端用户已经同意出于一个或多个特定的目的处理其通信内容,但前述目的是通过匿名手段无法实现的,并且服务提供者已就处理事宜咨询了监管部门。
对存储在用户终端设备中及与设备相关的信息的保护
1. 除终端用户外,其他任何人不得使用终端设备的处理和存储功能,以及收集设备中的相关信息,包括软件和硬件。但以下情形除外:
是实现电子通信传输单一目的的必要;取得终端用户的授权同意;是向终端用户提供其所要求的信息社会服务的需要;是网络受众测量的需要,但测量需经终端用户请求后由信息社会服务的提供者实施。
2. 收集终端设备所发出的能使其与另一台设备或网络装置连接起来的信息应当被禁止,但以下情形除外:
专为建立连接的目的在必要的时间内所进行的收集;以清晰、明显的方式告知收集的方式、目的、责任人及其他GDPR第13条所要求告知的信息,以及终端用户可采取以停止或要求最小化收集的措施。
同意原则
GDPR中规定的知情同意条款同样适用于ePR。
另外,在不违背GDPR同意原则且技术上可行的情况下,对于使用终端设备处理和存储功能以及收集设备中的相关信息所需的同意,可以通过对访问网络的软件应用程序进行技术设置来完成,如Cookie的设置。
软件设置的要求
市场上含有电子通信功能的软件,包括可以在网上检索和呈现相关信息的,应提供给用户防止第三方从终端设备中存储信息或处理已存储的信息的选项。软件一经安装,应告知终端用户隐私设置选项,需继续进行其他安装活动的,应在终端用户同意后才能进行。
提案规定,对于ePR适用前已经安装的软件,在第一次更新时应遵守上述规则,但该等更新应不晚于2018年8月25日。但从目前的立法进程来看,要想在8月份前完成软件的合规整改工作,可能实现不了,估计会顺延至ePR最终生效后的3个月内。
自然人/法人对电子通信的控制权
1. 主叫线路和被叫线路的识别 公共通信服务的提供者应提供如下可能性的服务:
(1) 主叫用户在每次呼叫、连接或永久的基础上可以阻止主叫线路识别;
(2) 被叫用户可以阻止来电呼叫的主叫线路识别;
(3) 在主叫用户阻止主叫线路识别的情形下,被叫用户可以拒绝来电呼叫;
(4) 被叫用户可以阻止向主叫用户提供被叫线路识别。
上述服务应当以简单的方式免费向用户提供,且上述事项应同样适用于第三方国家与欧盟境内的通信往来。但如果涉及到紧急服务,公共电子通信服务提供者可以不受上述限制。
2. 来电拦截
公共通信服务的提供者应有效采用先进的措施限制用户接受不必要的呼叫,并向被叫用户尽可能提供下列服务:
(1) 拦截来自特定号码或匿名号码的呼叫;
(2) 阻止第三方向用户终端设备的自动呼叫转移。
3. 公共名录
公共名录服务的提供者应当获取自然人用户的同意,如果其将该等自然人的个人信息纳入名录中。提供者还应提供给自然人用户核实、更正和删除该等数据的途径。如果公共名录服务的提供者启用与用户信息相关的搜索功能,还应明确告知用户相关信息可被搜索的情况且事先获得用户的同意。
对于法人用户,公共名录服务的提供者应提供拒绝法人用户数据被纳入名录的可能,且应向法人用户提供核实、更正和删除该等数据的途径。
4. 未经请求的通信
自然人或法人可以出于发送直销通信给自然人用户的目的,使用电子通信服务,但前提是已获得该等自然人用户的同意。
当自然人或法人从其客户处获得电子邮件的详细联系方式时,在销售产品或提供服务的情况下,根据GDPR的规定,前述自然人或法人可以将联系方式用于直销类似的产品或服务,但前提是在每次收集和发送信息的时候,已清楚而明确的给与客户拒绝此类使用的机会。
在遵守上述规则的前提下,自然人或法人出于拨打直销电话的目的使用电子通信服务时,应当显示线路识别,或者呈现特定的代码或前缀以标明呼叫属于营销呼叫的事实。
在使用发送直销信息的通信服务时,自然人或法人应当告知用户通信的营销性质,以及识别出使用此类服务的主体。同时,还应提供必要的信息以供接受者实施撤销同意的权利。
罚则
与GDPR类似,ePR提案中也规定了两档处罚。如果服务提供者违反了通信保密原则、电子通信数据的许可处理原则以及数据删除时间限制的,可能会面临最高达2000万欧元的罚款,如果是企业违规的,则可能面临最高为其上一财政年度全球营业总额的4%作为罚款,二者竞合取其高。
e-Privacy Regulation & e-Privacy Directive
e-Privacy Directive(ePD)是e-Privacy Regulation(ePR)的前身,常被称作“Cookie Law”,发布于2002年,2009年经历一次修订。
ePR与ePD最明显的区别是“条例”与“指令”的效力差别。条例具有强制约束力,应作为一个整体在欧盟境内适用,指令只是设定一个所有欧盟成员国必须达到的目标,至于如何去实现该等目标,则取决于各成员国自己设计的法律。因此,ePR生效后可直接适用于各成员国及成员国的组织、机构,具有强制约束力,无需成员国以国家法律法规的形式进行转化和落实,效力层级要远高于ePD。
当然,ePD被取代并非效力欠缺驱使,更重要的原因是ePD的内容已经无法适应经济和技术的发展。欧盟委员会曾在提出提案前实施了一项针对ePD适用性和执行情况的评估(REFIT evaluation),根据评估的结果,在效力和效率方面,ePD未能达到目标,报告认为ePD存在某些条款制定不明、法律概念模糊、造成经营者和消费者不必要的负担以及执行成本过高等问题。
相对于ePD,ePR扩大了适用范围,适用于当前和未来可能产生的所有通信手段,包括电话、互联网接入、即时消息应用、电邮、网络电话等;明确了在物联网(Internet of Things,IOT)领域的适用,机器或设备之间的通信传输因涉及网络信号的传送,通常也会构成一项通信服务,因此,可同样适用对通信隐私和秘密的保护规则;简化了Cookie 规则,根据ePR的规定,网站运营者可以不再使用弹窗或条幅来获得授权,允许用户通过设置浏览器或其他应用的隐私选项来表示同意,用户也可以在设置中改变需求,一定程度上优化了用户体验,同时也减轻了网站运营者的负担。
e-Privacy Regulation & GDPR
欧盟不同的条例对应欧盟法律规制下的不同领域,GDPR是为了落实《欧盟基本权利宪章》第8条规定的个人信息保护(protection of personal data),ePR则是为了执行宪章第7条规定的对个人与家庭生活,包括居住与通信的尊重。
ePD被认为是对95指令的补充,与GDPR取代95指令的路径类似,如果ePR落地,将取代ePD成为对GDPR的补充。
ePR提案中有多处内容阐明了ePR与GDPR的关联,即ePR应与GDPR保持一致性。因立法先后,GDPR文本中也有提到与ePD关系的相关内容,该等内容也应适用于ePR。具体有:
序言第173条:GDPR应当适用于个人数据处理过程中与保护基本权利和自由相关的所有事项,但不适用于出于相同的目的已在ePD中规定的特殊情形。为厘清GDPR和ePD的关系,ePD应作相应修正。
正文第95条:关于条例和指令的关系。涉及在公共通信网络中提供公开电子通信服务相关的数据处理的,对于ePD已出于相同的目的规定了特定的义务的事项,GDPR不应对自然人或者法人施加额外的义务。
因此,从内容上看,ePR与GDPR属于特别法与普通法的关系,对于同一事项,如果ePR中有特殊规定的,适用ePR,ePR将通过制定特殊规则的方式对GDPR进行细化和补充,但ePR不会弱化GDPR对个人信息保护的力度。另外,ePR与GDPR均为欧盟数据保护框架的重要构成。
小结
对欧盟国家而言,ePR可能会被全部写进欧盟成员国的法律,与ePD的适用不同,成员国并没有太多的变通余地以缓冲ePR所带来的冲击。另外,对于开展涉欧业务的中国企业而言,如果涉及向欧盟境内提供电子通信服务的,ePR也可以直接适用。因此,相关主体在忙于应对GDPR时也不能忽视了ePR提出的各项要求,尤其是对于新兴的通信行业。即便ePR真正落地时间还无法确认,相关主体也应未雨绸缪,实时关注ePR的立法动态,尽早开展合规评估与整改工作,以免在监管风暴到来时措手不及。
本专栏往期文章
1. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
8. 网安法第37条背景下的境外证据开示与数据出境问题
9. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
10. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
11. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解
13. 中国企业的GDPR合规挑战
14. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究
16. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化
17. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对
作者介绍合伙人
021-2613 6221
feng.jianjian@jingtian.com
竞天公诚律师事务所合伙人,竞天公诚网络安全与数据隐私团队负责人。
隐私权专家国际协会(International Association of Privacy Professionals)会员,上海市律师协会互联网业务研究委员会委员,长期专注于网络安全、数据合规及个人信息保护领域。
律师
zhou.xingtong@jingtian.com
竞天公诚网络安全与数据隐私团队律师,执业领域为数据隐私与网络安全合规、劳动人事争议、商事诉讼仲裁、境内外投资并购等相关领域。
周律师毕业于华东政法大学,先后获得法学学士学位及法律硕士学位。
周律师的工作语言是中文、英文。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.