深度 | 解读《一般数据保护条例》(GDPR)
北京时间10月1日,脸书Facebook宣布其密钥被黑客袭击,可能导致数千万用户的数据泄露。消息一出,Facebook股票大跳水,欧盟也启动调查,Facebook恐因违反欧盟数据保护法案GDPR而面临16.3亿美元罚款。
这已经不是Facebook第一次出现数据泄露事件了(点击蓝字复习:Facebook爆出泄露丑闻,大数据时代你的隐私如何保护?)。而此次危机,再次给每一个互联网用户敲响警钟,“裸奔”又透明的我们如何在数据时代下自保?而新兴企业如何在寻求利益最大化的商业本质前提下合法地使用个人信息与数据?在制定相关管理制度的过程中,国家与社会要如何去探索,都是接下来我们需要共同面对的问题。
大数据时代,大量数据被收集到互联网上。然而,作为大数据的主要贡献者——生活中每个个体却不胜其烦。你是不是会收到信用卡公司邮件告知你有不明巨额消费的情况?是不是发现自己在一次网购后,会收到莫名的商家发来的邮件和广告?当网站要求你必须填写姓名、住址和身份证号时,是不是会有所迟疑?
大数据引发的新的社会问题引起政策层面地激烈讨论,而其中的个人信息保护问题更是关注的热点,亦是矛盾的焦点:一方面,企业深知用户数据是其提升竞争力的法宝,另一方面,用户既希望能够通过简便的方式存储、使用、传输自己的数据,但也不希望自己的数据因此而被滥用、泄露。本期,周公就从这刻不容缓的个人信息保护立法的话题来聊一聊时下热门——“史上最严”的数据保护法案欧盟《一般数据保护条例》(GDPR)。
1
GDPR来了,这是一部怎样的立法?
2018年5月25日,这部号称“史上最严”的数据保护法案欧盟《一般数据保护条例》(GDPR)正式生效。这部原文长达200多页、由11章共99条组成的GDPR,可以说让很多关于个人信息数据的法律讨论告一段落。新条例之所以被称为“史上最严”,主要体现在两方面:一方面,GDPR强化了企业义务,增加了数据可携带权、被遗忘权等权利。另一方面,GDPR设定了天价的罚款,最高达2000万欧元或企业上一财年全球营业总额4%,并以较高者为准。面对GDPR,已经掀起了全球的数据整顿风暴。
国内涉及互联网数据服务的公司,如小米、腾讯、阿里巴巴、华为等已经纷纷行动起来。腾讯根据GDPR要求做出了修改后停用旧版本,并通知更新到5.0及以上版本的QQ 国际版可以继续使用。微信国际版也做出了修改,如:未登录账号时间达到180天后,账号信息会被删除;聊天记录会被存储72小时,随后永久删除。小米生态链公司智能灯具品牌Yeelight 成为 GDPR 敲醒中国互联网的第一钟。因违反GDPR 规定,Yeelight 将无法向欧洲用户提供服务。
在美国,苹果修改了隐私政策,允许用户彻底注销Apple ID;谷歌则更新了文档的语言和导航等用户协议,使用户更清楚其收集和存储用户数据的方式,以及允许用户访问并删除这些数据。
GDPR之所以号称“史上最严”,还在于其广泛的适用范围。总结来说,无论公司总部在哪儿,无论数据存储和处理地点在哪儿,只要与身处欧盟的人做生意,或者监视欧盟公民的行为,就必须遵从GDPR。再进一步解释:如果你收集欧盟公民的数据,你就受到GDPR的管辖。除非你的公司非常严格地排除了欧盟,否则你还是得处理GDPR合规问题。
2
GDPR具体规定哪些内容
GDPR中数据主体的权利的规定是核心,其中包括:知情权、访问权、反对权、可携带权,被遗忘权、限制处理权、免受数据画像影响等。周公下面展开解读:
1、处理知情权:自己的信息我做主
GDPR【Chapter II, Article 6】的规定,收集数据要坚持数据收集的最小化原则以及对个人资料的准确性以及储存限制、数据存储的完整性和机密性要求。 因此,GDPR要求在订立与客户的服务合同中有允许处理和明示用户权利的条款,并提供选择同意选项。例如:开机页面上明确用户服务条款并在个人数据收集和处理权限上设置可勾选项。
(Facebook为符合GDPR的知情权的许可授权设置界面)
2、隐私信息处理:别想锁定我
GDPR【Chapter I, Article 4】规定,不能够收集和处理涉及个人隐私的敏感信息,例如性取向、性生活、宗教信仰、政治信仰、反映个人种族或民族起源、是否是工会组织成员的数据、犯罪记录、指纹信息、人脸识别等。周公不得不感慨,这一规定彰显欧盟对自然人的人格属性的格外关注与重视。
GDPR更进一步规定,“针对数据的分析必须是一次性,如果需要二次分析,需要进行二次授权确认”。对于这一规定的考量主要是在个人间接信息加工后往往也可以定位到个人,因此二次分析必须授权,例如:个人的购物信息、聊天记录 、行走路线等。
而对于这个“二次授权确认”的规定,在另一方也开始影响那些基于大数据分析报告发展的产业,其往往将大量的原始信息脱敏处理形成的分类数据库,而这部分信息很难与信息原始主体形成一一对应的关系且有很高的数据价值。但问题的关键就在于在数据库加工过程中原始数据主体多不知情,企业也完全可以利用技术还原元数据,而一旦还原便很容易识别个人而在此将个人暴露在外。因此,关键还需对加工数据的IT人员加以限制,不可追溯个人并瓦解数据原信息的要求。
3、被遗忘权(Right to Be Forgotten):我可以随时删除?
GDPR【Chapter III, Article 17】规定,当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。
“被遗忘权” 是GDPR引入的一个全新概念,在2014年欧洲法院在谷歌Google VS AEPD一案确立,深深影响了正在立法进程中GDPR,并在最终的版本中正式写入,其实质是传统个人数据保护法中“删除权”概念的升级。传统的删除权仅可要求控制者删除自己所控制的数据,而被遗忘权的扩张则表现在还要求控制者负责对其公开传播的数据,要通知其他第三方停止利用、删除。而在互联网的今天,消除全部的影响可谓威力十足,第三方可能很难完成这样的任务,因此,立法者对其适用作出了许多限制,第17条第3款规定了并不适用“被遗忘权”例外情形:
1.基于表达自由和信息自由;
2.基于公共利益和履行法律职责需要;
3.基于历史、统计和科学研究的目的;
4.出于提出、实施和保护合法权利的需要等;
对于这一概念其实也是引起许多争议,最大的争议点是这规定会严重影响数据产业的发展。美国作为数据产业的强国以及作为互联网基础技术的控制者,不希望被欧盟法律所牵制。但随着GDPR的正式生效,这一权利被落实,即获取处理他人的个人信息的“控制者 ”需要得到个人的同意,且这种同意必须是自愿并且随时可以撤回。
而这一概念虽未立法但在中国也是早有讨论,2015年的任甲玉诉百度名誉权案,也被称之为“国内被遗忘权第一案”,任甲玉律师因为报纸网站上刊登了其曾经被指控有伪造罪的相关信息,将该报纸告上法庭,认为其刊登的信息对其职业生涯的声誉产生了负面影响,但该律师的主张在法院中并没有得到支持。法院认为,公众关心的真实信息应当可以被合法公开,包括在网络上公开。国内也有相关案例,法官同样以公共利益为由驳回。
即便作出了诸多限制,“被遗忘权”仍然面临很多质疑。对“自由”、“公共利益”这些抽象的判断标准,无疑是将企业拖入裁判的泥潭,因此,“被遗忘权”仍然有许多问题留待解决。
4、可携带权:不同软件之间我能一键导入全部数据?
GDPR【Chapter III, Article 20】新增数据可携带权的规定,个人有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的。同时第1款也明确了“可携权”适用的两个限定条件:一是适用于建立在“用户同意”基础上的数据处理活动;二是处理是通过自动化方式完成的。
“可携带权”可以看做是传统“访问权”的增强。即首先保证的是用户获得自身数据的权利。而“可携”的精神主要体现在第20条第2款:如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。看到这里周公也并不对这个概念感到稀奇,例如:我们在使用健身软件的时候,都可以利用绑定微信或微博的方式找到同样适用健身软件的好友并去关注他们,也可以在下载新软件后将个人基本信息从其他软件一键导入,而无需自己再重新输入。那么是否通过这一条,个人就可以实现在不同服务商之间的自由切换么?
其实并不是这样的,在转移过程中,个人数据常常会涉及其他第三方的个数据,例如,通讯录信息、电话记录信息、聊天信息、邮件往来信息、转账记录信息等等。按照个人数据定义,此类数据当然属于个人数据,但因为这些第三方个人根本没有机会得知自己的数据被他人提交给了新的数据控制者,从而也没有机会行使自己的权利。因此,在个人行使可携带权的过程中会给他人带来潜在的权利侵害的风险。因而,GDPR的这一概念在未来的适用过程中也将会不断产生新的问题待去讨论。
GDPR虽然带来许多改变,但这也并不意味着制度规范都已成熟,相反,秩序建设才刚刚拉开序幕。同时,欧盟的GDPR立法无疑是给咱们提供了一个鲜活的国际经验范本,尤其是对于具有实际操作层面的需求,例如:学习GDPR考虑设置专门的隐私保护人员——数据保护官(DPO)。或者对数据泄露保护,即72小时之内报告数据泄露情况的规定。但对于一些GDPR中提及的新潮概念,例如“被遗忘权”的借鉴则可能需要更为谨慎的态度,毕竟一旦将“被遗忘权”纳入立法,则需要将“自由表达”与“公共利益”等抽象概念交由法官去判断,未免给司法增加过重的负担,我国可能还不宜盲目引入。而对于个人数据保护法律完善,我们都需要参与到这场需要投入耐心和耐力的马拉松比赛。
往期精彩内容:
(编辑:刘宗鑫)