解锁GDPR的正确姿势:风险路径
到目前为止,介绍欧盟《通用数据保护条例》(GDPR)的中文文献、评论已经汗牛充栋。大多数集中于以下几点:欧盟将个人数据保护当成基本人权;欧盟通过一部单行法GDPR覆盖了包括公私部门在内的各行各业的个人信息处理行为;GDPR详细规定了个人信息处理的基本原则,如最少够用、目的限定、存储期限最小化等;GDPR赋予了个人对其信息非常广泛的控制权利,如数据可携带权、被遗忘权、反对自动化决策机制权利等;GDPR对大规模处理个人信息的企业,要求设立数据保护官(DPO);GDPR要求产品和服务应实现通过设计和默认设置实现隐私保护(Privacy by Design and by Default);GDPR重构了欧盟层面的个人数据保护的落实机制;GDPR处罚额度可高达2000万欧元或年收入4%,两者取其高GDPR要求个人数据流出欧盟,应确保足够的(adequate)保护水平等。
对GDPR实体规则的译介很有必要,但还要从立法理念来掌握GDPR的精髓。因为只有牢牢把握了GDPR的立法理念,才能拨开云雾见青天,有的放矢地开展GDPR相关的工作。对于这点,尚没有中文文献深入剖析。
那GDPR的立法理念是什么呢?其实很简单,特别对于从事网络安全行业的同仁来说非常容易理解:GDPR是一部以“风险为路径”(Risk-based)的个人数据保护法。无论是与欧盟委员会官员的私下交流,还是与德国、比利时、希腊的数据保护局(Data Protection Authority)的正式会面和合作中,笔者都能经常听见“风险为路径”的字眼。在2018年发布的宣介材料“GDPR:新机会、新义务”(The GDPR: New Opportunities, New Obligations)中,欧盟委员会也将“风险为路径”作为GDPR的主要特征。因此,笔者将根据自己的理解和分析,从四个方面阐述,围绕着“风险为路径”,GDPR如何构造出精妙的个人数据保护体系。
一、个人数据
常见的论述都注意到了GDPR对个人数据的划分,特别是专门提出了“特殊类型个人数据”。GDPR第9条规定:“处理个人数据,能够揭露出其种族、民族、政治观点、宗教和哲学信仰,或工会成员身份;处理基因数据、生物识别数据,以识别出特定个人;处理健康数据、与自然人性取向或性经历有关的数据”,上述数据为特殊类型的个人数据。显然,这是依风险的一种划分方式。诚如GDPR前言第51段所述,这些所谓的特殊类型个人数据,“依其性质对基本权利和自由特别敏感的个人数据,因其处理过程中可能对于基本权利和自由造成显着风险,故值得受到特别保护”。
实际上GDPR从另外一个维度对个人数据进行了划分:个人数据的识别度。这一点为几乎所有的中文文献所忽略。在GDPR的文本中,实际上存在四种识别度的个人数据。
一是已识别的数据:与已识别出(identified)的自然人相关的任何信息。
二是可识别的数据(Readilyidentifiable data): 假名化且保留额外的数据、保留原始数据副本、数据能够可逆变形且控制者知晓变形方式等。
三是GDPR第11条所规定的去标识化程度的个人数据: 即如果数据控制者能“表明其无法识别出特定个人时(the controller is able to demonstrate that it is not in a position toidentify the data subject),数据控制者应在可能的情形中通知数据主体,同时,第15条至20条的规定将不予适用,除非数据主体为行使其权利,向数据提供者额外提供了信息使数据控制者能够重新识别出特定个人”。
四是匿名化数据:指无法与已识别或可识别的自然人相关联(related to)的数据。GDPR规定,判断是否可识别,应考虑到控制者本身或他人所能采用的、所有可合理用以直接或间接地识别数据主体的方式。为确认何为可合理使用作为识别数据主体的方法,应考虑所有客观因素,诸如:识别所需的成本与时间,并考虑到数据处理当时现有的技术及科技发展。
四种识别度的数据,如何体现了风险的思路?首先,已识别和可识别的数据,毫无疑问属于个人数据,但是由于可识别数据相对于已识别的数据,对个人的识别度相对较低,GDPR对前者给了一些特殊“优待”,突出体现在判断目的兼容的条款中。GDPR中目的限制原则规定,“个人数据收集必须符合明确、明示、正当的目的,处理个人数据时应与这些目的相匹配”。第6条第二款同时规定,“当个人数据处理超出数据收集时出于的目的时,且没有数据主体的同意或欧盟、成员国法律作为基础时,数据控制者应判断另外的目的,是否与数据收集出于的目的相匹配,在判断时应考虑下述因素……”。这些因素之一就包括“是否采取了合适的保护措施,例如加密和假名化处理”。换句话说,如果采取了假名化等降低识别度的措施,新目的和原有目的的“距离”可以稍微“远”些,也可被认定为新旧的目的之间相互兼容。这个规定直接激励数据控制者主动降低数据的识别度,识别度降低,对个人合法权益的风险当然就更低。
其次,GDPR合规工作中最难实现的个人数据主体的权利。而如果数据控制者能做到GDPR第11条所规定的去标识化程度,GDPR明确规定包括查询、更正、删除(包括被遗忘权)、限制数据处理、携带等权利(也就是第15到20条),数据控制者是无需实现的。也就是说,数据控制者主动降低识别度至其本身无法识别个人,则GDPR相应地给予了这些“优待”,能够节省巨大的合规成本。
最后,匿名化数据,由于无法指向个人,因此GDPR将其排除在管辖范围之外。
因此,随着识别度的依次降低,GDPR也区别对待,或者给予合规“优待”或“豁免”,直至排除适用,这都体现了经典的风险管理的思路。
二、个人数据处理的合法事由
GDPR要求,处理个人数据应当具备合法事由(lawful processing grounds)。第6条第一款规定了六项合法事由可供数据控制者选择,分别是:“数据主体对出于单个或多个特定目的而处理其个人数据表示同意;处理是为向身为合同当事人之数据主体履行合同所必须的,或在缔约前,应数据主体的要求所必须采取的步骤;因履行数据控制者承担的法律义务而必须处理个人数据的;为保护数据主体重大利益或其他自然人重大利益而必须处理个人数据的;为公共利益而执行任务,或数据控制者履行赋予的公共职能时,必须处理个人数据的;因数据处理者正当利益或第三方正当利益而必须处理个人数据的,但当数据主体的利益或基本权利和自由(特别当数据主体尚未成年时)高于上述正当利益时,不得使用该事由。”
上述合法事由,实际上与个人数据主体权利差异化配置,依然体现了风险路径。首先看同意和合同事由。因为同意在GDPR中应当是“数据主体通过书面声明或经由一个清楚确定的动作,表示同意对其个人数据进行处理。该意愿表达应是自由给出的(freely given)、特定的(specific)、显示出数据主体对前因后果清楚的(informed)、清晰明确的(unambiguous)”。因此,为了确保同意的合法有效,数据控制者需要把数据处理相应的风险告诉个人。而在获得用户的同意后,用户就不拥有第21条反对数据处理的权利,但拥有撤回和要求删除的权利。如果是基于合同事由,一般来说合同应是用户主动发起,显然用户对风险是知悉的,此时用户并没有撤回的权利也没有反对的权利,且在合同存续期间,用户没有第17条规定的删除权(被遗忘权)。同时,由于这两个事由中,个人或是自主选择,或是主动发起,为了一以贯之保障用户的主观能动性,GDPR还赋予个人第20条的数据可携带权。
其次看公共利益、正当利益这两个事由。与保护数据主体重大利益(一般为紧急情况下,如车祸)和履行法律义务这两个事由相比,公共利益和正当利益更多的是依赖于数据控制者自己的判断,个人数据主体参与程度很低,GDPR相应地赋予了个人数据主体事中、事后的反对、限制、删除的权利。这样的配置体现了一种风险动态平衡的思路,鼓励个人主动参与到风险治理的过程,并提供了相应的工具。值得注意的是,在这两个事由中,乃至于重大利益和履行法律义务,个人并没有撤回权和可携带权。
总的来说,GDPR用六个合法事由概括了现实生活中可能出现的各种个人数据处理的情形,并考虑个人和数据控制者处置个人数据处理所带来风险中的相对优势地位,进行了权利、义务的精细配置。
三、数据控制者的总体保护义务和DPIA
GDPR第24条总体规定了数据控制者的保护义务。第一款规定:“考虑到数据处理的性质、范围、情境、目的,以及对自然人权利和自由的不同程度和大小的风险,数据控制者应采取合适的技术和组织方面的措施,以保证数据处理符合GDPR的规定。这些措施应经常评估和更新”。第二款更规定上述“措施应与数据处理的风险合乎比例,应包括在内部建立合适的数据保护政策。”
显然,该条文的写法也突出风险管理的路径。用大白话说就是,你要干什么事,就要考虑会对外界造成什么风险;为了降低这些风险,需要提出与面临风险相称的保护措施;这些保护措施还必须经常评估和更新,以适应风险态势的变化。
以上是对数据处理风险一般性的规定。对于高风险的数据处理行为,GDPR还专门规定数据控制者应当开展数据保护影响评估(data protection impact assessment)。第35条第一款规定:“在考虑数据处理性质、范围、情境、目的后,数据控制者如认为数据处理,特别是采用新技术的处理,可能导致个人权益有较高的风险被侵害的,应在处理前,进行数据保护影响评估”。该条第三款还规定了“在以下场景中,数据保护影响评估被特别要求:a)基于自动化数据处理,包括数字画像,对数据主体个人方面开展系统和广泛的评估,且评估对个人能产生法律效力,或类似重大的影响;b)对特定类别的数据进行大规模处理,或处理与刑事犯罪和刑事起诉相关的个人数据的;c)对公开区域进行大规模、系统性监控的”。
开展数据保护影响评估的目的,在于督促数据控制者主动考虑风险,主动提出降低风险的方案。GDPR还在第36条规定,“如前述的数据安全影响评估表明,数据控制者不采取额外措施的话,数据处理将带来较高的风险,则数据控制者应在数据处理开始前,征求监管机构的意见。”这些规定再一次体现了GDPR对风险的审慎态度。目前,中国版的DPIA标准已经开始公开征求意见。【国家标准《个人信息安全影响评估》公开征求意见】
四、数据保护监管机构的处罚
GDPR规定的高额处罚规定非常吸引人眼球。但处罚并非目的,更重要的是改变数据控制者的行为。因此GDPR第83条规定,个案中的行政罚款应当是“有效、合乎比例、惩戒性”(“effective, proportionate and dissuasive”)。该条第二款规定在决定处罚数额中应当考虑的因素中,许多都和数据处理所带来的风险有关系,同时数据控制者事先采取的能够降低风险的措施,也会在决定处罚数据中予以考虑。
在此例举以此相关的因素:“(a) 违规的性质、严重性及持续期间,并考虑到处理的性质范围或目的,以及受影响之数据主体人数及其受损程度;(b) 违规的故意或过失;(c) 所采减少数据主体损害的任何行为;(d) 控管者或处理者的责任程度,并考虑到其依第 25 条(PbD)及第 32条(Security)所实施的技术上及组织上的措施;……(g) 违规所影响的个人资料类型 ;……(k) 任何其他适用于该个案情形之加重或减轻因素,例如因违约而直接或间接获得的经济利益或避免的损失。”
可见,在决定处罚数额中,GDPR依旧贯彻了风险路径:涉事的数据处理行为是否高危、是否造成了严重后果、数据控制者是否事先采取降低风险的措施等等。这些因素都会影响处罚的力度。
五、结语
总的来说,GDPR贯彻的风险路径,体现于文本中许多规定之中。正如欧盟委员会报告所述,坚持风险路径“避免繁重、僵化的义务,并根据不同风险定制化了不同的义务”(avoids a burdensome, one-size-fits-all obligation and instead tailorsobligations to the respective risks.)换句话说,面包店涉及的处理个人数据的风险,显然和开展征信业务的公司所涉及的风险截然不同,GDPR并不要求前者采取和后者相同的个人数据保护义务,例如任命个人数据保护官、开展数据保护影响评估等。因此,许多中文文献再对GDPR提出严厉批评之前,应当先花点时间理解GDPR的立法理念以及制度设计。在笔者看来,风险为路径的思路,也应当为我国后续的《个人信息保护法》的立法所积极借鉴。
本文即将发表于《中国信息安全》2018年第7期