第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论
编者按:
2018年10月28日,第五期“数据保护官(DPO)沙龙”在环球律师事务所举行。以下文字部分为南都记者就本次沙龙所发表的一篇综述和制作的视频(非常感谢南都隐私护卫队!!),另外此次沙龙我们还是照例形成了观点纪要。一并贴出来供大家参考。
正文:
后“FACEBOOK泄密”时代 美国要对互联网巨头重典治乱了吗?
FACEBOOK创始人扎克伯格在美国国会听证会上被议员“围攻”的场景还在被媒体津津乐道,加州州长签署“全美最严网络隐私法规”与苹果CEO库克对联邦层面隐私法的积极表态又相继登上报端。2018年可谓是美国隐私保护的纷扰之年,以对互联网巨头态度宽容著称的美国政府是否会一改常态,推动更严厉的法规法案出台?
2018年10月28日,第五期数据保护官(DPO)沙龙在位于北京华贸中心的环球律师事务所举行,本期沙龙的讨论重点便是近日受到广泛关注的美国隐私保护进展,特别是美国联邦立法相关的重要文件。
谷歌经验:巧妙、交互性和适应性强的数据保护方式
继扎克伯格4月出席国会听证会后,2018年9月,美国国会再次针对“审查保护消费者数据隐私措施”召开聆讯,AT&T、亚马逊、谷歌、推特、苹果等互联网公司均派出代表参加。
在听证会前,谷歌公开发布了一份法规框架建议。这份文件提出了“负责地收集和使用个人信息”、“让个人真正实现对个人信息的控制”、“关注对个人与社区造成损害的风险”、“灵活定义个人信息,以确保适当的激励和处理”等数据保护法规框架原则。
安理律师事务所高级合伙人王新锐在沙龙上解析这一文件时表示,在现今隐私问题越发敏感的环境下,谷歌这份文件将近一段时间来,企业发展与用户隐私之间主要的冲突问题都小心翼翼提了出来,例如,对于企业处理个人信息的过严控制究竟会带来什么样的结果等。
王新锐表示,目前需要正视的一个问题是,企业收集的数据中,大部分是“被动数据”,即业务实现必需的数据,一旦拒绝收集,功能就无法实现。他认为,目前各国在立法中,对于这一点还没有做详细的分类。
为应对欧洲一般数据保护条例(GDPR)生效,谷歌更新了隐私政策。与这份文件相通,谷歌试图通过实践经验总结出一套“巧妙的、交互性和适应性强”的数据保护方式。王新锐认为,谷歌与中国企业所面临的问题有很多共性,谷歌的建议为中国企业提供了很大的信息增量。
联邦层面:民主党若赢得中期选举或将推动立法
论及美国近日最受关注的大事件,11月6日将要拉开帷幕的2018年美国中期选举首当其冲。本次中期选举,35个参议院席位及所有435个众议院席位都将改选。
就在2018年初,美国民主党美国民主党代表、众议院少数派领袖 Nancy Pelosi委托另一位民主党国会议员 Ro Khanna提出了一份“互联网权利法案”清单。该清单共有十条原则,涵盖了诸如隐私、网络中立和歧视等主题。
值得注意的是,这一清单明确提出了公众应该享有对于个人信息的修正、删除等权利。由于FACEBOOK隐私泄露事件而受到空前关注的“与第三方共享个人数据”的主动同意权也在清单中被强调。
在周日的沙龙上,北京安理律师事务所高级合伙人罗为就“互联网权利法案”的清单做了介绍,他表示,尽管这一清单由民主党领袖提出,但最终的实现需要美国国策对于隐私保护的态度,取决于两党对于新经济的态度,究竟是支持产业的发展还是对个人隐私的保护。
实际上,Khanna在接受《纽约时报》采访时也明确表示,(推动这一权利法案)将是一个缓慢的进程,必定需要两党共同的支持,同时他表示:“技术本身无关道德——它能够在许多方面非常出色,但在其他方面则不见得做得好。现在,他们要花上未来十年的时间来思考应如何改造这种技术以实现公共利益。”
据介绍,万维网发明者TimBerner-Lee也参与了该清单的准备,并提供了大量建议。他对此权利清单表示赞同,并在一封邮件中写道:“这项权利法案提供了一系列原则,在创造更健康互联网经济的同时,还能让用户更好地掌控其在线生活。”
美国隐私框架中的“信任机制”或值得被我国借鉴
尽管目前美国还没有一部联邦层面的数据保护立法,但地方政府已经开始行动。2018年6月28日,美国加利福尼亚州颁布了《2018年加州消费者隐私法案》(“CCPA”),旨在加强消费者隐私权和数据安全保护。CCPA被认为是美国国内最严格的隐私立法,将于2020年1月1日生效。
北京环球律师事务所律师孟洁和搜狐法律中心高级研究员崔丽莎一道,在沙龙中系统对比了CCPA与今年5月正式生效的欧洲一般数据保护条例(GDPR)之间的异同。
她认为,与GDPR相比,CCPA有自己的一些特点,例如对于“个人数据”的定义更为广泛,对于删除权的赋予也更加广泛。此外,CCPA对出于商业目的共享个人数据的要求更加严格,并明确提出“企业不得歧视消费者”等等。
特别值得关注的是,孟洁认为CCPA用户权利实现的基础是个人控制其信息的使用(包括销售)的能力,包括有权拒绝对其个人信息的出售,有权享有平等的服务与价格等。CCPA还特别规定公司可以向加州居民提供财务奖励,包括赔偿收集或出售的消费者个人信息等,这些都是GDPR中未提及的。
同时,孟洁还提出了美国隐私框架中对我国个人信息保护立法有借鉴意义的内容。她表示,在原则和理念上,美国用户导向的机制与企业与消费者之间建立起的信任机制非常重要。此外,美国以风险为基础方法的调整保护方式的理念也值得考虑借鉴。在具体方法上,美国隐私文件中,对消费者知情权、自决权的保障,以及将隐私保护融入界面与产品设计的思路也是企业与消费者形成信任的方法之一。
此外,孟洁还介绍了美国商务部国家电信和信息管理局对公开征求意见的“推进本届政府消费者隐私保护”文件,以及国家标准与技术研究院正在组织开展的隐私保护框架(Privacy Framework)相关工作。来自完美世界法务部的薛颖律师介绍了美国互联网协会和美国信息技术产业理事会提出了隐私保护框架性文件。
总结起来,上述文件中浮现了两级关键词。第一级高频词是“透明性”、“可课责性(accountability)”、“披露”、“控制”、“数据质量”、“安全”、“知情”。第二级高频词为“同意”、“可携带”、“(有限制的)删除权利”、“最小化”、“用户知情”、“基于风险”。
洪延青表示,此次沙龙重点关注的,即是美国目前出现的联邦隐私立法重要文件是否如其所言,提供了与欧盟《通用数据保护条例》(GDPR)截然不同的路径,是否更加支持创新,支持发展,支持中小企业。他认为,如何在隐私保护的法律明确性、统一性与创新性、灵活性之间找到一种平衡,是美国探寻的道路,也是我国应该思考的问题。
以下为DPO社群在此次讨论中形成的观点纪要
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点