查看原文
其他

第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

李玲 冯群星 网安寻路人 2020-02-26

今年1月21日,因违反欧盟《一般数据保护条例》(简称GDPR),法国数据监管机构CNIL对谷歌开具了五千万欧元的罚单。


CNIL处罚谷歌的一个论证基础在于,谷歌收集并使用的个人数据具有规模性与侵入性,但却未能满足透明度、信息披露和明示同意的相关要求。以“个性化广告”为例,用户无法从谷歌的隐私政策中充分了解数据处理过程可能涉及到的其他产品,如谷歌搜索、YouTube、谷歌地图等。


这起案例及其背后涉及的数据融合问题,引起了诸多业内专家的关注。3月21日,以数据融合为主题的第十期数据保护官(DPO)沙龙在北京小米公司举行。会上,谷歌的数据融合处罚案例被多次提及,与会的数十位公司法务、律师等一线实务工作者还就数据融合的不同场景及合规路径进行了探讨。

                

第十期DPO沙龙现场视频


平台型公司存在数据饥渴,数据融合是必然要求


纵观十期数据保护官沙龙,这次以“数据融合”为主题的沙龙大概是主讲人抛出问题最多的一次。在自由讨论环节中,主持人北京大学法治与发展研究院高级研究员洪延青和五位演讲者,一共梳理罗列了16个数据融合的问题,与现场嘉宾共同讨论。


首先一个最基本的问题,什么是数据融合?北京市环球律师事务所律师吴迪援引维基百科的定义介绍,数据融合是整合多个数据源以产生比任何单个数据源提供的更一致,准确和有用的信息的过程。


在他看来,数据融合主要发生在以下场景:一种是A公司有不同的产品线,比如机票预订和酒店预订。为提供更精准的服务,A公司打通了两条产品线的数据库,在用户搜索机票信息时也推送相关酒店服务。另一种则是,B和C公司各自只经营火车票和机票预订业务,为了与A公司竞争,两家公司决定共享用户数据,进行产品更新。


“今天说的是数据融合,更多说的是个人信息,难点也在这里。”北京市安理律师事务所合伙人王新锐以金融领域为例,介绍了数据融合的典型业务场景。比如反欺诈,金融平台除了根据用户提供的信息,还会从通过其他渠道验证用户身份。一些网贷平台还要求用户授权允许获取天猫、京东以及不同社交网络的数据,以此判断是否可以放贷。


“当数据汇集到一个大池子里,说明数据已经开始融合。”王新锐认为,数据融合很难避免,一方面大数据本身就是不同维度的数据交叉汇集,进而发掘数据的价值,另一方面拥有多重业务的平台型公司也存在数据饥渴,在获客、运营、商业体系等因素的影响下,企业高度需要获取数据。


更重要的是,目前针对数据融合法律尚无有效规制,也就是说法律上并无明确规定数据不能融合。但数据融合背后的合规难点,比如怎样处理透明性的问题,如何告知用户同意,是否会给消费者带来危害,哪些场景应该禁止或强力约束,数据融合是否作为不正当竞争或反垄断的考量因素等问题,仍有待探讨。


数据融合应当衡量风险与利益


在当天的沙龙上,北京市环球律师事务所合伙人孟洁以电影《不问西东》的一个片段,讲述她所理解的数据融合。影片中,为了向女主解释什么是核,男主人公拉着她满清华园奔跑:“假设我是一个原子,当一颗原子加速完成后会射向另一个原子。两颗被加速的原子碰撞时,将释放巨大的能量。”


在孟洁看来,数据融合也有相似之处。一个正在发展中的企业好比在加速的原子,而加速器就是数据。“数据融合可以为企业赋能,但是不能‘不问西东’。”


那么,数据融合背后可能存在哪些风险?小米集团隐私数据法律顾问李昳婧结合个性化广告的场景分析认为,其中的风险具体表现在用户感知、监管态度和法律风险三方面。


基于用户搜索记录、行为偏好等信息形成用户画像,使得个性化广告可以实现千人千面的效果,精准触达目标群体。但数字创意公司Razorfish的一项调查显示,几乎超过四分之三的用户认为,定向广告是对隐私的一种侵犯。


而从监管的态度来看,执法机构似乎更趋向于严格。当天,小米集团隐私数据法律专家朱玲凤分享了法国数据监管机构CNIL处罚谷歌案,详细介绍了数据融合可能产生的监管与法律合规风险。


专家介绍谷歌数据融合之路。潘颖欣/摄


2012年1月24日,谷歌通过官方博客宣布将不同产品的隐私政策汇成一个统一的隐私政策。在新修订的隐私政策中,谷歌增加了数据融合的描述:


“我们利用从所有服务中收集的信息来提供、维护、保护和改进这些服务,同时开发新的服务并保护谷歌以及用户。我们还会使用此类信息为您提供定制内容,例如向您提供相关程度更高的搜索结果和广告。”


随后,谷歌的这项隐私政策变动引起了欧盟第29条工作组(WP29)的关注,CNIL被指定为检查工作的主导者,并呼吁谷歌暂停更新计划。在此后的两年间,荷兰、意大利、西班牙等多国数据监管机构也纷纷就此展开调查及要求谷歌修改。


时隔七年,谷歌再次面临相似的境遇。今年1月21日,法国数据监管机构CNIL对谷歌开出了GDPR生效以来的最高金额罚单。CNIL经过三个月的调查认为,谷歌有两处违反了GDPR:一是未满足透明度和信息披露的相关要求,二是未尽到为个性化广告提供法律依据的义务。


据朱玲凤介绍,CNIL认为谷歌跨业务融合数据及使用于个性化广告时,应当以更加清晰以及可理解的方式,让用户了解谷歌处理的数据类型、数量以及所产生的后果。即使谷歌采取了与行业内其他公司同等程度的描述,但其数据处理行为的大规模性和复杂性,使得CNIL认为谷歌不符合GDPR的要求。


数据融合的合规要求:考虑用户正当期待


大数据时代,不同维度的数据融合是必然趋势,但基于用户的隐私担忧和来自监管的要求,企业在数据融合前如何满足透明性原则要求,履行信息提供义务等,仍是待厘清的关键问题。


在这种情况下,谷歌作为目前唯一的处罚案例,在业内人士来看具有一定的研究价值。通过对比研究谷歌的两次被罚案例,朱玲凤发现,第29条工作组对谷歌提出的合规性建议,与2019年CNIL处罚决定书里的内容惊人的相似。


“由此可见,数据融合带来的合规性要求是一致的。”朱玲凤认为,数据融合是数据处理行为的一种,因此必须保证数据处理限定于该项数据融合的目的中,且数据数量最小够用即可。数据融合的数据保留期限,应当与目的实现相一致。


在朱玲凤看来,企业进行数据融合前,需要明确告知具体融合的目的以及相应目的下使用的数据类型,并获得用户的同意。用户的同意要件应当包括知情、具体明确和积极表示,即用户以积极的行为表达确认,而非通过默认勾选等方法,同时还应当给予用户便捷有效的退出数据融合的选项。


孟洁也认为,用户感知应当引起重视。企业在做隐私影响评估(PIA)时,需要考虑用户的正当期待,明确数据融合对用户的影响到底是什么?会不会给用户带来不舒服、被打扰的感觉?


DPO沙龙现场。潘颖欣/摄


有DPO社群成员提出,数据融合的合规衡量指标还应考虑范围及目的。从数据类型看,是不同数据在做融合,还是基于同类数据的融合?数据来源是单一控制者,还是出自多方?当数据进行融合后,用户识别度是否有增强,是加深还是补全了用户画像?这种数据融合是出于何种目的,为了商业盈利、企业风控所必须,还是为了响应数据主体的请求、增加用户福祉?


“说到底要看,数据融合是为了公司的利益还是用户主体的利益,以及风险有多大。”一名现场的DPO社群成员表示,数据融合本身会产生一定影响,这种影响有可能是好的,也可能带来不好的后果,争议点就在于融合后如何使用,是否会超出原有的目的范畴。



关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存