第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东
今年1月21日,因违反欧盟《一般数据保护条例》(简称GDPR),法国数据监管机构CNIL对谷歌开具了五千万欧元的罚单。
CNIL处罚谷歌的一个论证基础在于,谷歌收集并使用的个人数据具有规模性与侵入性,但却未能满足透明度、信息披露和明示同意的相关要求。以“个性化广告”为例,用户无法从谷歌的隐私政策中充分了解数据处理过程可能涉及到的其他产品,如谷歌搜索、YouTube、谷歌地图等。
这起案例及其背后涉及的数据融合问题,引起了诸多业内专家的关注。3月21日,以数据融合为主题的第十期数据保护官(DPO)沙龙在北京小米公司举行。会上,谷歌的数据融合处罚案例被多次提及,与会的数十位公司法务、律师等一线实务工作者还就数据融合的不同场景及合规路径进行了探讨。
第十期DPO沙龙现场视频
平台型公司存在数据饥渴,数据融合是必然要求
纵观十期数据保护官沙龙,这次以“数据融合”为主题的沙龙大概是主讲人抛出问题最多的一次。在自由讨论环节中,主持人北京大学法治与发展研究院高级研究员洪延青和五位演讲者,一共梳理罗列了16个数据融合的问题,与现场嘉宾共同讨论。
首先一个最基本的问题,什么是数据融合?北京市环球律师事务所律师吴迪援引维基百科的定义介绍,数据融合是整合多个数据源以产生比任何单个数据源提供的更一致,准确和有用的信息的过程。
在他看来,数据融合主要发生在以下场景:一种是A公司有不同的产品线,比如机票预订和酒店预订。为提供更精准的服务,A公司打通了两条产品线的数据库,在用户搜索机票信息时也推送相关酒店服务。另一种则是,B和C公司各自只经营火车票和机票预订业务,为了与A公司竞争,两家公司决定共享用户数据,进行产品更新。
“今天说的是数据融合,更多说的是个人信息,难点也在这里。”北京市安理律师事务所合伙人王新锐以金融领域为例,介绍了数据融合的典型业务场景。比如反欺诈,金融平台除了根据用户提供的信息,还会从通过其他渠道验证用户身份。一些网贷平台还要求用户授权允许获取天猫、京东以及不同社交网络的数据,以此判断是否可以放贷。
“当数据汇集到一个大池子里,说明数据已经开始融合。”王新锐认为,数据融合很难避免,一方面大数据本身就是不同维度的数据交叉汇集,进而发掘数据的价值,另一方面拥有多重业务的平台型公司也存在数据饥渴,在获客、运营、商业体系等因素的影响下,企业高度需要获取数据。
更重要的是,目前针对数据融合法律尚无有效规制,也就是说法律上并无明确规定数据不能融合。但数据融合背后的合规难点,比如怎样处理透明性的问题,如何告知用户同意,是否会给消费者带来危害,哪些场景应该禁止或强力约束,数据融合是否作为不正当竞争或反垄断的考量因素等问题,仍有待探讨。
数据融合应当衡量风险与利益
在当天的沙龙上,北京市环球律师事务所合伙人孟洁以电影《不问西东》的一个片段,讲述她所理解的数据融合。影片中,为了向女主解释什么是核,男主人公拉着她满清华园奔跑:“假设我是一个原子,当一颗原子加速完成后会射向另一个原子。两颗被加速的原子碰撞时,将释放巨大的能量。”
在孟洁看来,数据融合也有相似之处。一个正在发展中的企业好比在加速的原子,而加速器就是数据。“数据融合可以为企业赋能,但是不能‘不问西东’。”
那么,数据融合背后可能存在哪些风险?小米集团隐私数据法律顾问李昳婧结合个性化广告的场景分析认为,其中的风险具体表现在用户感知、监管态度和法律风险三方面。
基于用户搜索记录、行为偏好等信息形成用户画像,使得个性化广告可以实现千人千面的效果,精准触达目标群体。但数字创意公司Razorfish的一项调查显示,几乎超过四分之三的用户认为,定向广告是对隐私的一种侵犯。
而从监管的态度来看,执法机构似乎更趋向于严格。当天,小米集团隐私数据法律专家朱玲凤分享了法国数据监管机构CNIL处罚谷歌案,详细介绍了数据融合可能产生的监管与法律合规风险。
专家介绍谷歌数据融合之路。潘颖欣/摄
2012年1月24日,谷歌通过官方博客宣布将不同产品的隐私政策汇成一个统一的隐私政策。在新修订的隐私政策中,谷歌增加了数据融合的描述:
“我们利用从所有服务中收集的信息来提供、维护、保护和改进这些服务,同时开发新的服务并保护谷歌以及用户。我们还会使用此类信息为您提供定制内容,例如向您提供相关程度更高的搜索结果和广告。”
随后,谷歌的这项隐私政策变动引起了欧盟第29条工作组(WP29)的关注,CNIL被指定为检查工作的主导者,并呼吁谷歌暂停更新计划。在此后的两年间,荷兰、意大利、西班牙等多国数据监管机构也纷纷就此展开调查及要求谷歌修改。
时隔七年,谷歌再次面临相似的境遇。今年1月21日,法国数据监管机构CNIL对谷歌开出了GDPR生效以来的最高金额罚单。CNIL经过三个月的调查认为,谷歌有两处违反了GDPR:一是未满足透明度和信息披露的相关要求,二是未尽到为个性化广告提供法律依据的义务。
据朱玲凤介绍,CNIL认为谷歌跨业务融合数据及使用于个性化广告时,应当以更加清晰以及可理解的方式,让用户了解谷歌处理的数据类型、数量以及所产生的后果。即使谷歌采取了与行业内其他公司同等程度的描述,但其数据处理行为的大规模性和复杂性,使得CNIL认为谷歌不符合GDPR的要求。
数据融合的合规要求:考虑用户正当期待
大数据时代,不同维度的数据融合是必然趋势,但基于用户的隐私担忧和来自监管的要求,企业在数据融合前如何满足透明性原则要求,履行信息提供义务等,仍是待厘清的关键问题。
在这种情况下,谷歌作为目前唯一的处罚案例,在业内人士来看具有一定的研究价值。通过对比研究谷歌的两次被罚案例,朱玲凤发现,第29条工作组对谷歌提出的合规性建议,与2019年CNIL处罚决定书里的内容惊人的相似。
“由此可见,数据融合带来的合规性要求是一致的。”朱玲凤认为,数据融合是数据处理行为的一种,因此必须保证数据处理限定于该项数据融合的目的中,且数据数量最小够用即可。数据融合的数据保留期限,应当与目的实现相一致。
在朱玲凤看来,企业进行数据融合前,需要明确告知具体融合的目的以及相应目的下使用的数据类型,并获得用户的同意。用户的同意要件应当包括知情、具体明确和积极表示,即用户以积极的行为表达确认,而非通过默认勾选等方法,同时还应当给予用户便捷有效的退出数据融合的选项。
孟洁也认为,用户感知应当引起重视。企业在做隐私影响评估(PIA)时,需要考虑用户的正当期待,明确数据融合对用户的影响到底是什么?会不会给用户带来不舒服、被打扰的感觉?
DPO沙龙现场。潘颖欣/摄
有DPO社群成员提出,数据融合的合规衡量指标还应考虑范围及目的。从数据类型看,是不同数据在做融合,还是基于同类数据的融合?数据来源是单一控制者,还是出自多方?当数据进行融合后,用户识别度是否有增强,是加深还是补全了用户画像?这种数据融合是出于何种目的,为了商业盈利、企业风控所必须,还是为了响应数据主体的请求、增加用户福祉?
“说到底要看,数据融合是为了公司的利益还是用户主体的利益,以及风险有多大。”一名现场的DPO社群成员表示,数据融合本身会产生一定影响,这种影响有可能是好的,也可能带来不好的后果,争议点就在于融合后如何使用,是否会超出原有的目的范畴。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点