中国个人信息保护立法 | 解析GDPR中的风险路径
编者按:
在万众瞩目下,我国《个人信息保护法》历经多年的酝酿,终于和国人乃至世界见面。对这部我国“数字时代的基本法”进行解读,从不同的角度能看到不一样的精妙之处。此前,本公号发表过的关于此议题相关文章包括:
总的来说,我国《个人信息保护法》对欧盟《通用数据保护条例》(GDPR)有很多借鉴。但在与GDPR进行直接对比前,可能需要看到GDPR的另一方面——其条文中对“风险路径”(risk-based)的坚持。由于我国《个人信息保护法》接下来有大量的配套规定和标准要制定,特别是第六十二条授权国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(一)制定个人信息保护具体规则、标准;(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准......在这些规则和标准的制定过程中,笔者建议遵循“风险路径”(risk-based)。因此本文对GDPR中的“风险路径”的主要方面进行分析介绍。
到目前为止,介绍欧盟《通用数据保护条例》(GDPR)的中文文献、评论已经汗牛充栋。大多数集中于以下几点:欧盟将个人数据保护当成基本人权;欧盟通过一部单行法GDPR覆盖了包括公私部门在内的各行各业的个人信息处理行为;GDPR详细规定了个人信息处理的基本原则,如最少够用、目的限定、存储期限最小化等;GDPR赋予了个人对其信息非常广泛的控制权利,如数据可携带权、被遗忘权、反对自动化决策机制权利等;GDPR对大规模处理个人信息的企业,要求设立数据保护官(DPO);GDPR要求产品和服务应实现通过设计和默认设置实现隐私保护(Privacy by Design and by Default);GDPR重构了欧盟层面的个人数据保护的落实机制;GDPR处罚额度可高达2000万欧元或年收入4%,两者取其高GDPR要求个人数据流出欧盟,应确保足够的(adequate)保护水平等。
对GDPR实体规则的译介很有必要,但还要从立法理念来掌握GDPR的精髓。因为只有牢牢把握了GDPR的立法理念,才能拨开云雾见青天,有的放矢地开展GDPR相关的工作。对于这点,尚没有中文文献深入剖析。
那GDPR的立法理念是什么呢?其实很简单,特别对于从事网络安全行业的同仁来说非常容易理解:GDPR是一部以“风险为路径”(Risk-based)的个人数据保护法。无论是与欧盟委员会官员的私下交流,还是与德国、比利时、希腊的数据保护局(Data Protection Authority)的正式会面和合作中,笔者都能经常听见“风险为路径”的字眼。在2018年发布的宣介材料“GDPR:新机会、新义务”(The GDPR: New Opportunities, New Obligations)中,欧盟委员会也将“风险为路径”作为GDPR的主要特征。因此,笔者将根据自己的理解和分析,从四个方面阐述,围绕着“风险为路径”,GDPR如何构造出精妙的个人数据保护体系。
一、个人数据
常见的论述都注意到了GDPR对个人数据的划分,特别是专门提出了“特殊类型个人数据”。GDPR第9条规定:“处理个人数据,能够揭露出其种族、民族、政治观点、宗教和哲学信仰,或工会成员身份;处理基因数据、生物识别数据,以识别出特定个人;处理健康数据、与自然人性取向或性经历有关的数据”,上述数据为特殊类型的个人数据。显然,这是依风险的一种划分方式。诚如GDPR前言第51段所述,这些所谓的特殊类型个人数据,“依其性质对基本权利和自由特别敏感的个人数据,因其处理过程中可能对于基本权利和自由造成显着风险,故值得受到特别保护”。
实际上GDPR从另外一个维度对个人数据进行了划分:个人数据的识别度。这一点为几乎所有的中文文献所忽略。在GDPR的文本中,实际上存在四种识别度的个人数据。
一是已识别的数据:与已识别出(identified)的自然人相关的任何信息。
二是可识别的数据(Readilyidentifiable data): 假名化且保留额外的数据、保留原始数据副本、数据能够可逆变形且控制者知晓变形方式等。
三是GDPR第11条所规定的去标识化程度的个人数据: 即如果数据控制者能“表明其无法识别出特定个人时(the controller is able to demonstrate that it is not in a position toidentify the data subject),数据控制者应在可能的情形中通知数据主体,同时,第15条至20条的规定将不予适用,除非数据主体为行使其权利,向数据提供者额外提供了信息使数据控制者能够重新识别出特定个人”。
四是匿名化数据:指无法与已识别或可识别的自然人相关联(related to)的数据。GDPR规定,判断是否可识别,应考虑到控制者本身或他人所能采用的、所有可合理用以直接或间接地识别数据主体的方式。为确认何为可合理使用作为识别数据主体的方法,应考虑所有客观因素,诸如:识别所需的成本与时间,并考虑到数据处理当时现有的技术及科技发展。
四种识别度的数据,如何体现了风险的思路?首先,已识别和可识别的数据,毫无疑问属于个人数据,但是由于可识别数据相对于已识别的数据,对个人的识别度相对较低,GDPR对前者给了一些特殊“优待”,突出体现在判断目的兼容的条款中。GDPR中目的限制原则规定,“个人数据收集必须符合明确、明示、正当的目的,处理个人数据时应与这些目的相匹配”。第6条第二款同时规定,“当个人数据处理超出数据收集时出于的目的时,且没有数据主体的同意或欧盟、成员国法律作为基础时,数据控制者应判断另外的目的,是否与数据收集出于的目的相匹配,在判断时应考虑下述因素……”。这些因素之一就包括“是否采取了合适的保护措施,例如加密和假名化处理”。换句话说,如果采取了假名化等降低识别度的措施,新目的和原有目的的“距离”可以稍微“远”些,也可被认定为新旧的目的之间相互兼容。这个规定直接激励数据控制者主动降低数据的识别度,识别度降低,对个人合法权益的风险当然就更低。
其次,GDPR合规工作中最难实现的个人数据主体的权利。而如果数据控制者能做到GDPR第11条所规定的去标识化程度,GDPR明确规定包括查询、更正、删除(包括被遗忘权)、限制数据处理、携带等权利(也就是第15到20条),数据控制者是无需实现的。也就是说,数据控制者主动降低识别度至其本身无法识别个人,则GDPR相应地给予了这些“优待”,能够节省巨大的合规成本。
最后,匿名化数据,由于无法指向个人,因此GDPR将其排除在管辖范围之外。
因此,随着识别度的依次降低,GDPR也区别对待,或者给予合规“优待”或“豁免”,直至排除适用,这都体现了经典的风险管理的思路。
二、个人数据处理的合法事由
GDPR要求,处理个人数据应当具备合法事由(lawful processing grounds)。第6条第一款规定了六项合法事由可供数据控制者选择,分别是:“数据主体对出于单个或多个特定目的而处理其个人数据表示同意;处理是为向身为合同当事人之数据主体履行合同所必须的,或在缔约前,应数据主体的要求所必须采取的步骤;因履行数据控制者承担的法律义务而必须处理个人数据的;为保护数据主体重大利益或其他自然人重大利益而必须处理个人数据的;为公共利益而执行任务,或数据控制者履行赋予的公共职能时,必须处理个人数据的;因数据处理者正当利益或第三方正当利益而必须处理个人数据的,但当数据主体的利益或基本权利和自由(特别当数据主体尚未成年时)高于上述正当利益时,不得使用该事由。”
上述合法事由,实际上与个人数据主体权利差异化配置,依然体现了风险路径。首先看同意和合同事由。因为同意在GDPR中应当是“数据主体通过书面声明或经由一个清楚确定的动作,表示同意对其个人数据进行处理。该意愿表达应是自由给出的(freely given)、特定的(specific)、显示出数据主体对前因后果清楚的(informed)、清晰明确的(unambiguous)”。因此,为了确保同意的合法有效,数据控制者需要把数据处理相应的风险告诉个人。而在获得用户的同意后,用户就不拥有第21条反对数据处理的权利,但拥有撤回和要求删除的权利。如果是基于合同事由,一般来说合同应是用户主动发起,显然用户对风险是知悉的,此时用户并没有撤回的权利也没有反对的权利,且在合同存续期间,用户没有第17条规定的删除权(被遗忘权)。同时,由于这两个事由中,个人或是自主选择,或是主动发起,为了一以贯之保障用户的主观能动性,GDPR还赋予个人第20条的数据可携带权。
其次看公共利益、正当利益这两个事由。与保护数据主体重大利益(一般为紧急情况下,如车祸)和履行法律义务这两个事由相比,公共利益和正当利益更多的是依赖于数据控制者自己的判断,个人数据主体参与程度很低,GDPR相应地赋予了个人数据主体事中、事后的反对、限制、删除的权利。这样的配置体现了一种风险动态平衡的思路,鼓励个人主动参与到风险治理的过程,并提供了相应的工具。值得注意的是,在这两个事由中,乃至于重大利益和履行法律义务,个人并没有撤回权和可携带权。
总的来说,GDPR用六个合法事由概括了现实生活中可能出现的各种个人数据处理的情形,并考虑个人和数据控制者处置个人数据处理所带来风险中的相对优势地位,进行了权利、义务的精细配置。
三、数据控制者的总体保护义务和DPIA
GDPR第24条总体规定了数据控制者的保护义务。第一款规定:“考虑到数据处理的性质、范围、情境、目的,以及对自然人权利和自由的不同程度和大小的风险,数据控制者应采取合适的技术和组织方面的措施,以保证数据处理符合GDPR的规定。这些措施应经常评估和更新”。第二款更规定上述“措施应与数据处理的风险合乎比例,应包括在内部建立合适的数据保护政策。”
显然,该条文的写法也突出风险管理的路径。用大白话说就是,你要干什么事,就要考虑会对外界造成什么风险;为了降低这些风险,需要提出与面临风险相称的保护措施;这些保护措施还必须经常评估和更新,以适应风险态势的变化。
以上是对数据处理风险一般性的规定。对于高风险的数据处理行为,GDPR还专门规定数据控制者应当开展数据保护影响评估(data protection impact assessment)。第35条第一款规定:“在考虑数据处理性质、范围、情境、目的后,数据控制者如认为数据处理,特别是采用新技术的处理,可能导致个人权益有较高的风险被侵害的,应在处理前,进行数据保护影响评估”。该条第三款还规定了“在以下场景中,数据保护影响评估被特别要求:a)基于自动化数据处理,包括数字画像,对数据主体个人方面开展系统和广泛的评估,且评估对个人能产生法律效力,或类似重大的影响;b)对特定类别的数据进行大规模处理,或处理与刑事犯罪和刑事起诉相关的个人数据的;c)对公开区域进行大规模、系统性监控的”。
开展数据保护影响评估的目的,在于督促数据控制者主动考虑风险,主动提出降低风险的方案。GDPR还在第36条规定,“如前述的数据安全影响评估表明,数据控制者不采取额外措施的话,数据处理将带来较高的风险,则数据控制者应在数据处理开始前,征求监管机构的意见。”这些规定再一次体现了GDPR对风险的审慎态度。目前,中国版的DPIA标准已经制定完成,并已生效,有力地支撑了我国《个人信息保护法》第五十五和五十六条的实施。【《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布】
四、数据保护监管机构的处罚
GDPR规定的高额处罚规定非常吸引人眼球。但处罚并非目的,更重要的是改变数据控制者的行为。因此GDPR第83条规定,个案中的行政罚款应当是“有效、合乎比例、惩戒性”(“effective, proportionate and dissuasive”)。该条第二款规定在决定处罚数额中应当考虑的因素中,许多都和数据处理所带来的风险有关系,同时数据控制者事先采取的能够降低风险的措施,也会在决定处罚数据中予以考虑。
在此例举以此相关的因素:“(a) 违规的性质、严重性及持续期间,并考虑到处理的性质范围或目的,以及受影响之数据主体人数及其受损程度;(b) 违规的故意或过失;(c) 所采减少数据主体损害的任何行为;(d) 控管者或处理者的责任程度,并考虑到其依第 25 条(PbD)及第 32条(Security)所实施的技术上及组织上的措施;……(g) 违规所影响的个人资料类型 ;……(k) 任何其他适用于该个案情形之加重或减轻因素,例如因违约而直接或间接获得的经济利益或避免的损失。”
可见,在决定处罚数额中,GDPR依旧贯彻了风险路径:涉事的数据处理行为是否高危、是否造成了严重后果、数据控制者是否事先采取降低风险的措施等等。这些因素都会影响处罚的力度。
五、结语
总的来说,GDPR贯彻的风险路径,体现于文本中许多规定之中。正如欧盟委员会报告所述,坚持风险路径“避免繁重、僵化的义务,并根据不同风险定制化了不同的义务”(avoids a burdensome, one-size-fits-all obligation and instead tailorsobligations to the respective risks.)换句话说,面包店涉及的处理个人数据的风险,显然和开展征信业务的公司所涉及的风险截然不同,GDPR并不要求前者采取和后者相同的个人数据保护义务,例如任命个人数据保护官、开展数据保护影响评估等。因此,许多中文文献再对GDPR提出严厉批评之前,应当先花点时间理解GDPR的立法理念以及制度设计。在笔者看来,风险为路径的思路,也应当为我国《个人信息保护法》相关的后续立法和标准制定所积极借鉴。(完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
数据安全法系列文章:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
网络空间的国际法适用问题系列文章:
赴美上市网络、数据安全风险系列文章如下:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
数据要素治理的相关文章包括:
人工智能安全和监管的系列文章:
关于保护网络和信息系统安全的相关文章包括:
数据执法跨境调取的相关文章: