【数据法学】Marina Skrinjar Vidovi:欧盟数据保护改革:云计算面临的挑战
B D A I L C
欢 迎 关 注
译者按
欧盟通用数据保护条例(General Data Protection Regulation即GDPR,以下简称为“条例”)将于2018年5月25日正式生效,将带来一系列的如在数据定位、搜索、保护和监控的重大制度改革,关乎到诸多企业,影响广泛。云计算产业作为近年来产值不断跃升的全球性朝阳行业,与上述方面息息相关,欧盟为此也专门发布了“欧盟云计算行动计划”等意见。本文对“条例”下云计算提供商们的新合规要求的分析与评估,亦可为我国云计算企业的欧盟地区经营业务提供指引,并为我国云计算产业的本国合规实践提供借鉴。
Ian Fisher
欧盟数据保护改革:云计算面临的挑战
文 / Marina Skrinjar Vidovi
译 / 中山大学法学院助教 杜靖莹 黄锐浩
欧盟委员会(EC)将数据保护立法视作云计算在欧洲发展和扩张的一大主要障碍。根据欧盟委员会要促进欧盟(EU)中云计算的发展环境建设的目标,本文旨在评估:在“条例”框架下,云服务提供商们的新角色、责任后果和个人新权利。分析表明,鉴于欧盟把数据保护置于一项基本权利的地位,“条例”大大提高了云计算中数据保护的标准,这使得欧盟内云服务提供商们面临着比非欧盟竞争有更高要求的挑战。进一步的分析表明,通过提高隐私保护技术和“条例”的域外适用,再加上巨额违规罚款,“条例”提供的工具或许可以使得非欧盟的服务提供商将其商业模式调整为符合欧盟标准,从而重新平衡可能出现的的市场中云计算服务瓦解情形。本文结论是:“条例”提供了或许能使全球数据尤其是云计算的保护标准提高的工具。
欧盟数据保护指令(DPD[1],以下简称“指令”)于1995年通过并于1998年10月25日生效。从那时起,“指令”一直是欧盟数据保护领域的主要法律文书。
然而,数据保护制度近年来一直是欧盟最为棘手的问题之一,其原因众多。里斯本条约[2]于2009年12月通过,其中最重要的变化之一是《欧盟基本权利宪章》[3]具有法律约束力——数据保护被提升为了一项单独的基本权利的地位。因此,这显示了对“指令”中基本层面的重视,在近年来[4]的欧洲法院(CJEU)的判例法中已经很明显。此外,目前收集、处理和获取数据的方式已不同于约二十年前。尽管“指令”为数据保护提供了坚实的基础,但它既没有为处理数据收集和存储的爆炸式增长作准备,也没有专门针对处于监管灰色地带的云计算。[5] “指令”的另一个缺陷是它没有在欧盟[6]范围内产生所需的国家立法协调机制。CJEU的裁决授权国家数据保护机构(DPA,以下简称“机构”),这也为对数据保护规则有多种不同解读的状况埋下了祸根[7]。欧盟范围内的这种差距反过来又成为企业高昂的行政负担成本。[8] 最后,斯诺登对几个国家的大规模未经授权的监视行动的揭露引起了欧盟公民对隐私保护的关注,推动建设了欧盟的改革数据保护框架。
与此同时,欧盟委员会(EC)在其电子议程中设定了释放云计算潜力的目标。预计结果是:欧盟云计算的累计经济影响可能高达9400亿欧元及2015-2020年期间[9]将达到的380万个就业机会。然而,欧盟委员会已将数据保护立法列为了云计算在欧洲[10]发展和扩张的主要障碍之一。欧盟委员会还特别强调,27个国家的差异化立法框架在数字单一市场层面上、尤其是在有厘清国际云数据传输规制上的需求时,失去了具有成本效益的云端解决方案;其他评论则强调,需要提高数据处理的透明度以及需要确定云端提供商的相关位置。
数据保护工作组即所谓的第29条数据保护工作组(WP29,以下简称“工作组”)[11]于2012年7月1日[12]通过了关于云计算的意见。“工作组”在该意见中概述了云计算服务的大规模部署如何能够引发一些数据保护风险,其中主要是缺乏对个人数据的控制,以及没有充分的信息来说明如何、在哪里和由谁来对数据进行(子)处理。该意见还给出了一份如何应用目前的欧盟数据保护指令的建议清单,尽管这并非必需的,欧盟委员会对此仍表示欢迎。[13]
云计算的发展似乎已经显示了“指令”所表现出的所有缺点。数据在云端中迅速移动的能力以及对其实体位置透明度的缺乏给决策者带来了难题。虽然欧盟的立法都是关于保持对数据的控制、并依赖于控制者能完全控制数据处理的假设,但是云计算的使用会降低直接控制的水平。此外,大多数云计算合同都将云端处理者的责任限制在与数据主体的潜在风险并不相当的水平。
面对新技术的挑战和现行数据保护指令中存在的上述缺陷,欧盟在2009年宣布启动了欧盟数据保护改革程序,经过多年深入谈判,欧洲议会于2016年4月通过了受期待已久的“通用数据保护条例”(GDPR,即“条例”)[14]。“条例”将取代目前的数据保护指令并将直接适用于每个欧盟成员国。尽管如此,在“条例”于2018年5月24日生效之前,“指令”仍然是规范欧盟法律这一领域的主要法律工具。而“条例”本身并非专门针对云计算,而是表现为技术中立。这意味着无论用于处理个人数据的手段如何,“条例”的规则都适用。然而,由于云端中发生的数据处理的性质,它将对云计算产生特定的影响。
在欧洲议会、欧盟委员会和部长理事会的三方谈判中,欧洲法院(CJEU)在制定“条例”方面发挥了积极的作用,因为“条例”的最终文本受到了欧洲法院在谈判期间所作出的裁定的高度影响。2014年,法院在Digital Rights Ireland案[15]中发布了一项具有里程碑意义的裁决:它使2006年数据保留指令无效——因该数据保留指令要求私人提供商为执法目的保留相当期间长的电子通信元数据。欧洲法院通过认为欧盟立法机构已经超越了“欧盟宪章”(第七条,第八条和第五十二条第一款)某些规定中相称性原则的界限,从而将欧盟公民的隐私和数据保护权作为中心阶段的基本原则。Google Spain案[16]是最重要的,不仅因为欧洲法院承认“被遗忘权”,更因为它分析了:互联网搜索引擎是否应该被视为数据控制者或数据处理者;欧盟数据保护法的领土适用;以及将数据保护权延伸至互联网。
最后,在Schrems案[17]中,法院驳回了欧盟与美国之间数据转移的安全港充分性决定,指出它没有提供相当于欧盟保护标准的数据保护水平。法院还特别指出,美国情报机构获得的数据传输权干扰到了尊重欧盟公民私生活权和欧盟公民私人数据权,从而提高了数据保护作为基本权利的地位。此外,该判决提升了“机构”的地位——它获得了评估和应对欧盟委员会所作出的充足性决定的权力。
在“数据保护是一项人权”和“确保欧盟云端市场发展的环境”之间形成协同效应,在很多方面都是具有挑战性的。考虑到欧盟委员会的计划是:一方面推动欧盟云服务提供商的建立和运营,另一方面旨在向欧盟公民确保他们在云端中的数据在欧盟委员会的控制之下是安全的,本文旨在确定“条例”是否将使这些合规问题对欧盟云服务提供商而言变得更容易,从而确保对他们而言会有一个有利的环境。因此,本文分析了“条例”下云服务提供商的新角色和职责。新义务的影响将在其实施范围内进行分析,这包括加密、域外法权和跨境数据流的规定。考虑到近十年来云计算发展的热门话题,本文提供了许多学者处理复杂云环境中数据保护规则最重要不足之处的参考。本文的目的并不是要分析云计算的技术方面,尽管其最重要的方面将被提及,以分析“条例”的最终规定及其影响。本文也并不打算对“条例”下的云计算提供任何形式的综合经济分析,它的目的更为有限——仅强调和提示“条例”潜在的繁重措施会产生的潜在影响。
本文的结论是,“条例”显着提高了与数据保护的基本权利相一致的标准,致使欧盟云服务提供商的处境比非欧盟竞争更加激烈。然而,通过适用隐私保护技术和域外应用“条例”,可能发生的(云)市场衰败现象或许会得到再平衡,使非欧盟服务提供商将其商业模式调整为符合欧盟标准。对中国的潜在影响在于:这可能会导致在全球云市场提高数据保护标准。
“条例”向云端服务提供商以两种不同方式施加了一系列新义务:通过引入数据处理者的合同性责任和通过引入以强化数据主体权利的新措施。二者都会在下文中谈及。
(一)数据控制者和数据处理者间关系的变化
1. 责任加重及其分配
根据欧洲数据保护法,数据控制者和数据处理者之间的区别对于妥善分配责任以及确定所适用的法律至关重要。在这方面,云计算中的两个主要角色是云客户端和云服务提供商:云客户端可能会被视为数据控制者;而云服务提供商则可能被视为数据处理者。然而,在云计算中,有时可能很难确定服务提供者是数据处理者还是数据控制者。实际上,在使用一项云计算服务的个人(数据控制者),不可能明确其所控制的个人数据处理的目的和方式。[18] 在云数据库中,数据被存储在云端的服务器和其他存储设备中,这些数据将会统一并交付给使用正确信息登录数据库的用户。[19] 信息和个人数据将从一个数据中心快速传输到另一个,而消费者却无法控制数据处理的“方式”。此外,还有许多以消费者为导向的云服务:如向用户提供免费服务,而云端提供商使用所收集的个人数据(例如用于定向广告)来帮助支付这些服务;在这种情况下,云服务提供商将成为数据控制者。鉴于此云服务的性质,云计算提供商所扮演的角色应根据具体情况在个案基础上确定。[20]
在现行数据保护指令之下,云端提供商作为数据处理者的直接责任[21]比较少,而且主要是确保处理(数据过程)的安全。[22] 在这方面,“工作组”在其关于控制者和处理者的概念的意见中之处:“认识到在复杂环境中应用定义的困难,在这种情况下,可以预见许多情况,涉及控制者和处理者,[23] 单独或联合地,具有不同程度的自治性和责任”。它已强调有必要“在控制者和处理者之间分配责任,以便在实践中充分保证符合数据保护规则”。因此,为了调整参与者的角色和定义,在“条例”的一些领域中,现在是由数据处理者直接担责,对违规的罚款也会相当大,这将大大改变数据处理者在云端环境中的地位——这意味着服务提供商现在面临监管机构会在其不履行新义务的情况下直接采取执法行动的风险。
在这方面,根据“条例”,云服务提供商将被要求遵守一些新的具体义务(specific obligations),包括:保持所有数据处理活动的足够文件,[24] 实施适当的安全标准,[25] 执行检查数据保护影响评估的常规日程,[26] 指定一名数据保护官员,[27] 遵守与国际数据传输规则,[28] 并与国家的“机构”进行合作。[29]
目前,充当处理者角色的大型云服务提供商(例如Google,Facebook和Apple)都具有标准的、不可协商的服务条款。基于这类云端提供商的盛行,公司接受他们的此种没有讨价还价余地的合同,也因此对数据的控制程度要比作为控制者本应拥有的低。这就是为何“条例”第28条是影响云计算服务的关键条款之一——它列出了处理者和控制者之间的强制性合同条款(obligatory contractual terms)。该合同现在将定义,处理者如何代表控制者执行数据处理,并为控制者和处理者之间的责任转移提供了一个关键工具。在这方面,控制者与处理者之间的合同现在将必须界定处理的客体和持续时间、处理的性质和目的、个人数据的类型和数据主体的类别以及处理的义务和权利。[30] 然而,更重要的是处理者的附加特定合同义务,包括:确保处理者的工作人员承担保密义务;采取适当的安全措施保护数据不受损失、变更或未经授权处理;仅在得到处理者事先许可的情况下才允许使用子处理器;与控制者达成协议,以满足根据规则履行数据主体权利的必要技术和组织要求;协助控制者参与履行其通知监管当局和数据泄露的数据主体的义务;在处理结束或服务协议终止后交出所有个人数据;并在某些情况下向控制者和监督机构提供所需信息。
尽管如此,条例仍保留了现行制度:由控制者负责处理者的行为。此外,“条例”规定,在代表控制者进行处理的情况下,控制者应仅使用提供足够保证的处理者来实施适当的技术和组织措施以使处理过程符合“条例”的要求并确保数据主体的权利受到保护。这一规定提高了云端服务提供商的标准,同时也为客户创造了要测试和检查其购买的解决方案的义务。[31]
处理者只能按照控制者的指示进行操作。如果处理者对个人数据自行作出决定,而非遵循控制者的指示,那么该处理者将被视为处理活动的控制者,并受到控制者对该处理的完全合规义务的约束。[32] 这里必须指出的是,这个规定不适用于IaaS中云服务提供商的应用。在这种情况下,通常控制者本身使用服务提供商的资源处理数据,而不是服务提供商主动为控制者处理数据,所以参考控制者指示处理者对IaaS中的数据处理是没什么意义的。[33] 考虑到“条例”倾向于技术中立,它不符合该技术运作的实际情况。
“条例”也增加了另一项新的要求,以解决不同角色之间的责任和确保数据主体的权利保障的落实。这涉及到共同控制者(joint controllers)有义务在安排中规定各自的责任,特别是他们有义务允许个人行使其个人信息的权利,并向个人提供通知。[34] 共同控制者各自都对处理造成的整体损害负有责任。[35]
为了确保“条例”的有效实施,所有前述的事项都指向引入一个新的责任机制,通过这个机制,处理者可以与控制者一起承担连带责任。控制者和处理者都将受到“条例”下的行政罚款(administrative fines),最高可达2000万欧元或占全球总营业额的4%(以较高者为准)。[36] 更重要的是处理者现在将向他们所处理数据的所有者直接承担责任。个人将有权寻求司法救济,并向由于不遵守“条例”从而侵犯其权利的处理者索要赔偿。此外,根据“条例”的治外法权规定,可以在个人所在的欧盟成员国的法院对非欧盟处理者提起诉讼(扩大保护范围)。但是,处理者只对其处理活动没有合乎“条例”下直接针对处理者的义务、或其在外部或违反控制者合法指示的情况下采取行动时,才对其所造成的损害负责。在这种情况下,如果处理者可以证明其不对损害负责,则将免于承担责任。
直到现在,控制者和处理者都是通过合同来定义它们的角色和权限。但是,拟议的新条款将在未来的合同中引起重大变化。[37] 例如,“条例”从根本上改变了一方面是处理者与控制者、另一方面是个人和“机构”之间的关系。在现行指令下,处理者与“机构”没有直接的联系。但是,未来“机构”将拥有对处理者的调查权,并能够获得处理者所拥有的所有个人数据。它将有权访问处理者的处所、发出警告、规范合规性、禁止处理活动和最终发出罚款。如前所述,处理者(雇用超过250名员工的)须承担维护处理活动记录的新义务,以便根据请求向“机构”提供所记录的信息。这很可能需要处理者在记录保存功能上进行一定的资金投入。
2. 行业标准
为了证明符合实施适当的技术和组织措施的要求,处理者可以遵守由代表控制者和处理者的协会或机构起草的经批准的行为准则或行业标准(codes of conduct or industry standards)。[38] 这些草案必须提交给主管监督机构,他们将就草案符合规定发表意见:若符合,将进行后续注册。这些守则一旦按照规定被采纳,肯定会有助于起草未来的控制者-处理者间合同。根据欧盟通讯委员会在“发挥欧洲云计算潜能”(Unleashing the Potential of Cloud Computing in Europe)中所设想的行动,欧盟委员会在云端选择产业集团内建立了云服务提供商行为准则小组。该行为准则已提交给“工作组”寻求意见[39],据此,在撰写本文时,守则仍然不符合最低限度的法律要求,并且存在一些实质性问题(例如,角色的定义;数据处理的透明度;欧盟对个人数据定义的适用性;对数据可移植性的参考;对国际转让的要求等)。收到“工作组”意见后,“云服务提供商行为准则”目前正在定稿。考虑到“条例”在技术上是中立的,一旦通过,该规范将对云服务提供商帮助他们符合监管的新规定,但得根据云端行业的具体环境。
“工作组”和“条例”都排除了一些活动,虽然这些活动构成了个人数据的处理,但不在欧盟数据保护法的范围之内。与云计算相关的争议例外之一是家庭豁免(household exemption)。考虑到云提供商有向个人和最终用户提供云计算服务的趋势,云提供商是否会受到欧盟数据保护框架的保护和因此个人数据是否得到适当保护是不明确的。在这方面,“条例”明确表述如下:
不适用于自然人在纯粹个人或家庭活动过程中处理个人资料,因此不涉及专业或商业活动。个人或家庭活动可能包括对应和举行地址,或在此类活动的范围内进行的社交网络和在线活动。但是,本法规适用于为个人或家庭活动提供个人资料处理手段的控制者或处理者。[40]
通过插入最后一句话,“条例”填补了“家庭豁免”方面的空白,并提供了一项明确的要求:即在向处于家庭豁免范围内的自然人提供服务时,云端服务提供商与常规数据处理方具有相同的要求。
处理者在“条例”下的新义务在应用于商业化服务(如云基础设施服务)或作为平台即服务模型(IaaS / PaaS)时被批评为不适当和繁琐。[41] 问题是考虑到个人数据的宽泛定义和处理者的新角色,云端设施服务属于“条例”的职权范围内。虽然处理者仅仅向云端用户提供资源并且不知道所存储数据的性质和/或缺乏获取该相应数据的能力。为满足“条例”的要求,他们的地位和商业模式将会发生根本性的变化。
3. 必须征得同意
云服务提供商的另一个负担是前面提到的要求控制者事先向另一(子)处理者提供特定或一般性的书面同意。[42] 云服务一般通过在各种卫星中使用转包商提供。[43] 但是,由于典型的云情景可能涉及更多的分包商,(需要)处理个人数据以进一步处理不相称目的的风险相当高。[44] 现在,根据“条例”,分包商在参与时必须确保与控制者和处理者之间的合同中的数据保护义务相同;特别是他们必须提供足够的保证,以便处理满足“条例”的要求的方式实施适当的技术和组织措施。如果子处理者未履行义务,初始处理者仍对处理者的行为负全责。正如Hon女士强调的那样,[45] 只有云行业中控制其供应链的(美国)大参与者才更可能将“条例”义务转移到子承运人的责任链上,反之小SaaS提供商在与亚马逊,Google或微软谈判时则难以接受这些额外的义务。由此,她预测,这将使更大的参与者主宰欧洲的云市场。[46] “工作组”也认识到(这种)失衡的谈判立场,其倡议敦促委员会为消费者和商业利益组织提供更积极的作用,以便更多地进行谈判,平衡了大型云计算提供商的一般条款和条件。[47] 与此同时,“工作组”还指出:“小型控制者在大型服务提供商方面的合同权力不平衡不应被认定为‘控制人接受不符合数据保护法的合同条款和条款’的理由”。[48] 该法规对现有合同没有过渡性安排,因此所有处理个人数据的服务提供商,无论是否基于云计算,都将必须重新就与数据控制人员签订的合同进行谈判,以确保根据“条例”规定适当分配责任。
(二)增强个人权利的措施
正如立法者所述,[49] “条例”的目的是将数据的控制权交还给数据主体。与此相一致,该法规加强了现有的并同时创建了两项新的“个人数据保护权利”:删除权(right to erasure)和数据可携带权(right to data portability),这将对云提供商产生直接影响,因此在下面进行更详细的分析。
1. 删除权
删除权建立在欧洲法院所承认的所谓“被遗忘权”基础上。[50] 根据该法规通过的条款,在下述情况下,控制者必须删除个人数据,不可无故延迟:数据不再和其收集目的相关联;数据主体撤回同意或没有其他合法理由处理;数据主体反对处理;个人数据已被非法处理;个人数据必须按照国家法律予以删除;已经收集了有关向儿童直接提供信息社会服务的个人数据。在相关批评[51]“删除权与其他基本权利冲突”后,“条例”的最终文本规定:删除权必须与言论自由权和信息权相平衡,遵守联盟或成员国的法律义务,履行公共利益或行使官方权力,公众对健康的利益,科学研究和历史研究以及行使或捍卫法律诉求。
“条例”通过厘清线上运营商的义务来加强删除权,公开个人数据的运营商应采取“合理步骤”通知处理个人数据的其他运营商,以清除个人数据的链接,复制品或复制问题。[52] 该法规没有界定“合理步骤”,因为这些步骤取决于可用的技术和实施成本,但考虑到在云环境中大规模传输数据的可能性,和具体数据的位置可能难以在云中由于碎片而被确定,以及关于谁是原始控制者、原始控制者如何能够识别其需要在复杂的云环境中通知的其他控制者的公开问题,可以假设:删除权将给云提供商带来沉重的负担。[53]
然而,这一规定的主要不足之处在于,数据控制人员在考虑删除数据的请求时,(谁)将负责法官和陪审团的角色。[54] 数据控制人员很有可能不会冒高风险行政罚款(再次达到20,000,000欧元或占全球全年营业额的4%,以较高者为准),并且他们通常会根据数据主体的要求清除数据,这可能随后影响到实现平衡的自由言论和获得信息的权利,而不论强加的安全规定如何。考虑到在行使删除权前应对对不同的基本权利进行平衡测试,该测试至今仍由欧洲法院负责执行,寄期望于云服务提供商有资格参加此项活动是不现实的。因此,应该提供关于适用删除权的非常明确的指示,最好由“工作组”提供,[55] 并且应该加强国家“机构”作为咨询机构在查询删除权方面的作用。
2. 数据可携带权
另一项新的繁重措施是采用数据可携带权[56],旨在解决供应商锁定问题。数据可携带权:当根据同意或合同提供和处理数据时,要求数据控制者确保他们能够以可用和可转换的格式将他们拥有的关于数据主体的个人数据移交给他人。目前,大多数云提供商不使用标准数据格式和服务接口,以促进不同云提供商[57]之间的互操作性和可携带性。对于中小企业来说,这种在控制器之间传输个人数据的新权利造成了不成比例的重大的额外负担——要求对新系统和进程进行大量投资,以确保数据传输的进出口机制。[58]
根据欧盟云计算合同专家组的报告,[59] 数据迁移应视为云提供商提供的额外收费服务。但是,这可能会造成“大(型)”云提供商增加从一个服务转移到另一个服务所需的交易成本的风险,并以这种方式将他们的用户锁定到他们的系统中。在云提供商在市场上占据主导地位的情况下,这可能被认为是一种滥用行为。[60] 因此,有一项政策建议,即数据可携带性规则应与欧盟竞争规则和政策相辅相成。[61] 在2016年12月13日发布的“数据可携性权利准则”中,“工作组”强调,“条例”第12条禁止数据控制者收取提供个人资料的费用,除非数据控制者能够证明这些请求显然没有根据或过度,“特别是因为它们具有重复性”,所以控制器不会为提供个人数据收取费用。[62] 此外,它指出,实际上“条例”第12条侧重于一个数据主体提出的请求,而不是数据控制者收到的请求总数,因此,整个系统实施成本既不应向数据主体收取费用,也不应用于拒绝回答可携带性请求的理由。但是,云市场将如何应用这一建议还有待观察。
(三)结论性评价
在纳入用于增强个人权利的新措施以及数据处理者在“条例”之下的新责任后,云服务提供商将不得不大幅改变其运营方式。政策、程序、技术、培训和工作人员需要投资,以确保完全符合“条例”的要求。例如,根据英国信息专员办公室(Information Commissioner’s Office,下简称“办公室”)关于“条例”合规预期成本的研究,[63] 英国司法部进行了自己的研究,结果显示英国企业的成本每年可能高达3.2亿英镑,超过21亿英镑十四年。[64] 所有这些都可能对价格产生实质性影响,并可能扰乱云计算市场。在这方面,欧盟委员会可能会利用这种可能性来共同资助投资,并通过欧盟资金和计划提供免费培训,以支持小型服务提供商履行新的法律义务。[65] 此外,欧盟委员会应提供额外措施,以便因为“条例”无法解决这个问题,所以要确保在大型云计算提供商方面更加平衡的一般条款和条件。关于实施删除权的详细说明应该由“工作组”进行准备,并且应该加强“机构”在这方面的咨询功能。
然而,即使在违反“条例”义务的情况下,大型云计算公司也能够更好地承担罚款,这对初创公司和小型服务提供商来说却并非如此(实际上,“条例”对云服务提供商带来的担责压力截然不同)。虽然“条例”规定控制者和处理者之间存在连带责任,但客户可以选择他们想要谁支付罚款,然后由供应链中的责任方退还给数据处理者。[66] 因此,即使损害是由控制者造成的,处理者也可能会被起诉,可能是因为它被视为更大型、强势的一方。[67] 如果处理者和控制者之间的合同没有得到妥善协商并且不够详细,赔偿问题最终可能会在法庭程序中结束,[68] 在此期间处理器可能失去其市场地位,其服务可能不再与市场上的其他服务兼容。为了避免这种情况,“工作组”建议:小型的云服务处理者应该被授权进行谈判合同。一个有用的工具可能就是正在定稿的行为准则,它将调整规章要求与云行业的特定环境,并且应该对确定责任和责任划分有更详细的规定。
数据处理者的新职责和数据主体的权利反映了立法者有意确保欧盟公民个人数据的最高级别保护作为一项基本权利。显然而合理的是,由于欧盟云计算的有利环境,该规模正在确保欧盟公民的隐私和安全。这可能会导致市场中断,支持占主导地位的非欧盟云服务提供商。但是,“条例”的实际影响必须根据其适用范围来确定。这包括关于匿名化,领土应用和跨境数据流的规则,这些规则将在后文中进一步分析。
“条例”将“个人信息”界定为任何可以指向已识别或可识别自然人(或称“数据主体”)的信息。[69] 该自然人能够被直接或间接地(尤其是通过标识符)进行识别。“条例”也进一步列举了标识符的类型,[70] 但采取的是非穷尽式列举(采用“例如”的措辞)。GDPR对于个人信息的定义很大程度上受到“指令”的影响,这反映了欧洲立法者有意扩大个人信息保护范围的倾向,而这种倾向在“工作组”的意见[71]和欧洲法院的判例也得到体现。[72] 不仅如此,“条例”还扩大了标识符的范围以涵盖网络标识,[73] 如IP地址[74]、Cookie以及其他标识符(如射频标记),因为它们都会留下痕迹,尤其是与其他特定标识符或服务器接受到的信息结合时,可能会被用于构建数据主体的画像并进行识别。因此,对个人信息的定义范围越广,云服务提供商受到“条例”规制的可能性就越大。此外,适用GDPR的第二个前提是个人信息正在被处理。虽然处理个人信息的规定与“指令”规定一致,[75] 但很可能会囊括云计算中大部分的数据处理情形,包括简单的数据储存行为(IaaS)。
然而,云服务的性质是与GDPR的数据保护规定相违背的。原因在于云服务天然地处在数据隐匿(data indifferent,或称data blind)状态中。[76] 特别是“基础设施即服务”功能(Infrastructure as a Service,简称IaaS),它并不是围绕处理个人信息而设计的。在这种情况下,充当数据处理器的云服务提供商通常不会识别服务器上的个人数据,尤其是当他们无权根据服务协议识别此类个人数据或者用户使用加密工具对数据加密时。[77] 事实上,用户可以在上传数据到云端前就对数据加密,此时云服务提供商没有解密途径可寻,从而避免了额外的隐私风险。[78] 因此,在云计算生态中的数据保护框架下,拥有加密数据且不具有解密途径因而对数据具体内容和性质并不了解的数据处理者,是否需要遵从外延宽泛的数据保护规定呢?关键在于云服务提供商在上传到云端前已经进行匿名化、假名化和加密处理的数据,是否仍在个人信息的定义范围之内。
目前,根据“指令”26条的表述,数据保护原则不适用于匿名数据。但对“匿名化”的定义和适用是有弹性的,特别是如何将个人信息充分匿名化后才能不受“指令”的规制。[79] “工作组”在其关于匿名技术的意见中对假名化、深度加密或匿名化的个人数据作了严格的解释,[80] 对这些技术的可靠性表示怀疑并要求谨慎处理。在上述意见中,“工作组”以非常抽象的方式分析了再识别的真正风险,并表示技术在不断变化,无法排除再识别的风险(尤其是存在将不同数据库结合起来分析的可能)。
借助科技的发展、数据库的整合并在数据之间建立联系,从而识别出与之相关联的自然人,对于破解匿名技术或进行数据再识别毫无疑问是有帮助的。[81] 不过,学者认为如果遵循“工作组”对于匿名化的意见,那么使得欧盟的立法保护得过于宽泛,阻碍了IT业务的整体发展。有学者表示:“一部企图设限的法律很可能是包罗万象的,这破坏了隐私和信息流动之间的平衡,扩张到了所有情形下所有数据的处理。”[82]
在实践中,并非所有的“指令”都接受“工作组”对匿名化的严格要求。例如,“办公室”的准则中声明:“‘机构’并不要求匿名化后完全去除风险——你只须能够减少风险,直到风险比较遥远……100%的匿名化程度时最理想的,在某些情形下可能达到,但这并不是我们判定责任的标准。”[83] “办公室”和瑞士“机构”[84]都同意采纳基于风险来评估再识别以及对相关数据主体带来的影响。[85] 因此,服务商的责任在于对保护隐私采取合理的注意义务,留意目前的技术发展。当然明智的服务商应该对新兴的再识别技术保持警惕,如果无法跟上新技术的发展,也无法及时采取合理的注意义务。[86] 同时,数据的预期储存时间也很重要,例如,仅被储存一个月的匿名数据可能不会被视为个人信息,在一个月内进行再识别的可能性比在几年内进行再识别的可能性要小很多。[87]
“条例”与“指令”同样都规定使用无法被识别的匿名数据不会落入欧盟的监管保护框架中。[88] 这符合数据保护框架中的匿名状态要求,从法律和监管角度看,它是公共数据与个人数据之间界限的标志,是数据保护立法的关键。
此外,为适应再识别技术的发展,“条例”引入了新的法律概念,即“假名化”。GDPR将假名化定义为一种经处理后无法在没有额外信息帮助下指向特定数据主体的过程。若要对数据进行假名化处理,需要将标识符分离储存,并通过技术或管理手段确保无法指向已识别或可识别的自然人。与加密类似,假名化被认为是数据保护的手段,[89] 且被表述为“通过系统默认或设计保证数据安全的数据保护方法”(Data Protection by Design by Default或PbD Techniques)。[90] GDPR鼓励数据控制者对所收集的数据进行假名化。例如,在假名化数据泄露时,如果促成再识别的数据没有被影响到,则数据主体不需要被通知。[91] 进一步讲,进行假名化处理的数据控制者将以更放松的姿态把数据用于其他目的,或是科学和历史研究,[92] 只要符合“条例”规定的数据安全及设计保护的要求。[93]
不过,根据GDPR的规定,假名化降低了再识别的风险,并不意味着“条例”排除了其他数据保护措施。[94] 匿名化和假名化数据在什么程度上会被再识别仍然存在许多争议。这个问题的重要性在于它决定了一个数据处理操作是否需要受到“条例”的规制,尤其是考虑到对处理者设定的新义务将会大大加重他们的负担。GDPR强调数据控制者需要采取合适的技术或管理措施降低再识别风险。[95] 而对于区别假名化数据(受GDPR规制)和匿名数据(不受GDPR规制),GDPR则采用了DPD条款中的规定:在风险评估中需要考虑所有可能使用的合理手段,比如利用控制者或其他人来直接或间接的确认自然人身份。[96] 为了判断所使用的手段是否合理,需要考虑所有客观因素,包括对身份进行确认需要花费的金钱和时间;考虑现有处理技术以及技术更新。引入“合理成本”(reasonable effort)这种客观标准而不是目前非常宽泛的“工作组”意见,GDPR会为匿名化和假名化数据的适用条件提供更大的灵活性。[97] 例如,在数据控制者删除了身份识别关键信息,且其余的间接身份识别符对识别出个人的风险影响很小,数据控制者可以争辩说没有合理的再识别风险,不落入GDPR所规定的义务范围。
欧洲法院近期的判例Breyer v. Germany具有重要意义。[98] 虽然欧洲法院没有直接处理再识别问题,但在判决中阐述了可识别与否的“绝对”和“相对”两个不同的标准。[99] 法院认为,如果数据控制者能够合法地从第三方获取额外信息来识别一个人,那么动态IP地址就能够构建出个人信息。相应的,如果没有合法的渠道获得数据进行识别,那么动态IP地址就不能够构建出个人信息。所以,虽然欧洲法院没有直接考虑再识别的可行性问题,但我们从中能够得出结论,即欧洲法院采取了GDPR所定义的“合理成本”这种绝对标准。[100]
随着科学研究的发展,想要完全对个人信息进行匿名化变得更加困难,也让从匿名数据中重新识别数据主体的难度降低,所以越来越多的数据将会采取假名化手段而非匿名化手段进行处理。[101] 另一方面,如果匿名化技术被认为是不可靠的,那么很有可能会造成技术信任危机。[102] 虽然数据保护的概念是现代数据安全法律的重要内容,但如果没有强制性规定和法律激励措施,那么开发者和数据控制者将不会为用户更新数据保护技术。[103] 这在云服务提供商的用户协议条款中有所体现——分析表明大部分公司在用户协议条款中并没有涉及隐私保护。[104] 虽然使用隐私保护技术必将给公司带来额外的支出,但采取合法方式,如鼓励对数据进行假名化处理,并引入“合理成本”这种针对再识别的客观标准,也许会激励云服务提供商在处理数据时对数据进行匿名化和假名化,从而提高数据主体的安全度,特别是保护云服务中储存的大量数据。事实上,采纳客观标准,“条例”实现了数据保护这一基本权和欧盟云计算市场发展二者之间的平衡。当然,我们仍然需要在客观标准的执行层面做努力。
“工作组”曾在2015年9月22日通过的“云服务产业集团之云计算领域行为准则”(C-SIG Code of Conduct on Cloud Computing)第02/2015号意见的结尾中,要求采纳其对于匿名化的高标准规定(如上文所述)。这种态度是否会随着GDPR条款和近期判例的推动而有所变化,值得我们期待。
人们普遍认为,“指令”目前的法律框架并没有为技术和互联网所控制的社会中的个人提供足够的数据保护。一方面,云服务提供商认为数据保护立法已经过时,并且不可能实施创建新的虚拟全球互联世界的技术;另一方面,过时的立法导致无政府状态,并使个人不受保护。因此,“条例”为在云环境中个人数据保护框架中改善对个人的保护提供了正确方向上的重要一步。
在“条例”生效后,云服务提供商将从根本上改变他们对数据保护的态度,并将数据保护考虑纳入其业务活动的核心。考虑到一方面是作为欧盟人权的个人数据的现实状况,另一方面则是当前云端中的庞大数据量以及数据主体对数据的缺乏控制,(因此)责任的转移似乎是合理的。
总体而言,该“条例”严重依赖于“指令”的主要概念,例如关于个人数据的定义、角色划分、适用范围和跨境数据流。正如通过文中所指出的那样,这些规定与欧洲法院的调查结果以及“工作组”提出的意见相一致。
尽管饱受非议,控制者-处理者角色仍然在条例范围内,但责任的内容与刑事已经改变。特别是在某些情况下,处理者可以直接承担责任并须向资料当事人支付赔偿。该规定未能将商品化服务(IaaS,PaaS)排除在应用程序之外,即使它们不清楚所存储数据的性质和/或缺乏访问此类数据的实际能力。这似乎与试图找到真正控制数据处理条件的参与者的“条例”目标不一致。
由于云环境中的大量数据传输和数据的未知位置,删除权将成为云服务提供商实施的挑战。在云计算中的数据保护环境中定义角色也会遇到挑战。控制者必须评估一项删除请求是否合法,但在面临巨额罚款的情况下,这种删除请求往往很可能会被批准,因此可能与信息权和言论自由相冲突。删除权对云服务提供商施加了巨大的责任,有关机构应准备有关其应用的详细说明。有关数据可移植性的规定可能会被滥用,因为大型云提供商可能会为了锁定用户而提高转换成本。这些问题也必须由竞争规则来规范。
所有这些规定都将对云服务提供商产生直接影响,他们的角色和义务将发生实质性变化。相反地,直到现在的情况是,它们都不在数据保护规则的范围内,或者说至少其义务都是微不足道的。鉴于控制者与处理者之间的大部分合同关系目前都是基于标准“采取或不采纳”的任择性条款,因此该法规对未来合同进行了强制性规定。小型云供应商将很难就新的分包义务进行谈判,从而使“大公司”处于更好的市场地位。一些新的合同义务给云服务提供商带来了新的管理负担,并且努力达成合规可能会导致云服务价格上涨。因此,预计在全球市场上,欧盟云服务提供商将不会与非欧盟云服务提供商产生竞争。
考虑到云处理者一般并不了解他们存储的数据,而且他们的服务没有指向数据保护。如果加密数据免于数据保护规则,那么云服务提供商将处于免于适用数据保护规则的良好状态。不幸的是,尽管定义了假名数据为评估重新识别风险提供了更大的灵活性,且最近的判例法已经支持了该规则,对于云计算而言,该规定却还并没有走得这么远。
总之,“条例”本身似乎并不提供释放欧盟云计算潜力的措施,但显然提高了与数据保护是基本权利这一立场相一致的标准,从而将使欧盟云服务提供商比竞争对手更具挑战性。但是,这个问题可能受“条例”域外效用的影响。
在这方面,“条例”的范围已经扩大。现在它适用于欧盟内外的公司。即使欧盟境外的公司在欧盟境外处理个人数据,只要他们活跃在欧盟市场并向欧盟公民提供产品和服务,这些公司将受到欧盟数据保护制度的约束。此外,如果欧盟法律标准适用于其处理,“条例”仍然要求数据只能转移给第三国,从而扩大了该法规的域外适用。[105]关于申请范围和跨国界数据转移的规定将产生固有的管辖权冲突,这将给企业带来不确定性。然而,虽然在某些情况下难以执行,但是巨额罚款可能会迫使支配市场的大型非欧盟云提供商提高标准以遵守“条例”。
因此,可以得出结论:在“条例”下,欧盟正在全球化经济中认可欧洲的数据安全和隐私标准,这将对云计算市场产生特别影响。力求合规的实际结果是可能会提高欧盟内外乃至全球的隐私标准,从而在提高云计算隐私保护方面产生所谓的“布鲁塞尔效应”。[106]
从欧盟数据保护条例,到即将出台的美国 - 欧盟贸易协议中可能包括数据保护和电子商务事项,以及国际上对美国安全机构收集全球个人信息的担忧,数据保护在国际上是一个快速发展的领域法律和政策议题。“条例”似乎为在国际市场上应用欧洲隐私政策提供了手段。但是,时间会向我们展现它的成效究竟如何。
向上滑动阅览
译文为司法部国家法治与法学理论研究课题“云计算时代下个人信息保护制度研究——以个人信息权财产属性为视角”(13SFB3031),广东省省哲学社科“十二五”规划“从隐私权到自决权:云计算时代个人信息保护研究”(GD13YFX01)的阶段性成果。原文载于Croatian Yearbook of European Law and Policy Vol 12 (2016) pp.171-206。囿于篇幅限制,对原文有所删减。
Marina Skrinjar Vidovi, LLM (Utrecht),作者希望向作出评论及指导的匿名评论家们致谢。
[1] 关于个人数据处理保护及其自由流通方面的Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 [1995] OJ L281/31。DPD被欧盟各成员国和三个欧洲经济区(爱尔兰、列支敦士登和挪威)通过Decision of the European Economic Area Joint Committee No 83/1999 Amending Protocol 37 and Annex XI (Telecommunications Services) to the EEA Agreement [2000] OJ L296/41取代了。瑞士也实施了the Directive in the areas related to the Schengen Agreement: Annex B (Article 2(2)), Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s Association with the implementation, application and development of the Schengen Acquis [2008] OJ L53/52。
[2] Treaty of Lisbon amending the Treaty on European Union and the Treaty establishing the European Community [2007] OJ C306/01.
[3] Charter of Fundamental Rights of the European Union [2012] OJ C326/391,该宪章认可了第七法案中的隐私权利和第八法案中的个人数据受保护权。
[4] 在这方面,参见M Brkan, ‘The Unstoppable Expansion of EU Fundamental Right to Data Protection. Little Shop of Horrors?’(2016) 23(5) Maastricht Journal of European and Comparative Law 812。
[5] 据C Millard, Cloud Computing Law (OUP2013)3, ‘Cloud computing is a way of delivering computing resources as a utility service via a network, typically the Internet, scalable up and down according to user requirements’. 据 Mell and Grance, 云模型是由以下五个必要元素 (on demand self-service; broad network access; resource pooling; rapid elasticity; measured service)、三项服务模型 (Software as a Service - SaaS; Platform as a Service - PaaS; and Infrastructure as a Service -IaaS)和四个部署模型 (Private cloud, Community cloud; Public cloud and Hybrid cloud)所构成的。P Mell and T Grance, ‘The NIST Definition of Cloud Computing’ (2011) National Institute of Standards and Technology, US Department of Commerce (Special Publication 800-145) <http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf> accessed 16 May 2016.
[6] 参见 Peter Hustinx, ‘EU Data Protection Law: The Review of Directive 95/46/EC and the Proposed General Data Protection Regulation’ 26-27 <https: / /secure.edps.europa.eu/ EDPSWEB/webdav/ site/mySite/ shared/ Documents/ EDPS/ Publications/Speeches/2014/14-09-15_Article EUI EN.pdf> accessed 16 May 2016, 和the Commission’s First Report on the Transposition of the Data Protection Directive <http://ec.europa.eu/ justice/data-protection/document/transposition/index en.htm> accessed 16 May 2016.
[7] 例如,根据C-230/14 Weltimmo EU:C:2015:639, 一家公司可能受制于多个数据保护机构;在Case C-362/14 Schrems EU:C:2015:650中,国家数据保护机构被授权可以个案决断一项特定的数据传输是否满足颁布的国家立法和欧盟指引下所有相关要求。
[8] 参见 Commission, ‘Data Protection’ (2015) Special Euro barometer 431/ Wave EB83.1 TNS opinion & social, Summary, 2 <http://ec.europa.eu/public-opinion/archives/ebs/ ebs_431 sum en.pdf> accessed 10 May 2016。
[9] Commission, ‘Unleashing the potential of Cloud Computing in Europe’ Communication COM(2012) 529 final, 8,引用了IDC (2012) ‘Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up’ <http://eur-lex.europa.eu/ LexUriServ/ LexUriServ. do?uri = COM: 2012:0529: FIN: EN: PDF> accessed 21 October 2016。
[10] 同上注。
[11] WP 29 是在Directive 95/46/EC下设置的,它由EU-DPA、EDPS和EC的所有代表组成,具备咨询功能和独立性。
[12] WP 29 Opinion 05/2012(有关云计算)于2012年7月1日通过。
[13] Commission (‘Unleashing the potential of Cloud Computing in Europe’) 9.
[14] “条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1。
[15] Joined Cases C-293/12 and C-594/12 Digital Rights Ireland EU:C:2014:238.
[16] Case C-131/12 Google Spain and Google EU:C:2014:317.
[17] Case C-362/14 Schrems EU:C:2015:650.
[18] DPD (关于个人数据处理保护及其自由流通方面的Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 [1995] OJ L281/31) art 2; GDPR (“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1) arts 4(7)和28(10)。
[19] C Millard, Cloud Computing Law (OUP2013)3, ‘Cloud computing is a way of delivering computing resources as a utility service via a network, typically the Internet, scalable up and down according to user requirements’,9.
[20] P Hustinx, ‘Data Protection and Cloud Computing under EU Law’ (speech at the Third European Cyber Security Awareness Day, BSA, European Parliament, 13 April 2010) 3 <www.edps.europa.eu /EDPSWEB/webdav/shared/ Documents/ EDPS/ Publications/ Speeches/2010/ 10-04-13_SpeechCloudComputingEN.pdf> accessed 10 May 2016.
[21] 进而,在Google Spain案(Case C-131/12 Google Spain and Google EU:C:2014:317)中,CJEU发现,为了提供“有效和全面的数据主体保护”,对“数据控制者”的定性应广泛建构。鉴于此,它判定搜索引擎的运营者与应被认定为数据控制者而非数据处理者。搜索引擎的运营者决定了上述活动的目的和手段,从而处理它本身在活动框架内进行的对个人数据处理,因此是一个“控制者”。
[22] Arts 16 和17 ,DPD(关于个人数据处理保护及其自由流通方面的Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 [1995] OJ L281/31)。
[23] WP 29 Opinion 1/2010(有关“控制者”与“处理者”的概念)于2010年2月16日通过。
[24] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)art 30。
[25] 同上注,art 32。
[26] 同上注,art 35。
[27] 同上注,art 37。
[28] 同上注,art 44。
[29] 同上注,art 31。
[30] 同上注,art 28(3)。
[31] 参见Mark Weber, The GDPR’s Impact on the Cloud Service Provider as a Processor (2016) 16(4) Privacy & Data Protection。
[32] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)art 28(10)。
[33] K Hon, J Hornle, C Millard, ‘Data Protection Jurisdiction and Cloud Computing: When Are Cloud Users and Providers Subject to EU Data Protection Law?’The Cloud of Unknowing,Part 3 (2012) 26(2-3) International Review of Law, Computers & Technology 129, 152.
[34] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)art 26(1)。
[35] 同上注,art 26(3)。
[36] 同上注,art 83。
[37] 也可参见V Hordern的分析, ‘The EU General Data Protection Regulation: A Brave New World for Processors’ (2016) World Data Protection Report, 16 WDPR 02, available at <www.hldataprotection.com/files/2016/03/Hordern-Art- 16WDPR02.pdf> accessed 10 December 2016。
[38] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)art 28(5),并结合与art 40的联系。
[39] WP 29有关C-SIG Code of Conduct on Cloud Computing的意见,于2015年9月22日通过。
[40] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)recital 18。
[41] 参见Kuan Hon, ‘GDPR: Killing Cloud Quickly? (Privacy Perspectives, 17 March 2016) <https://iapp.org/news/a/gdpr-killing-cloud-quickly/> accessed 15 December 2016。
[42] 根据2012年7月1日通过的有关云计算的WP 29 Opinion 05/2012。
[43] 在这方面,参见EU Expert Group on Cloud Computing Contracts’ ‘Discussion Paper on Subcontracting’, 25 March 2014 <http://ec.europa.eu/justice/contract/files/expert groups/expert-group-subcontracting-discussion paper-en.pdf> accessed 15 December 2016。
[44] WP 29意见(2012年7月1日通过的有关云计算的WP 29 Opinion 05/2012)11。
[45] 参见Kuan Hon的有关“条例”对云计算影响的系列著作<www.kuanO.com/publications.html> accessed 15 December 2016. 特别参见 Graeme Burton, ‘Costs and Administrative Burdens of GDPR Will Help US Companies Dominate the EU’s Cloud Computing Market’ (V3, 27 October 2016) <www.v3.co.uk/ v3-uk/ news/ 2475499 / costs- and-administrative-burdens-of-gdpr-will-help-us-companies- dominate-the-eus-cloud-computing-market> accessed 15 December 2016。
[46] 然而,可参见P Bindley在N Ismail,‘Capability and Not the Size of Cloud Service Providers Will Determine Which of Them Thrive Under the GDPR’ (Information Age, 14 November 2016) 中引述的的相反意见,available at <www.information-age.com/size-matter-cloud-post-gdpr-123463175/> accessed 20 December 2016。
[47] WP 29意见(2012年7月1日通过的有关云计算的WP 29 Opinion 05/2012)23。
[48] 参见“条例”,即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1。
[49] 参见Commission, ‘Protection of Personal Data’ (European Commission: Justice)<http://ec.europa.eu/justice/data-protection/> accessed 15 December 2016。
[50] Case C-131/12 Google Spain and Google EU:C:2014:317.
[51] 参见V Reading, ‘The EU Data Protection Reform 2012: Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age’ (2012年1月22日于慕尼黑DLD会议上的演讲) <http://europa.eu/rapid/press-release-SPEECH-12-26-hr.htm> accessed 1 December 2016。
[52] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)art 17(2),结合recital 66。
[53] 在这方面,参见 ENISA, ‘The Right to Be Forgotten - Between Expectations and Practice’ (European Union Agency for Network and Information Security, 20 November 2012) <www.enisa.europa. eu/publications/ the-right-to-be-forgotten> accessed 20 September 2016。
[54] 在这方面,参见如G Francoise, ‘The Right of Erasure or Right to be Forgotten: What the Recent Laws, Cases, and Guidelines Mean for Global Companies (2015) 18(8) Journal of Internet Law 1, 8; ML Rustad and S Kulevska, ‘Reconceptualising the Right to be Forgotten to Enable Transatlantic Data Flow’ (2015) 28(2) Harvard Journal of Law & Technology。
[55] 在这方面,WP 29 已在2014年12月26日通过the Guidelines on the implementation of CJEU judgment in Case C-131/12 Google Spain SL and Google Inc v Agencia EspanolaDeProtecci6nDeDatos (Aepd)and Mario Costeja Gonz6lez。
[56] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)art 20。
[57] 2015年9月22日通过的有关C-SIG Code of Conduct on Cloud Computing的WP 29 Opinion,12。
[58] 参见P Swire and Y Lagos, ‘Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique’ (2013) 72(2) Maryland Law Review 335。
[59] 欧盟委员会云计算合同专家组于2014年12月11-12日间会议综要<http://ec.europa.eu/justice/contract/files/7th-expert-group-synthesis-fi-nal.pdf> accessed 1 December 2016。
[60] P De Filippi and L Belli, ‘Law of the Cloud v Law of the Land: Challenges and Opportunities for Innovation’ (2012) 3(2) European Journal for Law and Technology 6.
[61] 如:B Engels, ‘Data Portability Among Online Platforms’ (2016) 5(2) Internet Policy Review <https: / / policyreview.info/articles/analysis/data-portability-among-online-platforms> accessed 20 September 2016。
[62] WP 29 数据可携带型权利准则,于2016年12月13日通过,12。
[63] 参见London Economics, ‘Implications of the European Commission’s Proposal for a General Data Protection Regulation for Business’ (Final Report to the Information Commissioner’s Office, May 2013) <https: / /ico.org.uk/media/1042341/implications-european-commissions-proposal-general-data-protection-regulation-for-business.pdf> accessed 20 December 2016。
[64] 调查的一位受访者预测:GDPR将使他们的公司花费500万英镑以符合规定,并且每年维持100万英镑!
[65] 欧盟已经推动并支持隐私增强技术、隐私设计和通过FP 7中研究优先事项预设的隐私等研究和发展。在这方面,请参见委员会工作人员工作文件-Impact Assessment Accompanying the document Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation),以及the Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, SEC(2012) 72 final, 95。
[66] P Bindley在N Ismail,‘Capability and Not the Size of Cloud Service Providers Will Determine Which of Them Thrive Under the GDPR’ (Information Age, 14 November 2016) 引述的的相反意见,available at <www.information-age.com/size-matter-cloud-post-gdpr-123463175/> accessed 20 December 2016。
[67] Kuan Hon, ‘Open Season on Service Providers? The General Data Protection Regulation Cometh...’ (SCL - The IT Law Community, 4 August 2015) <www.scl.org/site.aspx?i=ed43376> accessed 1 December 2016.
[68] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)art 82(6)。
[69] 同上注,art 4 (1)。
[70] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)art 4(1):识别符号如:姓名、身份证号码、定位数据、在线身份识别,或针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
[71] WP29 Opinion第4/2007号(关于个人信息的定义),于2007年6月20日通过。
[72] 相关案例如:Case C-101/01 Bodil Lindqvist ECL:EU:C:2003:596:与一个人的电话号码一起使用的人的姓名,以及关于他的工作条件或爱好的信息构成个人数据;Case C-212/13 Rynes ECLI:EU:C:2014:2428:由相机记录的人物图像构成个人数据,因为它可以识别相关的人;Case C-201/14 Bara ECLI:EU:C:2015:638:被传输的税务数据是个人数据,因为它们是与已识别或可识别的自然人有关的信息;CaseT-259/03NikolaouECLI:EU:T:2007:254:新闻稿中发布的信息是个人数据,因为在这种情况下数据主体很容易识别。申请人未被直呼名称的事实并未保护她的匿名性;Case C-582/14 Breyer v Germany ECLI:EU:C:2016:779:欧洲法院指出,只要运营商拥有合法的手段,从而能够通过 [ISP] 提供的有关该自然人的额外数据来识别数据主体,那么网站运营商拥有的动态IP地址可以构成个人信息。
[73] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1),recital 30。
[74] 相关案件如:Case C-70/ 10 Scarlet Extended ECLI:EU:C:2011:771和Case C-582/14 Breyer v Germany ECLI:EU:C:2016:779;WP29 Opinion第4/2007号(关于个人信息的定义),于2007年6月20日通过,第16段。对于IP地址是否构成受数据保护法律所约束的个人数据,目前MSs有不同的看法。例如,瑞典(Antipyratbyran案),西班牙(Promusicae案)和奥地利的法院都发现IP地址是这类案件中的个人数据,与第29条数据保护工作组一样对个人数据范围持宽泛解释的态度。但法国法院(Limewire,Anthony G和HenriS案)和意大利(Peppermint案)的判决都认定IP地址不是个人数据。参见详细分析:time.lex, Study of Case Law on the Circumstances in Which IP Addresses Are Considered Personal Data (Final Report, 2 May 2011) 209。
<http://www.timelex.eu/frontend/files/userfiles/files/publications/2011/IP_addresses_report_-_Final.pdf> accessed 15 December 2016.
[75] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1)art 4 (2)。
[76] 如laaS和PaaS服务。参见M Maggiore, ‘Cloud Computing: Obligations under the Directive v GDPR’ (June 2016) Data Protection Law & Policy. 在许多面向消费者的云服务中,用户可获得免费服务,而云提供商则使用其收集的个人数据(例如用于定向广告)作为对价。
[77] WP 29 Opinion(有关C-SIG Code of Conduct on Cloud Computing),于2015年9月22日通过,第7段。
[78] 参见Kuan Hon, ‘Dark Clouds?’(2016) 43(4) Intermedia Jounal of the International Institute fo Communications.
[79] C Millard, Cloud Computing Law (OUP2013)3, ‘Cloud computing is a way of delivering computing resources as a utility service via a network, typically the Internet, scalable up and down according to user requirements’, 168.
[80] WP29 Opinion第05/2014号意见(有关匿名化技术),于2014年4月10日通过。
[81] 许多学者分析了再识别问题。参见:P Ohm, ‘Broken Promises of Privacy: Responding to the Surprising Failure of Anonymisation’ (2009) 57 UCLA Law Review 1701. IS Rubenstein and W Hartzog, ‘Anonymization and Risk’ (2016) 91 Washington Law Review 703; D Nunan, M Di Domenica, ‘Exploring Re-indentification Risk: Is Anonymization a Promise We Can Keep?’ (2015) 58(1) International Journal of Market Research 19.
[82] 上注P Ohm文章,第1741段。
[83] Information Commissioner’s Office, ‘Anonymisation: Managing Data Protection
Risk. Code of Practice (ICO 2012) <https://ico.org.uk/media/for-organisations/documents/ 106 1/anonymisation-code.pdf> accessed 20 September 2016.
[84] 参见Swedish Data Protection Authority, ‘Cloud Services and the Personal Data Act’
<http://www.datainspektionen.se/in-english/cloud-services/> accessed 20 September 2016.
[85] 参见P Ohm, ‘Broken Promises of Privacy: Responding to the Surprising Failure of Anonymisation’ (2009) 57 UCLA Law Review 1701. 关于评估再识别风险的测试。
[86] C Reed, ‘Information "Ownership" in the Cloud’ (2010) Queen Mary University of London,
School of Law, Legal Studies Research Paper No 45/2010, 20.
[87] K Hon, C Millard and I Walden, ‘The Problem of "Personal Data" in Cloud Computing’
(2011) 1(4) International Data Privacy Law.
[88] GDPR(“条例”即Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016是有关自然人对个人数据处理和此类数据流通的保护的,并废除了Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1),recital 26。
[89] 同上注, art 32。
[90] 同上注, art 25。
[91] 同上注, recital 29。
[92] 同上注, recital 156。
[93] 同上注, recital 78。
[94] 同上注, recital 28。
[95] 同上注, recital 75。
[96] 同上注, recital 26。
[97] 参见G Maldoff, Top 10 Operational Impacts of the GDPR: Part 8 - Pseudonymization
(The Privacy Advisor, 12 February 2016)<https://iapp.org/news/a/top-10-operational- impacts-of-the-gdpr-part-8-pseudonymization/> accessed 15 September 2016.
[98] Case C-582/14 Breyer v Germany ECLI:EU:C:2016:779: 欧洲法院指出,只要运营商拥有合法的手段,从而能够通过 [ISP] 提供的有关该自然人的额外数据来识别数据主体,那么网站运营商拥有的动态IP地址可以构成个人信息。
[99] 同上注, 第25段。
[100] 参见G Spindler和P Schmechel的分析:‘Personal Data and Encryption in the European General Data Protection Regulation’ (2016) 7(2) Journal of Intellectual Property, Information Technology and E-Commerce Law <www.jipitec.eu/issues/jip- itec-7-2-2016/4440> accessed 15 September 2016.
[101] Kuan Hon等人, ‘Cloud Accountability: The Likely Impact of the Proposed EU Data Protection Regulation’ (2014) Tilburg Law School Legal Studies Research Paper Series, No 07/2014, 10。
[102] D Nunan, M Di Domenica,‘Exploring Re-indentification Risk: Is Anonymization a Promise We Can Keep?’ (2015) 58(1) International Journal of Market Research 19, 22.
[103] G Hornung, ‘Regulating Privacy Enhancing Technologies: Seizing the Opportunity of the Future European Data Protection Framework’ (2013) 26(1-2) European Journal of Social Science Research 181, 181.
[104] K Stylianou, J Venturini, N Zingales, ‘Protecting User Privacy in the Cloud: An Analysis of Terms of Service’ (2015) 6(3) European Journal of Law and Technology 16.
[105] C Kuner, ‘Extraterritoriality and Regulation of International Data Transfers in EU Data Protection Law’ (2015) 5(4) International Data Privacy Law 241.
[106] 译注:欧盟法最重要的影响力在于它的法律被一些非欧盟国家或民族采用和效仿,这就是由占大型国际经济交易主导地位的欧盟所创建的所谓的“布鲁塞尔效应”。或称the ‘ratcheting-up’ effect,参见M Rotenberg and D Jacobs, ‘Updating the Law of Information Privacy: The New Framework of the European Union’ (2013) 36 Harvard Journal of Law and Public Policy, 637。
原文载于《互联网与国家治理发展报告(2018)》,社会科学文献出版社2018年11月版
英文原文:Marina Skrinjar Vidovic, EU Data Protection Reform: Challenges for Cloud Computing, 12 Croatian Y.B. Eur. L. & Pol'y 171 (2016)
本文仅作学习交流之用
Ian Fisher
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”