【观天下事】李汶龙:欧美网络法年度述评2019(二)
B D A I L C
欢 迎 关 注
东山魁夷
欧美网络法年度述评2019
文 / 英国爱丁堡大学法学院讲师 李汶龙
对欧美网络学术圈而言,2019年是值得期待的一年。新数据立法多大程度能够保障用户基本权利?严苛立法又会给科技产业带来怎样的波动?GDPR生效一周年之际,这些问题都初见分晓。
对于很多从业者而言,2019年是令人失望的一年。GDPR非但没有解决痼疾,还在滋生新的问题,执行起来困难重重。互联网无边无界,让域外执行成为了持久命题。经济发展与权利保障之间难求平衡,权力机关执法处处掣肘。法律的发力点与科技的支撑点存在错位,新科技不受旧制度制约。
法律之外,政治变动也让网络治理更加分裂。脱欧进程让刚刚达成的(法律)确定性重新化为泡影。未来英国的数据保护以及数据流动如何开展,答案扑朔迷离。
欧洲立法的进步只是很小的一步。在法律竞争融合、执法跨境合作,还有科技风险管控上,我们仍有很长的路要走。无论怎样,类似于GDPR的法律框架是保障用户基本权利的第一步。本述评所关注的,正是这部法律带来的可能性。
受刘擎老师启发,从今年开始撰写年度述评。刘老师的《西方思想史年度述评》关注思潮的发展;这一述评照猫画虎,围绕科技与法律展开。需要说明的是,本述评囊括的十大议题是围绕法律的进步展开,而非科技的发展。
本述评未采用“西方”这个概念,因为近年来网络治理进展多源于欧洲。西方其他诸国(包括美国在内)都在研习、效仿和纠偏。这一国际格局也影响到了学术讨论,2019年很多新文献都基于欧盟法的框架展开。称其为“欧美”也有失偏颇,因为述评的对象——新法律、新文献以及新主题——也多是来自于欧洲。受限于认知环境,本人对美国等其他国家法律的进展了解不够。即便如此,本人还是尝试融入一些国际视野,必要时展开对比分析。
冠以“网络法”,有必要对这一核心概念稍作解释。国内讨论的网络治理文献多是美国学者世纪之交的著述。彼时关于数据保护的讨论相对较少,学术争论主要围绕基础架构展开。此后20年,科技发展令人瞠目,学术讨论也开始转向:从基础架构转向更高层次的软件应用和数据处理,从北美的理论转向到欧洲的实证。本述评的内容有别于传统网络治理议题——例如域名管理、ICANN管辖权、网络中立等等——更多地着墨于基础架构之上,各类科技的应用和数据的处理。
述评的对象多为法律文献,较少涵盖社会学期刊。有必要说明的是,社会学者对科技发展问题的剖析有时更为准确精妙,值得法律同仁关注。(高质量的期刊如Big Data & Society,Information Communication and Society等)未来的述评也会更多地融入多学科的碰撞。
本人意识到自己很难成为一名称职的译者。文学素养的匮乏导致在很多关键概念的翻译上无法实现“信达雅”。鉴于生硬翻译可能造成的偏颇、疏忽和误解,本述评在关键概念上采取“少/不翻译”的策略,这样有利于读者找到原始的文献和语境。
希望这一述评能够为东西学术圈的交流和互动略尽绵薄之力,也能够为国内学习网络法的同学提供一些时新的视角。
第一部分 微观视角下的GDPR | ||
1. | 长臂GDPR:域外执行与理念传播 | |
2. | 五年之后的被遗忘权 | |
3. | 数据影响评估——GDPR的另一个面向 |
第二部分 宏观视角下的GDPR | ||
4. | 数据保护与市场竞争 | |
5. | 欧盟版权法的创新:链接税与平台侵权审查 |
第三部分 GDPR与新科技 | ||
6. | 人脸识别技术的合法性分析 | |
7. | AdTech产业的历史转折点 |
第四部分 GDPR与英国 | ||
8. | 脱欧之后的数据保护问题 | |
9. | 网络伤害:英国新网络治理模式 |
第五部分 GDPR与英国 | ||
10. | 平台与网络治理 |
人脸识别的合法性争议
06
欧美网络法年度述评2019(十之六):
2019年关于人脸识别技术(尤其是实时运用在公共场所)的使用纷争不断,但究竟是否合法的问题一直没有定论。
9月英国高院作出判决,认定南威尔士警方使用人脸识别技术是合法的。[1]传媒隐私法专家Suneet Sharma在著名网络法博客Inforrm’s Blog上评论到[2],法院作出这样的判决不足为奇,可以视为对早期判决(有关警方权力的使用和界限)的延续。但是,在数据保护法已经形成的情形下,法院仍然按照旧有框架和原则做出判决有些意外。由于该案还有可能上诉到欧洲人权法院,进一步的讨论将围绕着《欧洲人权条约》第8条展开。
提到数据保护法,英国权力机关ICO在人脸识别这一问题上较为审慎。ICO曾在Technology Strategy 2018-2021中表示,将人脸识别技术纳入到中重点关注对象当中。[3] 2019年度,ICO连续发布了两份关于人脸识别技术的报告,但在关键问题上没有提供任何确定性。[4] 从数据保护的角度观察,人脸识别技术主要涉及数据处理的法律基础问题,以及同意能否(以及在什么情形下)能够成为有效的法律基础问题。ICO主管Elizabeth Denham在年初发表的博文中明确表示,英国的数据保护法适用于人脸识别技术。[5] ICO还指出,人脸识别系统处理的数据多为敏感数据(主要为生物信息数据),因此数据保护的标准要高于一般标准。例如,数据控制者在征求个人同意的时候必须获得明示同意 (explicit consent)——但在一般情形下没有这样的要求。ICO的报告讨论了同意是否是该项技术使用唯一的法律基础。
现实场景中,尤其是在公共场所,人脸识别技术的数据采集近乎是实时的。获得个人的明示同意因此在操作上非常困难。ICO主张在某些情形,警方使用该项技术不需要明示同意,但需达到法律设定的 “严格必要标准”(strictly necessary)。在该权力机关看来,警方在某个确定的场所使用此技术识别一名已知的恐怖分子或者暴力犯罪嫌疑人就符合该项标准。但是,在大多数情形警方在没有明确设定目的、理由和合理范围的情形下使用人脸识别技术很有可能被确认为违法。ICO正在积极制定相关的行为指引(类似于2013年出台的Surveillance Camera Code of Practice [6]),帮助警方更好地合规。
个人数据的敏感性还决定了相关数据控制者必须进行数据保护影响评估 (Data Protection Impact Assessment, DIPA)。ICO认为为了增加公信力,DPIA应当事先展开,无论人脸识别技术的使用是以测试还是其他目的展开。此外,该权力机关希望在DPIA中能够看到数据控制者对于 “严格必要原则” 评估的详细记录。
爱丁堡大学法学院学者Judith Rauhofer对ICO的做法予以严厉批判。[7] 在她看来,人脸识别技术的违法性非常明显。Rauhofer主张数据保护机关并没有积极实施法律赋予的权力,而沦为政治博弈的砝码。此外,Human Rights, Big Data and Technology项目组的独立报告也指出,英国警方使用人脸识别技术缺乏明确的法律基础。[8] 人权法层面,这类技术的使用不具有足够的可预见性——欧洲人权法院设立了基本原则之一。一旦启动司法审查并上诉到最高法院,人脸识别技术很有可能被认定为非法。
欧盟层面,人脸识别技术的治理也没有定数。本年度只有FRA(全称为European Union Agency for Fundamental Rights)发布了一份研究报告。[9] 报告认为,这项技术本身会对基本权利的保障带来多重挑战。为了避免权力被不当侵犯,FRA提出了几项建议,包括欧盟法的适用性、智能系统的错误管控,以及实时人脸识别可能存在的风险等。
美国法院在同年度也没有太大建树,仅由第九巡回上诉法院在2019年8月做出了一项相关判决。[10] 该院没有对人脸识别技术的合法性展开讨论,仅仅强调了这项技术可能对个人隐私带来的风险。这部判决的意义在于确认了脸书用户有权向该公司发起集体诉讼。案件起因是若干用户在伊利诺斯州起诉脸书公司,认为公司使用人脸识别技术违反了州立生物信息隐私法案。[11]
与司法进步的迟缓相比,行政措施来得更为高效。美国旧金山市创设了2019年全世界范围内的首例禁令,率先宣布全市禁用人脸识别技术。[12] 该市监督委员会(Board of Supervisors本质上为市政府)于今年5月宣布了该禁令,主要适用于警方搜寻犯罪嫌疑人等场合。随后,旧金山市的做法也引发了美国其他几个州的效仿。例如Oakland、Somerville、Berkeley都有类似的法案提出,并且正在进行审议。[13] 类似于美国在数据隐私保护上的尴尬局面,目前在联邦层面尚且没有措施出台。[14]
无论公私两大部门迫不及待地希望新技术尽早投入使用解决现有难题。然而针对人脸识别等新型科技的使用,既有规范已经跟不上步伐。在法律体系尚未成形,潜在隐患未得到评估之时,很多学者建议让技术使用的速率降下来。美国微软研究院首席研究员,AI Now Institute联合创始人Kate Crawford就在《科学》上发文呼吁:相关的法律机制形成之前,人脸识别技术的使用应当暂缓。[15] 类似地,英国数据保护机关专员Elizabeth Denham在博文中也建言不要过早过快地信任和使用新科技,否则会对国民的合法生活造成过度地侵犯。[16]
向上滑动阅览
[1] R (on the application of E. Bridges) v The Chief Constable of South Wales Police, The Secretary of State for the Home Department [2019] EWHC 2341 (admin) https://www.judiciary.uk/wp-content/uploads/2019/09/bridges-swp-judgment-Final03-09-19-1.pdf See also Press Summary https://www.judiciary.uk/wp-content/uploads/2019/09/Press-Summary-Bridges-v-Cheif-Constable-South-Wales-Police-CO-4085-2018FINAL_-1.pdf
[2] Suneet Sharma, ‘Case Law: R (Bridges) v Chief Constable of South Wales Police: The use of facial recognition software by the police is lawful’(Inforrm’s Blog, 6 September 2019) https://inforrm.org/2019/09/06/case-law-r-bridges-v-chief-constable-of-south-wales-police-the-use-of-facial-recognition-software-by-the-police-is-lawful-suneet-sharma/
[3] ICO, ‘Technology Strategy 2018-2021’ () https://ico.org.uk/media/about-the-ico/documents/2258299/ico-technology-strategy-2018-2021.pdf
[4] ICO, ‘ICO Investigation into How the Police Use Facial Recognition Technology in Public Places’(31 October 2019) https://ico.org.uk/media/about-the-ico/documents/2616185/live-frt-law-enforcement-report-20191031.pdf ICO, ‘The Use of Live Facial Recognition Technology by Law Enforcement in Public Places’ (ICO Opinion 2019/01, 31 October 2019) https://ico.org.uk/media/about-the-ico/documents/2616184/live-frt-law-enforcement-opinion-20191031.pdf
[5] Elizabeth Denham, ‘Blog: Live Facial Recognition Technology - Data Protection Law Applies’(ICO Blog, 9 July 2019)https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/blog-live-facial-recognition-technology-data-protection-law-applies/
[6] The Stationery Office, Surveillance Camera Code of Practice (June 2013) https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/282774/SurveillanceCameraCodePractice.pdf
[7] https://threadreaderapp.com/thread/1164099746690162688.html
[8] Pete Fussey and Daragh Murray, 'Independent Report on the London Metropolitan Police Service's Trial of Live Facial Recognition Technology' (The Human Rights, Big Data and Technology Project, July 2019) https://48ba3m4eh2bf2sksp43rq8kk-wpengine.netdna-ssl.com/wp-content/uploads/2019/07/London-Met-Police-Trial-of-Facial-Recognition-Tech-Report.pdf
[9] European Union Agency for Fundamental Rights, Facial Recognition Technology: Fundamental Rights Considerations in the Context of Law Enforcement (FRA Focus 2019) https://fra.europa.eu/sites/default/files/fra_uploads/fra-2019-facial-recognition-technology-focus-paper.pdf
[10] Nimesh Patel and others v Facebook, No.18-15982, 8 August 2019 https://www.documentcloud.org/documents/6248797-Patel-Facebook-Opinion.html
[11] Sasha Ingber, 'Users Can Sue Facebook Over Facial Recognition Software, Court Rules' (NPR, 8 August 2019) https://text.npr.org/s.php?sId=749474600
[12] Stop Secret Surveillance Ordinance, 6 May 2019 https://www.eff.org/document/stop-secret-surveillance-ordinance-05062019
[13] [14] Kate Conger and others, 'San Francisco Bans Facial Recognition Technology' (The New York Times, 14 May 2019) https://www.nytimes.com/2019/05/14/us/facial-recognition-ban-san-francisco.html
[15] Kate Crawford, 'Halt the Use of Facial-Recognition Technology until it is Regulated' (Nature, 27 August 2019) https://www.nature.com/articles/d41586-019-02514-7
[16] Elizabeth Denham, ‘Blog: Live Facial Recognition Technology – Police Forces Need to Slow Down and Justify its Use’(ICO Blog) https://ico.org.uk/about-the-ico/news-and-events/blog-live-facial-recognition-technology-police-forces-need-to-slow-down-and-justify-its-use/
AdTech产业的历史转折点
07
欧美网络法年度述评2019(十之七):
英国的AdTech产业——主要指使用网络追踪和监测和追踪工具收集用户数据用于精准投放广告的行业——很可能在2019年后发生剧变。前有数据保护机关ICO的调研,后有竞争竞争执法机关CMA (Competition and Markets Authority)的中期调查报告,整改进程一触即发。此外,欧盟法院也在2019年做出了若干有关广告治理的判例,适用于正在脱欧进程中的英国,也将影响到欧洲之外的跨国企业。
概念层面上,AdTech主要涵盖哪些基于编程进行网络广告推送 (programmatic advertising) 的商业行为。Online Behavioural Advertising (OBA)——国内行业对应的概念应该是精准广告——是最为常见的一种商业技术实践。在合规上,最受争议的莫过于Real-time bidding (RTB)——可翻译为“实时竞价”。
GDPR出台之后,英国的广告自律模式已经在逐渐开始变革。广告监管机构ASA(全称为Advertising Standards Authority)曾多次表示,将基于法律规范的变化对既有的广告标准进行调整。[1] 由广告自治协会IAB Europe制定的行业标准Transparency and Consent Framework (TCF)也在近年来被推上风口浪尖(被认为无法满足GDPR的要求)
关于AdTech产业治理的争议可以追溯到2018年9月。Brave浏览器的创始人Johnny Ryan等三人在英国多地发起诉求,要求数据保护机关对谷歌在内的若干家科技公司展开调查。[2] 三人的诉求内容主要涉及到网络广告交易中个人数据处理的合法性。作为欧盟保护机关的“门面”,爱尔兰数据保护委员会回应了三人的请求,于2019年5月正式开启了调查程序。[3] 2019年初,类似的法律请求在欧洲遍地开花。来自西班牙、荷兰、比利时以及卢森堡的学者以及运动家纷纷参与了这一策略性诉讼。[4]
2019年6月底,英国数据保护机关ICO也释放了产业整顿的信号。在其关于Real-time bidding (RTB)的调研报告中[5],ICO指出现今广告科技体系本身是“失衡的、有侵扰性的以及不公正的”。即便如此,ICO没有采取任何行动,报告也是“研究”性质不具有任何法律效力。报告中提到要给行业6个月的时间进行自我评估和整改。与此同时,ICO也在2019下半年开展了多种形式的求证、调查和讨论。[6] 例如,11月份伦敦召开的Fact-Checking Forum论坛邀请了来自法律界、技术界以及行业的若干专家,但多数人对于仅关注事实不采取行动的做法表示失望。ICO表示,要在行动之前增加对这一科技本身的理解。
12月20日是给广告行业最后的整改期限,但ICO在当日并没有落下实锤。负责科技创新领域的行政主管Simon McDougall发布了一篇博文[7],内容上没有超出报告本身的范围。McDougall强调处理敏感数据的(不)合法性,以及获取明示同意在实践中的困境。博文暗指RTB是不合规的,但同时又提到“RTB的未来在平衡之中”(in the balance)。这似乎是在暗示ICO不会完全禁止这一项技术,而采取一种相对平衡的治理进路。这与报告之前提到的“measured and iterative approach”如出一辙。McDougall的博文还提到了合同作为处理数据的法律基础。这主要是在影射由IAB Europe提出的合规方案。在McDougall看来,与用户签订协议确定个人数据处理的细节不满足欧盟法的要求。
EDPB在3月份发布的指南中已经明确表示合同不能作为精准广告的法律基础。[8] 根据GDPR第6(1)(b)条,尽管履行合同是处理数据的法律基础之一,这一条款的适用范围已经被限缩。EDPB认为精准广告目前唯一正当的法律基础就是获取用户的同意。
综合来看,ICO似乎是在行业自行整改与政府引领整改间徘徊不定。报告和博文都在暗示RTB的违法性,而ICO却不断地强调让企业做好准备,并推动Privacy by Design等原则的落实。数字时代广告行业的异常庞大,任何治理措施都将牵动整个英国经济。不断催促行业自行整改的ICO似乎是在避免实锤落地,但RTB本身与法律的张力可能无法在短期之内消解。作为一种技术,RTB在本质上就与数据保护原则背道而驰。
几乎在ICO博文发布的同时,英国竞争权力机关CMA也发布了他们的中期报告。[9]与ICO不同的是,CMA是竞争法执法机关,因此对于广告市场的审查角度也有所不同。报告提到调查的主要对象是企业占据市场主导地位的广告巨头如Facebook和Google。开宗明义,CMA认为这些企业或许体量过大,且握有大量的数据。其他中小型企业由于无法获取等量的数据而无法在市场中公平竞争,这也会影响到消费者的福祉,数据隐私,以及科技创新。CMA正在考量多种治理措施并征求意见,包括平台行为准则,立法强化用户对数据的控制,或更直接地限制Google/Facebook的数据权力等等。中期报告中CMA没有确认实质性的措施,但最终报告(将在2020年7月初公布)中将公布具体方案。
向上滑动阅览
[1] ASA, ‘GDPR: Consultation on the Collection and Use of Data’ (Consultation, 8 May 2018) https://www.asa.org.uk/resource/gdpr-consultation-on-data.html. ASA, ‘GDPR Consultation on the Collection and Use of Data for Marketing’ (CAP News, 8 May 2018) https://www.asa.org.uk/news/gdpr-consultation-on-the-collection-and-use-of-data-for-marketing.html. ASA, ‘Data Protection and Privacy’ (Advice Online, 23 May 2018) https://www.asa.org.uk/advice-online/data-protection-and-privacy.html
[2]‘Regulatory Complaint Concerning Massive, Web-wide Data Breach by Google and Other “Ad Tech” Companies under Europe’s GDPR’(Fix AdTech, 12 September 2018) https://fixad.tech/september2018/
[3]由于爱尔兰是欧洲的避税港,大量美国科技企业都将总部设在该国,这也决定了爱尔兰DPA在数据保护问题上的重要地位。See Irish Data Protection Commission, 'Data Protection Commission opens statutory inquiry into Google Ireland Limited' (22 May 2019) https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-opens-statutory-inquiry-google-ireland-limited
[4] ‘Ad Tech GDPR Complaint is Extended to Four More European Regulators’ (Fix AdTech, 20 May 2019)https://fixad.tech/ad-tech-gdpr-complaint-is-extended-to-five-more-european-regulators/
[5] ICO, ‘Update Report into AdTech and Real Time Bidding’ (20 June 2019) https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf
[6] ICO, Our Work on AdTech () https://ico.org.uk/about-the-ico/what-we-do/tech-and-innovation/our-work-on-adtech/
[7] Simon McDougall, ‘AdTech and the Data Protection Debate – Where Next?’(ICO News and Events, 20 December 2019)https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/12/adtech-and-the-data-protection-debate-where-next/
[8] EDPB, 'Guidelines 2/2019 on the Processing of Personal Data under Article 6(1)(b) GDPR in the Context of the Provision of Online Services to Data Subjects' (v2.0, 8 October 2019) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf
[9] CMA, ‘Online Platforms and Digital Advertising Market Study’(CMA Interim Report, 18 December 2019) https://www.gov.uk/cma-cases/online-platforms-and-digital-advertising-market-study
脱欧之后的数据保护问题
08
欧美网络法年度述评2019(十之八):
脱欧带来的政治变动不仅仅波及整个英国社会,也给学术圈的讨论留下了深深的烙印。
2019年底,Boris Johnson带领的保守党获得大胜,很有可能在来年1月初带领英国走向脱欧。这意味着早前制定的脱欧法案European Union (Withdrawal Agreement) Bill很有可能在英国议会通过。届时英国政府将与欧盟展开正式磋商,确定包括数据跨境流动在内的各类贸易和法律问题。
早在2016年公投结束之后,英国政府就在积极制定新的法律。GDPR生效当天,英国第四代数据保护法Data Protection Act of 2018也同时生效。虽然目前英国尚未脱欧,但保守党领导的政府竭力在为脱欧大线做准备。2019年,英国政府进一步出台了The Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019。这部法典整合了英国版的GDPR,以及英国落实欧盟条令ePrivacy Directive的本国法Privacy and Electronic Communications Regulations。于此同时,英国数据保护机关也在持续提供指南、建议和咨询,为企业和个人提供法律确定性。[1]
概言之,脱欧对于(英国)数据保护的影响有两个面向:其一是英国本土数据保护法的变动,其二是英国与其他欧盟成员国之间的数据流动。
关于脱欧后的数据跨境流动,英国UEA学者Karen Mc Cullagh撰文梳理了脱欧对于数据保护法带来的多维度的影响。这篇最新文章将载于Edward Elgar出版社最新的研究手册中,2019年末仍未见出版。[2] Mc Cullagh认为,脱欧对于英国的数据保护而言是一大损失。一旦协商不成功或者没有在限期内达成共识,英国很有可能沦为GDPR规定的“第三国”。这意味着英国需要向其他国家一样,跟欧盟协商确定跨境数据流动的基本框架。如果在欧盟框架内,英国则可以享受数据自由流动的待遇(与此同时受到欧盟法的统一调整)。
Mc Cullagh还讨论了脱欧的其他面向。例如,扮演引领者的角色的ICO在脱欧之后就不能再对EDPB施加任何影响。英国虽然正在脱离欧盟,却明确表示要保持与欧盟单一数字市场的连结。这意味着欧盟设立的标准和原则——作为贸易的前提要求——还将影响英国的立法和司法实践。即便英国最高法院的不再受到欧盟法院的束缚,也还是有可能援引或至少参考欧盟法院的意见。
英国目前的困境在于,想要与欧盟协商的国家不止一个,英国很有可能需要排在其他12个国家之后。考虑到次序问题,英国想要在最新的期限届满前(2020年底)达成协议难度很大。[4] 两任European Data Protection Supervisor(在Giovanni Buttarelli去世后,目前由Wojciech Wiewiorowski接任)都曾表示,与英国协商可能要持续数年的时间。如果达不成协议,英国最坏的结果只能是基于WTO的框架跟欧盟展开(数字)贸易。[3]
就在圣诞假期之前,欧盟法院正在审议的Schrems II (Case C-311/18)有了新的进展,或许会给脱欧磋商带来新的思路。欧盟法院在判决做出前,会由一位Advocate General(AG)出台不具有法律效力(但经常会被法官参考)的官方意见。本案中的AG Henrik Saugmandsgaard Øe认为,Standard Contractual Clauses (SCCs)作为数据跨境流动的一种法律基础仍然有效。[5]
除了时间紧迫,摆在英国政府面前的还有诸多实体性的难题。包括Mc Cullagh在内的众多学者指出,英国最新出台的几部立法——例如2016年的Investigatory Powers Act——都无法达到GDPR规定的标准。英国要想实现跨境贸易,很可能先要修改本国立法。此外,新数据保护法增设了一项移民例外条款;很多(来自欧洲的)移民因此不享有英国数据保护法规定的同等权利和保障。今年夏天,数字权利组织The3Million和Open Rights Group已对此向法院提起诉讼。[6] 这一司法程序也有可能在来年影响磋商的走向。
UCL的两位学者Oliver Patel和 Nathan Lea于今年发布了一份报告,讨论脱欧后英国数据保护的走向。[7]文章将情景设定在No Deal Brexit上,围绕英国法律是否满足GDPR规定的数据保护标准展开,剖析了诸多潜在的难点。虽然英国政府已经与欧盟达成协议,但报告中的若干观点和梳理还是值得国内同仁参考。两位作者看来,尽管可以预想到欧英之间的数据流动不会完全切断,脱欧进程会很大程度上波及到数字贸易,大幅度增加成本。一些大企业或许有抵御这场政治波动的能力,但对于中小企业而言脱欧会完全改变市场环境。它们因此不得不选择离开英国,或者寻求其他应变方式。[8]
脱欧后的另一个法律挑战是基本权利的保障。英国在1998年通过了《人权法案》,很大程度上沿袭了《欧洲人权公约》的内容。彼时《欧盟基本权利公约》尚未出现,因此在人权法层面,英国并没有对数据保护权利的存在予以认可。2009年之后,《欧盟基本权利公约》生效,这意味着在欧洲存在着两套平行人权机制——所有的欧盟成员国都签署了《欧洲人权公约》,但不是所有国家都是欧盟成员国。值得一提的是,《欧盟基本权利公约》引领了一项范式革新——隐私权之外增设了数据保护权利。这样一种制度设计在《欧洲人权公约》以及其他国际人权法文件中都没有先例。脱欧之后,《欧盟基本权利公约》将不再适用于英国,持续多年的欧盟法传统在英国得到传承或完全废弃不得而知。实践中英国法院很有可能还会参考欧盟法院的判决,但在理论上,《公约》的失效会在英国造成基本权利保障真空的情况,尤其是数据保护权。
今年11月召开的ILPC年度会议上[9],剑桥学者David Erdos系统地分析了排除掉《欧盟基本权利公约》之后,英国数据保护法在基本权利层面上的法律基础。相较于《欧洲人权公约》,近来修改的Convention 108相对更为直接(直接涉及数据保护)也更为晚近(于GDPR生效之后进行了新一轮的修缮)。与《欧盟基本权利公约》相比,Convention仍然存在诸多地不足与真空地带。可以说,脱欧之后英国在欧盟法层面上的损失是无法弥补的。
向上滑动阅览
[1] ICO, ‘Data Protection and Brexit’ https://ico.org.uk/for-organisations/data-protection-and-brexit/
[2] Karen Mc Cullagh,‘Post-Brexit Data Protection in the UK’, in Gloria González Fuster, Rosamunde van Brake and Paul de Hert, Research Handbook on Privacy and Data Protection Law: Values, Norms and Global Politics (Edward Elgar Publishing 2020 forthcoming) https://ueaeprints.uea.ac.uk/id/eprint/70121/
[3] ‘The UK Data Protection Law and Brexit’(IT Governance, 19 December 2019) https://www.itgovernance.co.uk/eu-gdpr-uk-dpa-2018-uk-gdpr
[4] Javier Espinoza and Mehreen Khan, ‘UK at “End of Queue” for Data Deal with Brussels’(Financial Times, 26 December 2019) https://www.ft.com/content/875a903e-2313-11ea-b8a1-584213ee7b2b
[5] Case C-311/18 Facebook Ireland and Schrems (‘Schrems II’) , Opinion of Advocate General Henrik Saugmandsgaard Øe, delivered on 19 December 2019 http://curia.europa.eu/juris/document/document.jsf?text=&docid=221826&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=2369460 See also commentary ‘Advocate General Upholds Validity of Standard Contractual Clauses in Schrems II Case’(Lexology, 20 December 2019) https://www.lexology.com/library/detail.aspx?g=323cae81-c9bb-4a90-be7a-f64f53bbae70
[6] Lisa O'Carroll, ‘UK Decision to Deny EU Citizens Access to Data Challenged in Court’(The Guardian, 23 July 2019) https://www.theguardian.com/uk-news/2019/jul/23/uk-decision-deny-eu-citizens-access-personal-data-challenged-court
[7] Oliver Patel and Nathan Lea, ‘EU-UK Data Flows, Brexit and No-Deal: Adequacy or Disarray?’(UCL Brexit Insights, August 2019)
[8] Joe Sommerlad and Ben Chapman, ‘Which Companies are Leaving UK, Downsizing or Cutting Jobs Ahead of Brexit?’ (Independent, 26 February 2019) https://www.independent.co.uk/news/business/news/brexit-companies-leaving-uk-list-job-cuts-eu-no-deal-customs-union-a8792296.html
[9] ‘Digital Rights in Brexit: Changes and Challenges’ (Information Law and Policy Annual Lecture and Conference 2019, 22 November 2019, IALS, London) http://dev-ials.sas.ac.uk/events/event/20095
英国网络空间新治理模式——“网络伤害”
09
欧美网络法年度述评2019(十之九):
2019年4月,负责网络治理的英国政府部门DCMS(全称为Department for Digital, Culture, Media & Sport)发布了《网络伤害白皮书》 (Online Harm White Paper)。[1] 所谓网络伤害,在报告中泛指来自互联网的各种形式的伤害。英国议会成员Jeremy Wright在序言中写道,网络给整个社会带来的诸多利益,也潜藏着各式各样的伤害来源。宽泛的“伤害”定义表明英国这一新的网络治理模式辐射范围之广,涵盖诸多治理议题,例如(儿童)性虐待、恐怖主义行径、移民犯罪、现代奴隶制、极端/复仇色情、网络骚扰、仇恨犯罪、鼓励或协助性自杀、煽动暴力、违禁品交易(例如毒品、武器等)、藐视法庭或干扰法律程序、(在社交网络上)发送色情短信等等。还有一些有争议的网络行为没有准确的定义,也被纳入到《白皮书》的治理范围之内。这包括网络欺凌与“恶搞”(trolling)、极端主义行为和内容、强迫性行为、虚假信息、煽动自我伤害等等。关于白皮书的结构、主要措施以及如何落实,Home Office News Team发布了一份关于这一讨论的factsheet,清晰地梳理了各个面向,可供读者了解大意。[2]
白皮书一出,立即在媒体和社交平台上激起热议 [3], 也成为本年度英国——乃至欧洲范围内——网络治理的焦点。来自英国内外的多个组织予以回应,据称DCMS总共收到了超过2000份公众意见。[4]
尤为值得关注的是Journal of Media law 2019年9月的一期网络伤害的专题。其中很多讨论源于牛津Bonavero Institute of Human Rights同年6月份组织的一场专题讨论会。[5]
专题四篇文章各有所长,讨论了白皮书的不同面向,剖析了综合治理模式的优劣。导言中,牛津法学院副教授Jacob Rowbottom表示《白皮书》对于传媒法律领域而言时一件大事。由于覆盖的法律问题在英国已存在救济机制,又提出对网络伤害的综合治理可能会对整个领域带来结构性的变革。[6] 类似地,其他几位学者一致性地表达了对这一治理模式的担忧。网络治理是否需要这样一剂强行针?涵盖甚广的综合治理模式是否科学?是否会对言论环境以及基本权利构成威胁?这些问题是几篇论文讨论的焦点。
来自埃塞克斯大学的Lorna Woods教授是推进这一治理模式的核心人物。白皮书强调地平台“注意义务” (duty of care)可以在她同年度发表的文章中找到端倪。[7] 她的专题文章也着力于此,讨论注意义务与既有规范之间的联系。Woods认为网络治理不应该完全依靠“安全港”机制(既平台在之情的情况下有义务及时删除或撤下违法或者违规的内容)。治理的焦点应该放在如何通过平台的架构设计来避免伤害上。尽管白皮书没有明言,Woods教授认为政府采取的新模式不谋而合。[8]
牛津互联网研究院的Victoria Nash教授讨论了网络伤害治理的范围。[9] 她认为在什么是违法和什么是“合法但有害”的区分上,我们并没有形成一条清晰的界限。因此,治理“有害”行为需要审慎,尤其是在缺乏足够的事实和证据的情况下。Nash教授提出了若干点建议,例如非法内容治理先行(这样可以有更多的时间寻找“有害内容或行为”的证据)、暂缓处理有争议性的网络内容(尤其是考虑到对言论环境的负面影响)。Nash还强调程序正义的重要性。平台在一定程度上已经成为了私有部门执法者[10];像公有部门一样,平台也应遵循正当程序原则。此外,作者认为平台还需要对一些自由裁量行为负责(包括关于平台架构、隐私政策以及用户协议等)。
来自伦敦政治经济学院的Damian Tambini撰文讨论了“区别治理”的可能性。[11] 考虑到白皮书涵盖范围之广,综合治理里路未必适用于所有的网络伤害情形。Tambini博士认为综合治理的里路行不通;作为解决方案,他提出明确区分(可以明确定义的)违法情形以及合法的(但是很难清晰定义)情形。对于前者,政府的管制应该更加直接有效;而对于后者,政府应当采取一些软性措施,例如监控评估网络有害内容,并且让平台变得更加“透明”。
最后,同样来自牛津Bonavero Institute of Human Rights的博士后研究员Stefan Theil开展了对比研究。英国白皮书之外,去年德国出台的NetzDG Law(可译作“网络执行法”)也掀起了一场热议。[12] 根据这部新法,德国社交媒体应当允许用户举报网络非法内容并及时删除,否则将面临最高5千万欧元的罚款。这部联邦层面的法律旨在治理网络仇恨言论,但短短一年之间引发了大量争议性删帖。比较两国治理里路,Theil认为综合性治理在实践中存在诸多难题,例如标准不明确导致地选择性执法。在他看来,网络伤害的治理应该基于准确的定义和充分的科学证据。Theil的文章还提到了对部分(中小型)公司提供责任豁免。
向上滑动阅览
[1] Department for Digital, Culture, Media & Sport (DCMS), 'Online Harm White Paper' (DCMS White Paper, April 2019) https://www.gov.uk/government/consultations/online-harms-white-paper See also a Summary of Online Harms White Paper in plain language https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/811923/EASY_READ_Online_Harms_White_Paper.pdf
[2] Home Office News Team, 'Online Harms White Paper Factsheet' (Factsheet. 8 April 2019) https://homeofficemedia.blog.gov.uk/2019/04/08/online-harms-white-paper-factsheet/
[3] See for example, Alex Hern, ‘Online Harms White Paper: Could Regulation Kill Innovation?’ (The Guardian, 4 April 2019) https://www.theguardian.com/technology/2019/apr/04/online-harms-white-paper-regulation-without-killing-innovation In contrast, see John Naughton, 'The White Paper on Online Harms is A Global First. It has Never Been More Needed' (The Guardian, 14 April 2019) https://www.theguardian.com/commentisfree/2019/apr/14/white-paper-online-harms-global-first-needed-tech-industry-dcms-google-facebook. Gian Volpicelli, 'All That's Wrong with the UK's Crusade against Online Harms' (WIRED, 9 April 2019) https://www.wired.co.uk/article/online-harms-white-paper-uk-analysis. Blayne Haggart and Natasha Tusikov, 'What the U.K.’s Online Harms White Paper Teaches Us About Internet Regulation' (LSE Blog, 29 April 2019) https://blogs.lse.ac.uk/medialse/2019/04/29/what-the-u-k-s-online-harms-white-paper-teaches-us-about-internet-regulation/
[4] Response from Doteveryone https://doteveryone.org.uk/wp-content/uploads/2019/07/ONLINE-HARMS-WHITE-PAPER-Doteveryone-response_July2019.pdf.
Response from the Carnegie Trust https://www.carnegieuktrust.org.uk/blog/online-harms-response-cukt/
Response from Privacy International https://privacyinternational.org/advocacy/3027/privacy-internationals-response-uks-open-consultation-online-harms-white-paper
Response from Swansea Cyber threats Research Center https://www.swansea.ac.uk/media/Response-to-the-Online-Harms-White-Paper.pdf
Response from ART19 https://www.article19.org/resources/uk-article-19-response-to-online-harms-white-paper/
Response from the Electoral Commission https://www.electoralcommission.org.uk/who-we-are-and-what-we-do/changing-electoral-law/transparent-digital-campaigning/response-online-harms-white-paper
Response from IPSO (Independent Press Standards Organisation) https://www.ipso.co.uk/media/1716/online-harms-white-paper-response-from-ipso.pdf
Response from Bonavero Institute https://www.law.ox.ac.uk/sites/files/oxlaw/bonavero_response_online_harms_white_paper_-_3-2019.pdf
Response from the ICO https://ico.org.uk/media/about-the-ico/consultation-responses/2019/2615232/ico-response-online-harms-20190701.pdf
Response from the Alan Turing Institute https://www.turing.ac.uk/research/publications/dcms-and-home-office-consultation-online-harms-white-paper
Response from KCL Centre for Media, Communication & Power https://www.kcl.ac.uk/policy-institute/assets/cmcp/cmcp-submission-to-dcms-consultation-on-online-harms-white-paper.pdf
Response from the Internet Watch Foundation https://www.iwf.org.uk/sites/default/files/inline-files/IWF%20Online%20Harms%20White%20Paper%20Response_0.pdf
Response from 5 Rights Foundation https://5rightsfoundation.com/uploads/2019-07-01-final-5rights-response-online-harms-white-paper.pdf
Response from Children's Commissioner https://www.childrenscommissioner.gov.uk/2019/08/27/childrens-experiences-of-online-harm-and-what-they-want-to-do-about-it/
Response from Mozilla https://blog.mozilla.org/netpolicy/2019/07/02/building-on-the-uk-online-harms-white-paper/
Response from the Inforrm's Blog https://inforrm.org/2019/07/20/online-harms-white-paper-some-consultation-responses/
[5] Journal of Media Law Symposium: Online Harms White Paper (Volume 11(1), September 2019) https://www.tandfonline.com/toc/rjml20/11/1?nav=tocList
[6] Jacob Rowbottom, ‘Introduction: Online Harms White Paper Symposium’ (2019) 11(1) Journal of Media Law 1-5
[7] Lorna Woods, ‘Duty of Care’ (2018) 46(4) InterMEDIA 17-21
[8] Lorna Woods, ‘The Duty of Care in the Online Harms White Paper’ (2019) 11(1) Journal of Media Law 6-17
[9] Victoria Nash, ‘Revise and Resubmit? Reviewing the 2019 Online Harms White Paper’(2019) 11(1) Journal of Media Law 18-27
[10] 关于这一主题详见《哈佛法律评论》于2018年刊载的一篇文章 Kate Klonick, ‘The New Governors: The People, Rules, and Processes Governing Online Speech’ (2018) 131 Harvard Law Review 1598 https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2937985
[11] Damian Tambini, ‘The Differentiated Duty of Care: A Response to the Online Harms White Paper’(2019) 11(1) Journal of Media Law 28-40
[12] Kirsten Gollatz, Martin J. Riedl and Jens Pohlmann, ‘ Removal of Online Hate Speech in Numbers’ (LSE Blogs, 16 August 2018) https://blogs.lse.ac.uk/medialse/2018/08/16/removals-of-online-hate-speech-in-numbers/
平台——网络治理执牛耳者
10
欧美网络法年度述评2019(十之十):
无论国内外,网络平台已经成为了网络治理的执牛耳者。权力机关能力和资源有限,依仗平台的数据和实力已成为大势所趋。无论是版权法(Infringement Filter)、竞争法(Vestager Report),还是数据保护法(DPIA),欧洲改革的进路都是强化平台在治理内容、数据和科技的权限以及义务。从(英国)网络白皮书,到被遗忘权的执行,再到新兴科技的的治理,每一个主题都会最终落实在平台责任上。
平台治理是一个宽泛的概念,涵盖范围甚广,涉及言论表达、版权保护、电子商务(促进),近来又延伸到民宿、交通、劳工(零工经济)等被平台化的传统产业和领域。平台治理不是法律政策领域的专用词,愈发成为跨学科讨论的交汇点。治理的理念、措施的设计,以及落地的方式都需要多学科的知识、方法和思考模式。
概念层面上,2019年的几篇新文章为我们提供了法域之外的新视角。社会学期刊Information, Communication & Society上一篇题为What is Platform Governance(“何为平台治理”)的文章中,Robert Gorwa(牛津大学政治与国际关系学院)梳理了这一概念在多学科视角下的多层次治理结构,以及如何能够促进共识的形成。[1] 来自荷兰Tilburg大学的Joseph Mc Cahery等人站在传统的商业立场,从“公司治理”的概念出发探讨平台化和数字化对公司带来的影响。[2]
耶鲁法学院教授Jack M. Balkin今年在SSRN上发布了两篇文稿(尚未公开发表),其中一篇从法理上讨论了社交网络的治理。[3] Balkin强调了平台在21世纪数字公共空间的影响力,以及经济驱动与社会责任之间的张力。追本溯源,作者认为治理最终目的是为了激励平台成为更加负责且可信赖的法律责任主体。无论形式如何,治理的另一大目的是为了确保数字环境中社交平台的多样化。作者进入到法律语境中,探讨了竞争法、隐私和消费者保护法,还有平台责任法这三大治理维度。
由老牌学术期刊Computer Law & Security Review本年度发布的“平台价值”专题值得学者重点关注。[4] 这一专题刊囊括了诸多西方重要学者关于平台价值所在的论述。在导言中,两位编者提到平台价值的两个面向:一方面是数字平台主要宣扬、创设和推崇的价值,另一方面是它们努力排斥、避免的价值。
新书著述方面,身为Public Knowledge的高级副总裁Harold Feld出版了新书The Case for the Digital Platform Act: Breakups, Starfish Problems, & Tech Regulation(2019年10月)。书中Feld建议美国在联邦层面出台一部Digital Platform Act (“数字平台法案”),并相应地设立数字平台监管机关。这一路径与英国《网络伤害白皮书》极为相似。传媒通信治理机关Ofcom将在年后主导若干措施的落实,其中包括新行为指引的出台,违规网站的屏蔽,以及对驻英代表的个人追责(脱欧后英国政府要求国外科技公司设立驻英代表)。
牛津大学出版社原计划在2019年推出一部平台责任牛津手册[5],但临近年底仍无消息。继大律师Jaani Riordan的专著The Liability of Internet Intermediaries之后,这部手册是牛津出版社第二本以平台治理为主题的出版物。虽然尚未问世,手册中的若干篇文章已经可以在CREATe、SSRN等网站上搜索到,值得国内学者关注。
电子商务领域,欧盟法院在2019年出台了一项判决C-390/18[6],认可了爱彼迎 (Airbnb)的电商地位。在欧盟法语境中,成为电商将享有如多好处,可免去线下企业需要承担的特殊责任。相较之下,信息服务提供商承担的合规成本要低很多,因此像Airbnb这样的电商平台都会努力争取“信息社会服务”提供商的资质。
新判决讨论的焦点是如Airbnb这样的线上线下集合平台是否属于欧盟电子商务法中规定的“信息社会服务”提供商( information society service provider)。法院认定,只要民宿平台意在联结旅客和民宿提供者,同时提供配套服务,就以被认定为“信息社会服务”提供商。[7] 哥本哈根商学院副教授Andrej Savin在EU Internet Law & Policy Blog(博客)中表示,这一判决与早期关于Uber的若干判例是连贯一致的。[8]
欧盟治理里路的核心在于综合平台——兼顾线下与线上——对线下实体部分的控制力:控制力越强,就越可能被排除在 “信息社会服务”之外。[9] Savin在网络治理的问题上著述颇丰。2019年他在Journal of Internet Law上还发表过一篇学术论文[10],讨论综合平台的法律适用难题(电子商务法)。
知识产权领域,欧盟法院的判例也有新近进展。正在审理的YouTube一案中[11],内容聚合平台YouTube因为音乐版权侵权而被告上法庭,案件焦点是平台是否需要为用户上传的侵权视频而负责。根据早期判决,平台责任在版权侵权问题上的核心是平台是否知晓侵权内容。荷兰阿姆斯特丹大学的学者Jurriaan J H van Mil认为[12],YouTube与早前的侵权网站Pirate Bay在性质上有所不同,可能会影响判决的最终结果。前者意在合法内容的传播和流动,并已采取措施打击侵权。此案之外(由德国联邦法院提出),奥地利法院也向欧盟法院做出了类似的提请,案件均在审理当中。[13]
向上滑动阅览
[1] Robert Gorwa, ‘What is Platform Governance’(2019) 22(6) Information, Communication & Society https://www.tandfonline.com/doi/full/10.1080/1369118X.2019.1573914
[2] Joseph Mc Cahery, Erik Vermeulen and Mark Fenwick, ‘The End of "Corporate" Governance: (Hello "Platform" Governance)’ (2019) 20(1) European Business Organization Law Review 177-199 https://research.tilburguniversity.edu/en/publications/the-end-of-corporate-governance-hello-platform-governance
[3] Jack M. Balkin, ‘How to Regulate (and Not Regulate) Social Media’(2019) https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3484114
[4] CLSR Symposium: Platform Values https://www.sciencedirect.com/journal/computer-law-and-security-review/articles-in-press
[5] Giancarlo Frosio (ed), The Oxford Handbook of Intermediary Liability Online (OUP 2020 forthcoming)
[6] C-390/18 Airbnb Ireland ECLI:EU:C:2019:1112 http://curia.europa.eu/juris/liste.jsf?num=C-390/18
[7] Airbnb, para 101
判决原文如下:
Art 2(a)of the Directive 2000/31/EC (definition of “information society services”)...must be interpreted as meaning that an intermediation service which, by means of an electronic platform, is intended to connect, for remuneration, potential guests with professional or non-professional hosts offering short-term accommodation, while also providing a certain number of services ancillary to that intermediation service, must be classified as an ‘information society service’ under Directive 2000/31
[8]C-434/15 Asociación Profesional Elite Taxi ECLI:EU:C:2017:981 http://curia.europa.eu/juris/document/document.jsf?text=&docid=198047&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=384150. See also Case C-320/16 Uber France v Nabil Bensalem ECLI:EU:C:2018:221 http://curia.europa.eu/juris/document/document.jsf?text=&docid=200882&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=384153
[9] Andrej Savin,‘The CJEU AirBnB Judgment: Another Look at Composite Services in the EU’(EU Internet Law & Policy Blog, 19 December 2019) https://euinternetpolicy.wordpress.com/2019/12/19/the-cjeu-airbnb-judgment/
[10] Andrej Savin, ‘Electronic Services with a Non-electronic Component and their Regulation in EU Law’(2019) 23(3) Journal of Internet Law 14-27
[11] C-682/18 YouTube http://curia.europa.eu/juris/liste.jsf?num=C-682/18
[12]Jurriaan J H van Mil, ‘German Federal Court of Justice asks CJEU if YouTube is Directly Liable for User-Uploaded Content’ (2019) 14(5) Journal of Intellectual Property Law & Practice 355–356 https://academic.oup.com/jiplp/article/14/5/355/5435734
[13] Ron Moscona, ‘EU Court Reconsiders YouTube’s Liability For Copyright Infringement’(Lawyer Monthly, 5 November 2019) https://www.lawyer-monthly.com/2019/09/eu-court-reconsiders-youtubes-liability-for-copyright-infringement/
感谢作者授权
本文仅作学习交流之用
东山魁夷
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”