本文共
11000
字
,
建议阅读
10+
分钟。
本文聚焦10个最易被误解和最具有争议性的问题,展现更为全面、客观的视角,以期消除刻板印象和固有偏见,尽力还原GDPR的真实面貌。
《欧盟数据保护通用条例》(General Data Protection Regulation,GDPR)
的重要性毋庸置疑。作为隐私与数据保护领域20年来最引入瞩目的立法变革,GDPR提出了大数据时代个人数据保护的新秩序愿景。
随着5月25日实施日期的临近,其可能带来的影响也引起更大关注。在《条例》制定之初,作者曾就GDPR主要制度,重要变化进行了梳理,见旧文《欧盟数据保护通用GDPR详解》[1]。然而,从《1995数据保护指令》34个条款发展到99条,
GDPR创建了大量的新概念、新原则、新权利,导致产生许多争议和尚待细化的领域。
为澄清相关问题,欧盟数据保护权威机构——第29条工作组[2]发布了一系列的指南[3]以回应各方关切。包括:数据可携带权,数据保护官,数据保护影响评估,识别主导监管机构,行政处罚、充分保护认定、BCR基本原则,数据泄露通知、自动决策和画像、同意、隐私实践透明度等等。
这些指南对厘清争议性问题提供了重要参考,但也正说明GDPR就像一个新生儿,处于探索塑造期。
本文聚焦10个最易被误解和最具有争议性的问题,展现更为全面、客观的视角,以期消除刻板印象和固有偏见,尽力还原GDPR的真实面貌。
本文目录:
-
GDPR:史上最严格的数据保护立法?
-
用户同意:数据处理的唯一合法基础?
-
数据控制者的正当利益:还有适用情形么?
-
被遗忘权:我随时可以主张删除数据,并被世界所遗忘?
-
数据可携权:不同的信息服务之间, 可以无缝迁移?
-
数据跨境转移: 变得更加严格?
-
云计算:将重建生态体系?
-
人工智能:深度学习即将违法?
-
区块链:与GDPR不相兼容?
-
高昂的处罚不可避免?
看看你对GDPR的理解全面么?
1. GDPR:史上最严格的数据保护立法?
GDPR的严格主要体现在对个人权利的细致保护,以及对违法行为的高昂处罚。但易被忽视的另一面是,GDPR依然完全秉承了1995数据保护指令的二元立法目标:保护个人权利并促进个人数据的流动。立法第一条开宗明义指出:不能以保护个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
尤为值得注意的是,在历时4年的立法商议中,GDPR的立法者们充分关注到了数据主体享有的并不是绝对权利,有关数据的权利应当与其他权利及正当利益之间形成恰当的平衡关系,为此,GDPR精心设计了大量的但书、克减条款,对例外情形作出补充,对权利作出适当限制,对义务、责任予以适当豁免。
需要平衡的其他正当利益及权利包括:
-
公共利益,例如在医疗健康领域,为实现传染疾病分析与预警目的;
-
科学、历史研究、统计目的;
-
表达自由权与信息权,为了新闻目的、学术、艺术或文学表达;
-
个人的其他核心重大利益与权利,例如生命权,健康权;
-
数据控制者的合法利益等等。
围绕上述正当利益与权利,GDPR进行了许多平衡折中,体现在:
1.
对每一项数据主体权利,包括数据访问权、被遗忘权、数据可携权等条款均有限定条件(下文会重点介绍);
2.
对企业义务也考虑到多种豁免,比如:规模在250人以下的中小企业可以豁免数据活动文档化记录义务[4]等;
3.
引入了多种变通机制,来调和不同的权利,最为典型的即在数据跨境转移中,构建了多种合规数据转移路径[5];
4.
在原则性禁止条款中,均设置了用户同意的例外,例如对敏感信息的处理;
5.
专设“限制情形”一节,明确权利受到限制的各种情形,并授权成员国可以继续围绕上述利益通过制定本国法规的方式,进一步作出例外和克减规定,
这实际上为GDPR未来的落地执行留有了更大的空间
[6]。
所以总体来看,
除了严格性外,GDPR整体体现出的是平衡兼顾。
通过制度改革,在用户个人权利和其他正当权益之间形成更为科学、合理的配置。
与此同时,引入诸多平衡机制的结果是GDPR要远比想象中复杂。
正如本文中所探讨的许多问题一样,实际上就连GDPR自身也没有给出明确答案。
2. 用户同意:数据处理的唯一合法基础?
从企业视角出发,往往会得出这样的结论。特别是国内相关个人信息保护法律文件,也更多将用户的同意作为数据收集、使用的唯一合法理由。
例如:《网络安全法》第41条[7]的表述也易被如此理解。然而,这一印象存在许多误解。
GDPR面向适用的主体不仅包括企业
,也包括决定和参与个人数据处理的任何个人,机构,涵盖了政府部门、公共机构、司法机构以及其他实体[8]。上述个人和实体作为数据控制者或数据处理者,均需要适用GDPR。
因此,考虑到数据处理的多种可能场景以及与其他正当利益的平衡,除了数据主体的同意之外,
GDPR还规定了五类处理个人数据的合法基础,包括:
1.
为了履行数据主体所参与的合同,或者是在合同确立前依数据主体的请求而进行的处理;
2.
数据控制者为了履行法律职责的需要;
3.
为了保护数据主体或另一个自然人的核心利益;
4.
数据控制者为了公共利益或因官方权威要求而履行某项任务;
5.
对于数据控制者或第三方所追求的正当利益是必要的,但这种正当利益不得凌驾于需要通过个人数据保护以实现数据主体的基本权利与自由,特别是儿童的基本权利与自由。
以上五种情形,都可以作为“同意”的其他替代机制,成为数据处理的合法基础。而从国内来看,
对于这一问题,我国行业标准《个人信息安全规范》也在尝试修正,在同意的例外中,详细罗列了11项情形
[9]。
作为用户同意的替代机制——“数据控制者的正当利益”可能是GDPR中最易被误解的概念。
实际上正如本条所附加的限制条件,在很多商业场景中,企业不能够依据自己的正当利益理由,去规避用户同意的需求。但GDPR将其与用户同意并列作为数据处理的合法理由,
即表明了个人的权利并不总是优先,而是需要在用户个人权利与数据控制者的合法利益之间做出平衡。
至少在目前的GDPR中,可以适用“数据控制者的正当利益”的情形包括:
1.
直接推广(direct marketing),如果企业已经与用户有实际的交易关系,或者与用户在达成交易的过程中,则企业可以适用本条所赋予的正当利益理由,通过软选入方式(soft opt -in)的方式,即用户默认同意的方式,向用户发送与其此前交易商品或服务相关的营销信息,直到用户行使拒绝权为止[10];
2.
以预防欺诈为目的的数据处理活动[11];
3.
出于保障网络信息安全目的处理个人信息[12];
4.
在集团或者系统内部,出于行政管理需要的数据披露[13](排除跨境转移情形);
5.
向主管部门报告犯罪或者公共安全重大威胁[14]。
考虑到GDPR对于控制者正当利益的界定是开放式的,因此不排除在实践中还会出现其他正当利益类型,也会为执法机构所认可。
4. 被遗忘权:我随时可以主张删除数据,
并被世界所遗忘?
“被遗忘权”、“数据可携权”是GDPR中最引入注目的两项新型权利,但同时也引发了巨大争议。
单从名称看,这两项权利给人们带来了多少遐想,就带来了多少歧义。
GDPR中的被遗忘权实质上是传统个人数据保护法中“删除权”的升级,
此外,2014年欧洲法院在谷歌西班牙一案中所确立的“被遗忘权”判例[15],深深影响了正在立法进程中GDPR,并在最终的版本中正式写入[16]。
GDPR第17条擦除权(“被遗忘权”)共计三款。
其中第1款的核心仍然是传统个人信息保护法中已经确立的删除权:当用户依法撤回同意或者控制者不再有合法理由继续处理数据等情形时,用户有权要求删除数据。
关于“被遗忘”的精神更多体现在第17条第2款:
如果控制者将符合第1 款条件的个人数据进行了公开传播,他应该采取所有合理的方式予以删除(包括采取可用的技术手段和投入合理成本),控制者有责任通知处理此数据的其他数据控制者,删除关于数据主体所主张的个人数据链接、复制件。
也就是说,控制者不仅要删除自己所控制的数据,还要求控制者负责对其公开传播的数据,
要通知其他第三方停止利用、删除。这是对传统“删除权”的极大扩张。要知道,在开放的互联网空间,要控制者去确定并通知所有的第三方几乎是不可能完成的任务。
也正是考虑到“被遗忘权”的强大威力,立法者对其适用作出了许多限制,第17条第3款规定了并不适用“被遗忘权”例外情形:
-
基于表达自由和信息自由;
-
基于公共利益和履行法律职责需要;
-
基于历史、统计和科学研究的目的;
-
出于提出、实施和保护合法权利的需要等;
简言之,“被遗忘权”虽然与个人权利直接挂钩,但它与包括言论自由,信息自由流动、公众知情权在内的其他公共价值追求有着尖锐冲突,即便在将个信息保护作为基本人权的欧盟,其也在立法上对“被遗忘权”作出必要的限制。
正如在典型的“被遗忘权”案例中:一名律师因为报纸网站上刊登了其曾经被指控有伪造罪的相关信息,将该报纸告上法庭,认为其刊登的信息对其职业生涯的声誉产生了负面影响,但该律师的主张在法院中并没有得到支持。法院认为,公众关心的真实信息应当可以被合法公开,包括在网络上公开。国内也有相关案例,法官同样以公共利益为由驳回[17]。
即便作出了诸多限制,“被遗忘权”仍然面临很多质疑。对于用户提出的“被遗忘权”请求,企业可能首先需要审查其是否属于立法中规定的例外情形,而“表达自由”、“公共利益”这些抽象的判断标准,无疑是将企业拖入裁判的泥潭,并由此成为一种新形式的“网络审查”。在GDPR后续实施中,“被遗忘权”仍然有许多问题留待解决。
5. 数据可携权:不同的信息服务之间,
可以无缝迁移?
如果说“被遗忘权”容易被普通公众所误解,那么“数据可携权”则是更令专业人士都易误读的的一项权利。
GDPR数据可携权体现在第20条,共有四款。
正如“被遗忘权”是传统删除权的升级,
“可携带权”可以看做是传统“访问权”的增强。
即首先保证的是用户获得自身数据的权利。第20条第1款即是这一内容:
个人有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的。
同时第1款也明确了“可携权”适用的两个限定条件:
一是适用于建立在“用户同意”基础上的数据处理活动;二是处理是通过自动化方式完成的。
结合上文第二点,数据处理活动的合法基础来看,用户同意仅仅是合法基础之一,
因此用户同意之外的其他数据处理活动并不适用于数据可携权,例如:为了公共利益,为了预防欺诈的数据处理并不适用可携权。
“可携”的精神主要体现在第20条第2款:
如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。
“技术可行”的表述,表明GDPR并没有将可携权上升到推广强制性的互兼容,互操作技术标准的程度,而是给市场留有了一定空间。
最后,同样在第3,4款对可携权的适用明确了限制条件。
显然,仅第20条一个独立条款难以完全解释“数据可携权”所可能包涵的丰富含义,以及在具体实践如何执行。
因此,欧盟第29条工作组专门发布了关于数据可携权的指南[18]。这份指南回应了最具有争议性的问题。因篇幅有限,择取其中关键问题——个人可以通过行使“可携带权”,实现在不同服务商之间的自由切换么?
如果现实中:数据能够简单明了的切分为你的个人数据,我的个人数据,也许这个问题还比较简单,然而在现实的万物互联时代,我们每个人的个人信息,似乎都与物的信息,机构的信息以及与他人的个人信息粘连在一起。
在转移过程中,如何不涉及对他人权利的负面影响,是“可携权”面临的最大考验。
典型的:个人数据可能同时关涉其他第三方个人的数据,
例如:通讯录信息、电话记录信息、聊天信息、邮件往来信息、转账记录信息等等。按照个人数据定义,此类数据当然属于个人数据,但数据主体针对此类数据行使“数据可携带权”时,则往往可能对其他第三方个人的基本权利带来侵害。
因为这些第三方个人根本没有机会得知自己的数据被他人提交给了新的数据控制者,从而也没有机会行使自己的权利。
这不仅在不同的服务商切换中带来潜在的权利侵害风险,即使在同一家服务商上也会存在此类风险。
正如2010年,google 启动其社交网络服务Google buzz时,不恰当的利用了其gmail用户的关系链数据,在gmail用户A接受Google buzz使用邀请时,用户并不清楚其gmail的通信录上的用户都将被自动拉入Google buzz。而被拉入的用户也并不知情自己的联系信息已被收录并被buzz社区公开, Google也因此受到FTC处罚[19]。
近期爆发的Facebook事件中也再次证明,通过好友关系链的数据披露,的确更易对不知情第三人造成权利侵害。
在更加重视个人权利保护的欧盟,自然要对此类情况加以限制。
GDPR第20条明确对可携带权的行使作出了明确限定,不能对他人的权利或自由产生负面影响。第29条工作组在指南中进一步作出了详细解释:
对于涉及到其他第三方个人数据的数据转移,
仅仅允许行使“数据可携权”的数据主体本人对于转移后的数据进行唯一的控制(solecontrol)
,只能将此类数据用于个人和家庭事务目的,比如出于个人目整理通信录。
这切断任何第三方利用这些数据的可能性;
接收数据的数据控制者不得基于自己的利益去处理转移后的数据,
特别是禁止对数据中涉及的第三方个人开展商品营销或服务活动,也不得将获得的数据用于丰富第三方个人的数据画像,或重建其社交圈,即使在数据控制者本身已经掌握第三方个人数据的情形下也要如此。
为避免对第三人的侵权风险,《指南》还鼓励数据控制者不论是导出数据的那一方(exporter),还是接受数据的一方(importer)都应当设置相应的技术工具,
帮助数据主体在转移数据时剔除涉及其他第三方个人的数据。
以上规定已清楚指明,在类似于Facebook到Snapchat等社交网络的切换中,目前并不可能通过用户行使“可携带权”,实现一键转换。
在很多情形下,这反而是GDPR中所禁止的行为类型,
因为它侵害到不知情第三方的基本权利。典型例如:用户A将自己的好友信息,包括好友的姓名,手机号码转移到一个APP上,在这一场景下转移只能服务于A用户的个人存储、管理目的,接收数据的APP不得基于自己的经营目的,处理用户A的好友信息。直接面向用户A的好友开展商品营销或直接提供服务,都属于明显违反GDPR的行为。
可携带权关注数据主体本人对数据的控制力(这里集中体现为转移诉求),但更要保证所涉及的其他第三人的基本权利。
也正是在这种需要兼顾不同方利益的复杂环境下,可携权的设计是否科学?是否符合市场实际面临许多质疑。
而其中质疑最大的是“可携权”与竞争政策之间的关系。
“数据可携权”从表面看为用户提供便利,减少用户转换成本,但是深入研究就会发现:有关锁定用户的成本以及用户转换服务时所遇到的阻碍问题完全可以通过竞争法来解决。
竞争法历经百年发展历史,已经形成了较为严密和成熟的基础理论,它不仅考虑到了用户的锁定成本,也考虑到了锁定也会带来一定的消费者福利。
一定的转换成本可以鼓励对新技术业务的投资,在长期来看是具有效率的。
竞争法的适用是以企业在市场上具有显著市场地位,并滥用该地位损害正当的市场竞争为前提的。其规则适用具有复杂而严密的程序前提[20]。而根据《GDPR》规定,数据可携权作为用户的基本权利,
可以被要求适用于任何一个机构,包括新兴企业在内。
总之,正如“被遗忘权”一样,“数据可携权”带来的新问题也许也远比想象中更多。
个人数据的跨境流动制度为欧盟所首创,因此很多人对欧盟这一制度留下了严格印象。
然而在GDPR立法启动时,跨境流动制度中存在的突出问题就被首先被识别出来。几乎所有的欧盟企业都涉及到向欧盟境外传输数据,然而1995指令中关于跨境流动的严格规则早已难以适应数据国际流动[21]。
为此,GDPR对跨境数据流动政策进行了大幅优化改革,特别着力于开辟更多的合法数据跨境方式,提升跨境流动的灵活度:
1.明确禁止各成员国以许可方式管理跨境数据流动。
多年的实践表明,欧盟各成员国对跨境流动采取的许可管理方式并没有实质性的提升个人信息出境的保护水平,相反,事前许可制度却带来官僚主义问题。因此,GDPR重点简化了数据跨境传输机制,明确禁止了许可管理做法,只要符合了《GDPR》中跨境数据流动的合法条件,则成员国不得再通过许可方式予以限制。
2.增加了充分性认定的对象类型。
除了对国家可以作出评估外,还可以对一国内的特定地区、行业领域以及国际组织的保护水平作出评估判断,以进一步扩展通过“充分性”决定(adequate decision)覆盖的地区。
3. 扩展“标准合同条款”(Standard Clauses Contract,SCC)。
除了保留目前已生效的3个标准合同范文,《GDPR》增加了成员国数据监管机构可以指定其他标准合同条款的渠道,以为企业提供更多的,符合实际需求的跨境转移合同文本选择。
4.将“有约束力的公司规则”(BCR)正式确定为法定有效的数据跨境机制。
BCR是集团型跨国企业可优先考虑的机制,集团遵循一套完整的,经个人数据监管机构认可的数据处理机制,则该集团内部整体成为一个“安全港”,个人数据可以从集团内的一个成员合法传输给另一个成员。
尽管已有部分欧盟成员国监管机构接受BCR规范,包括埃森哲、宝马汽车、惠普、摩托罗拉等72家跨国公司获得了BCR认可[22]。但由于1995保护指令中并没有将BCR纳入,BCR的法律效力尚不明确,而此次GDPR解决了这一问题。
5. 发挥行业协会等第三方监督与市场自律作用。
GDPR规定数据控制者可以成立协会并提出所遵守的详细行为准则(codes of conduct)。该行为准则经由成员国监管机构或者欧盟数据保护委员认可后,可通过有约束力的承诺方式生效。此外,
经认可的市场认证标志(seals and marks)
也可以作为数据跨境转移的合法机制,这实际反映了GDPR对美国市场自律治理方式的充分借鉴。
因此,在GDPR生效后,企业将会有更为丰富的机制选择,实现更为顺畅的跨境数据流动。
对于云计算而言,GDPR的确带来了重大变化。
在典型的云服务场景中,云服务商作为数据处理者,而云的客户是数据控制者。1995年保护指令主要适用于控制者,处理者通过合同承担数据保护责任。
然而GDPR对于控制者、处理者在大多数情况下提出了相同的要求,
例如:承担对数据的安全保障义务,在管理措施、技术上采取必要措施,包括指定DPO、在发生数据泄露事故时及时报告控制者等。
更进一步的是,GDPR对于处理者的专门规定,深入到了处理者(云服务商)与控制者(云客户)之间的权利义务关系配置,
而在过去,这些内容是完全交由合同,市场自行去解决。因此有观点认为:GDPR关于数据处理者的规范,与作为新生态的云计算格格不入[26]。
例如:GDPR要求,如果没有控制者授权,处理者不应聘用另一个处理者,对于涉及到补充或替换其他处理者的变动,处理者都应当告知控制者,以便使控制者有机会反对此类变化。对照此要求,
目前市场上云服务的集成、转售业态都将面临业务风险,因为控制者(云客户)随时可以行使反对权。
承认GPDR对云计算生态体系带来重大影响,但客观来看,也可以通过合规及业务调整来适应。
按照新规,云服务合同中关于安全保障措施、风险管理以及服务价格都会受到影响,控制者和处理者需要重新谈判达成。
当然,也仍有许多问题留待后续解决。处理者在云计算生态里实际体现为不同的类型,
典型如IAAS ,PASS,SASS,它们与服务的客户(控制者)之间的关系,以及数据处理服务本身都体现出不同的特点,统一适用GDPR一刀切的规范,存在着与实际并不相符合的情况。
例如,根据GDPR规定,处理者只有在收到控制者的书面指示时才可以处理个人数据,这对于大部分的IAAS场景来说几乎是多余的要求,
因为IAAS更多是提供基础设施,并不直接参与到客户的数据处理;
而在有些服务场景却又是冗赘的,比如SAAS服务中,云服务商需要开展相应的数据分析,以不断优化服务体验。
此外,GDPR要求:如果处理者认为控制者某项指示违反了数据保护法,其应当立即告知控制者。
基于云服务商与客户之间的服务关系,这种告知机制如何在商业实践中落地,以及GDPR在多大程度上追究处理者的责任仍有许多未解事宜。
《终极算法》作者华盛顿大学教授 Pedro Domingos在今年年初称:
自 5 月 25 日起,欧盟将会要求所有算法解释其输出原理,这意味着深度学习即将非法。更有文章提出:GDPR规定了自动决策的可解释权(The Right to Explanation of Automated Decision):数据主体有权要求算法自动决策给出解释,有权在对算法决策不满意时选择退出[23]。
然而,尽管承认GDPR对数字创新技术与应用带来重大影响,但我们也不应夸大这种影响。
首先, GDPR的正式条款中并没有出现过所谓的“自动决策可解释权”,
只是在GDPR背景引言(Recital71)中阐述了:数据主体对于自动化决定不满意时,可以要求人工干预,并可以表达意见,获取对相关自动化决定有关解释。
按照欧洲立法惯例,立法的背景引言只是起到帮助如何理解条款的目的,自身并不具有法律效力
[24]。
其次,GDPR中正式条款中与自动决策相关的条款,共有三个部分,但均没有提出自动决策可解释的要求。
1.
在第22条自动化的个人决策,画像条款中,仅要求:数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利;
2.
在13、14条数据主体的知情权部分,相关规定为:控制者应当为数据主体提供:是否存在自动化的决策的信息,以及在存在自动化决策的情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。这一表述也推断不出有算法可解释的要求。
3.
同样,在第15条数据主体的访问权中,也不存在此类要求。
欧盟29条工作组在2017年10月专门就此问题发布了指南[25]
明确澄清:关于自动决策,数据控制者并不必然要解释复杂的算法,
对于用户来说,只需要用尽可能简单的方法告知其背后的基本逻辑或者标准即可。
而最关键的是,GDPR中规制的自动决策与“深度学习”并不能划等号。
GDPR仅仅规制对于个人产生法律或者重大影响的纯自动化决策,而包括“深度学习”在内的人工智能显然有广阔的应用领域,不涉及个人数据,不产生法律影响,或者存在人工干预的人工智能还有很多。
当然,尽管GDPR中没有明确规定算法的可解释性要求,但
算法的透明和负责任依然是人工智能所面临的重大挑战
,算法公开所涉及到的商业秘密、知识产权保护,以及深度学习算法的自身黑箱特点等现实问题,
意味着在如何保证算法的公平公正透明性方面还需要深入探讨更加有效的机制,仅仅依靠所谓“可解释权”难以走出困境。
隐私和个人信息保护制度一直不断受到技术创新的冲击挑战。
从1995年保护指令到过去的20多年,是信息技术浪潮快速更迭的20年,因此,GDPR立法中最重要的一个任务就是如何回应数字创新带来的制度难题。
如果说移动互联网、物联网、云计算、大数据是对数据保护具体制度,包括知情同意机制、安全责任、个人信息边界带来如何具体执行的问题,
那么作为互联网诞生以来最具有颠覆性的区块链,对于个人信息保护制度的规范范式则带来更加根本性的冲击。
因为区块链是一种全新的数据存储与管理范式,在本质上是一种通过共识算法,
在多点分布存储的去中心化数据库。它依靠密码学和数学算法,无需借助任何第三方中心的介入就可以使参与者达成共识,以极低成本解决了信任与价值的可靠传递难题,
对互联网中心化的平台商业模式带来巨大冲击,当然也对建立在中心化商业模式之上的数据保护制度带来冲击。
