本文介绍了欧盟以同意为主要合法基础的局限性,对于我国也同样适用,更何况我们还没有合法利益(ligitimate interest)。
实践中,由于适用其他合法性基础的沟通成本过高,导致本来平行的多个合法性基础中,同意被迫渐渐变成了唯一选项。
加拿大、新加坡等国对于其他合法性基础适用范围的拓宽,也思路值得我们借鉴、学习。
文章比较长,但确实梳理得不错。
现代生活已经越来越离不开数字信息,我们的工作和生活现在很大程度上都依赖于数字互动。因此,获取和使用数据,特别是个人数据,成为数字经济和社会的关键要素和驱动力。这也让我们面临一个重要的转折点,那就是如何合法处理个人数据,这对于我们依赖数据、由人工智能驱动的数字产品和服务至关重要。是时候重新考虑“同意”作为合法性基础的地位了,并考虑一些更适合各种必要数据处理情境的替代方案。其中最突出的替代方案是“合法利益”和“合同必要性”这两种合法性基础,在许多司法管辖区都能找到对应的概念。比如在新加坡,他们对数据保护框架的修订就包括了合法利益的豁免。
这篇文章主要基于欧盟《通用数据保护条例》(GDPR)和几部欧盟数字法律的经验,
主张我们不应该过度依赖同意作为法律依据,而应该转而探索其他法律依据,比如合同必要性和合法利益
。文章认为,为了确保数字经济和社会的活力与成功,GDPR风格的同意并不总是适用于日益增多的数据处理场景,因为在这些场景中,同意可能是
不充分、无效或不切实际
的。
这篇文章的目标是为其他司法管辖区的法律和政策制定者提供一个案例研究,帮助他们更新数字立法框架,包括与隐私和数据保护相关的法规。
本文第一部分概述了欧盟框架的最新变化及其带来的挑战,并探讨了基于同意模式的局限性,以及这种模式对个人数据的有效和有益使用,以及人工智能应用的开发和部署的影响。它提出了平衡数字经济中所有利益相关者权利的建议,以及如何提供有意义的隐私保护。
本文第二部分以韩国正在考虑的变化作为一个案例研究。对于那些在修订自己的数字立法时寻求欧盟灵感的司法管辖区来说,重要的是要谨慎行事,并从欧盟出现的挑战中学习,这些挑战是由于这些重叠的数字法律和它们赋予同意作为处理数据的法律依据的过大作用所导致的。
为了推动数据驱动的数字工具和服务的巨大经济潜力,欧洲委员会在2020年发布了一项数字战略。该战略设想为个人创造一个安全和可信的数字空间,为企业创造一个公平的竞争环境,以促进欧盟的创新、增长和竞争力。紧接着,为了实施这一战略,欧洲迅速推出了一系列重大的立法举措:
- 数字市场法案(
DMA
)旨在确保数字市场的公平性和可竞争性;
- 数字服务法案(
DSA
)旨在为数字内容提供更清晰、更标准化的规则,扩大透明度要求,围绕内容审核、在线广告和在线未成年人保护制定规则;
- 数据治理法案(
DGA
)和数据法案(
DA
)旨在为扩大数据获取建立框架,包括通过使用物联网设备生成的数据;
- 欧盟AI法案(
EU AI Act
)是全球首个全面生效的综合法规,为人工智能开发者和部署者建立规则,禁止某些应用,并根据风险建立义务和要求。
这些只是其中的一些例子,但每项法律都基于并旨在进一步促进数据的生成、使用和交换,包括个人数据,预期将为欧盟带来巨大的经济效益。委员会预测,这些新的立法提案生效后,欧洲的数据经济将增加5280亿欧元。
然而,欧盟的新数字立法浪潮也可能带来了一些挑战,这些挑战最终可能会削弱委员会的战略目标。例如,这些数字法律在涉及个人数据处理活动时与GDPR重叠,
导致了一系列不一致性、潜在的意外后果和法律不确定性
,包括在某些情况下同意作为处理的适当法律依据的角色。
欧盟数字法律数量的增加也引发了对
过度监管的更广泛担忧
,以及它们对区域内数字创新的影响。正如意大利经济学家、欧洲央行前行长马里奥·德拉吉(Mario Draghi)在其具有里程碑意义的报告中强调的那样,
过度的监管框架可能会抑制创业活动和创新,使欧盟越来越难以保持竞争力。
欧盟目前大约有100项以技术为重点的法律,包括上述的新数字法律。这些法律涵盖了数字技术、数据保护和在线平台的各个方面,超过270个监管机构以某种形式参与欧盟成员国的数字治理。这片立法森林尤其让中小企业(SMEs)在面对这些规则的高成本和复杂性时感到喘不过气来。目前,德拉吉报告认为欧盟的创新能力和成就落后于其全球竞争对手,包括美国和
中国
。
GDPR明确规定,在欧盟内数据的自由流动不能因数据保护原因被禁止或限制,并且个人数据的保护不能置于欧盟保护的其他基本权利之上。GDPR立法者认识到技术对经济和社会变革的性质,并在其序言中规定“个人数据的处理应该旨在服务于人类”。因此,GDPR除了是一部数据保护法外,也可以被视为委员会数字战略包的早期部分,旨在“加强数据经济”。
根据GDPR,要合法处理个人数据,受其约束的组织必须能够依赖以下六个合法性基础之一:
• 个人同意(individual consent)
• 合同必要性(contractual necessity),
• 法律义务(legal obligation),
• 保护至关重要的利益(the protection of vital interest),
• 合法利益(legitimate interest)。
这六个法律依据允许组织选择最适合其特定处理活动合法性基础。重要的是,GDPR下没有“优先”的合法性基础;它们彼此处于平等地位。然而,选择合法性基础需要谨慎,因为它们的适用取决于数据处理的场景,并且可能引发不同的个人权利。
尽管处理数据的合法性基础之间是平等的,且GDPR的双重目标是保护数据并实现数字化转型,但越来越多的数据保护机构(DPAs),包括欧洲数据保护委员会(EDPB)和欧洲数据保护监察机构(EDPS),却越来越忽视这一双重目标,将个人数据保护置于其他基本权利之上,没有努力在竞争利益或权益之间取得平衡,并优先选择同意作为处理的合法性基础。
这种趋势在一些新近颁布的数字立法中也有所反映,甚至欧洲法院(CJEU)似乎也在倾向于优先考虑同意——这可能是基于这样的认知:同意是个人在数字经济中对其数据行使控制的最有效机制。
A. 在欧盟司法和监管决策中,对同意以外的法律依据的接受度逐渐降低
与现有或即将到来的数字立法中同意条款的激增相平行,我们看到通过监管机构的解释,以及在一定程度上CJEU的解释,GDPR下的其他合法性基础正在缩小,特别是关于合法利益和合同必要性的条款。这导致了合法处理数据的选项减少,以及在欧盟运营的组织面临的法律不确定性。一些近期的例子包括:
在
Meta诉德国联邦反垄断局案
中,CJEU通过解释GDPR第6条第1款的法律依据,确立了在线社交网络运营商合法处理第三方数据的要求,涉及个性化广告。法院在回答德国法院提出的问题时,将其分析和判断限定在第三方数据上,没有触及与第一方数据相关的问题。CJEU对
合同必要性合法性基础采取了严格和字面的认定路径,声称其必须是“客观上不可或缺”的核心合同目的,并且没有其他可行或侵入性较小的替代方案
。这与GDPR的要求有所不同,GDPR仅要求处理是“
履行合同所必需的
”。为了证明满足CJEU设定的门槛,组织必须有效地展示如果不进行处理,就无法提供他们的服务。CJEU发现,尽管个性化对用户有用,但他们不同意个性化广告是提供社交媒体网络的核心。这种解释有效地缩小了合同必要性的使用,忽视了完整的商业模型的性质,即
提供社交媒体服务而不收取货币费用,以换取广告收入
。这对于现代数据驱动的组织来说是一个令人关注的问题,因为个性化和定向广告构成了他们业务的关键部分,因为这似乎要求
他们在无法获得同意的情况下免费提供服务或选择收费
。
CJEU总法律顾问同样鼓励对合同必要性合法性基础进行严格解释,以确保组织不会“规避”需要同意。这种解释忽视了GDPR下六个法律依据地位相等、它们之间没有等级制度的根本原则。实际上,EDPB在他们关于GDPR下合法利益合法性基础的最新草案指导中特别确认了这一点,并澄清说,
合法利益没有详尽或有限的清单,因此可能有广泛的利益符合条件
。
在德国联邦反垄断局案之前,2022年12月,爱尔兰数据保护委员会根据EDPB的具有约束力的决定,对Meta Ireland做出了决定,指出Meta不能依赖合同必要性(第6条第1款(b)项)作为处理用户数据以进行个性化广告的法律依据。EDPB指出,要依赖合同必要性合法性基础,组织必须确保处理是“客观上必要”的以履行合同。客观必要性应包括对整个服务的特定目标、目的或目标的评估,包括合理的数据主体是否会预期处理。EDPB在该案中得出结论,个性化广告并非履行合同所客观必需,合理的用户不会预期他们的个人数据被用于个性化广告。
EDPB的决定没有考虑具体案例,而是进行了抽象的论证。它没有考虑具体的合同,根据当时的商业模式,合同是提供对某些内容的访问而不收取货币费用,并由个性化广告支持。
值得注意的是,爱尔兰DPA在其最初的草案决定中得出结论,
合同必要性原则上可以作为Meta服务的适当合法性基础
。根据爱尔兰DPC的解释,个性化和个性化广告可以构成Meta和Instagram用户之间合同的核心部分。个性化广告是Instagram服务的区别因素之一,
普通用户合理预期会有这样的功能
。然而,爱尔兰DPC提出的位置和分析被欧洲数据保护委员会推翻。2023年10月,EDPB进一步确定Meta也不能依赖GDPR第6条第1款(f)项下的合法利益法律依据。这些决定导致对GDPR中列出的法律依据进行了更为限制性的解释,
使得同意成为处理个人数据以进行个性化广告的唯一有效法律依据
。
对同意的增加关注也影响了数字经济运作的基本方面,如强大的网络安全措施或防止欺诈。所有组织都必须保护其运营、用户、员工、客户和合作伙伴免受网络风险、未经授权的访问和其他犯罪活动的侵害。保障数据安全最有效的手段之一,是通过在平台生态系统中结合和交叉使用信息,这极大地有助于识别和预防复杂的网络威胁。然而,DMA特别将此类数据处理实践置于用户同意的约束之下,这为主动安全措施带来了挑战。
同样,德国联邦反垄断局也认为:“在没有特定原因的情况下,包括出于安全目的,
普遍和不加选择地保留和处理数据,也是不允许的,除非给用户选择权
”。然而,试图将扫描网络安全风险或欺诈活动的能力缩小到已经存在初步关注(或“原因”)的情况下,可能会严重限制组织采取预防措施的能力。
如果实际上建议要求不良行为者同意检测措施,关键的安全工作可能会受到破坏。
将同意纳入GDPR合法性基础之一反映了我们生活在一个重视个人选择的社会。在更广泛的社会中,同意构成了许多关键法律服务的基础,如合同、婚姻或房地产交易中的同意。在GDPR下,同意是个人单方面授予或撤回控制者使用其个人数据的权限的方法。在适当情况下同意或拒绝的能力赋予了个人对其个人数据的自主权和控制权。为了使个人真正获得对其个人数据的自主权,他们授予或保留同意的决定应该是知情和自愿的,并且应该有能力在任何时候撤回先前给出的同意,而不会受到不利影响。确实,当个人被要求在特定个别情况下同意时,同意可能是合法和有用的。然而,现代数据处理操作的复杂性对作为首选合法性基础的可靠知情个人同意提出了质疑,原因包括:
• 同意不具备可扩展性:在现代世界中,个人对每个预定义目的做出单一选择已经过时。
• 对个人负担过重:个人必须阅读和消化大量且复杂的信息,以做出能够保护其权利和利益的知情选择,这给他们带来了不相称的负担。
• 对第三方产生负面影响:某些处理活动可能对个人之外产生重大影响,不应受单一个人决策的制约。
欧洲委员会数字战略背后的部分动机承认,数据不仅具有商业用途,还具有可能超出其最初收集或生成目的的社会应用。换句话说,之前收集的数据可能存在新的用途,这些用途可能对社会有益。这些新用途在初次收集或创建时可能并不总是显而易见的,即在处理之前需要获得同意。GDPR的第33条序言在一定程度上承认了科学研究所面临的这一问题,并建议在存在充分保障措施(符合GDPR第89条第1款的伦理标准以及技术和组织措施)的情况下,允许个人在不那么细粒度的层面上提供同意。允许更广泛的选择加入更广泛的用例,这些用例由问责措施框架,例如伦理标准和保护个人权利的安全措施,应该提供了一种适当的方法,以在保护利益相关者权利的同时,实现数字革命的好处。
尽管如此,EDPB和EDPS声称,除非提供了此类额外用途的
详尽列表
,否则为“一般利益”获得同意(如DGA中数据利他主义背景下所示例的科学研究之外的一般利益)将不符合GDPR。然而,技术是动态的,并且不断发展。同样,数据具有多个维度,受到诸如其场景、预期接收者、时机以及是否会与额外数据结合等因素的影响。所有这些因素都有助于其效用,这种效用可能随着技术的进步和成熟而逐渐展开。要求有限的可能性枚举不可避免地限制了未来的应用,并有迅速过时的风险。单一用途的数据用于特定预定义目的的观念,其中个人得到充分通知然后做出单一选择,不再反映现代数字环境的复杂性。单一同意的概念不具备可扩展性。
此外,同意可以随时撤回的事实增加了整体复杂性。例如,撤回同意的权利可能会使拥有私人健康保险合同的个人处于可以撤回数据处理同意的地位。然后,保险公司实际上无法履行合同,因为合同需要处理健康数据(根据GDPR第9条,受同意约束)。
为了在GDPR下提供有效的同意,个人必须获得所有处理操作及其目的的基本信息。因此,同意表格变得极其具有挑战性,因为现代处理现实的复杂性。即使是设计得最好的同意表格,也必须以GDPR第42条序言所要求的“易于理解和易于访问的形式,使用清晰和简单的语言”来反映所有处理操作和处理的个人数据类型,这使得它们不必要地变得冗长。
此外,一天中向个人展示的同意表格数量之多,使得不可能在不将它们简化为仅仅是勾选框练习的情况下满足所有要求。研究人员发现,一个人每年需要76个工作日来阅读他们遇到的所有隐私政策。
正如Richards和Hartzog所说,“
我们过度使用同意这一工具,以至于它已经严重受损
”。欧洲委员会在其“Cookie承诺倡议”中承认了同意疲劳的挑战。委员会提出了几项承诺原则,试图在仍然赋予消费者做出知情选择的能力的同时,限制一些同意请求。该倡议最终未能在简化目标与现有的电子隐私指令和GDPR严格的法律框架之间达成和解。
C. 个人同意决定对第三方的负面影响:数据安全和欺诈预防
数字产品和服务经常进行交互,涉及交换影响多个用户的数据。同样,一个人在平台上的行为可能会影响到许多其他个体。同意的概念基于个人行使选择的理念,但在数字环境中,它不可避免地触及到第三方的权利,无论是平台还是其他用户。
这一点在欺诈预防和网络安全措施的背景下变得非常明确。如前所述,DMA第5条第2款有可能使网络安全和欺诈预防措施受到同意的约束。同样,如上所述,德国联邦反垄断局已建议,一般预防措施也应受到同意的约束。
在这两种情况下,这最终意味着需要
恶意行为者的同意来处理旨在检测其恶意活动的数据
。然而,显然,甚至在法律上要求,组织必须保护自己及其商业伙伴或最终用户免受安全入侵、未经授权的访问、欺诈和网络攻击的侵害。要求事先同意可能会干扰数字服务的正常运行,并对第三方产生负面影响。GDPR第49条序言明确指出,为了网络和信息安全的处理是数据控制者的合法利益。
一些处理决定不应“完全受一方变幻莫测的自由意志的支配”。
05
在GDPR下,合法利益
和
合同必要性的作用
对同意的明显偏好与对GDPR其他合法性基础的更为保守的解释相伴而生,这导致市场上对它们的使用犹豫不决。这与GDPR提供多个合法性基础且不偏好其中一个的事实直接冲突。对其他依据的过度限制性解释可能导致组织试图依赖同意,即使在依赖合法利益或合同必要性更为合适的情况下也是如此。
这可能导致组织考虑完全不进行,包括在涉及对个人风险很小或没有风险的创新数据使用案例中。例如,在COVID-19大流行期间,
私人组织对于他们是否可以依赖公共利益或合法利益来进行与大流行相关的数据分析和研究以应对大流行感到不明确
。
虽然欧洲法院最近确认
商业利益确实可以被视为GDPR第6条第1款(f)项中的“合法”利益是一个重要的里程碑
,但对于在欧洲
用于训练AI的合法利益法律依据的适用性仍然存在不确定性。这已经成为欧洲数据保护当局多次咨询的主题。
GDPR提供的合同必要性合法性基础允许组织为履行合同或在个人请求签订合同之前采取步骤而处理个人数据。然而,EDPB和CJEU对合同必要性合法性基础进行了严格限制性解释,为其使用设定了很高的门槛。然而,合同必要性法律依据可能对组织和个人都有益。
使用合同必要性的一个主要论点是它增强了数字自主权。合同能够赋予个人选择他们想要分享的数据以换取服务的能力。例如,个人可能会与组织签订合同,以便免费获得他们的在线服务,否则这些服务将需要用户付费。赋予用户签订真正合同的能力,使个人能够就其数据的使用达成互利的合同协议,增强了数字自主权。
合同必要性合法性基础的本质要求存在一个在实质上清晰并包含基本目标的合同。当组织依赖这一合法性基础时,它需要在合同中定义其处理的范围,而合同又受到健全的国内合同法的管辖。这为个人提供了关于组织活动的清晰度以及关于其权利的法律确定性。
合同必要性合法性基础在更广泛的合同法框架内提供保护
此外,现有的国内法律已经提供了促进实质性合同自主权的保护。合同法解决了透明度、信息不对称、权力不平衡和不公平条款使用等问题。这些保护措施有助于确保合同代表了各方之间真实和平衡的协议。特别是EDPB设定的高门槛限制了这一法律依据在数字经济背景下的实用性。
一些关于合法利益合法性基础的保留意见往往没有认识到,这一法律依据实际上伴随着强有力的问责和风险评估义务,为个人提供了真正的保护。
GDPR是基于问责的法律,要求组织将数据隐私法律要求转化为基于风险的具体、可验证和可执行的行动和控制措施。这与组织展示这些行动和控制措施的存在和有效性的能力相辅相成,无论是内部还是外部。GDPR下的合法利益合法性基础依赖于问责原则。为了依赖它,组织必须进行平衡测试,评估与处理操作相关的潜在风险和竞争的个人利益、权利和自由,并定义减轻风险的措施。此外,组织必须记录这些评估,并能够展示结果。
合法利益法律依据反映了风险为本的方法,这对组织和个人都有益
GDPR的风险为本方法是合法利益法律依据的固有特性。组织只有在处理对声明的合法利益是必要的,并且不会对个人造成伤害风险时,才能依赖这一法律依据。它要求组织进行必要的风险评估,定义缓解措施,对员工进行风险和缓解措施的培训,监控缓解措施的持续有效性,识别潜在的合规差距,修复它们,并不断提高保护水平。合法利益评估可以成为整体风险评估实践的一部分。
合法利益评估与特定情境中的处理活动相关联。因此,其结果并非一成不变,可能会根据处理活动的性质、对个人造成伤害的可能性和严重性、组织实施的缓解措施以及个人合理的预期而有所不同。因此,重要的是不要在未进行特定案例的风险分析的情况下,预先假定某些类型的个人数据和数据处理活动本质上不适用合法利益合法性基础。
合法利益合法性基础涵盖了一系列非穷尽的处理活动,并提供了必要的灵活性,以适应数据复杂用途
合法利益合法性基础不仅限于特定的处理操作。它可以涵盖日常、例行和既定的商业目的,如GDPR第47条和第49条所预见的欺诈预防和网络安全,前提是特定的处理能够通过所需的平衡测试。同时,如果通过所需的平衡测试,它也可以涵盖更复杂、独特、创新、原创或新的数据处理活动,这些活动对于创新和发展数字经济至关重要。例如,合法利益合法性基础在开发新的大型语言模型的AI训练中可能是至关重要的,并且在许多情况下,可能是算法训练唯一可用的合法性基础。
