20年前,歐盟1995年個人數據保護指令獨領風騷,對全球立法產生深遠影響。除歐盟28個成員國之外,包括亞太、北美、拉丁美洲等各國都紛紛效仿歐盟模式建立個人數據保護法律體系。這一體系確立了當今數據產業所適用的核心規則——個人數據保護規則,為個人數據的合法收集、利用建立了基本法律秩序。
今天,針對成員國個人數據保護法律碎片化問題,以及云計算、移動互聯網、大數據不斷帶來的法律適用挑戰,歐盟對1995年指令進行了大刀闊斧的改革。新規繼續堅守保護公民基本權利理念,全面提升個人數據保護力度,開創性引入數據可攜權、被遺忘權;對數據控制者、處理者建立了更為嚴苛的監管要求,并特別針對大數據背景下的數據分析、畫像活動,制定了詳細的法律規制。
新規能否像20年前一樣,產生示范效應,引導全球重建大數據背景下數據保護規則,各方拭目以待。
一、歐盟數據保護新規指日可待
2015年12月15日,歐委會發布消息稱,歐委會與歐洲議會,歐盟理事會三方機構在立法進程的最后階段就歐盟數據保護改革達成一致。這意味著,在接近四年的協商談判之后,核心改革成果——歐盟數據保護總規(general data protection regulation,GDPR)即將正式頒布。
根據歐盟《里斯本條約》所確立的立法程序,歐盟立法涉及三大機構:
歐洲委員會,由公務員精英群體構成,是歐盟執行機構,他們不代表所屬成員國,而是服務于歐盟整體利益。此次數據保護草案即由歐委會在2012年1月提出;
歐盟議會,由歐盟公民直接選舉產生的議員組成,代表全歐公民利益。歐盟議會于2014年3月高票通過《數據保護總規》草案;
歐盟理事會,由成員國相關行業、領域的部長組成,是歐盟政治機構,代表各成員國利益。因此區別于其他兩家機構,歐盟理事會的立法意見一般分歧較大。例如,在數據保護領域,英國、愛爾蘭政策相對寬松,而德國、意大利、西班牙則較為嚴格。歐盟理事會于2015年6月通過《數據保護總規》草案。
每個機構通過的草案版本均有一些差異,但從內容以及三方終于達成一致協議看,三家機構對于基本制度的分歧逐步縮小甚至消弭。
《數據保護總規》預計將在2016年年初正式頒布。由于草案對當下的數據保護制度進行了重大改革,產業界、數據監管機構、消費者都需要充分時間消化與準備,為此草案規定,總規將在正式頒布兩年之后生效執行。
二、新規將帶來哪些重大變革?
自2012年歐委會提出《草案》之時,其所確立的一系列嚴苛制度即震動產業界,引發全球高度關注。美國互聯網巨頭均前往布魯塞爾進行立法游說。歐洲議會共計收到4400多份相關修正意見,在歐盟立法史上也屬罕見。
究其原因,一方面歐洲是坐擁5億人口且經濟發達的巨大市場,該市場的監管政策本身即對產業有舉足輕重的影響,另一方面,《草案》本身對適用范圍極大擴展,不僅直接影響歐盟境內企業,還將適用于歐洲境外企業,歐盟以外的國家與企業不可能置身事外。
以下細數草案帶來的重大變革:
(一)“統一法規,統一標準”。
今后歐盟數據保護立法將由指令(directive)上升為法規(regulation)。按照歐盟立法機制,歐盟指令需要成員國以制定本國法律的方式予以轉化,因此1995年指令帶來的結果是28個成員國對數據保護的碎片化法律體系。與指令不同,歐盟法規生效后將直接適用各成員國,這將徹底解決成員國之間的法律制度差異問題。
(二)跨境提供服務同樣適用歐盟法規
1995年指令適用屬地原則,即在歐盟有設立機構,或者是通過歐盟境內的設備處理數據才適用歐盟數據保護法。如果公司跨境提供服務,則可規避歐盟法律適用。針對這一問題,歐盟新規大大擴展了其適用范圍。規定即使數據控制者在歐盟境內沒有設立機構,但其在跨境提供商品或服務的過程中,收集處理歐盟居民數據,則應當適用歐盟數據保護法規,并需要在歐盟境內指派特定代表負責數據合規事宜。這一規定將覆蓋絕大多數通過跨境方式提供服務的企業,這其中包括美國、中國等互聯網公司。
(三)外圍IT廠商也將受到新規影響
新規建立了“隱私保護設計”制度(Privacy by design,PbD)。要求產品或服務的整個生命周期都貫穿隱私和數據保護,包括從最早的設計階段,到產品投放市場、使用直至最終停止使用,都將考慮數據保護合規因素。正是這一制度將IT廠商間接納入新規體系之下。
新規要求設備生產,IT廠商所提供的解決方案能夠使得其客戶符合用戶數據保護合規要求。在過去,IT廠商,包括軟件商,系統集成商,數據分析商,從未在服務合同中考慮過客戶的個人數據保護問題,但在新規生效后,這將是IT廠商面臨的新課題。落實隱私保護設計制度要求,意味著各類涉及用戶個人數據的產品或和業務線,在業務設計的最初階段,就需要與IT廠商充分協商,并通過技術、合同、管理等措施落實合規要求。
(四)全面引入新型權利,增強用戶對個人數據“控制力”
在技術發展造成現有立法滯后的情形下,新規對數據主體的權利進行了補充、完善,其中最引入注目的是“數據可攜權”,“被遺忘權”。盡管這兩項權利備受爭議,但從歐委會公布的消息看,這兩項權利被保留在法規最終版本中。
“個人數據可攜權”,是指用戶可以無障礙的將其個人數據以及其他數據資料從一個信息服務提供者處轉移至另外一個信息服務提供者。例如facebook的用戶可以將其帳號中的照片以及其他資料轉移到其他社交網絡服務提供商。該規定要求不僅限于社交網絡服務,還包括云計算、網絡服務以及智能手機應用等自動數據處理系統。信息控制者不僅無權干涉信息主體的此項權利,還需要配合用戶提供數據文本。數據可攜權的出現不僅強化了用戶對個人信息的管理、控制,更有利于用戶充分實現對信息服務的選擇權。
“被遺忘權”,當用戶不再希望個人數據被處理并且數據控制者已經沒有合法理由保存該數據,用戶有權要求刪除數據。在歐洲法院裁決《歐盟數據指令》無效的大背景下,歐盟各國陸續通過立法縮短數據留存的時間,從過去的六個月甚至2年縮短到數周。這意味著用戶能夠實現“遺忘權”的機會大大增加。
(五)“數據保護官”為法定標配
為保證企業有效實施法規。歐盟要求數據控制者必須設立數據保護官“data protection officer”。事實上,歐美大型企業中設置專門隱私保護官已是普遍現象。這一崗位并不是虛職,歐盟成員國的立法,有的明確規定了數據保護官的法定職責,在企業違法情況下,數據保護官將被追究法律責任。
(六)“同意”必須是明示的,且用戶可撤銷
1995年指令第2條并沒有規定同意應當是“明示同意”還是“默認同意”,此次新規對該問題予以回應。 “同意”必須是明示的“同意”,而不得被推定為“同意”。一個有效合法的同意,其要件包括:用戶必須被告知充分的相關信息,自由地做出明確同意的意思表示,不得附帶任何條件。更重要的是,數據控制者必須告知用戶,用戶有權撤銷同意。
(七)違法處罰額度以企業的全球營業總額為基準
新規大大提升了違法處罰力度:
第一類違規行為:沒有為用戶獲得個人數據提供相應機制,沒有及時響應用戶獲得個人數據的請求。最高將被處以全球營業總額的0.5%;
第二類違規行為:沒有合法理由,拒絕用戶刪除個人數據的請求;沒有建立本企業對用戶數據保護的文檔化管理,最高將被處以以全球營業總額的1%;
第三類違規行為:非法處理個人數據;沒有合法理由,拒絕用戶關于停止處理個人數據的請求;在數據泄露事故放生之后,沒有及時通知監管機構;沒有執行隱私風險評估;沒有任命數據保護官,違法向第三國傳輸個人數據;最高將被處以全球營業總額的2%。
三、針對大數據分析、數據畫像的特別規范
歐盟對大數據帶來的個人數據保護風險做出了全面深入分析,對大數據數據畫像(profiling)、數據分析活動做出了更為系統嚴密的規范。
根據草案,“數據畫像”被定義成一個內涵豐富的概念,它是指:“任何通過自動化方式處理個人數據的活動,該活動服務于評估個人的特定方面,或者專門分析及預測個人的特定方面,包括工作表現,經濟狀況、位置、健康狀況、個人偏好,可信賴度或者行為表現等。這一概念被普遍認為能夠覆蓋目前大多數利用個人數據的大數據分析活動。例如對個人偏好的分析,可涵蓋市場中最普遍的大數據分析市場營銷活動。
在對“畫像”進行界定的基礎上,草案對畫像活動予以了嚴格規范:
第一,畫像活動必須具有法定依據或者獲得用戶明確同意因為法定授權情形僅僅是少數情況,而取得用戶明確同意在產業界來看又難以操作,這意味著該規定將使得大數據分析活動變得非常困難。
這將很大程度上改變當前大數據產業狀況。因為即使在數據保護嚴格的歐盟,依據1995年指令,數據控制者對其掌握的用戶數據進行挖掘、分析,并不需要得到用戶的同意。而按照新規,不論所涉及數據是否敏感,都需要法定依據或者用戶的同意。
此外,如果對個人的經濟狀況、位置、健康、個人偏好、可信賴度,信賴度或行為模式等進行分析畫像,則應當在畫像之前首先開展隱私影響評估。新規對隱私影響評估做出了一整套程序安排。
第二、對于畫像活動,用戶必須是在充分知情下做出同意授權大數據分析的大多數場景要想滿足合規性要求,則必須取得用戶的同意。而草案對于獲取用戶同意規定了詳細的要件。用戶應當得到充分完整的相關信息,包括對用戶進行畫像所使用的全部具體信息,畫像所服務的目的,基于數據分析所采取的評估措施,數據分析可能預見產生的后果,以及用戶如何選擇拒絕畫像。
除非該數據分析是服務于歷史、統計或者科學研究目的的情況下,數據必須予以保留。
第三、數據畫像,應當優先對數據進行匿名化處理新規要求,開展數據畫像,應當首先對數據進行匿名化處理。匿名化的標準是,在符合比例原則的前提下,投入相同比例的時間、成本努力也無法恢復身份屬性。如果數據畫像在業務實踐中無法實現匿名化,那么則應當使用假名(化名)。關于假名和真實身份之間的對應關系的信息應當被隔離單獨保存,以提升安全保障。
第四、特定數據的分析活動完全被禁止即無論是否取得用戶同意,特定的數據分析活動完全被禁止,此類數據分析活動包括三類:
一是數據分析的結果可能導致對個人的歧視,這些歧視建立在對個人種族、民族、政治立場、宗教信仰、商業團體資格、性取向、性別等因素上,或者達到同此類歧視相同的效果。
二是數據分析的結果能夠識別兒童。
三是數據分析是自動化的,并且導致的評價結果將對數據主體產生法律上的效果或者對數據主體產生重大的影響。
四、新規能否重建數據保護新秩序?
盡管自上世紀70年代起,全球范圍內掀起了個人數據保護的立法風潮,但在信息通信技術與業務的強大沖擊之下,個人數據保護已經到了名存實亡的危險邊緣。個人數據保護法所確立的用戶“知情同意”原則被戲稱為互聯網最大謊言,利用業務協議,超出業務目的和范圍,一攬子取得用戶關于個人數據使用授權成為業界普遍做法。利用數據分析畫像,對個人進行精準化營銷,似乎成為產業不可阻擋的發展趨勢。
在這一時代背景下,是讓技術改變隱私、個人自由等基本價值觀念,任其一路狂奔,還是讓法律將技術鎖定在特定的發展軌道上,堅守基本權利保護?顯然,歐盟選擇了后者。
有觀點認為:歐盟之所以堅持數據保護的高標準,是因為歐盟互聯網產業發展落后。誠然,這是不可否認的現實,但并不是歐盟數據保護改革的全部背景。歐盟數據保護新規可以看作是歐盟對信息通信技術的深刻反思,在保護公民基本權利這一理念的指引之下,其對公民的數據權利、企業義務、保護機制進行了全方位的革新與完善。
推動高標準的法律制度,會增加產業的合規成本,也有可能對技術業務創新帶來抑制作用,但歐盟同時認為,嚴格的數據保護,更高的安全保障標準和用戶信任水平,也將有利于歐盟在數字經濟中塑造競爭優勢。
歐盟新規將直接適用于歐盟28個成員國,覆蓋全球第一經濟總量地區。此外,歐盟新規對適用范圍的大大延展,也將對全球產生直接深遠影響,新規能否像1995年指令,對全球產生示范效應,重建大數據時代下數據保護新秩序,我們拭目以待。
五、對我國企業的相關影響及合規清單
對于我國企業來說,不論是航空、金融等傳統行業內涉及歐盟居民數據收集與處理的企業,還是互聯網領域通過設立商業實體或跨境提供服務的企業,以及相關的IT廠商,都需要對如何滿足新規要求,提前做好準備。合規清單至少應包括以下內容:
設立數據保護官。如果企業員工超過250人,且核心業務涉及到對歐盟居民的數據處理,則應當設立這一崗位;
修改隱私條款、業務協議。特別是“知情同意”條款,適用明示同意原則;
為用戶提供訪問、獲取其個人數據的通道;
為用戶實現“數據可攜權”,“被遺忘權”建立相關配套機制;
.如果利用數據分析對用戶進行畫像(對其個人特定方面進行評估,如目前的互聯網信用評分業務),則需要:
確定是否是禁止畫像的特定領域。如涉及歧視,識別兒童,對用戶的評價導致法律上的效果或者對用戶個人有重大影響,則應當停止。
他合法的數據分析,是否取得用戶的明確同意。
簡而言之,相比國內的商業實踐,國內企業要滿足歐盟新規要求,要準備好為歐盟居民提供“超國民待遇”的數據保護!
瞭望智庫
http://www.lwinst.com/index.php?m=content&c=index&a=show&catid=17&id=12402
京公網安備 11010502049343號