王融 腾讯研究院资深专家
1.GDPR:史上最严格的数据保护立法?
2.用户同意:数据处理的唯一合法基础?
3.数据控制者的正当利益:还有适用情形么?
4.被遗忘权:我随时可以主张删除数据,并被世界所遗忘?
5.数据可携权:不同的信息服务之间, 可以无缝迁移?
6.数据跨境转移: 变得更加严格?
7.云计算:将重建生态体系?
8.人工智能:深度学习即将违法?
9.区块链:与GDPR不相兼容?
10.高昂的处罚不可避免?
1
GDPR:史上最严格的数据保护立法?
GDPR的严格主要体现在对个人权利的细致保护,以及对违法行为的高昂处罚。但易被忽视的另一面是,GDPR依然完全秉承了1995数据保护指令的二元立法目标:保护个人权利并促进个人数据的流动。立法第一条开宗明义指出:不能以保护个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
尤为值得注意的是,在历时4年的立法商议中,GDPR的立法者们充分关注到了数据主体享有的并不是绝对权利,有关数据的权利应当与其他权利及正当利益之间形成恰当的平衡关系,为此,GDPR精心设计了大量的但书、克减条款,对例外情形作出补充,对权利作出适当限制,对义务、责任予以适当豁免。
需要平衡的其他正当利益及权利包括:1.公共利益,例如在医疗健康领域,为实现传染疾病分析与预警目的;2.科学、历史研究、统计目的;3.表达自由权与信息权,为了新闻目的、学术、艺术或文学表达;4.个人的其他核心重大利益与权利,例如生命权,健康权;5.数据控制者的合法利益等等。
围绕上述正当利益与权利,GDPR进行了许多平衡折中,体现在:
1.对每一项数据主体权利,包括数据访问权、被遗忘权、数据可携权等条款均有限定条件(下文会重点介绍);
2.对企业义务也考虑到多种豁免,比如:规模在250人以下的中小企业可以豁免数据活动文档化记录义务[4]等;
3.引入了多种变通机制,来调和不同的权利,最为典型的即在数据跨境转移中,构建了多种合规数据转移路径[5];
4.在原则性禁止条款中,均设置了用户同意的例外,例如对敏感信息的处理;
5.专设“限制情形”一节,明确权利受到限制的各种情形,并授权成员国可以继续围绕上述利益通过制定本国法规的方式,进一步作出例外和克减规定,这实际上为GDPR未来的落地执行留有了更大的空间[6]。
所以总体来看,除了严格性外,GDPR整体体现出的是平衡兼顾。通过制度改革,在用户个人权利和其他正当权益之间形成更为科学、合理的配置。与此同时,引入诸多平衡机制的结果是GDPR要远比想象中复杂。正如本文中所探讨的许多问题一样,实际上就连GDPR自身也没有给出明确答案。
2
用户同意:数据处理的唯一合法基础?
从企业视角出发,往往会得出这样的结论。特别是国内相关个人信息保护法律文件,也更多将用户的同意作为数据收集、使用的唯一合法理由。例如:《网络安全法》第41条[7]的表述也易被如此理解。然而,这一印象存在许多误解。
GDPR面向适用的主体不仅包括企业,也包括决定和参与个人数据处理的任何个人,机构,涵盖了政府部门、公共机构、司法机构以及其他实体[8]。上述个人和实体作为数据控制者或数据处理者,均需要适用GDPR。
因此,考虑到数据处理的多种可能场景以及与其他正当利益的平衡,除了数据主体的同意之外,GDPR还规定了五类处理个人数据的合法基础,包括:
1. 为了履行数据主体所参与的合同,或者是在合同确立前依数据主体的请求而进行的处理;
2. 数据控制者为了履行法律职责的需要;
3. 为了保护数据主体或另一个自然人的核心利益;
4. 数据控制者为了公共利益或因官方权威要求而履行某项任务;
5. 对于数据控制者或第三方所追求的正当利益是必要的,但这种正当利益不得凌驾于需要通过个人数据保护以实现数据主体的基本权利与自由,特别是儿童的基本权利与自由。
以上五种情形,都可以作为“同意”的其他替代机制,成为数据处理的合法基础。而从国内来看,对于这一问题,我国行业标准《个人信息安全规范》也在尝试修正,在同意的例外中,详细罗列了11项情形[9]。
3
数据控制者的正当利益:有适用情形么?
作为用户同意的替代机制——“数据控制者的正当利益”可能是GDPR中最易被误解的概念。实际上正如本条所附加的限制条件,在很多商业场景中,企业不能够依据自己的正当利益理由,去规避用户同意的需求。但GDPR将其与用户同意并列作为数据处理的合法理由,即表明了个人的权利并不总是优先,而是需要在用户个人权利与数据控制者的合法利益之间做出平衡。
至少在目前的GDPR中,可以适用“数据控制者的正当利益”的情形包括:
1.直接推广(direct marketing),如果企业已经与用户有实际的交易关系,或者与用户在达成交易的过程中,则企业可以适用本条所赋予的正当利益理由,通过软选入方式(soft opt -in)的方式,即用户默认同意的方式,向用户发送与其此前交易商品或服务相关的营销信息,直到用户行使拒绝权为止[10];
2.以预防欺诈为目的的数据处理活动[11];
3.出于保障网络信息安全目的处理个人信息[12];
4.在集团或者系统内部,出于行政管理需要的数据披露[13](排除跨境转移情形);
5.向主管部门报告犯罪或者公共安全重大威胁[14]。
考虑到GDPR对于控制者正当利益的界定是开放式的,因此不排除在实践中还会出现其他正当利益类型,也会为执法机构所认可。
4
被遗忘权:我随时可以主张删除数据,
并被世界所遗忘?
“被遗忘权”、“数据可携权”是GDPR中最引入注目的两项新型权利,但同时也引发了巨大争议。单从名称看,这两项权利给人们带来了多少遐想,就带来了多少歧义。
GDPR中的被遗忘权实质上是传统个人数据保护法中“删除权”的升级,此外,2014年欧洲法院在谷歌西班牙一案中所确立的“被遗忘权”判例[15],深深影响了正在立法进程中GDPR,并在最终的版本中正式写入[16]。
GDPR第17条擦除权(“被遗忘权”)共计三款。其中第1款的核心仍然是传统个人信息保护法中已经确立的删除权:当用户依法撤回同意或者控制者不再有合法理由继续处理数据等情形时,用户有权要求删除数据。
关于“被遗忘”的精神更多体现在第17条第2款:如果控制者将符合第1 款条件的个人数据进行了公开传播,他应该采取所有合理的方式予以删除(包括采取可用的技术手段和投入合理成本),控制者有责任通知处理此数据的其他数据控制者,删除关于数据主体所主张的个人数据链接、复制件。
也就是说,控制者不仅要删除自己所控制的数据,还要求控制者负责对其公开传播的数据,要通知其他第三方停止利用、删除。这是对传统“删除权”的极大扩张。要知道,在开放的互联网空间,要控制者去确定并通知所有的第三方几乎是不可能完成的任务。
也正是考虑到“被遗忘权”的强大威力,立法者对其适用作出了许多限制,第17条第3款规定了并不适用“被遗忘权”例外情形:
1.基于表达自由和信息自由;
2.基于公共利益和履行法律职责需要;
3.基于历史、统计和科学研究的目的;
4.出于提出、实施和保护合法权利的需要等;
简言之,“被遗忘权”虽然与个人权利直接挂钩,但它与包括言论自由,信息自由流动、公众知情权在内的其他公共价值追求有着尖锐冲突,即便在将个信息保护作为基本人权的欧盟,其也在立法上对“被遗忘权”作出必要的限制。
正如在典型的“被遗忘权”案例中:一名律师因为报纸网站上刊登了其曾经被指控有伪造罪的相关信息,将该报纸告上法庭,认为其刊登的信息对其职业生涯的声誉产生了负面影响,但该律师的主张在法院中并没有得到支持。法院认为,公众关心的真实信息应当可以被合法公开,包括在网络上公开。国内也有相关案例,法官同样以公共利益为由驳回[17]。
即便作出了诸多限制,“被遗忘权”仍然面临很多质疑。对于用户提出的“被遗忘权”请求,企业可能首先需要审查其是否属于立法中规定的例外情形,而“表达自由”、“公共利益”这些抽象的判断标准,无疑是将企业拖入裁判的泥潭,并由此成为一种新形式的“网络审查”。在GDPR后续实施中,“被遗忘权”仍然有许多问题留待解决。
5
数据可携权:不同的信息服务之间,
可以无缝迁移?
如果说“被遗忘权”容易被普通公众所误解,那么“数据可携权”则是更令专业人士都易误读的的一项权利。
GDPR数据可携权体现在第20条,共有四款。正如“被遗忘权”是传统删除权的升级,“可携带权”可以看做是传统“访问权”的增强。即首先保证的是用户获得自身数据的权利。第20条第1款即是这一内容:个人有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的。
同时第1款也明确了“可携权”适用的两个限定条件:一是适用于建立在“用户同意”基础上的数据处理活动;二是处理是通过自动化方式完成的。
结合上文第二点,数据处理活动的合法基础来看,用户同意仅仅是合法基础之一,因此用户同意之外的其他数据处理活动并不适用于数据可携权,例如:为了公共利益,为了预防欺诈的数据处理并不适用可携权。
“可携”的精神主要体现在第20条第2款:如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。“技术可行”的表述,表明GDPR并没有将可携权上升到推广强制性的互兼容,互操作技术标准的程度,而是给市场留有了一定空间。
最后,同样在第3,4款对可携权的适用明确了限制条件。
显然,仅第20条一个独立条款难以完全解释“数据可携权”所可能包涵的丰富含义,以及在具体实践如何执行。
因此,欧盟第29条工作组专门发布了关于数据可携权的指南[18]。这份指南回应了最具有争议性的问题。因篇幅有限,择取其中关键问题——个人可以通过行使“可携带权”,实现在不同服务商之间的自由切换么?
如果现实中:数据能够简单明了的切分为你的个人数据,我的个人数据,也许这个问题还比较简单,然而在现实的万物互联时代,我们每个人的个人信息,似乎都与物的信息,机构的信息以及与他人的个人信息粘连在一起。在转移过程中,如何不涉及对他人权利的负面影响,是“可携权”面临的最大考验。
典型的:个人数据可能同时关涉其他第三方个人的数据,例如:通讯录信息、电话记录信息、聊天信息、邮件往来信息、转账记录信息等等。按照个人数据定义,此类数据当然属于个人数据,但数据主体针对此类数据行使“数据可携带权”时,则往往可能对其他第三方个人的基本权利带来侵害。
因为这些第三方个人根本没有机会得知自己的数据被他人提交给了新的数据控制者,从而也没有机会行使自己的权利。这不仅在不同的服务商切换中带来潜在的权利侵害风险,即使在同一家服务商上也会存在此类风险。
正如2010年,google 启动其社交网络服务Google buzz时,不恰当的利用了其gmail用户的关系链数据,在gmail用户A接受Google buzz使用邀请时,用户并不清楚其gmail的通信录上的用户都将被自动拉入Google buzz。而被拉入的用户也并不知情自己的联系信息已被收录并被buzz社区公开, Google也因此受到FTC处罚[19]。
近期爆发的Facebook事件中也再次证明,通过好友关系链的数据披露,的确更易对不知情第三人造成权利侵害。
在更加重视个人权利保护的欧盟,自然要对此类情况加以限制。GDPR第20条明确对可携带权的行使作出了明确限定,不能对他人的权利或自由产生负面影响。第29条工作组在指南中进一步作出了详细解释:
对于涉及到其他第三方个人数据的数据转移,仅仅允许行使“数据可携权”的数据主体本人对于转移后的数据进行唯一的控制(solecontrol),只能将此类数据用于个人和家庭事务目的,比如出于个人目整理通信录。这切断任何第三方利用这些数据的可能性;
接收数据的数据控制者不得基于自己的利益去处理转移后的数据,特别是禁止对数据中涉及的第三方个人开展商品营销或服务活动,也不得将获得的数据用于丰富第三方个人的数据画像,或重建其社交圈,即使在数据控制者本身已经掌握第三方个人数据的情形下也要如此。
为避免对第三人的侵权风险,《指南》还鼓励数据控制者不论是导出数据的那一方(exporter),还是接受数据的一方(importer)都应当设置相应的技术工具,帮助数据主体在转移数据时剔除涉及其他第三方个人的数据。
以上规定已清楚指明,在类似于Facebook到Snapchat等社交网络的切换中,目前并不可能通过用户行使“可携带权”,实现一键转换。
在很多情形下,这反而是GDPR中所禁止的行为类型,因为它侵害到不知情第三方的基本权利。典型例如:用户A将自己的好友信息,包括好友的姓名,手机号码转移到一个APP上,在这一场景下转移只能服务于A用户的个人存储、管理目的,接收数据的APP不得基于自己的经营目的,处理用户A的好友信息。直接面向用户A的好友开展商品营销或直接提供服务,都属于明显违反GDPR的行为。
可携带权关注数据主体本人对数据的控制力(这里集中体现为转移诉求),但更要保证所涉及的其他第三人的基本权利。也正是在这种需要兼顾不同方利益的复杂环境下,可携权的设计是否科学?是否符合市场实际面临许多质疑。
而其中质疑最大的是“可携权”与竞争政策之间的关系。“数据可携权”从表面看为用户提供便利,减少用户转换成本,但是深入研究就会发现:有关锁定用户的成本以及用户转换服务时所遇到的阻碍问题完全可以通过竞争法来解决。
竞争法历经百年发展历史,已经形成了较为严密和成熟的基础理论,它不仅考虑到了用户的锁定成本,也考虑到了锁定也会带来一定的消费者福利。一定的转换成本可以鼓励对新技术业务的投资,在长期来看是具有效率的。
竞争法的适用是以企业在市场上具有显著市场地位,并滥用该地位损害正当的市场竞争为前提的。其规则适用具有复杂而严密的程序前提[20]。而根据《GDPR》规定,数据可携权作为用户的基本权利,可以被要求适用于任何一个机构,包括新兴企业在内。总之,正如“被遗忘权”一样,“数据可携权”带来的新问题也许也远比想象中更多。
6
数据跨境转移: 变得更加严格?
个人数据的跨境流动制度为欧盟所首创,因此很多人对欧盟这一制度留下了严格印象。然而在GDPR立法启动时,跨境流动制度中存在的突出问题就被首先被识别出来。几乎所有的欧盟企业都涉及到向欧盟境外传输数据,然而1995指令中关于跨境流动的严格规则早已难以适应数据国际流动[21]。为此,GDPR对跨境数据流动政策进行了大幅优化改革,特别着力于开辟更多的合法数据跨境方式,提升跨境流动的灵活度:
1.明确禁止各成员国以许可方式管理跨境数据流动。
多年的实践表明,欧盟各成员国对跨境流动采取的许可管理方式并没有实质性的提升个人信息出境的保护水平,相反,事前许可制度却带来官僚主义问题。因此,GDPR重点简化了数据跨境传输机制,明确禁止了许可管理做法,只要符合了《GDPR》中跨境数据流动的合法条件,则成员国不得再通过许可方式予以限制。
2.增加了充分性认定的对象类型。
除了对国家可以作出评估外,还可以对一国内的特定地区、行业领域以及国际组织的保护水平作出评估判断,以进一步扩展通过“充分性”决定(adequate decision)覆盖的地区。
3. 扩展“标准合同条款”(Standard Clauses Contract,SCC)。
除了保留目前已生效的3个标准合同范文,《GDPR》增加了成员国数据监管机构可以指定其他标准合同条款的渠道,以为企业提供更多的,符合实际需求的跨境转移合同文本选择。
4.将“有约束力的公司规则”(BCR)正式确定为法定有效的数据跨境机制。
BCR是集团型跨国企业可优先考虑的机制,集团遵循一套完整的,经个人数据监管机构认可的数据处理机制,则该集团内部整体成为一个“安全港”,个人数据可以从集团内的一个成员合法传输给另一个成员。
尽管已有部分欧盟成员国监管机构接受BCR规范,包括埃森哲、宝马汽车、惠普、摩托罗拉等72家跨国公司获得了BCR认可[22]。但由于1995保护指令中并没有将BCR纳入,BCR的法律效力尚不明确,而此次GDPR解决了这一问题。
5. 发挥行业协会等第三方监督与市场自律作用。
GDPR规定数据控制者可以成立协会并提出所遵守的详细行为准则(codes of conduct)。该行为准则经由成员国监管机构或者欧盟数据保护委员认可后,可通过有约束力的承诺方式生效。此外,经认可的市场认证标志(seals and marks)也可以作为数据跨境转移的合法机制,这实际反映了GDPR对美国市场自律治理方式的充分借鉴。
因此,在GDPR生效后,企业将会有更为丰富的机制选择,实现更为顺畅的跨境数据流动。
7
云计算:重建生态体系?
对于云计算而言,GDPR的确带来了重大变化。在典型的云服务场景中,云服务商作为数据处理者,而云的客户是数据控制者。1995年保护指令主要适用于控制者,处理者通过合同承担数据保护责任。然而GDPR对于控制者、处理者在大多数情况下提出了相同的要求,例如:承担对数据的安全保障义务,在管理措施、技术上采取必要措施,包括指定DPO、在发生数据泄露事故时及时报告控制者等。
更进一步的是,GDPR对于处理者的专门规定,深入到了处理者(云服务商)与控制者(云客户)之间的权利义务关系配置,而在过去,这些内容是完全交由合同,市场自行去解决。因此有观点认为:GDPR关于数据处理者的规范,与作为新生态的云计算格格不入[26]。
例如:GDPR要求,如果没有控制者授权,处理者不应聘用另一个处理者,对于涉及到补充或替换其他处理者的变动,处理者都应当告知控制者,以便使控制者有机会反对此类变化。对照此要求,目前市场上云服务的集成、转售业态都将面临业务风险,因为控制者(云客户)随时可以行使反对权。
承认GPDR对云计算生态体系带来重大影响,但客观来看,也可以通过合规及业务调整来适应。按照新规,云服务合同中关于安全保障措施、风险管理以及服务价格都会受到影响,控制者和处理者需要重新谈判达成。
当然,也仍有许多问题留待后续解决。处理者在云计算生态里实际体现为不同的类型,典型如IAAS ,PASS,SASS,它们与服务的客户(控制者)之间的关系,以及数据处理服务本身都体现出不同的特点,统一适用GDPR一刀切的规范,存在着与实际并不相符合的情况。
例如,根据GDPR规定,处理者只有在收到控制者的书面指示时才可以处理个人数据,这对于大部分的IAAS场景来说几乎是多余的要求,因为IAAS更多是提供基础设施,并不直接参与到客户的数据处理;而在有些服务场景却又是冗赘的,比如SAAS服务中,云服务商需要开展相应的数据分析,以不断优化服务体验。
此外,GDPR要求:如果处理者认为控制者某项指示违反了数据保护法,其应当立即告知控制者。基于云服务商与客户之间的服务关系,这种告知机制如何在商业实践中落地,以及GDPR在多大程度上追究处理者的责任仍有许多未解事宜。
8
人工智能:深度学习即将违法?
《终极算法》作者华盛顿大学教授 Pedro Domingos在今年年初称:自 5 月 25 日起,欧盟将会要求所有算法解释其输出原理,这意味着深度学习即将非法。更有文章提出:GDPR规定了自动决策的可解释权(The Right to Explanation of Automated Decision):数据主体有权要求算法自动决策给出解释,有权在对算法决策不满意时选择退出[23]。
然而,尽管承认GDPR对数字创新技术与应用带来重大影响,但我们也不应夸大这种影响。
首先, GDPR的正式条款中并没有出现过所谓的“自动决策可解释权”,只是在GDPR背景引言(Recital71)中阐述了:数据主体对于自动化决定不满意时,可以要求人工干预,并可以表达意见,获取对相关自动化决定有关解释。按照欧洲立法惯例,立法的背景引言只是起到帮助如何理解条款的目的,自身并不具有法律效力[24]。
其次,GDPR中正式条款中与自动决策相关的条款,共有三个部分,但均没有提出自动决策可解释的要求。
1.在第22条自动化的个人决策,画像条款中,仅要求:数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利;
2.在13、14条数据主体的知情权部分,相关规定为:控制者应当为数据主体提供:是否存在自动化的决策的信息,以及在存在自动化决策的情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。这一表述也推断不出有算法可解释的要求。
3.同样,在第15条数据主体的访问权中,也不存在此类要求。
欧盟29条工作组在2017年10月专门就此问题发布了指南[25]明确澄清:关于自动决策,数据控制者并不必然要解释复杂的算法,对于用户来说,只需要用尽可能简单的方法告知其背后的基本逻辑或者标准即可。
而最关键的是,GDPR中规制的自动决策与“深度学习”并不能划等号。GDPR仅仅规制对于个人产生法律或者重大影响的纯自动化决策,而包括“深度学习”在内的人工智能显然有广阔的应用领域,不涉及个人数据,不产生法律影响,或者存在人工干预的人工智能还有很多。
当然,尽管GDPR中没有明确规定算法的可解释性要求,但算法的透明和负责任依然是人工智能所面临的重大挑战,算法公开所涉及到的商业秘密、知识产权保护,以及深度学习算法的自身黑箱特点等现实问题,意味着在如何保证算法的公平公正透明性方面还需要深入探讨更加有效的机制,仅仅依靠所谓“可解释权”难以走出困境。
9
区块链:与GDPR不相兼容?
隐私和个人信息保护制度一直不断受到技术创新的冲击挑战。从1995年保护指令到过去的20多年,是信息技术浪潮快速更迭的20年,因此,GDPR立法中最重要的一个任务就是如何回应数字创新带来的制度难题。
如果说移动互联网、物联网、云计算、大数据是对数据保护具体制度,包括知情同意机制、安全责任、个人信息边界带来如何具体执行的问题,那么作为互联网诞生以来最具有颠覆性的区块链,对于个人信息保护制度的规范范式则带来更加根本性的冲击。
因为区块链是一种全新的数据存储与管理范式,在本质上是一种通过共识算法,在多点分布存储的去中心化数据库。它依靠密码学和数学算法,无需借助任何第三方中心的介入就可以使参与者达成共识,以极低成本解决了信任与价值的可靠传递难题,对互联网中心化的平台商业模式带来巨大冲击,当然也对建立在中心化商业模式之上的数据保护制度带来冲击。
不论是1995年的数据保护指令,还是改革之后的GDPR, 依然是一种中心化的规范范式[27]。它的制度体系重点指向的是那些中心化的数据控制者,数据处理者,例如:政府机构、银行机构、医院,以及互联网世界中各种各样的中心化平台。GPPR中所建立以来的一系列规范要求,是要求这些中心化的机构去承担相关保护义务,从而实现对个人的保护目的。
而区块链的数据处理模式是完全相反的去中心化模式,这与GDPR在规范起点上就无法兼容,并导致后续一系列的问题。
按照GDPR对个人数据的宽泛定义,以及对匿名化数据的高门槛要求[28],区块链中以文本格式显示的个人数据,乃至被加密,或者哈希之后的与个人相关的数据,包括公钥、交易数据,在相当大程度上仍然属于个人数据。那么参与此类数据处理的,在区块链上任何节点的矿工,都可以被认定为数据控制者,同时也是数据的处理者[29],从而被要求遵从GDPR的各项要求。
而对照目前的区块链应用,这几乎是不可能实现的要求,特别是对于公共链更是如此。以比特币区块链为例,截止目前大约有11000个节点矿工分布全球,不用说数据主体本人,即使对数据保护监管机构都是很大挑战。
在数据权利方面,作为数据控制者,也很难按照GDPR的要求,满足数据主体诉求。特别是更正权、删除权、被遗忘权等基本权利更是与区块链的核心机理相冲突。
区块链解决去中心化信任的关键功能就在于数据的不可篡改性。一旦信息经过验证并添加至区块链,就会永久的存储起来,除非能够同时控制住系统中超过51%的节点,否则单个节点上对数据库的修改是无效的,而同时控制众多节点几乎是不可能的。
此外,区块链的单点记入,全网同步功能也与GDPR中的数据最小化原则格格不入。按照数据最小化原则,数据控制者应当只是处理满足目的的必要数据,而不得超出范围。在区块链特别是公有链中,每个节点的数据维护都会实现自动同步,且并不限制访问。
然而,尽管区块链与GDPR在底层逻辑上就存在根本冲突,但不可否认,区块链可能是实现GDPR立法目标的一种可能技术路径,特别是在GDPR作为制度本身仍然存在很多缺陷的背景下,在现实中仅依靠GDPR显然无法实现对个人信息进行充分保护的美好愿景。而在这一点上,区块链技术本身可大有作为。
区块链技术将有利于提升人们对个人数据的控制权,用户掌握着唯一的公钥和私钥,可以更为自由地选择将个人数据在何时披露给何人,相比之下,目前中心化的数据管理范式,如身份证号,医疗记录则有更多的被非授权披露的风险。
如果从一开始,就保守地将GDPR用于规范和约束区块链技术,甚至视区块链为违法技术,那么无疑扼杀了实现数据保护目标的一条可能技术路径。更多采取宽容态度,并在区块链应用发展过程中,将制度与技术进行更双向的包容互动,彼此调整和完善,将会是一个多赢的结果。
目前已有部分公有链尝试将个人数据单独储存在链下,满足合规要求。也有越来越多的专家呼吁,GDPR对于区块链技术应当给予适当的豁免。这即使从欧盟的立场出发,也是一个值得考虑的选项。
10
高昂的处罚不可避免?
对于GDPR的严苛印象很大程度上来自于高昂的罚金。这主要是源于GDPR对于违法行为在法规中并没有设置具体的罚金幅度,而是只有最高金额的限制。且仅仅区分为两档,分别针对不同的违法行为:
1.处以1000万欧元或者上一年度全球营收的2%,两者取其高;针对:违反隐私保护设计,以及默认隐私保护,没有实施充分的IT安全保障措施、违反数据泄露通知要求等等(第83条第4款);
2.处以2000万欧元或者企业上一年度全球营业收入的4%,两者取其高。针对:违反数据处理原则,数据处理没有合法基础,违法同意要求,侵害数据主体的合法权利等(第83条第5款)。
显然,最高罚金仅仅在最严重的违法行为下适用。监管机构的矫正权力也并不仅限于罚金,还包括:警告,申诫,要求数据控制者、处理者改正、要求对个人数据予以更正或擦除等。
GDPR背景引言中也引入了“轻微侵权”概念,基于对案件具体情况的考虑,如果违法行为不会对有关数据主体的权利构成重大风险,在这种情况下,可以用训诫取代罚款。
在第29条工作组发布的《行政罚款的适用和设置指南》[30]中也明确:监管机构有责任选择最适当的措施,必须考虑所有能够采取的矫正措施,在具体案件中,采取审慎平衡的方法,处罚措施应当是“有效的、恰当的、有说服力的”。
此外,GDPR规定了监管机构在评估是否应当适用罚款和罚款金额的标准时,应当考虑以下因素:(a) 违法的性质、严重性与持续时间;(b) 基于故意还是过失;(c) 控制者或处理者为了减轻数据主体损失而采取的所有行动;(d) 与监管机构的合作程度;(h)监管机构得知违法行为的方式等等。
因此,也可以从以上因素着手,包括:在事前形成完善的数据管理制度,一旦发生数据事件后与监管机构保持良好密切的沟通,都有助于避免更为严厉的处罚。
最后,考虑到GDPR适用于各类主体,处罚及罚金措施不仅适用于企业,也包括政府机构、公共事业机构等。为此,GDPR授权成员国可以制定规则,以覆盖对国内公共机构实施行政处罚的情形。
结语
GDPR带来许多改变。2016年立法文本的正式通过,并不意味着制度规范都已成熟,相反,秩序建设才刚刚拉开序幕。特别是本文中所列出的那些充满争议的棘手问题,面临挑战的不仅是GDPR的适用对象,也包括GDPR本身。所以,请我们放松心态,保持开放视角,不论是对于个人数据保护合规工作,还是个人数据保护法律完善,都是一场需要投入耐心和耐力的马拉松。
[1]旧文《欧盟数据保护通用GDPR详解》对理解GDPR提供了一些参考,但随着大量指南的发布,其中部分观点也需要补充,本文即作为更新。
[2]根据GDPR规定,第29条工作组也将由新组建的欧盟数据保护委员会(European Data Protection Board,EDPB)替代。
[3]部分指南已正式发布,部分指南仍处于公众征询意见期。
[4]当然为了避免豁免的滥用,对豁免本身也有一些合理的限制。
[5]关于数据跨境的机制,可参见旧文《数据跨境流动政策认知与建议》
[6]见GDPR 第三章 数据主体的权利 第五节限制
[7]第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
[8]结合我国网安法对网络运营者的广泛界定,第七十六条(三)网络运营者,是指网络的所有者、管理者和网络服务提供者,实际上同样包含了政府机构、公共机构和企业。
[9]信息安全技术 :个人信息安全规范,2017 -12 - 29 发布 2018 - 05 - 01 实施
[10]详细的适用条件可以参见GDPR的姊妹法规——ePrivacy Regulation,该法规对电子营销作出了更为具体的规定,包括opt-in的例外情形。
[11] GDPR RECITAL 47
[12] GDPR RECITAL 47
[13] GDPR RECITAL 48
[14] GDPR RECITAL 50
[15] InfoCuria - Case-law of the Court of Justice,JUDGMENT OF THE COURT (Grand Chamber),13 May 2014 (*),Google SpainSL,Google Inc.VS Agencia Española de Protección de Datos (AEPD),Mario CostejaGonzález
[16]当然,GDPR的被遗忘权(第17条)与欧洲法院判决中提出的“被遗忘权”相比,在权利的内涵方面仍然有较大区别,可以参考旧文,《被遗忘权很美?,对两方面权利内容作了对比。
[17]任某诉百度名誉权案,也被国内媒体称之为“国内第一期被遗忘权案”,见北京市第一中级人民法院民 事 判 决 书(2015)一中民终字第09558号
[18] ARTICLE 29 DATA PROTECTION WORKING PARTY:Guidelines on the right to data portability,Adopted on 13 December 2016,As last Revised and adopted on 5 April 2017,16/EN WP 242 rev.01
[19] US Federal Trade Commission:FTC Gives Final Approval to Settlementwith Google over Buzz Rollout,https://www.ftc.gov/news-events/press-releases/2011/10/ftc-gives-final-approval-settlement-google-over-buzz-rollout,lastvisited on Feb 24th,2018
[20] Peter Swire and Yianni Lagos,WHY THE RIGHT TO DATA PORTABILITY LIKELY REDUCES
CONSUMER WELFARE: ANTITRUST ANDPRIVACY CRITIQUE,Maryland Law Review 2013,72 Md. L. Rev. 335
[21] European Commission - Press release,Commission proposes a comprehensive reform of data protection rulesto increase users' control of their data and to cut costs for businesses,25 January 2012
[22] Available athttp://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm
[23] Richa Bhatia,Is Deep Learning Going to be Illegal in Europe?Available at https://analyticsindiamag.com/deep-learning-going-illegal-europe/
[24]欧洲法院ECJ明确指出了立法背景引言不具有法律效力。ECJ has commented directly on the legal status of Recitals,clarifying that: "Whilst a recital in the preamble to a regulation maycast light on the interpretation to be given to a legal rule, it cannot initself constitute such a rule.",Case 215/88 Casa Fleischhandels [1989]ECR-2789, para 31; See also Baratta (n 16) 13.
[25]《Guidelines on Automatedindividual decision-making and Profiling for the purposes of Regulation2016/679》,
[26] W. Kuan Hon,GDPR: Killingcloud quickly? Available at https://iapp.org/news/a/gdpr-killing-cloud-quickly/
[27] Michèle Finck,Blockchains and Data Protection in the European Union,Max Planck Institute for Innovation and Competition Research PaperNo. 18-01
[28] ARTICLE 29 DATA PROTECTION WORKING PARTY,Opinion 05/2014 on Anonymisation Techniques,Adopted on 10 April 2014,Opinion 05/2014。
[29] Hoganlovells,A guide to blockchainand data protection,September 2017
[30] ARTICLE 29 DATA PROTECTION WORKING PARTY,17/EN,WP 253,Guidelines on the application and setting of administrative finesfor thepurposes of the Regulation 2016/679,Adopted on 3 October 2017