大數(shù)據(jù)時代,歐盟新規(guī)能否重建數(shù)據(jù)保護新秩序?

責(zé)任編輯:jackye

2015-12-21 08:59:01

摘自:199IT網(wǎng)

20年前,歐盟1995年個人數(shù)據(jù)保護指令獨領(lǐng)風(fēng)騷,對全球立法產(chǎn)生深遠影響。今天,針對成員國個人數(shù)據(jù)保護法律碎片化問題

444173528

20年前,歐盟1995年個人數(shù)據(jù)保護指令獨領(lǐng)風(fēng)騷,對全球立法產(chǎn)生深遠影響。除歐盟28個成員國之外,包括亞太、北美、拉丁美洲等各國都紛紛效仿歐盟模式建立個人數(shù)據(jù)保護法律體系。這一體系確立了當(dāng)今數(shù)據(jù)產(chǎn)業(yè)所適用的核心規(guī)則——個人數(shù)據(jù)保護規(guī)則,為個人數(shù)據(jù)的合法收集、利用建立了基本法律秩序。

今天,針對成員國個人數(shù)據(jù)保護法律碎片化問題,以及云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)不斷帶來的法律適用挑戰(zhàn),歐盟對1995年指令進行了大刀闊斧的改革。新規(guī)繼續(xù)堅守保護公民基本權(quán)利理念,全面提升個人數(shù)據(jù)保護力度,開創(chuàng)性引入數(shù)據(jù)可攜權(quán)、被遺忘權(quán);對數(shù)據(jù)控制者、處理者建立了更為嚴苛的監(jiān)管要求,并特別針對大數(shù)據(jù)背景下的數(shù)據(jù)分析、畫像活動,制定了詳細的法律規(guī)制。

新規(guī)能否像20年前一樣,產(chǎn)生示范效應(yīng),引導(dǎo)全球重建大數(shù)據(jù)背景下數(shù)據(jù)保護規(guī)則,各方拭目以待。

一、歐盟數(shù)據(jù)保護新規(guī)指日可待

2015年12月15日,歐委會發(fā)布消息稱,歐委會與歐洲議會,歐盟理事會三方機構(gòu)在立法進程的最后階段就歐盟數(shù)據(jù)保護改革達成一致。這意味著,在接近四年的協(xié)商談判之后,核心改革成果——歐盟數(shù)據(jù)保護總規(guī)(general data protection regulation,GDPR)即將正式頒布。

根據(jù)歐盟《里斯本條約》所確立的立法程序,歐盟立法涉及三大機構(gòu):

歐洲委員會,由公務(wù)員精英群體構(gòu)成,是歐盟執(zhí)行機構(gòu),他們不代表所屬成員國,而是服務(wù)于歐盟整體利益。此次數(shù)據(jù)保護草案即由歐委會在2012年1月提出;

歐盟議會,由歐盟公民直接選舉產(chǎn)生的議員組成,代表全歐公民利益。歐盟議會于2014年3月高票通過《數(shù)據(jù)保護總規(guī)》草案;

歐盟理事會,由成員國相關(guān)行業(yè)、領(lǐng)域的部長組成,是歐盟政治機構(gòu),代表各成員國利益。因此區(qū)別于其他兩家機構(gòu),歐盟理事會的立法意見一般分歧較大。例如,在數(shù)據(jù)保護領(lǐng)域,英國、愛爾蘭政策相對寬松,而德國、意大利、西班牙則較為嚴格。歐盟理事會于2015年6月通過《數(shù)據(jù)保護總規(guī)》草案。

每個機構(gòu)通過的草案版本均有一些差異,但從內(nèi)容以及三方終于達成一致協(xié)議看,三家機構(gòu)對于基本制度的分歧逐步縮小甚至消弭。

《數(shù)據(jù)保護總規(guī)》預(yù)計將在2016年年初正式頒布。由于草案對當(dāng)下的數(shù)據(jù)保護制度進行了重大改革,產(chǎn)業(yè)界、數(shù)據(jù)監(jiān)管機構(gòu)、消費者都需要充分時間消化與準(zhǔn)備,為此草案規(guī)定,總規(guī)將在正式頒布兩年之后生效執(zhí)行。

二、新規(guī)將帶來哪些重大變革?

自2012年歐委會提出《草案》之時,其所確立的一系列嚴苛制度即震動產(chǎn)業(yè)界,引發(fā)全球高度關(guān)注。美國互聯(lián)網(wǎng)巨頭均前往布魯塞爾進行立法游說。歐洲議會共計收到4400多份相關(guān)修正意見,在歐盟立法史上也屬罕見。

究其原因,一方面歐洲是坐擁5億人口且經(jīng)濟發(fā)達的巨大市場,該市場的監(jiān)管政策本身即對產(chǎn)業(yè)有舉足輕重的影響,另一方面,《草案》本身對適用范圍極大擴展,不僅直接影響歐盟境內(nèi)企業(yè),還將適用于歐洲境外企業(yè),歐盟以外的國家與企業(yè)不可能置身事外。

以下細數(shù)草案帶來的重大變革:

(一)“統(tǒng)一法規(guī),統(tǒng)一標(biāo)準(zhǔn)”。

今后歐盟數(shù)據(jù)保護立法將由指令(directive)上升為法規(guī)(regulation)。按照歐盟立法機制,歐盟指令需要成員國以制定本國法律的方式予以轉(zhuǎn)化,因此1995年指令帶來的結(jié)果是28個成員國對數(shù)據(jù)保護的碎片化法律體系。與指令不同,歐盟法規(guī)生效后將直接適用各成員國,這將徹底解決成員國之間的法律制度差異問題。

(二)跨境提供服務(wù)同樣適用歐盟法規(guī)

1995年指令適用屬地原則,即在歐盟有設(shè)立機構(gòu),或者是通過歐盟境內(nèi)的設(shè)備處理數(shù)據(jù)才適用歐盟數(shù)據(jù)保護法。如果公司跨境提供服務(wù),則可規(guī)避歐盟法律適用。針對這一問題,歐盟新規(guī)大大擴展了其適用范圍。規(guī)定即使數(shù)據(jù)控制者在歐盟境內(nèi)沒有設(shè)立機構(gòu),但其在跨境提供商品或服務(wù)的過程中,收集處理歐盟居民數(shù)據(jù),則應(yīng)當(dāng)適用歐盟數(shù)據(jù)保護法規(guī),并需要在歐盟境內(nèi)指派特定代表負責(zé)數(shù)據(jù)合規(guī)事宜。這一規(guī)定將覆蓋絕大多數(shù)通過跨境方式提供服務(wù)的企業(yè),這其中包括美國、中國等互聯(lián)網(wǎng)公司。

(三)外圍IT廠商也將受到新規(guī)影響

新規(guī)建立了“隱私保護設(shè)計”制度(Privacy by design,PbD)。要求產(chǎn)品或服務(wù)的整個生命周期都貫穿隱私和數(shù)據(jù)保護,包括從最早的設(shè)計階段,到產(chǎn)品投放市場、使用直至最終停止使用,都將考慮數(shù)據(jù)保護合規(guī)因素。正是這一制度將IT廠商間接納入新規(guī)體系之下。

新規(guī)要求設(shè)備生產(chǎn),IT廠商所提供的解決方案能夠使得其客戶符合用戶數(shù)據(jù)保護合規(guī)要求。在過去,IT廠商,包括軟件商,系統(tǒng)集成商,數(shù)據(jù)分析商,從未在服務(wù)合同中考慮過客戶的個人數(shù)據(jù)保護問題,但在新規(guī)生效后,這將是IT廠商面臨的新課題。落實隱私保護設(shè)計制度要求,意味著各類涉及用戶個人數(shù)據(jù)的產(chǎn)品或和業(yè)務(wù)線,在業(yè)務(wù)設(shè)計的最初階段,就需要與IT廠商充分協(xié)商,并通過技術(shù)、合同、管理等措施落實合規(guī)要求。

(四)全面引入新型權(quán)利,增強用戶對個人數(shù)據(jù)“控制力”

在技術(shù)發(fā)展造成現(xiàn)有立法滯后的情形下,新規(guī)對數(shù)據(jù)主體的權(quán)利進行了補充、完善,其中最引入注目的是“數(shù)據(jù)可攜權(quán)”,“被遺忘權(quán)”。盡管這兩項權(quán)利備受爭議,但從歐委會公布的消息看,這兩項權(quán)利被保留在法規(guī)最終版本中。

“個人數(shù)據(jù)可攜權(quán)”,是指用戶可以無障礙的將其個人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個信息服務(wù)提供者處轉(zhuǎn)移至另外一個信息服務(wù)提供者。例如facebook的用戶可以將其帳號中的照片以及其他資料轉(zhuǎn)移到其他社交網(wǎng)絡(luò)服務(wù)提供商。該規(guī)定要求不僅限于社交網(wǎng)絡(luò)服務(wù),還包括云計算、網(wǎng)絡(luò)服務(wù)以及智能手機應(yīng)用等自動數(shù)據(jù)處理系統(tǒng)。信息控制者不僅無權(quán)干涉信息主體的此項權(quán)利,還需要配合用戶提供數(shù)據(jù)文本。數(shù)據(jù)可攜權(quán)的出現(xiàn)不僅強化了用戶對個人信息的管理、控制,更有利于用戶充分實現(xiàn)對信息服務(wù)的選擇權(quán)。

“被遺忘權(quán)”,當(dāng)用戶不再希望個人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù),用戶有權(quán)要求刪除數(shù)據(jù)。在歐洲法院裁決《歐盟數(shù)據(jù)指令》無效的大背景下,歐盟各國陸續(xù)通過立法縮短數(shù)據(jù)留存的時間,從過去的六個月甚至2年縮短到數(shù)周。這意味著用戶能夠?qū)崿F(xiàn)“遺忘權(quán)”的機會大大增加。

(五)“數(shù)據(jù)保護官”為法定標(biāo)配

為保證企業(yè)有效實施法規(guī)。歐盟要求數(shù)據(jù)控制者必須設(shè)立數(shù)據(jù)保護官“data protection officer”。事實上,歐美大型企業(yè)中設(shè)置專門隱私保護官已是普遍現(xiàn)象。這一崗位并不是虛職,歐盟成員國的立法,有的明確規(guī)定了數(shù)據(jù)保護官的法定職責(zé),在企業(yè)違法情況下,數(shù)據(jù)保護官將被追究法律責(zé)任。

(六)“同意”必須是明示的,且用戶可撤銷

1995年指令第2條并沒有規(guī)定同意應(yīng)當(dāng)是“明示同意”還是“默認同意”,此次新規(guī)對該問題予以回應(yīng)。 “同意”必須是明示的“同意”,而不得被推定為“同意”。一個有效合法的同意,其要件包括:用戶必須被告知充分的相關(guān)信息,自由地做出明確同意的意思表示,不得附帶任何條件。更重要的是,數(shù)據(jù)控制者必須告知用戶,用戶有權(quán)撤銷同意。

(七)違法處罰額度以企業(yè)的全球營業(yè)總額為基準(zhǔn)

新規(guī)大大提升了違法處罰力度:

第一類違規(guī)行為:沒有為用戶獲得個人數(shù)據(jù)提供相應(yīng)機制,沒有及時響應(yīng)用戶獲得個人數(shù)據(jù)的請求。最高將被處以全球營業(yè)總額的0.5%;

第二類違規(guī)行為:沒有合法理由,拒絕用戶刪除個人數(shù)據(jù)的請求;沒有建立本企業(yè)對用戶數(shù)據(jù)保護的文檔化管理,最高將被處以以全球營業(yè)總額的1%;

第三類違規(guī)行為:非法處理個人數(shù)據(jù);沒有合法理由,拒絕用戶關(guān)于停止處理個人數(shù)據(jù)的請求;在數(shù)據(jù)泄露事故放生之后,沒有及時通知監(jiān)管機構(gòu);沒有執(zhí)行隱私風(fēng)險評估;沒有任命數(shù)據(jù)保護官,違法向第三國傳輸個人數(shù)據(jù);最高將被處以全球營業(yè)總額的2%。

三、針對大數(shù)據(jù)分析、數(shù)據(jù)畫像的特別規(guī)范

歐盟對大數(shù)據(jù)帶來的個人數(shù)據(jù)保護風(fēng)險做出了全面深入分析,對大數(shù)據(jù)數(shù)據(jù)畫像(profiling)、數(shù)據(jù)分析活動做出了更為系統(tǒng)嚴密的規(guī)范。

根據(jù)草案,“數(shù)據(jù)畫像”被定義成一個內(nèi)涵豐富的概念,它是指:“任何通過自動化方式處理個人數(shù)據(jù)的活動,該活動服務(wù)于評估個人的特定方面,或者專門分析及預(yù)測個人的特定方面,包括工作表現(xiàn),經(jīng)濟狀況、位置、健康狀況、個人偏好,可信賴度或者行為表現(xiàn)等。這一概念被普遍認為能夠覆蓋目前大多數(shù)利用個人數(shù)據(jù)的大數(shù)據(jù)分析活動。例如對個人偏好的分析,可涵蓋市場中最普遍的大數(shù)據(jù)分析市場營銷活動。

在對“畫像”進行界定的基礎(chǔ)上,草案對畫像活動予以了嚴格規(guī)范:

第一,畫像活動必須具有法定依據(jù)或者獲得用戶明確同意因為法定授權(quán)情形僅僅是少數(shù)情況,而取得用戶明確同意在產(chǎn)業(yè)界來看又難以操作,這意味著該規(guī)定將使得大數(shù)據(jù)分析活動變得非常困難。

這將很大程度上改變當(dāng)前大數(shù)據(jù)產(chǎn)業(yè)狀況。因為即使在數(shù)據(jù)保護嚴格的歐盟,依據(jù)1995年指令,數(shù)據(jù)控制者對其掌握的用戶數(shù)據(jù)進行挖掘、分析,并不需要得到用戶的同意。而按照新規(guī),不論所涉及數(shù)據(jù)是否敏感,都需要法定依據(jù)或者用戶的同意。

此外,如果對個人的經(jīng)濟狀況、位置、健康、個人偏好、可信賴度,信賴度或行為模式等進行分析畫像,則應(yīng)當(dāng)在畫像之前首先開展隱私影響評估。新規(guī)對隱私影響評估做出了一整套程序安排。

第二、對于畫像活動,用戶必須是在充分知情下做出同意授權(quán)大數(shù)據(jù)分析的大多數(shù)場景要想滿足合規(guī)性要求,則必須取得用戶的同意。而草案對于獲取用戶同意規(guī)定了詳細的要件。用戶應(yīng)當(dāng)?shù)玫匠浞滞暾南嚓P(guān)信息,包括對用戶進行畫像所使用的全部具體信息,畫像所服務(wù)的目的,基于數(shù)據(jù)分析所采取的評估措施,數(shù)據(jù)分析可能預(yù)見產(chǎn)生的后果,以及用戶如何選擇拒絕畫像。

除非該數(shù)據(jù)分析是服務(wù)于歷史、統(tǒng)計或者科學(xué)研究目的的情況下,數(shù)據(jù)必須予以保留。

第三、數(shù)據(jù)畫像,應(yīng)當(dāng)優(yōu)先對數(shù)據(jù)進行匿名化處理新規(guī)要求,開展數(shù)據(jù)畫像,應(yīng)當(dāng)首先對數(shù)據(jù)進行匿名化處理。匿名化的標(biāo)準(zhǔn)是,在符合比例原則的前提下,投入相同比例的時間、成本努力也無法恢復(fù)身份屬性。如果數(shù)據(jù)畫像在業(yè)務(wù)實踐中無法實現(xiàn)匿名化,那么則應(yīng)當(dāng)使用假名(化名)。關(guān)于假名和真實身份之間的對應(yīng)關(guān)系的信息應(yīng)當(dāng)被隔離單獨保存,以提升安全保障。

第四、特定數(shù)據(jù)的分析活動完全被禁止即無論是否取得用戶同意,特定的數(shù)據(jù)分析活動完全被禁止,此類數(shù)據(jù)分析活動包括三類:

一是數(shù)據(jù)分析的結(jié)果可能導(dǎo)致對個人的歧視,這些歧視建立在對個人種族、民族、政治立場、宗教信仰、商業(yè)團體資格、性取向、性別等因素上,或者達到同此類歧視相同的效果。

二是數(shù)據(jù)分析的結(jié)果能夠識別兒童。

三是數(shù)據(jù)分析是自動化的,并且導(dǎo)致的評價結(jié)果將對數(shù)據(jù)主體產(chǎn)生法律上的效果或者對數(shù)據(jù)主體產(chǎn)生重大的影響。

四、新規(guī)能否重建數(shù)據(jù)保護新秩序?

盡管自上世紀70年代起,全球范圍內(nèi)掀起了個人數(shù)據(jù)保護的立法風(fēng)潮,但在信息通信技術(shù)與業(yè)務(wù)的強大沖擊之下,個人數(shù)據(jù)保護已經(jīng)到了名存實亡的危險邊緣。個人數(shù)據(jù)保護法所確立的用戶“知情同意”原則被戲稱為互聯(lián)網(wǎng)最大謊言,利用業(yè)務(wù)協(xié)議,超出業(yè)務(wù)目的和范圍,一攬子取得用戶關(guān)于個人數(shù)據(jù)使用授權(quán)成為業(yè)界普遍做法。利用數(shù)據(jù)分析畫像,對個人進行精準(zhǔn)化營銷,似乎成為產(chǎn)業(yè)不可阻擋的發(fā)展趨勢。

在這一時代背景下,是讓技術(shù)改變隱私、個人自由等基本價值觀念,任其一路狂奔,還是讓法律將技術(shù)鎖定在特定的發(fā)展軌道上,堅守基本權(quán)利保護?顯然,歐盟選擇了后者。

有觀點認為:歐盟之所以堅持數(shù)據(jù)保護的高標(biāo)準(zhǔn),是因為歐盟互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展落后。誠然,這是不可否認的現(xiàn)實,但并不是歐盟數(shù)據(jù)保護改革的全部背景。歐盟數(shù)據(jù)保護新規(guī)可以看作是歐盟對信息通信技術(shù)的深刻反思,在保護公民基本權(quán)利這一理念的指引之下,其對公民的數(shù)據(jù)權(quán)利、企業(yè)義務(wù)、保護機制進行了全方位的革新與完善。

推動高標(biāo)準(zhǔn)的法律制度,會增加產(chǎn)業(yè)的合規(guī)成本,也有可能對技術(shù)業(yè)務(wù)創(chuàng)新帶來抑制作用,但歐盟同時認為,嚴格的數(shù)據(jù)保護,更高的安全保障標(biāo)準(zhǔn)和用戶信任水平,也將有利于歐盟在數(shù)字經(jīng)濟中塑造競爭優(yōu)勢。

歐盟新規(guī)將直接適用于歐盟28個成員國,覆蓋全球第一經(jīng)濟總量地區(qū)。此外,歐盟新規(guī)對適用范圍的大大延展,也將對全球產(chǎn)生直接深遠影響,新規(guī)能否像1995年指令,對全球產(chǎn)生示范效應(yīng),重建大數(shù)據(jù)時代下數(shù)據(jù)保護新秩序,我們拭目以待。

五、對我國企業(yè)的相關(guān)影響及合規(guī)清單

對于我國企業(yè)來說,不論是航空、金融等傳統(tǒng)行業(yè)內(nèi)涉及歐盟居民數(shù)據(jù)收集與處理的企業(yè),還是互聯(lián)網(wǎng)領(lǐng)域通過設(shè)立商業(yè)實體或跨境提供服務(wù)的企業(yè),以及相關(guān)的IT廠商,都需要對如何滿足新規(guī)要求,提前做好準(zhǔn)備。合規(guī)清單至少應(yīng)包括以下內(nèi)容:

設(shè)立數(shù)據(jù)保護官。如果企業(yè)員工超過250人,且核心業(yè)務(wù)涉及到對歐盟居民的數(shù)據(jù)處理,則應(yīng)當(dāng)設(shè)立這一崗位;

修改隱私條款、業(yè)務(wù)協(xié)議。特別是“知情同意”條款,適用明示同意原則;

為用戶提供訪問、獲取其個人數(shù)據(jù)的通道;

為用戶實現(xiàn)“數(shù)據(jù)可攜權(quán)”,“被遺忘權(quán)”建立相關(guān)配套機制;

.如果利用數(shù)據(jù)分析對用戶進行畫像(對其個人特定方面進行評估,如目前的互聯(lián)網(wǎng)信用評分業(yè)務(wù)),則需要:

確定是否是禁止畫像的特定領(lǐng)域。如涉及歧視,識別兒童,對用戶的評價導(dǎo)致法律上的效果或者對用戶個人有重大影響,則應(yīng)當(dāng)停止。

他合法的數(shù)據(jù)分析,是否取得用戶的明確同意。

簡而言之,相比國內(nèi)的商業(yè)實踐,國內(nèi)企業(yè)要滿足歐盟新規(guī)要求,要準(zhǔn)備好為歐盟居民提供“超國民待遇”的數(shù)據(jù)保護!

瞭望智庫

http://www.lwinst.com/index.php?m=content&c=index&a=show&catid=17&id=12402

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號