20年前,欧盟1995年个人数据保护指令独领风骚,对全球立法产生深远影响。除欧盟28个成员国之外,包括亚太、北美、拉丁美洲等各国都纷纷效仿欧盟模式建立个人数据保护法律体系。这一体系确立了当今数据产业所适用的核心规则——个人数据保护规则,为个人数据的合法收集、利用建立了基本法律秩序。
今天,针对成员国个人数据保护法律碎片化问题,以及云计算、移动互联网、大数据不断带来的法律适用挑战,欧盟对1995年指令进行了大刀阔斧的改革。新规继续坚守保护公民基本权利理念,全面提升个人数据保护力度,开创性引入数据可携权、被遗忘权;对数据控制者、处理者建立了更为严苛的监管要求,并特别针对大数据背景下的数据分析、画像活动,制定了详细的法律规制。
新规能否像20年前一样,产生示范效应,引导全球重建大数据背景下数据保护规则,各方拭目以待。
一、欧盟数据保护新规指日可待
2015年12月15日,欧委会发布消息称,欧委会与欧洲议会,欧盟理事会三方机构在立法进程的最后阶段就欧盟数据保护改革达成一致。这意味着,在接近四年的协商谈判之后,核心改革成果——欧盟数据保护总规(general data protection regulation,GDPR)即将正式颁布。
根据欧盟《里斯本条约》所确立的立法程序,欧盟立法涉及三大机构:
欧洲委员会,由公务员精英群体构成,是欧盟执行机构,他们不代表所属成员国,而是服务于欧盟整体利益。此次数据保护草案即由欧委会在2012年1月提出;
欧盟议会,由欧盟公民直接选举产生的议员组成,代表全欧公民利益。欧盟议会于2014年3月高票通过《数据保护总规》草案;
欧盟理事会,由成员国相关行业、领域的部长组成,是欧盟政治机构,代表各成员国利益。因此区别于其他两家机构,欧盟理事会的立法意见一般分歧较大。例如,在数据保护领域,英国、爱尔兰政策相对宽松,而德国、意大利、西班牙则较为严格。欧盟理事会于2015年6月通过《数据保护总规》草案。
每个机构通过的草案版本均有一些差异,但从内容以及三方终于达成一致协议看,三家机构对于基本制度的分歧逐步缩小甚至消弭。
《数据保护总规》预计将在2016年年初正式颁布。由于草案对当下的数据保护制度进行了重大改革,产业界、数据监管机构、消费者都需要充分时间消化与准备,为此草案规定,总规将在正式颁布两年之后生效执行。
二、新规将带来哪些重大变革?
自2012年欧委会提出《草案》之时,其所确立的一系列严苛制度即震动产业界,引发全球高度关注。美国互联网巨头均前往布鲁塞尔进行立法游说。欧洲议会共计收到4400多份相关修正意见,在欧盟立法史上也属罕见。
究其原因,一方面欧洲是坐拥5亿人口且经济发达的巨大市场,该市场的监管政策本身即对产业有举足轻重的影响,另一方面,《草案》本身对适用范围极大扩展,不仅直接影响欧盟境内企业,还将适用于欧洲境外企业,欧盟以外的国家与企业不可能置身事外。
以下细数草案带来的重大变革:
(一)“统一法规,统一标准”。
今后欧盟数据保护立法将由指令(directive)上升为法规(regulation)。按照欧盟立法机制,欧盟指令需要成员国以制定本国法律的方式予以转化,因此1995年指令带来的结果是28个成员国对数据保护的碎片化法律体系。与指令不同,欧盟法规生效后将直接适用各成员国,这将彻底解决成员国之间的法律制度差异问题。
(二)跨境提供服务同样适用欧盟法规
1995年指令适用属地原则,即在欧盟有设立机构,或者是通过欧盟境内的设备处理数据才适用欧盟数据保护法。如果公司跨境提供服务,则可规避欧盟法律适用。针对这一问题,欧盟新规大大扩展了其适用范围。规定即使数据控制者在欧盟境内没有设立机构,但其在跨境提供商品或服务的过程中,收集处理欧盟居民数据,则应当适用欧盟数据保护法规,并需要在欧盟境内指派特定代表负责数据合规事宜。这一规定将覆盖绝大多数通过跨境方式提供服务的企业,这其中包括美国、中国等互联网公司。
(三)外围IT厂商也将受到新规影响
新规建立了“隐私保护设计”制度(Privacy by design,PbD)。要求产品或服务的整个生命周期都贯穿隐私和数据保护,包括从最早的设计阶段,到产品投放市场、使用直至最终停止使用,都将考虑数据保护合规因素。正是这一制度将IT厂商间接纳入新规体系之下。
新规要求设备生产,IT厂商所提供的解决方案能够使得其客户符合用户数据保护合规要求。在过去,IT厂商,包括软件商,系统集成商,数据分析商,从未在服务合同中考虑过客户的个人数据保护问题,但在新规生效后,这将是IT厂商面临的新课题。落实隐私保护设计制度要求,意味着各类涉及用户个人数据的产品或和业务线,在业务设计的最初阶段,就需要与IT厂商充分协商,并通过技术、合同、管理等措施落实合规要求。
(四)全面引入新型权利,增强用户对个人数据“控制力”
在技术发展造成现有立法滞后的情形下,新规对数据主体的权利进行了补充、完善,其中最引入注目的是“数据可携权”,“被遗忘权”。尽管这两项权利备受争议,但从欧委会公布的消息看,这两项权利被保留在法规最终版本中。
“个人数据可携权”,是指用户可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者。例如facebook的用户可以将其帐号中的照片以及其他资料转移到其他社交网络服务提供商。该规定要求不仅限于社交网络服务,还包括云计算、网络服务以及智能手机应用等自动数据处理系统。信息控制者不仅无权干涉信息主体的此项权利,还需要配合用户提供数据文本。数据可携权的出现不仅强化了用户对个人信息的管理、控制,更有利于用户充分实现对信息服务的选择权。
“被遗忘权”,当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据,用户有权要求删除数据。在欧洲法院裁决《欧盟数据指令》无效的大背景下,欧盟各国陆续通过立法缩短数据留存的时间,从过去的六个月甚至2年缩短到数周。这意味着用户能够实现“遗忘权”的机会大大增加。
(五)“数据保护官”为法定标配
为保证企业有效实施法规。欧盟要求数据控制者必须设立数据保护官“data protection officer”。事实上,欧美大型企业中设置专门隐私保护官已是普遍现象。这一岗位并不是虚职,欧盟成员国的立法,有的明确规定了数据保护官的法定职责,在企业违法情况下,数据保护官将被追究法律责任。
(六)“同意”必须是明示的,且用户可撤销
1995年指令第2条并没有规定同意应当是“明示同意”还是“默认同意”,此次新规对该问题予以回应。 “同意”必须是明示的“同意”,而不得被推定为“同意”。一个有效合法的同意,其要件包括:用户必须被告知充分的相关信息,自由地做出明确同意的意思表示,不得附带任何条件。更重要的是,数据控制者必须告知用户,用户有权撤销同意。
(七)违法处罚额度以企业的全球营业总额为基准
新规大大提升了违法处罚力度:
第一类违规行为:没有为用户获得个人数据提供相应机制,没有及时响应用户获得个人数据的请求。最高将被处以全球营业总额的0.5%;
第二类违规行为:没有合法理由,拒绝用户删除个人数据的请求;没有建立本企业对用户数据保护的文档化管理,最高将被处以以全球营业总额的1%;
第三类违规行为:非法处理个人数据;没有合法理由,拒绝用户关于停止处理个人数据的请求;在数据泄露事故放生之后,没有及时通知监管机构;没有执行隐私风险评估;没有任命数据保护官,违法向第三国传输个人数据;最高将被处以全球营业总额的2%。
三、针对大数据分析、数据画像的特别规范
欧盟对大数据带来的个人数据保护风险做出了全面深入分析,对大数据数据画像(profiling)、数据分析活动做出了更为系统严密的规范。
根据草案,“数据画像”被定义成一个内涵丰富的概念,它是指:“任何通过自动化方式处理个人数据的活动,该活动服务于评估个人的特定方面,或者专门分析及预测个人的特定方面,包括工作表现,经济状况、位置、健康状况、个人偏好,可信赖度或者行为表现等。这一概念被普遍认为能够覆盖目前大多数利用个人数据的大数据分析活动。例如对个人偏好的分析,可涵盖市场中最普遍的大数据分析市场营销活动。
在对“画像”进行界定的基础上,草案对画像活动予以了严格规范:
第一,画像活动必须具有法定依据或者获得用户明确同意因为法定授权情形仅仅是少数情况,而取得用户明确同意在产业界来看又难以操作,这意味着该规定将使得大数据分析活动变得非常困难。
这将很大程度上改变当前大数据产业状况。因为即使在数据保护严格的欧盟,依据1995年指令,数据控制者对其掌握的用户数据进行挖掘、分析,并不需要得到用户的同意。而按照新规,不论所涉及数据是否敏感,都需要法定依据或者用户的同意。
此外,如果对个人的经济状况、位置、健康、个人偏好、可信赖度,信赖度或行为模式等进行分析画像,则应当在画像之前首先开展隐私影响评估。新规对隐私影响评估做出了一整套程序安排。
第二、对于画像活动,用户必须是在充分知情下做出同意授权大数据分析的大多数场景要想满足合规性要求,则必须取得用户的同意。而草案对于获取用户同意规定了详细的要件。用户应当得到充分完整的相关信息,包括对用户进行画像所使用的全部具体信息,画像所服务的目的,基于数据分析所采取的评估措施,数据分析可能预见产生的后果,以及用户如何选择拒绝画像。
除非该数据分析是服务于历史、统计或者科学研究目的的情况下,数据必须予以保留。
第三、数据画像,应当优先对数据进行匿名化处理新规要求,开展数据画像,应当首先对数据进行匿名化处理。匿名化的标准是,在符合比例原则的前提下,投入相同比例的时间、成本努力也无法恢复身份属性。如果数据画像在业务实践中无法实现匿名化,那么则应当使用假名(化名)。关于假名和真实身份之间的对应关系的信息应当被隔离单独保存,以提升安全保障。
第四、特定数据的分析活动完全被禁止即无论是否取得用户同意,特定的数据分析活动完全被禁止,此类数据分析活动包括三类:
一是数据分析的结果可能导致对个人的歧视,这些歧视建立在对个人种族、民族、政治立场、宗教信仰、商业团体资格、性取向、性别等因素上,或者达到同此类歧视相同的效果。
二是数据分析的结果能够识别儿童。
三是数据分析是自动化的,并且导致的评价结果将对数据主体产生法律上的效果或者对数据主体产生重大的影响。
四、新规能否重建数据保护新秩序?
尽管自上世纪70年代起,全球范围内掀起了个人数据保护的立法风潮,但在信息通信技术与业务的强大冲击之下,个人数据保护已经到了名存实亡的危险边缘。个人数据保护法所确立的用户“知情同意”原则被戏称为互联网最大谎言,利用业务协议,超出业务目的和范围,一揽子取得用户关于个人数据使用授权成为业界普遍做法。利用数据分析画像,对个人进行精准化营销,似乎成为产业不可阻挡的发展趋势。
在这一时代背景下,是让技术改变隐私、个人自由等基本价值观念,任其一路狂奔,还是让法律将技术锁定在特定的发展轨道上,坚守基本权利保护?显然,欧盟选择了后者。
有观点认为:欧盟之所以坚持数据保护的高标准,是因为欧盟互联网产业发展落后。诚然,这是不可否认的现实,但并不是欧盟数据保护改革的全部背景。欧盟数据保护新规可以看作是欧盟对信息通信技术的深刻反思,在保护公民基本权利这一理念的指引之下,其对公民的数据权利、企业义务、保护机制进行了全方位的革新与完善。
推动高标准的法律制度,会增加产业的合规成本,也有可能对技术业务创新带来抑制作用,但欧盟同时认为,严格的数据保护,更高的安全保障标准和用户信任水平,也将有利于欧盟在数字经济中塑造竞争优势。
欧盟新规将直接适用于欧盟28个成员国,覆盖全球第一经济总量地区。此外,欧盟新规对适用范围的大大延展,也将对全球产生直接深远影响,新规能否像1995年指令,对全球产生示范效应,重建大数据时代下数据保护新秩序,我们拭目以待。
五、对我国企业的相关影响及合规清单
对于我国企业来说,不论是航空、金融等传统行业内涉及欧盟居民数据收集与处理的企业,还是互联网领域通过设立商业实体或跨境提供服务的企业,以及相关的IT厂商,都需要对如何满足新规要求,提前做好准备。合规清单至少应包括以下内容:
设立数据保护官。如果企业员工超过250人,且核心业务涉及到对欧盟居民的数据处理,则应当设立这一岗位;
修改隐私条款、业务协议。特别是“知情同意”条款,适用明示同意原则;
为用户提供访问、获取其个人数据的通道;
为用户实现“数据可携权”,“被遗忘权”建立相关配套机制;
如果利用数据分析对用户进行画像(对其个人特定方面进行评估,如目前的互联网信用评分业务),则需要:
确定是否是禁止画像的特定领域。如涉及歧视,识别儿童,对用户的评价导致法律上的效果或者对用户个人有重大影响,则应当停止。
他合法的数据分析,是否取得用户的明确同意。
简而言之,相比国内的商业实践,国内企业要满足欧盟新规要求,要准备好为欧盟居民提供“超国民待遇”的数据保护!