眼跳测吉凶日前,Google公司收到一张来自法国的罚单,金额5000万欧元(约3.8亿人民币),理由是Google违反了欧盟《通用数据条例》,在处理个人用户数据时存在缺乏透明度、用户获知信息不便、广告订制并非自客户自愿等问题。这让人在“吃瓜”之余,不得不腾讯公司的法务,腾讯QQ机智地在《条例》刚出来的时候就宣布退出欧盟。这个号称史上最严格的数据保规都有哪些?我们又能从中学到点什么?
PR,全称《通用数据条例》(General Data Protection Regulation),是欧洲议会制订的第2016/679号条例。经过两年的过渡期,该条例于2018年5月25日正式在欧盟国施行。将“Data”翻译称“数据”显得很专业,但实际上主要是为了个人信息。可能是由于二战时有过的“黑历史”,战后欧洲对个人隐私特别严格,将个人信息隐私权视为一项基本。这一点是美国,甚至联合国的法律都没有达到的高度。
PR不是突然冒出来的,早在1995年欧盟就出过一个《个人数据指令》(Directive 95/46/EC),不过“指令”的层级有点低,欧盟国可“参照执行”,不像“条例”那样具有直接、强制的适用效力。根据PR,欧盟成立了欧洲数据监管局(EDPS),负责辖内个人数据和信息流动的监管工作。各欧盟国须成立专门的数据监管部门,负责执行PR和相应的国内法,如的联邦数据机构(BFDI),法国的国家信息与委员会(CNIL)等。如果对监管部门的决定不满意,还可以向欧洲法院(CJEU)或欧洲法院(ECtHR)直接提起诉讼。
1、知情权/访问权(Right to be informed)。分为信息主体主动询问权和被动告知权。信息主体有权询问数据控制方是否保有、处理自身信息,并方便地、免费地获取个人数据。数据控制人和处理人有义务在“合理期限内(不超过1个月)”主动告知信息主体,哪些个人信息被采集了、将怎样使用等。
2、纠错权(Right to rectification)。个人有权更正、更新自身错误、不准确、过时的信息,同时也负有提供“不准确的”、更新后信息证明材料的义务。但这种义务不能给信息主体造成“不合理的负担”。欧盟法院在司法实践中经常遇到信息主体不能提供“不准确”的情形。信息主体可以对有争议的信息提出个人声明,数据控制者应予记载。
3、删除权/被遗忘权(Right to erasure‘the right to be forgotten’)。信息主体有撤回同意和要求删除个人信息的,超出授权期限或授权事项结束后,个人数据应当被擦除。
举个例子:在谷歌西班牙案中,谷歌被要求删除当事人的过期的、财务困难(破产)信息。谷歌公司称,其作为网络搜索引擎,只对外提供各个原始网页的链接,法院应当要求原始网页删除个人金融信息。法院认为,网络搜索引擎的搜索结果展示了个人信息,属于PR规范的数据控制者。PR关于过期信息需要删除的,同样适用于复制原始信息的控制者,谷歌公司应当按照当事人的请求删除个人信息。法院同时认为,个人信息擦除权不是绝对的,应当与其他特别是公共利益进行平衡。如果信息主体是人物,或者该信息被获知是合理的,那么获取信息的将大过信息主体的个利。
4、处理权(Right to restriction of processing)。具有以下情形时,信息主体有权要求数据控制者“临时地”处理其数据:1)对个人数据的准确性提出质疑;2)处理方式不,而信息主体未要求删除个人信息的;3)数据控制者不再需要个人信息,但数据主体为了提起、行使或辩律性主张而需要该数据的;4)在核实数据控制者的正当理由是否优先于数据主体的正当理由之前,数据主体反对处理的。在处理期间,“已标记”的个人数据只能由控制者存储。除非信息主体同意或者出于公共利益,数据控制者开展“已标记”数据处理活动。
5、数据可携带权(Right to data portability)。PR中新增了数据可携权条款。为了进一步加强数据主体对其自身数据的控制,数据主体有权从控制者处接收回其提供给控制者的个人数据,而且数据还应以常用的、机器可读的格式提供。这项旨在使数据主体能够将数据传输给另一控制者,而不受前一控制者的阻碍。在技术上可行的情况下,数据主体也可要求控制者将个人数据直接传输给另一控制者。
6、反对权(Right to object)。信息主体可以对以下事项提出反对:一是数据控制者以“公共利益”或“追求利益”名义处理个人信息;二是用于市场营销目的的数据处理;三是在接收服务的同时自动采集信息的(主要指网站Cookie);四是以科学、历史研究或统计目的为名义的信息采集和处理行为。反对结果将由监管部门或法院判定。
7、与自动决策和用户画像相关的(Automated individual decision-、including profiling)。根据PR的,数据主体有权不适用、或不参加完全基于自动化处理(包括用户画像)的信息处理。例如,无人为干预下的在线信贷申请、网络招聘或在线绩效评估等。
1、打破了传统立法管辖权。传统的立法管辖权通常按照国家/地域划分。而PR的约束同样适用于向欧盟居民提供产品或者服务,甚至只是收集或数据的非欧盟企业和组织,而与这些企业和组织所在无关。这意味着,欧盟境外的实体,通过互联网等形式处理欧盟境内个人的个人数据,也适用PR。
2、对数据相关概念作出严谨的定义。PR系统、严谨地定义了“个人数据”、“数据主体”、“数据处理”、“数据使用”、“同意”等概念,在全球范围内起到了标准制定者的示范作用。
3、明确了数据处理原则。《条例》数据处理应、正当、透明;处理数据的目的有限;仅处理为达到目的的最少数据;确保数据准确、时新;储存数据的期限不得长于为达到目的所需的时间和采取技术和管理措施以数据安全等原则。《条例》收集处理反映个人种族或民族起源、观点、教/哲学、是否是工会组织的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。《条例》还特别规范了儿童个人数据的处理,即处理16岁以下的儿童的数据处理必须获得该儿童父母/监护人的同意或授权。
4、创新引入两项重要。PR开创性地引入了被遗忘权和可携带权,对信息权益和信息流动提出了高标准要求。
5、大幅提升违规成本。《条例》违法的惩罚金额由国自行确定,惩罚上限处于欧盟立法中较高标准。对于一般性违法行为,罚款上限是一千万欧元或前一年全球营业收入的2%(两值中取大者);对于严重违法行为或造成严重后果,罚款上限是两千万欧元或前一年全球营业收入的4%(两值中取大者),全面提升了对个人数据的力度。法国对谷歌公司涉嫌违反PR的处罚还不是顶格处罚,如果按照全球营业收入的4%计算,那将是高达44亿美元的罚单。
6、要求欧盟机构、数据控制者和数据处理者设立“数据官”(DPO)。DPO的职责包括:督促数据控制者和数据处理者履行数据义务、配合监管机构工作、代表所在机构处理数据实务、负责接收咨询等。DPO的联系方式向监管部门和社会公开。DPO可以是机构内部员工,也可以外聘,各机构应当向DPO提供履职相关的数据访问权限和资源。数据控制器或处理者不得因执行任务而解雇或处罚DPO。
毫无疑问,PR将对企业在欧盟市场的投资、销售和运营产生显著影响,是必须的重律监管障碍。违反条例后果将会很严重,我国企业也应当:
2、认真学习PR各条款,履行相关义务,如:取得相关信息主体的“同意”、完整记录数据处理过程、停止后台自动采集数据等违规行为、随时准备好证明自己的数据处理等。
PR出台后,进一步意识到隐私问题的严重性,这也导致美国和其他国家/地区的消费者提出质疑,为什么自己没有获得同样的。二十年前,中国被国外视为不懂得知识产权的国家,如果不加快个人信息立法,日后中国将可能被视为“不懂个人信息”的国家,譬如出现百度总裁李彦宏发表的“中国人愿意用隐私交换便利”那样的论断。结合我国国情和个人信息立法现状,笔者认为可以借鉴欧盟以下经验做法:
(一)高标准、高层级立法。尽快出台《个人信息保》和《个人金融信息条例》,引起、学界、对个人信息和隐私权的重视,提示我国个人信息水平。不仅是欧美发达国家,亚太地区的日本韩国新加坡马来西亚甚至都出台了专门的《个人信息保》。
(二)向功能性、穿透性监管方向努力。鉴于我国行业监管割裂现状,短期内,想要像欧洲那样成立一个既能管到、、公共组织,又能插手互联网、医疗卫生、金融、就业等领域个人数据处理的监管机构是不现实的,但功能性监管、穿透式监管无疑更有利于个益,应当是努力方向。目前在各个行业主管部门成立的个人数据机构,如在金融稳定委员会下设立个人金融信息专业委员会,统一指导银行、证券、保险及其他金融、类金融机构的个人信息工作,逐步提升个人信息水平。
(三)明确数据处理原则,加强个益。通过立法明确“有限采集”、“按约定使用”、“有限存储”等数据处理原则,强化个人信息安全。完善个人信息“知情权”、“纠错权”等措施,要求数据控制人主动履行信息告知义务。在行政管理和技术负担允许下,推进个人信息“处理权”、“删除权”、“可携带权”等逐步实现,在有条件的机构试点设立“数据官”职位。
(四)加大对违法违规行为惩处力度。在现有法规基础上,监管部门应大幅度提高行政处罚标准(从严、顶格),不断扩管覆盖面和提高检查频次,违法行为。各级应不断降低司法救济成本,大力打击“侵害个人信息”违法犯罪,提高被侵害人补偿标准,增加人民群众在个人信息领域的安全感。