论文部分内容阅读
摘要:从理论根源和功能价值出发,GDPR数据主体同意制度以保护人格尊严为核心,以技术向善为导向,将“数据主体的同意”作為数字经济企业收集和处理个人数据最重要的合法性基础。数据主体的有效同意须由数据主体自由、特定、知情、明确作出。中国数字经济企业须以CNIL vs. Google LLM等案为戒,积极承担合规义务,同时设立数据保护专员,强化企业内部数据治理与监督机制,自主或者委托第三方开展数据治理与风险评估,对标GDPR完善企业隐私政策并通过技术设计充分保障数据主体同意权,防控企业法律风险。
关键词:一般数据保护条例;数字经济企业;个人数据
中图分类号: F724.6文献标志码: A 文章编号:16720539(2020)01006107
一、引言
对于大数据时代的数据,无论其来源如何,都可被分为两类:个人数据与非个人数据。数据的 “可识别性”(identifiable)是区分个人数据与非个人数据的关键标准。凡是单独可以识别出特定自然人的数据或者与其他数据结合后能够识别出自然人的数据,都是个人数据;反之,则为非个人数据[1]。个人数据于数字经济企业而言具有商业价值,于数据主体而言具有人格利益。
个人数据是数字经济企业的生命。根据2016年G20杭州峰会《二十国集团数字经济发展与合作倡议》中对数字经济的定义,数字经济企业(Digital Economy Enterprise)是从事以数字化的知识和信息为关键生产要素、以现代信息网络为重要载体、以信息通信技术的有效使用为效率提升和经济结构优化的重要推动力的一系列经济活动的企业,主要以互联网企业为代表,还包括农业、工业等传统领域以信息化为发展动力的企业。对于企业而言, 个人信息(1)是创新和营销的资源, 构成其核心竞争力。个人信息是支撑个性化服务、个性化定制、智能化制造等的基础, 是垂直经济、平台经济、线上与线下融合经济等商业创新的灵魂。因而个人信息被视为竞争资源、企业的新资产[2]。
保护个人数据是尊重人格利益的重要表现。随着各国法学界对个人数据保护的关注度不断提升,个人数据逐渐被纳入到法律保护的范畴。例如德国对个人数据权的立法就经过了由基本法保护到专项立法、由地方州立法到联邦立法、由一般人格权到具体人格权、由仅规制公权力到规制公私双领域的历程。德国对公、私领域信息行为的态度, 经过了“差别巨大——差异缩小——差距重新扩大”的过程, 德国个人信息保护法的发展, 是典型的“螺旋式上升, 波浪式前进”, 在否定之否定中不断完善, 以适应现实需要的过程.[3]。
近年来,互联网技术的创新、大数据的崛起、跨境电子商务的迅猛发展冲击着1995年欧盟《关于涉及个人数据处理中的个人保护以及此类数据自由流动的第95/46/EC号指令》(Directive95/46/EC,以下简称“95指令”)。为营造良好的信息流动环境,欧盟制定了《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)。GDPR以“任何收集或处理涉及欧盟所有成员国内的个人数据的机构组织”为规制对象,适用“长臂管辖”原则(2),并伴有严格的监管制度与严厉的处罚措施(3),一经颁布即被称为“史上最严数据保护法案”。2018年5月28日,脸书(Facebook)和谷歌(Google)等域外跨国数字经济企业因被指控未经用户有效同意收集和处理个人数据成为GDPR法案施行后的第一批被告,这应引起从事跨国业务的中国数字经济企业的重视。
对中国数字经济企业而言,欧盟意味着五亿余人口的市场。中国数字经济企业想要“走出去”,并在激烈的国际竞争中占据一席之地,必须重视并符合GDPR的规定,而获取数据主体的有效同意是中国数字经济企业合规的关键。
二、GDPR数据主体同意制度立法原意探析
GDPR数据主体同意制度可追溯到德国个人信息自决权理论。从制度功能价值的角度来看,GDPR数据主体同意制度将数据主体权利串联起来形成完整的权利体系。一方面,该制度倾斜性保护数据主体,尊重人格利益,发挥着保护个人数据的重要作用。另一方面,该制度引导数字经济企业合规发展,积极承担社会责任,驱动科技向善发展。
(一)制度溯源:个人信息自决权理论
“个人信息自决权”是一项没有明文规定但经由德国法院判例发展和承认下来的特别人格权(4)。1983年“人口普查案”直接推动了德国个人信息保护立法理念的转变——由借鉴美国的“隐私权保护”到植根于本土的“人格权保护”。德国宪法法院对个人信息自决权理论进行了阐述(5),即个人有权根据自己的想法自行决定何时以及在何种限度内披露有关其个人生活的事实。简而言之,信息自决权就是指当事人拥有的对其自身相涉的数据自行决定披露与使用的终极掌控的权利。信息主体可以自由地决定其信息何时、何地、以何种方式被搜集、储存和利用, 包括利用的主体是谁, 可以再转给何人, 为了何种目的等内容[4]。
法律保护个人信息是为了维护个人的人格尊严和人格平等。确认个人对其信息的自主支配, 就是要维护个人的人格尊严[5]。康德提出“人是目的”理念便阐述了人的主体地位——“在全部被造物之中,人所愿欲的和他能够支配的一切东西都只能被用作手段;唯有人,以及与他一起,每一个理性的创造物,才是目的本身”[6]。人本身是目的, 人应该自治、自决, 凡是与人格形成、发展有关的情事, 本人有权自己决定, 并在此范围内, 排除他决、他律或他治[7]。其中,知情同意就是信息权利人对个人信息支配权的具体体现, 此种支配是一种独占性的支配[8]。
以维护人的尊严为出发点的个人信息自决权理论对欧盟个人数据保护的法律框架影响颇深。GDPR以强化数据主体对个人数据的控制为导向,在立法宗旨与目的中表明,“本法保护自然人的基本权利和自由,尤其是自然人的个人数据权”。在这一框架下,“数据主体的同意”成为允许他人收集和处理数据主体个人数据的重要条件。GDPR为数据控制者和处理者获得收集和处理个人数据获取用户同意设置了严苛的条件——“同意由数据主体自由、特定、知情、明确作出”,让数据主体在明晰的数据收集范围和目的下自愿授权数据控制者和处理者收集和处理其个人数据,这充分尊重了数据主体的自决权。 (二)数据主体同意制度的功能价值
1.联结数据主体权利,充当权利束纽带
在GDPR的数据主体权利体系中,数据主体的同意将访问权、更正权、删除权(被遗忘权)、限制处理权、自动化处理决定权、拒绝权串联在一起,构成个人数据权利束。在同意数据控制者收集其个人数据后,数据主体可通过行使访问权了解数据控制者和处理者处理其个人数据的具体情况。若个人数据信息有误或者已更新,数据主体可要求其尽快修改;若数据主体对数据控制者和处理者处理个人数据的行为提出质疑,则可暂时限制其个人数据的处理活动。数据主体决定撤回同意,则其个人数据应当被数据控制者和處理者遗忘。这一逻辑完整的数据主体权利体系从数据主体的同意开始到删除权(被遗忘权)终止。
2.维护实质公平,保障数据主体权利
在合同缔结过程中,数据主体大多通过接受数据控制者提供的格式条款(如隐私政策、隐私条款等)行使同意权。数据主体无法就合同中对其数据权利有实质性影响的条款与数据控制者进行协商,因而格式条款的适用限制了数据主体的自由意志。一旦授权数据控制者和处理者收集或处理其个人数据,数据主体就对其个人数据失去事实上的控制力,即无法获取相关数据处理信息,也无法决定个人数据的处理过程,数据主体权利的实现很大程度上依赖于数据控制者和处理者。出于保护弱势一方的公平价值取向,数据主体同意制度为数据主体对其个人数据拟制出法律上的控制力。
个人数据中最突出的是因“可识别性”而形成的人格属性。个人数据权就其主要内容和特征而言, 在民事权利体系中, 应当属于人格权的范畴[5]。人格权系以人格为内容的权利,人格指人的尊严及价值,即以体现人的尊严价值的精神利益(ideele interese)为其保护客体[9]。法律保护个人信息权, 虽然以禁止披露相关信息为其表现形式, 但背后突出反映了对个人控制其信息资料的充分尊重[5]。数据主体同意制度通过确保数据主体的数据安全,可以间接保障数据主体的人身和财产安全。
3.促使企业承担社会责任,形成企业竞争优势
流动的个人数据是数字经济企业的关键生产要素,为数字经济企业源源不断创造商业价值。由于数字经济企业从个人数据的利用中受益,其财富的积累也消耗了大量的社会资源,应当充分尊重数据主体的权利,承担保障数据安全的社会责任,消除其发展过程中产生的负外部性。
企业承担社会责任与营利性并非绝对对立,在良性互动的情况下,企业承担社会责任也能够与其营利目标相一致[10]。符合社会公众利益的行为, 或者是引导顾客向着有益消费结构变化的行为, 会使企业因顾客的青睐而获得丰厚的利润[11]。虽然数据主体同意制度限制数字经济企业收集和处理个人数据的行为,看似增加了企业经营成本,但数字经济企业若采取积极合规行为,塑造科技向善的经营理念,无疑将获得更高的商誉,实现潜在用户市场的逐步扩张。因此,从长远来看,符合数据主体同意制度的规定将提升企业的市场竞争力,实现长期性的盈利目的。
三、GDPR数据主体同意制度规制下Google存在的问题
(一)案件基本事实
2018年5月25日和28日,None of Your Business (以下简称NOYB)和La Quadrature du Net (以下简称LQDN)两个非营利组织分别向法国国家数据保护机构(以下简称CNIL)投诉,称Google在创建账户时向Android操作系统用户提供的隐私政策中未履行充分告知义务,且Google将用户个人数据进行分析和用于个性化广告未征得用户自由、知情、特定、明确的同意,缺乏收集和处理个人数据的有效法律依据。经调查,CNIL确认Google在处理用户个人数据时存在缺乏透明度、用户获知信息不充分以及缺乏对个性化广告的有效同意等问题,并于2019年1月21日,根据GDPR对Google处以5000万欧元的罚款[12]。目前,Google宣布将在法国最高行政法院对该决定提出上诉(6)。
(二)争议焦点之分析:“明确同意”与“明示同意”
Google辩称其为提供个性化广告服务所收集和处理的浏览记录等个人数据不属于敏感个人数据,不适用第9条第(2)项第(a)款中“明示同意”(explicit consent)要求,因此其收集用户数据的行为符合GDPR的规定。CNIL未采纳这一抗辩理由,认为其仍违反了第4条第(11)项中“明确同意”(unambiguous consent)要求。显然,在本案中,Google对“明示同意”与“明确同意”产生了混淆。
以个人数据与隐私的关联程度为标准,GDPR将个人数据分为一般个人数据和敏感个人数据(7)。数字经济企业在收集和处理敏感个人数据时应当取得数据主体的“明示同意”,是对GDPR第4条第(11)项中“明确同意”要求的特殊规定。针对敏感个人数据与一般个人数据,立法者在“同意”前使用不同的限定词(unambiguous与explicit),这是一个明确的语言指标,即两者之间存在差异。在牛津高阶词典中,unambiguous是指意思清楚的、无歧义的,而explicit指明晰的、明确的。可见,GDPR对敏感个人数据的保护高出一般个人数据的“明确同意”的要求。
敏感信息是指构成个人隐私的信息,一般信息是指通常状态下不构成隐私的信息[13]。对于一般个人数据,同意须以明确的声明或者明确肯定的积极行为作出,包括明示同意和默示同意。“明确同意”仅需要数据主体做出愿提供其个人数据的行为即可。尽管留下了通过解释特定情境下用户某些行为而确定同意的空间,但鉴于GDPR整体的严格保护倾向,可预见“非明示”同意的解释空间不会扩展太大[14]。敏感个人数据与数据主体的隐私通常存在紧密关联,其泄漏或不当处理将给数据主体的人身财产安全带来极大威胁,因此数据主体仅可通过明示同意授权数字经济企业收集和处理其敏感个人数据。“明示同意”既需要数据主体作出明确同意该声明的行为(如勾选“我同意”的选择框),又需要数据主体愿提供其特定个人数据的明确声明。 (三)同意规范之展开
根据GDPR第4条第1款第(11)项, 数据控制者和处理者应确保数据主体的同意满足“自由、特定、知情、明确”的要求(8)。纵观CNIL vs. Google LLM案,Google违反的同意规范如下。
1.知情(informed)的同意
同意应当在数据主体知情的前提下作出,这要求数字经济企业在收集和处理个人数据的全过程中承担充分告知义务,即就数据处理活动向数据主体作出充分的说明。在获取数据主体积极同意前,数字经济企业应主动向其告知个人数据的相关信息(9)。数字经济企业提供的信息应当是完整、易理解的,且须采取显著方式引起数据主体的注意。
本案中,Google在隐私政策中缺乏对其服务的充分说明,使得用户无法准确理解其处理个人数据的目的、范围等重要信息。
一是广告个性化服务的操作信息被分散到几个文档中,使得用户无法知道这一操作涉及哪些服务、网站和应用程序,也不知道其中嵌入和组合的数据量。用户在信息不对称的情况下,对Google收集其个人数据的目的、范围等重要事项易产生误解,其同意缺乏真实的意思表示。同时,Google未向用户提供其用于个性化广告的个人数据来源(如Google账户,YouTube或第三方网站共享)的明确信息,使得用户无法对Google数据处理活动进行有效监督。
二是Google在“信息如何保存”页面使用了四项涉及期限的描述,包括“保留信息直至删除”“超过期限的信息”“您删除Google账户之前的信息”“由于特定原因,信息会长时间保存”。但上述规定十分模糊,没有明确的保存时间或确定该期限的标准。
2.明确(unambiguous)的同意
不论是一般个人数据还是敏感个人数据,GDPR均排除了沉默、预先勾选对话框等以不作为方式作出的同意[15]。虽然在创建账户后,用户可以通过单击“更多选项”对广告个性化选项进行修改,但Google已预先勾选了同意选项并误导用户在不知情的情况下作出同意。CNIL认为,Google关于个性化广告的设置完全可以从“更多选项”中独立出来。Google预先勾选选择框的行为,使得用户必须再次点击“更多选项”来修改设置,因此用户后续点击“确认”并非通过积极行为同意将其数据用于个性化广告的表示,不符合同意的“明确”要求。
3.特定(specific)的同意
GDPR第6条第(1)款第(a)项确认数据主体的同意必须与“一个或多个特定”目的相关,并且数据主体可以就每一个目的进行选择[15]。数据主体的同意仅在依据特定目的被授予时才有效,即数字经济企业收集的数据必须具有用于特定数据处理的目的,这也被称为目的限制。
在创建账户之前,Google要求用户勾选“我同意Google的服务条款”和“我同意如上所述处理我的信息,并在隐私政策中进一步说明”的选择框才能完成创建,用户只能选择完全接受或者完全不接受Google实施的所有个人数据处理行为。通过捆绑的方式,Google将用户创建账户的行为与授权同意对其个人数据进行处理的行为混合,并基于这一概括的同意将用户个人数据用于个性化广告。CNIL认为Google隐私政策中同意选项的设置没有尊重GDPR,因为GDPR规定,只有在为每个目的明确给出同意时,数据主体的同意才是“特定”的,而这种概括同意的方式不符合同意的“特定”性质。
4.自由(freely given)的同意
数据主体在表示同意时,能否作出真实的意思表示而享有真正的选择自由,可否自由拒绝和撤回其同意而免遭不利后果,是鉴别其同意是否“自由作出”的标准。
同意不能是签订服务协议的唯一先决条件。如果一项同意是被捆绑作为条款的一个不可协商的部分,则推定该同意不是自愿作出的[15]。在本案中,为了能够访问其Google账户,用户必须同意Google提供的格式条款,包括同意Google收集和处理其个人数据,然后才能更改个性化广告自定义选项的设置。该操作实为变相强制用户同意Google的隐私政策,违反了同意“自由作出”的要求。
综上所述,Google公司违反了GDPR关于获取数据主体同意“自由、特定、知情、明确”的规定,其收集和使用个人数据的行为不具有合法性,严重侵害了数据主体的个人数据权利。
四、应对GDPR数据主体同意制度的策略探讨
CNIL vs. Google LLM案揭露了Google公司在个人数据保护中存在制度性缺陷,其高额的罚款和信誉的损失给数字经济行业敲响了警钟。根据GDPR“长臂管辖”原则,从事跨国业务的中国数字经济企业一旦收集或处理欧盟境内居民的个人数据就会受其规制。为防范和化解今后在欧洲互联网市场竞争中的法律风险,中国数字经济企业应从Google案中汲取经验教训,积极承担相应合规义务,做好下列工作。
(一)设立数据保护专员,强化企业内部数据治理与监督机制
首先,为了确保数据保护专员职责的有效履行,其应当具有独立性。数据保护专员由独立于企业并具备个人数据保护方面相关专业知识的专职人员担任,数字经济企业不得因为数据保护专员正常履职的行为对其解雇或者处罚。除此之外,数字经济企业不仅应当为其提供培训和交流的机会,还应当减轻或免除数据保护专員其他方面的工作职责,使其法定监督职能得以保障。
其次,数据经济企业应当积极配合数据保护专员开展数据保护监督工作。数据保护专员日常监控用户数据安全状况,定期对用户数据保护情况进行调查,并针对企业内部出现的用户数据安全问题直接向高级管理层报告并提出建议,促进数字经济企业积极落实数据保护义务。数字经济企业须积极接受数据保护专员的监督,在个人数据收集和处理活动中严格遵守GDPR的规定,完善企业内部数据治理机制。 (二)通过技术设计充分保障数据主体同意权,防控企业法律风险
为了让数据主体信任数字经济企业的数据收集行为,确保收集到的个人数据不会被非法或歧视性使用,需要从技术层面加以攻克。
(1)数字经济企业应当在企业和用户之间建立沟通平台。在订立隐私政策的过程中,数据主体可通过该沟通平台就隐私政策中对其个人数据权利有实质性影响的内容提出协商请求,数字经济企业无正当理由不得拒绝。在依法完成个人数据的收集后,数字经济企业可通过该沟通平台定期向数据主体发布关于其个人数据处理活动的声明和通知,数据主体也可以通过简易方式行使访问权、限制处理权和撤回同意,从而解决以往数字经济企业单方通知,而数据主体被迫同意且无法提出异议的问题。
(2)数字经济企业应当为企业内部的数据查询系统设置安全权限,保留查询、复制等操作的痕迹。如果有人通过系统对用户个人数据进行批量复制下载,系统自动发出安全警告并向管理人员及时发送报告,以防企业内部有权读取用户数据的人员窃取用户个人数据。
(3)数字经济企业可在隐私政策页面和提示窗口添加自动截图功能,记录用户授权企业收集和处理其个人数据的全过程,根据日期建立证据库。因数据主体同意权产生纠纷时,数字经济企业应就其已获取数据主体的有效同意承担举证责任,此举有利于降低数字经济企业在诉讼中的法律风险。
(三)自主或者委托第三方开展数据治理与风险评估
为实现人工智能系统在整个生命周期内对用户隐私和数据进行有效治理,包括保障用户最初提供的数据以及用户在与系统交互过程中生成的关于用户的数据安全[16],数字经济企业须自主或者委托第三方开展数据治理与风险评估。
(1)预先数据评估。为获取数据主体的有效同意,数据评估工作是在数字经济企业收集个人数据前必不可少的步骤。首先,数字经济企业应当结合其业务范围和服务类型,明确其所需个人数据的范围,避免超出必要目的收集个人数据。其次,由于GDPR针对不同类型的数据(一般个人数据和敏感个人数据)规定了差异化的授权同意方式,数字经济企业应预先评估其需要收集的个人数据类型,以便合理设计其隐私政策。再次,GDPR确立了数据保护影响评估制度(10)。该制度要求数据控制者在可能发生高风险的数据处理前,科学、客观地评估处理引起风险的来源、性质、严重性,避免个人信息安全事故的发生和保护风险的现实化[14]。
(2)提供新服务时的数据评估。为符合“特定同意”的要求,至迟在收集个人数据前,数字经济企业应在隐私政策中明确特定目的作为其收集和处理个人数据的自我约束条件。当数字经济企业推出新业务时,应当将拟收集的数据范围与原范围进行比较,并审查数据的收集和处理是否符合原有目的,便于其针对不同情况决定是否向用户发送补充条款,避免因违反目的限定原则带来的不利后果。
(3)定期数据风险评估。为了避免诉讼风险和高额处罚,数字经济企业应当定期评估数据风险。首先,数字经济企业应审查企业内部用户数据库,辨别其收集和处理的个人数据是否获得了用户的有效同意。其次,数字经济企业还应当审查其与第三方共享的用户数据,确保数据共享得到了用户的有效授权。如若在上述过程中,数字经济企业审查发现相关数据未得到数据主体授权,应当及时删除并向数据主体作出赔偿。
(4)探索建立良性互动机制。监管部门熟知GDPR相关规定,是企业合规性行为最佳的指导者和监督者。因此,在数据评估过程中,数字经济企业应当加强与监管部门沟通交流,积极寻求监管部门的指导意见,及时改正不恰当的数据收集和处理行为,防患于未然。
(四)对标GDPR完善企业隐私政策
为了防控法律风险,中国数字经济企业应当参照GDPR的规定,基于数据评估结果,进一步完善隐私政策,具体如下。
(1)明确数据收集和处理的目的。数字经济企业应该事先具体明确地说明其收集和处理个人数据的目的,避免使用“出于正当商业目的”“根据法律要求”“为了提供更好的服务”等抽象性说明。个人数据的处理应当始终与原目的一致,数字经济企业在目的范围之外的领域不能对个人数据进行处理,除非法律另有规定或者再次获取数据主体的有效同意。
(2)積极履行提示说明义务。数字经济企业应当单独制定隐私政策。数字经济企业应在隐私政策中使用通俗易懂的语言为用户说明该企业对用户数据收集和处理的内容、方式、范围等重要信息,且对出现的专业术语进行解释说明,保证用户在对隐私政策充分了解的前提下作出授权同意,防止因数据主体知情权受到妨害产生的法律纠纷。
(3)合规设置同意选项。首先,不得设置默认同意。数字经济企业在隐私政策中预先勾选同意选项,不能充分表明数据主体与数字经济企业签订合同的真实意思,使数字经济企业收集和处理用户个人数据丧失正当性基础。同时,默认同意也不符合同意应当“自由”和“特定”的要求。其次,不得设置概括性同意。基于数字经济企业对个人数据处理活动进行的清晰说明,数据主体有选择部分同意、部分不同意的权利。数字经济企业应按照不同的数据处理目的在隐私政策的概括同意选项下分出多个子项以供数据主体自由选择。
五、结语
GDPR数据主体同意制度的设计充分体现了对数据主体人格利益的尊重和对数字经济企业技术向善的引导,具有保护个人数据权利、强化企业社会责任的价值取向。在GDPR数据主体同意制度框架下,中国数字经济企业应当积极承担合规义务,设立数据保护专员,强化企业内部数据治理与监督机制,通过技术设计充分保障数据主体同意权,防控企业法律风险、自主或者委托第三方开展数据治理与风险评估并对标对表GDPR完善企业隐私政策,以形成长效竞争优势。
注释:
(1)本文对“个人信息”和“个人数据”之间的细微差别不作区分, 而是根据具体语境交替使用两者。 (2)适用于向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据的任何组织机构。
(3)对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
(4)案例为BGHZ 13,334: Leserbrief-Urteil.
(5)案例为15BGH NJW 1954,1404,1404.
(6)因为ICO vs.Facebook Ireland案件中某些事件发生在GDPR生效前,英国信息专员办公室(简称ICO)必须根据旧法“1998年数据保护法”作出处罚决定,因此本文仅就 CNIL vs. Google LLM.案展开分析。2013年,Facebook允许亚历山大·科根(Alexander Kogan)在其平台上发布一款性格测试应用“This is your digital life”,并通过随机发放红包的方式大力推广,获得了30万用户的个人数据。而且因当时Facebook允许用户授权该应用获取社交关系及其好友数据,导致亚历山大·科根间接获得额外近5000万人的数据。此后,亚历山大·科根将该数据的一部分与其他组织共享,其中包括剑桥分析公司的母公司SCL集团,后者利用该数据影响了美国的政治竞选活动。ICO发现,至少有一百万英国用户的个人数据属于被非法收集的数据。基于自2017年5月开展的调查结果,ICO对Facebook爱尔兰公司作出50万英镑的罚款决定。
(7)GDPR第9条第(1)款规定,特殊种类的个人数据即敏感个人数据包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据、唯一识别自然人为目的的基因数据、生物特征数据、健康、自然人的性生活或性取向的数据。
(8)GDPR第4条第1款(11)项:数据主体的“同意”是指数据主体依照其意愿自愿作出的、特定的、知情的及明确的确认意思表示。其声明或明确肯定的行为作出的这种意思表示,表明其同意对其相关的个人数据进行处理。
(9)包括个人数据类型、数据主体权利、控制者和处理者身份和联系方式、控制者和处理者的义务及责任、数据保护影响评估结果、个人数据处理目的、向第三方传输数据情况、数据接收方、个人数据储存期限等。
(10)GDPR第35条第(1)款:处理,尤其是运用新技术进行处理,考虑到处理的性质、范围、背景和目的,可能对自然人的权利和自由产生较高风险,因此,在进行数据处理前,控制者应对拟进行的处理操作进行个人数据保护影响评估。存在类似较高风险的一系列类似处理操作可统一进行一次评估。
参考文献:
[1]程啸.论大数据时代的个人数据权利[J].中国社会科学,2018,(3):107.
[2]高富平.个人信息使用的合法性基础——数据上利益分析视角[J].比较法研究,2019,(2):77.
[3]蒋舸.个人信息保护法立法模式的选择——以德国经验为视角[J].法律科学(西北政法大学学报),2011,29(2):118.
[4]甘绍平.信息自决权的兩个维度[J].哲学研究,2019,(3):117.
[5]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012,33(6):71-71.
[6]康德.实践理性批判[M].韩水法,译.北京:商务印书馆,2003:95.
[7]齐爱民.个人信息保护法研究[J].河北法学,2008,(4):17.
[8]王利明.数据共享与个人信息保护[J].现代法学,2019,41(1):49.
[9]王泽鉴.人格权保护的课题与展望——人格权的性质及构造:精神利益与财产利益的保护[J].人大法律评论,2009,(1):51.
[10]史际春,肖竹,冯辉.论公司社会责任:法律义务、道德责任及其他[J].首都师范大学学报(社会科学版),2008,(2):44.
[11]李炳毅,李东红.企业社会责任论[J].经济问题,1998,(8):36.
[12]CNIL.Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC.[EB/OL].(2019-02-21)[2019-11-14].https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc.
[13]叶名怡.论个人信息权的基本范畴[J].清华法学,2018,(5):144.
[14]京东法律研究社.欧盟数据宪章:《一般数据保护条例》(GDPR)评述及实务指引[M].北京:法律出版社,2018.
[15]Article 29 Working Party. Guidelines on consent under Regulation 2016/679[EB/OL].(2018-04-10)[2019-11-14].https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51030.
[16]High-Level Expert Group on Artificial Intelligence.Ethics guidelines for trustworthy ai[EB/OL].(2019-04-08)[2019-11-14].https://ec.europa.eu/futurium/en/ai-alliance-consultation.
关键词:一般数据保护条例;数字经济企业;个人数据
中图分类号: F724.6文献标志码: A 文章编号:16720539(2020)01006107
一、引言
对于大数据时代的数据,无论其来源如何,都可被分为两类:个人数据与非个人数据。数据的 “可识别性”(identifiable)是区分个人数据与非个人数据的关键标准。凡是单独可以识别出特定自然人的数据或者与其他数据结合后能够识别出自然人的数据,都是个人数据;反之,则为非个人数据[1]。个人数据于数字经济企业而言具有商业价值,于数据主体而言具有人格利益。
个人数据是数字经济企业的生命。根据2016年G20杭州峰会《二十国集团数字经济发展与合作倡议》中对数字经济的定义,数字经济企业(Digital Economy Enterprise)是从事以数字化的知识和信息为关键生产要素、以现代信息网络为重要载体、以信息通信技术的有效使用为效率提升和经济结构优化的重要推动力的一系列经济活动的企业,主要以互联网企业为代表,还包括农业、工业等传统领域以信息化为发展动力的企业。对于企业而言, 个人信息(1)是创新和营销的资源, 构成其核心竞争力。个人信息是支撑个性化服务、个性化定制、智能化制造等的基础, 是垂直经济、平台经济、线上与线下融合经济等商业创新的灵魂。因而个人信息被视为竞争资源、企业的新资产[2]。
保护个人数据是尊重人格利益的重要表现。随着各国法学界对个人数据保护的关注度不断提升,个人数据逐渐被纳入到法律保护的范畴。例如德国对个人数据权的立法就经过了由基本法保护到专项立法、由地方州立法到联邦立法、由一般人格权到具体人格权、由仅规制公权力到规制公私双领域的历程。德国对公、私领域信息行为的态度, 经过了“差别巨大——差异缩小——差距重新扩大”的过程, 德国个人信息保护法的发展, 是典型的“螺旋式上升, 波浪式前进”, 在否定之否定中不断完善, 以适应现实需要的过程.[3]。
近年来,互联网技术的创新、大数据的崛起、跨境电子商务的迅猛发展冲击着1995年欧盟《关于涉及个人数据处理中的个人保护以及此类数据自由流动的第95/46/EC号指令》(Directive95/46/EC,以下简称“95指令”)。为营造良好的信息流动环境,欧盟制定了《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)。GDPR以“任何收集或处理涉及欧盟所有成员国内的个人数据的机构组织”为规制对象,适用“长臂管辖”原则(2),并伴有严格的监管制度与严厉的处罚措施(3),一经颁布即被称为“史上最严数据保护法案”。2018年5月28日,脸书(Facebook)和谷歌(Google)等域外跨国数字经济企业因被指控未经用户有效同意收集和处理个人数据成为GDPR法案施行后的第一批被告,这应引起从事跨国业务的中国数字经济企业的重视。
对中国数字经济企业而言,欧盟意味着五亿余人口的市场。中国数字经济企业想要“走出去”,并在激烈的国际竞争中占据一席之地,必须重视并符合GDPR的规定,而获取数据主体的有效同意是中国数字经济企业合规的关键。
二、GDPR数据主体同意制度立法原意探析
GDPR数据主体同意制度可追溯到德国个人信息自决权理论。从制度功能价值的角度来看,GDPR数据主体同意制度将数据主体权利串联起来形成完整的权利体系。一方面,该制度倾斜性保护数据主体,尊重人格利益,发挥着保护个人数据的重要作用。另一方面,该制度引导数字经济企业合规发展,积极承担社会责任,驱动科技向善发展。
(一)制度溯源:个人信息自决权理论
“个人信息自决权”是一项没有明文规定但经由德国法院判例发展和承认下来的特别人格权(4)。1983年“人口普查案”直接推动了德国个人信息保护立法理念的转变——由借鉴美国的“隐私权保护”到植根于本土的“人格权保护”。德国宪法法院对个人信息自决权理论进行了阐述(5),即个人有权根据自己的想法自行决定何时以及在何种限度内披露有关其个人生活的事实。简而言之,信息自决权就是指当事人拥有的对其自身相涉的数据自行决定披露与使用的终极掌控的权利。信息主体可以自由地决定其信息何时、何地、以何种方式被搜集、储存和利用, 包括利用的主体是谁, 可以再转给何人, 为了何种目的等内容[4]。
法律保护个人信息是为了维护个人的人格尊严和人格平等。确认个人对其信息的自主支配, 就是要维护个人的人格尊严[5]。康德提出“人是目的”理念便阐述了人的主体地位——“在全部被造物之中,人所愿欲的和他能够支配的一切东西都只能被用作手段;唯有人,以及与他一起,每一个理性的创造物,才是目的本身”[6]。人本身是目的, 人应该自治、自决, 凡是与人格形成、发展有关的情事, 本人有权自己决定, 并在此范围内, 排除他决、他律或他治[7]。其中,知情同意就是信息权利人对个人信息支配权的具体体现, 此种支配是一种独占性的支配[8]。
以维护人的尊严为出发点的个人信息自决权理论对欧盟个人数据保护的法律框架影响颇深。GDPR以强化数据主体对个人数据的控制为导向,在立法宗旨与目的中表明,“本法保护自然人的基本权利和自由,尤其是自然人的个人数据权”。在这一框架下,“数据主体的同意”成为允许他人收集和处理数据主体个人数据的重要条件。GDPR为数据控制者和处理者获得收集和处理个人数据获取用户同意设置了严苛的条件——“同意由数据主体自由、特定、知情、明确作出”,让数据主体在明晰的数据收集范围和目的下自愿授权数据控制者和处理者收集和处理其个人数据,这充分尊重了数据主体的自决权。 (二)数据主体同意制度的功能价值
1.联结数据主体权利,充当权利束纽带
在GDPR的数据主体权利体系中,数据主体的同意将访问权、更正权、删除权(被遗忘权)、限制处理权、自动化处理决定权、拒绝权串联在一起,构成个人数据权利束。在同意数据控制者收集其个人数据后,数据主体可通过行使访问权了解数据控制者和处理者处理其个人数据的具体情况。若个人数据信息有误或者已更新,数据主体可要求其尽快修改;若数据主体对数据控制者和处理者处理个人数据的行为提出质疑,则可暂时限制其个人数据的处理活动。数据主体决定撤回同意,则其个人数据应当被数据控制者和處理者遗忘。这一逻辑完整的数据主体权利体系从数据主体的同意开始到删除权(被遗忘权)终止。
2.维护实质公平,保障数据主体权利
在合同缔结过程中,数据主体大多通过接受数据控制者提供的格式条款(如隐私政策、隐私条款等)行使同意权。数据主体无法就合同中对其数据权利有实质性影响的条款与数据控制者进行协商,因而格式条款的适用限制了数据主体的自由意志。一旦授权数据控制者和处理者收集或处理其个人数据,数据主体就对其个人数据失去事实上的控制力,即无法获取相关数据处理信息,也无法决定个人数据的处理过程,数据主体权利的实现很大程度上依赖于数据控制者和处理者。出于保护弱势一方的公平价值取向,数据主体同意制度为数据主体对其个人数据拟制出法律上的控制力。
个人数据中最突出的是因“可识别性”而形成的人格属性。个人数据权就其主要内容和特征而言, 在民事权利体系中, 应当属于人格权的范畴[5]。人格权系以人格为内容的权利,人格指人的尊严及价值,即以体现人的尊严价值的精神利益(ideele interese)为其保护客体[9]。法律保护个人信息权, 虽然以禁止披露相关信息为其表现形式, 但背后突出反映了对个人控制其信息资料的充分尊重[5]。数据主体同意制度通过确保数据主体的数据安全,可以间接保障数据主体的人身和财产安全。
3.促使企业承担社会责任,形成企业竞争优势
流动的个人数据是数字经济企业的关键生产要素,为数字经济企业源源不断创造商业价值。由于数字经济企业从个人数据的利用中受益,其财富的积累也消耗了大量的社会资源,应当充分尊重数据主体的权利,承担保障数据安全的社会责任,消除其发展过程中产生的负外部性。
企业承担社会责任与营利性并非绝对对立,在良性互动的情况下,企业承担社会责任也能够与其营利目标相一致[10]。符合社会公众利益的行为, 或者是引导顾客向着有益消费结构变化的行为, 会使企业因顾客的青睐而获得丰厚的利润[11]。虽然数据主体同意制度限制数字经济企业收集和处理个人数据的行为,看似增加了企业经营成本,但数字经济企业若采取积极合规行为,塑造科技向善的经营理念,无疑将获得更高的商誉,实现潜在用户市场的逐步扩张。因此,从长远来看,符合数据主体同意制度的规定将提升企业的市场竞争力,实现长期性的盈利目的。
三、GDPR数据主体同意制度规制下Google存在的问题
(一)案件基本事实
2018年5月25日和28日,None of Your Business (以下简称NOYB)和La Quadrature du Net (以下简称LQDN)两个非营利组织分别向法国国家数据保护机构(以下简称CNIL)投诉,称Google在创建账户时向Android操作系统用户提供的隐私政策中未履行充分告知义务,且Google将用户个人数据进行分析和用于个性化广告未征得用户自由、知情、特定、明确的同意,缺乏收集和处理个人数据的有效法律依据。经调查,CNIL确认Google在处理用户个人数据时存在缺乏透明度、用户获知信息不充分以及缺乏对个性化广告的有效同意等问题,并于2019年1月21日,根据GDPR对Google处以5000万欧元的罚款[12]。目前,Google宣布将在法国最高行政法院对该决定提出上诉(6)。
(二)争议焦点之分析:“明确同意”与“明示同意”
Google辩称其为提供个性化广告服务所收集和处理的浏览记录等个人数据不属于敏感个人数据,不适用第9条第(2)项第(a)款中“明示同意”(explicit consent)要求,因此其收集用户数据的行为符合GDPR的规定。CNIL未采纳这一抗辩理由,认为其仍违反了第4条第(11)项中“明确同意”(unambiguous consent)要求。显然,在本案中,Google对“明示同意”与“明确同意”产生了混淆。
以个人数据与隐私的关联程度为标准,GDPR将个人数据分为一般个人数据和敏感个人数据(7)。数字经济企业在收集和处理敏感个人数据时应当取得数据主体的“明示同意”,是对GDPR第4条第(11)项中“明确同意”要求的特殊规定。针对敏感个人数据与一般个人数据,立法者在“同意”前使用不同的限定词(unambiguous与explicit),这是一个明确的语言指标,即两者之间存在差异。在牛津高阶词典中,unambiguous是指意思清楚的、无歧义的,而explicit指明晰的、明确的。可见,GDPR对敏感个人数据的保护高出一般个人数据的“明确同意”的要求。
敏感信息是指构成个人隐私的信息,一般信息是指通常状态下不构成隐私的信息[13]。对于一般个人数据,同意须以明确的声明或者明确肯定的积极行为作出,包括明示同意和默示同意。“明确同意”仅需要数据主体做出愿提供其个人数据的行为即可。尽管留下了通过解释特定情境下用户某些行为而确定同意的空间,但鉴于GDPR整体的严格保护倾向,可预见“非明示”同意的解释空间不会扩展太大[14]。敏感个人数据与数据主体的隐私通常存在紧密关联,其泄漏或不当处理将给数据主体的人身财产安全带来极大威胁,因此数据主体仅可通过明示同意授权数字经济企业收集和处理其敏感个人数据。“明示同意”既需要数据主体作出明确同意该声明的行为(如勾选“我同意”的选择框),又需要数据主体愿提供其特定个人数据的明确声明。 (三)同意规范之展开
根据GDPR第4条第1款第(11)项, 数据控制者和处理者应确保数据主体的同意满足“自由、特定、知情、明确”的要求(8)。纵观CNIL vs. Google LLM案,Google违反的同意规范如下。
1.知情(informed)的同意
同意应当在数据主体知情的前提下作出,这要求数字经济企业在收集和处理个人数据的全过程中承担充分告知义务,即就数据处理活动向数据主体作出充分的说明。在获取数据主体积极同意前,数字经济企业应主动向其告知个人数据的相关信息(9)。数字经济企业提供的信息应当是完整、易理解的,且须采取显著方式引起数据主体的注意。
本案中,Google在隐私政策中缺乏对其服务的充分说明,使得用户无法准确理解其处理个人数据的目的、范围等重要信息。
一是广告个性化服务的操作信息被分散到几个文档中,使得用户无法知道这一操作涉及哪些服务、网站和应用程序,也不知道其中嵌入和组合的数据量。用户在信息不对称的情况下,对Google收集其个人数据的目的、范围等重要事项易产生误解,其同意缺乏真实的意思表示。同时,Google未向用户提供其用于个性化广告的个人数据来源(如Google账户,YouTube或第三方网站共享)的明确信息,使得用户无法对Google数据处理活动进行有效监督。
二是Google在“信息如何保存”页面使用了四项涉及期限的描述,包括“保留信息直至删除”“超过期限的信息”“您删除Google账户之前的信息”“由于特定原因,信息会长时间保存”。但上述规定十分模糊,没有明确的保存时间或确定该期限的标准。
2.明确(unambiguous)的同意
不论是一般个人数据还是敏感个人数据,GDPR均排除了沉默、预先勾选对话框等以不作为方式作出的同意[15]。虽然在创建账户后,用户可以通过单击“更多选项”对广告个性化选项进行修改,但Google已预先勾选了同意选项并误导用户在不知情的情况下作出同意。CNIL认为,Google关于个性化广告的设置完全可以从“更多选项”中独立出来。Google预先勾选选择框的行为,使得用户必须再次点击“更多选项”来修改设置,因此用户后续点击“确认”并非通过积极行为同意将其数据用于个性化广告的表示,不符合同意的“明确”要求。
3.特定(specific)的同意
GDPR第6条第(1)款第(a)项确认数据主体的同意必须与“一个或多个特定”目的相关,并且数据主体可以就每一个目的进行选择[15]。数据主体的同意仅在依据特定目的被授予时才有效,即数字经济企业收集的数据必须具有用于特定数据处理的目的,这也被称为目的限制。
在创建账户之前,Google要求用户勾选“我同意Google的服务条款”和“我同意如上所述处理我的信息,并在隐私政策中进一步说明”的选择框才能完成创建,用户只能选择完全接受或者完全不接受Google实施的所有个人数据处理行为。通过捆绑的方式,Google将用户创建账户的行为与授权同意对其个人数据进行处理的行为混合,并基于这一概括的同意将用户个人数据用于个性化广告。CNIL认为Google隐私政策中同意选项的设置没有尊重GDPR,因为GDPR规定,只有在为每个目的明确给出同意时,数据主体的同意才是“特定”的,而这种概括同意的方式不符合同意的“特定”性质。
4.自由(freely given)的同意
数据主体在表示同意时,能否作出真实的意思表示而享有真正的选择自由,可否自由拒绝和撤回其同意而免遭不利后果,是鉴别其同意是否“自由作出”的标准。
同意不能是签订服务协议的唯一先决条件。如果一项同意是被捆绑作为条款的一个不可协商的部分,则推定该同意不是自愿作出的[15]。在本案中,为了能够访问其Google账户,用户必须同意Google提供的格式条款,包括同意Google收集和处理其个人数据,然后才能更改个性化广告自定义选项的设置。该操作实为变相强制用户同意Google的隐私政策,违反了同意“自由作出”的要求。
综上所述,Google公司违反了GDPR关于获取数据主体同意“自由、特定、知情、明确”的规定,其收集和使用个人数据的行为不具有合法性,严重侵害了数据主体的个人数据权利。
四、应对GDPR数据主体同意制度的策略探讨
CNIL vs. Google LLM案揭露了Google公司在个人数据保护中存在制度性缺陷,其高额的罚款和信誉的损失给数字经济行业敲响了警钟。根据GDPR“长臂管辖”原则,从事跨国业务的中国数字经济企业一旦收集或处理欧盟境内居民的个人数据就会受其规制。为防范和化解今后在欧洲互联网市场竞争中的法律风险,中国数字经济企业应从Google案中汲取经验教训,积极承担相应合规义务,做好下列工作。
(一)设立数据保护专员,强化企业内部数据治理与监督机制
首先,为了确保数据保护专员职责的有效履行,其应当具有独立性。数据保护专员由独立于企业并具备个人数据保护方面相关专业知识的专职人员担任,数字经济企业不得因为数据保护专员正常履职的行为对其解雇或者处罚。除此之外,数字经济企业不仅应当为其提供培训和交流的机会,还应当减轻或免除数据保护专員其他方面的工作职责,使其法定监督职能得以保障。
其次,数据经济企业应当积极配合数据保护专员开展数据保护监督工作。数据保护专员日常监控用户数据安全状况,定期对用户数据保护情况进行调查,并针对企业内部出现的用户数据安全问题直接向高级管理层报告并提出建议,促进数字经济企业积极落实数据保护义务。数字经济企业须积极接受数据保护专员的监督,在个人数据收集和处理活动中严格遵守GDPR的规定,完善企业内部数据治理机制。 (二)通过技术设计充分保障数据主体同意权,防控企业法律风险
为了让数据主体信任数字经济企业的数据收集行为,确保收集到的个人数据不会被非法或歧视性使用,需要从技术层面加以攻克。
(1)数字经济企业应当在企业和用户之间建立沟通平台。在订立隐私政策的过程中,数据主体可通过该沟通平台就隐私政策中对其个人数据权利有实质性影响的内容提出协商请求,数字经济企业无正当理由不得拒绝。在依法完成个人数据的收集后,数字经济企业可通过该沟通平台定期向数据主体发布关于其个人数据处理活动的声明和通知,数据主体也可以通过简易方式行使访问权、限制处理权和撤回同意,从而解决以往数字经济企业单方通知,而数据主体被迫同意且无法提出异议的问题。
(2)数字经济企业应当为企业内部的数据查询系统设置安全权限,保留查询、复制等操作的痕迹。如果有人通过系统对用户个人数据进行批量复制下载,系统自动发出安全警告并向管理人员及时发送报告,以防企业内部有权读取用户数据的人员窃取用户个人数据。
(3)数字经济企业可在隐私政策页面和提示窗口添加自动截图功能,记录用户授权企业收集和处理其个人数据的全过程,根据日期建立证据库。因数据主体同意权产生纠纷时,数字经济企业应就其已获取数据主体的有效同意承担举证责任,此举有利于降低数字经济企业在诉讼中的法律风险。
(三)自主或者委托第三方开展数据治理与风险评估
为实现人工智能系统在整个生命周期内对用户隐私和数据进行有效治理,包括保障用户最初提供的数据以及用户在与系统交互过程中生成的关于用户的数据安全[16],数字经济企业须自主或者委托第三方开展数据治理与风险评估。
(1)预先数据评估。为获取数据主体的有效同意,数据评估工作是在数字经济企业收集个人数据前必不可少的步骤。首先,数字经济企业应当结合其业务范围和服务类型,明确其所需个人数据的范围,避免超出必要目的收集个人数据。其次,由于GDPR针对不同类型的数据(一般个人数据和敏感个人数据)规定了差异化的授权同意方式,数字经济企业应预先评估其需要收集的个人数据类型,以便合理设计其隐私政策。再次,GDPR确立了数据保护影响评估制度(10)。该制度要求数据控制者在可能发生高风险的数据处理前,科学、客观地评估处理引起风险的来源、性质、严重性,避免个人信息安全事故的发生和保护风险的现实化[14]。
(2)提供新服务时的数据评估。为符合“特定同意”的要求,至迟在收集个人数据前,数字经济企业应在隐私政策中明确特定目的作为其收集和处理个人数据的自我约束条件。当数字经济企业推出新业务时,应当将拟收集的数据范围与原范围进行比较,并审查数据的收集和处理是否符合原有目的,便于其针对不同情况决定是否向用户发送补充条款,避免因违反目的限定原则带来的不利后果。
(3)定期数据风险评估。为了避免诉讼风险和高额处罚,数字经济企业应当定期评估数据风险。首先,数字经济企业应审查企业内部用户数据库,辨别其收集和处理的个人数据是否获得了用户的有效同意。其次,数字经济企业还应当审查其与第三方共享的用户数据,确保数据共享得到了用户的有效授权。如若在上述过程中,数字经济企业审查发现相关数据未得到数据主体授权,应当及时删除并向数据主体作出赔偿。
(4)探索建立良性互动机制。监管部门熟知GDPR相关规定,是企业合规性行为最佳的指导者和监督者。因此,在数据评估过程中,数字经济企业应当加强与监管部门沟通交流,积极寻求监管部门的指导意见,及时改正不恰当的数据收集和处理行为,防患于未然。
(四)对标GDPR完善企业隐私政策
为了防控法律风险,中国数字经济企业应当参照GDPR的规定,基于数据评估结果,进一步完善隐私政策,具体如下。
(1)明确数据收集和处理的目的。数字经济企业应该事先具体明确地说明其收集和处理个人数据的目的,避免使用“出于正当商业目的”“根据法律要求”“为了提供更好的服务”等抽象性说明。个人数据的处理应当始终与原目的一致,数字经济企业在目的范围之外的领域不能对个人数据进行处理,除非法律另有规定或者再次获取数据主体的有效同意。
(2)積极履行提示说明义务。数字经济企业应当单独制定隐私政策。数字经济企业应在隐私政策中使用通俗易懂的语言为用户说明该企业对用户数据收集和处理的内容、方式、范围等重要信息,且对出现的专业术语进行解释说明,保证用户在对隐私政策充分了解的前提下作出授权同意,防止因数据主体知情权受到妨害产生的法律纠纷。
(3)合规设置同意选项。首先,不得设置默认同意。数字经济企业在隐私政策中预先勾选同意选项,不能充分表明数据主体与数字经济企业签订合同的真实意思,使数字经济企业收集和处理用户个人数据丧失正当性基础。同时,默认同意也不符合同意应当“自由”和“特定”的要求。其次,不得设置概括性同意。基于数字经济企业对个人数据处理活动进行的清晰说明,数据主体有选择部分同意、部分不同意的权利。数字经济企业应按照不同的数据处理目的在隐私政策的概括同意选项下分出多个子项以供数据主体自由选择。
五、结语
GDPR数据主体同意制度的设计充分体现了对数据主体人格利益的尊重和对数字经济企业技术向善的引导,具有保护个人数据权利、强化企业社会责任的价值取向。在GDPR数据主体同意制度框架下,中国数字经济企业应当积极承担合规义务,设立数据保护专员,强化企业内部数据治理与监督机制,通过技术设计充分保障数据主体同意权,防控企业法律风险、自主或者委托第三方开展数据治理与风险评估并对标对表GDPR完善企业隐私政策,以形成长效竞争优势。
注释:
(1)本文对“个人信息”和“个人数据”之间的细微差别不作区分, 而是根据具体语境交替使用两者。 (2)适用于向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据的任何组织机构。
(3)对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
(4)案例为BGHZ 13,334: Leserbrief-Urteil.
(5)案例为15BGH NJW 1954,1404,1404.
(6)因为ICO vs.Facebook Ireland案件中某些事件发生在GDPR生效前,英国信息专员办公室(简称ICO)必须根据旧法“1998年数据保护法”作出处罚决定,因此本文仅就 CNIL vs. Google LLM.案展开分析。2013年,Facebook允许亚历山大·科根(Alexander Kogan)在其平台上发布一款性格测试应用“This is your digital life”,并通过随机发放红包的方式大力推广,获得了30万用户的个人数据。而且因当时Facebook允许用户授权该应用获取社交关系及其好友数据,导致亚历山大·科根间接获得额外近5000万人的数据。此后,亚历山大·科根将该数据的一部分与其他组织共享,其中包括剑桥分析公司的母公司SCL集团,后者利用该数据影响了美国的政治竞选活动。ICO发现,至少有一百万英国用户的个人数据属于被非法收集的数据。基于自2017年5月开展的调查结果,ICO对Facebook爱尔兰公司作出50万英镑的罚款决定。
(7)GDPR第9条第(1)款规定,特殊种类的个人数据即敏感个人数据包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据、唯一识别自然人为目的的基因数据、生物特征数据、健康、自然人的性生活或性取向的数据。
(8)GDPR第4条第1款(11)项:数据主体的“同意”是指数据主体依照其意愿自愿作出的、特定的、知情的及明确的确认意思表示。其声明或明确肯定的行为作出的这种意思表示,表明其同意对其相关的个人数据进行处理。
(9)包括个人数据类型、数据主体权利、控制者和处理者身份和联系方式、控制者和处理者的义务及责任、数据保护影响评估结果、个人数据处理目的、向第三方传输数据情况、数据接收方、个人数据储存期限等。
(10)GDPR第35条第(1)款:处理,尤其是运用新技术进行处理,考虑到处理的性质、范围、背景和目的,可能对自然人的权利和自由产生较高风险,因此,在进行数据处理前,控制者应对拟进行的处理操作进行个人数据保护影响评估。存在类似较高风险的一系列类似处理操作可统一进行一次评估。
参考文献:
[1]程啸.论大数据时代的个人数据权利[J].中国社会科学,2018,(3):107.
[2]高富平.个人信息使用的合法性基础——数据上利益分析视角[J].比较法研究,2019,(2):77.
[3]蒋舸.个人信息保护法立法模式的选择——以德国经验为视角[J].法律科学(西北政法大学学报),2011,29(2):118.
[4]甘绍平.信息自决权的兩个维度[J].哲学研究,2019,(3):117.
[5]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012,33(6):71-71.
[6]康德.实践理性批判[M].韩水法,译.北京:商务印书馆,2003:95.
[7]齐爱民.个人信息保护法研究[J].河北法学,2008,(4):17.
[8]王利明.数据共享与个人信息保护[J].现代法学,2019,41(1):49.
[9]王泽鉴.人格权保护的课题与展望——人格权的性质及构造:精神利益与财产利益的保护[J].人大法律评论,2009,(1):51.
[10]史际春,肖竹,冯辉.论公司社会责任:法律义务、道德责任及其他[J].首都师范大学学报(社会科学版),2008,(2):44.
[11]李炳毅,李东红.企业社会责任论[J].经济问题,1998,(8):36.
[12]CNIL.Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC.[EB/OL].(2019-02-21)[2019-11-14].https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc.
[13]叶名怡.论个人信息权的基本范畴[J].清华法学,2018,(5):144.
[14]京东法律研究社.欧盟数据宪章:《一般数据保护条例》(GDPR)评述及实务指引[M].北京:法律出版社,2018.
[15]Article 29 Working Party. Guidelines on consent under Regulation 2016/679[EB/OL].(2018-04-10)[2019-11-14].https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51030.
[16]High-Level Expert Group on Artificial Intelligence.Ethics guidelines for trustworthy ai[EB/OL].(2019-04-08)[2019-11-14].https://ec.europa.eu/futurium/en/ai-alliance-consultation.