从谷歌被罚看GDPR数据隐私保护
2019-04-22法人申晓雨吴雅涵
◎ 文 《法人》特约撰稿 申晓雨 吴雅涵
纵观全球,欧盟本次执法行动体现了对个人数据保护中信息披露和用户同意取得方面的较高要求,在全球树立了数据隐私保护的标杆
据法国《通用数据保护条例》(“GDPR”)执法机关法国国家信息与自由委员会(“CNIL”)2019年1月21日的通告,谷歌因违反GDPR而被其处以5000万欧元罚款。
本文将通过谷歌的违法行为及近期其他GDPR处罚案例,浅析GDPR中的信息披露要求和有效的用户同意要求,并与我国有关个人数据保护的规定进行比较,以期更加清晰地认识全球化背景下数据隐私保护的立法和监管环境及发展趋势。
本次CNIL对谷歌作出处罚的主要原因有两方面,一是谷歌违反了控制者的信息披露义务;二是违反了处理个人数据需要有合法基础的义务,具体而言,谷歌未有效取得用户同意。
控制者的信息披露义务
控制者的信息披露义务,即处理个人数据的有关信息的提供义务,包括就收集和处理个人数据,控制者应当向数据主体提供哪些信息以及以何种方式提供这些信息。
首先,GDPR第13条至第22条及第34条规定了控制者应当向数据主体提供的信息内容。例如,GDPR第13条要求控制者向数据主体提供数据控制者的身份、数据保护官的联系方式、数据处理的目的和合法性基础、特定情况下控制者追求的合法利益、数据接收方的身份或种类(如有)、跨境传输的情况、数据留存的时间等确保数据主体合法权利的信息。但其中部分信息谷歌未能提供。
其次,就上述信息提供的方式,根据GDPR第12.1条的要求,数据控制者应以“简洁、透明、易懂且容易获取的形式,使用清楚且直白的语言”提供有关数据处理的信息。借助欧盟数据保护“第二十九条工作组”(Article 29 Data Protection Working Party)《关于2016/679号条例下“透明”的指导方针》(Guidelines on Transparency under Regulation 2016/679 (wp260rev.01))的解读,“简洁、透明、易懂”的核心含义是,“数据主体应当能够(通过控制者披露的信息)事先确认对其个人数据的处理的范围和后果且不应在此后对其个人数据的使用方式感到意外”;“容易获取”则是指“数据主体不应当去搜寻信息,在哪里以及如何获取信息对其而言应当是显而易见的”。
反观谷歌的做法,对于数据处理的目的和收集的个人数据类型,谷歌使用了“为了在内容上提供个性化的服务”、“为确保产品和服务的安全”、“为了提供和开发服务”等表述,CNIL认为这种说法过于笼统。此外,有些内容的描述也过于模糊,如:“我们收集信息是用于改善向所有用户提供的服务……我们收集的信息以及我们如何使用这些信息取决于您如何使用我们的服务,以及您如何管理您的隐私政策。” 用户无法根据谷歌提供的信息充分理解其所执行的处理操作。而且,谷歌提供的关于数据处理的关键信息过于分散,记载于几个文档之中,以至于用户需要经过五六个步骤才能全面访问。这些都与GDPR第12.1条的要求相违背。
在我国,《网络安全法》仅笼统地规定网络运营者应公开收集、使用规则,明示收集、使用信息的目的、方式和范围。《信息安全技术 个人信息安全规范》(“《规范》”)在此方面做出更加详细的规定,尽管该规范目前并非强制性规定。与GDPR相比,在个人信息控制者应当向个人信息主体告知的信息内容方面,《规范》第5.3条和第5.6条的规定与GDPR大致相同。就提供此类信息的方式,《规范》第5.6条(b)、(c)和(d)项同样要求“隐私政策所告知的信息应真实、准确、完整”,“隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点”,“隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接”。在《规范》附录D隐私政策模板中,编写要求一栏明确表示,隐私政策应“1、详细列举收集和使用个人信息的目的,不得使用概括性语言。2、根据目的对应的不同业务功能,详细列出收集的个人信息类型。”由此可以看出,在信息披露义务方面,《规范》的要求和GDPR基本一致。
对数据主体同意的有效获取
根据GDPR的规定,取得数据主体的同意是处理个人数据的合法基础之一。在GDPR的定义部分(第4.11条),“同意”被明确定义为“数据主体通过声明或明确的肯定性行为作出的自愿、具体、知情且明确的意思表示,表明其同意处理与其有关的个人数据。”这一定义说明有效获取数据主体的同意必须同时满足“自愿”、“具体”、“知情”及“明确”等条件。而谷歌未能满足相关条件,其违法行为体现在以下几个方面:
首先,用户给出的同意不是“具体的”。在创建帐户前,用户被要求勾选“我同意谷歌的服务条款”以及“我同意按照上述方式和隐私政策中进一步解释的方式处理我的信息”。因此,用户必须给予完全的、对基于所有目的由谷歌完成的数据处理的同意(包括个性化广告、语音识别等等)。但GDPR的要求是只有在针对每一特定目的特定地给出的同意才是“具体的”同意。根据欧盟数据保护“第二十九条工作组”在2018年4月10日发布的《关于2016/679号条例下“同意”的指导方针》(Guidelines on Consent under Regulation 2016/679 (wp259rev.01))对“具体的”同意的解读,数据控制者应针对每项处理目的提供单独“选择加入”选项,以确保用户能够就特定的目的给出具体的同意。
其次,用户的同意并非充分知情后给出的。谷歌为了提供个性化广告而进行的个人数据处理操作相关的告知信息散落在几份文档中,用户在“个性化广告”的设置部分不可能意识到该告知涉及谷歌提供的多重服务、网站和应用(包括谷歌搜索、Youtube、谷歌家居、谷歌地图、谷歌应用商店、谷歌图片等等),也不清楚被处理的个人数据的数量。因此,消费者给出的同意不可能是“知情的”。CNIL在判罚文书中提到,《关于2016/679号条例下“同意”的指导方针》对“知情”同意所需的最基本信息水平做出了指引,亦即,未提供此类信息时,用户给出的同意便不是“知情”同意。此类信息包括:控制者的身份;每个寻求同意的数据处理操作的目的;什么(何种)数据将被收集或使用;存在撤回同意的权利;在相关的情况下,根据GDPR第22.2(c)条告知将数据用于自动化决策;以及由于缺乏GDPR第46条描述的充分性决议和适当保障措施而可能导致的数据传输的风险。
此外,根据具体情况的差异,可能还需要提供更多信息,让数据主体真正理解即将发生的数据处理情况。
而对于上述信息提供的方式,根据GDPR第7.2条,如果数据主体的同意是以书面声明的形式给出且涉及其他事项,则要求数据主体同意的请求必须明确与其他事项区分,采用易懂且容易获取的方式,并应使用清晰直白的语言。谷歌的做法显然未能满足这一要求。
第三,谷歌收集的用户“同意”的表示也不是“明确的”。在创建帐户时,用户虽然能够通过点选“更多选项”调整某些设置且显著地能看到个性化广告展示的设置,但CNIL依然认为这种做法违反了GDPR,原因是展示个性化广告的选项是预先勾选的。而根据GDPR前言部分第32项的解释,“同意应以明确的肯定性行为表示,确立数据主体自愿、具体、知情且明确的意思表示,……包括在浏览网页时勾选选项,选择信息社会服务的技术设置,或清楚地表明数据主体接受对其个人数据进行拟议处理的其他声明或行为。默认、预先勾选或无行动均不能构成同意。”值得注意的是,即便是用户在手机上创建帐户时,如果没有停用个性化内容,谷歌会通过弹出通知的方式提示用户其个人设置中包含个性化内容,但是使用这种方式依然未被认为获得了明确的用户同意。
在我国,就“具体的”同意而言,《规范》第5.3条(a)项要求“应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型”,亦即仅要求分别告知,但未要求分别征求同意。第5.5条和附录C要求在收集个人敏感信息时,应区分“核心功能”和“附加功能”,并要求就核心功能和每项附加功能分别获取用户的同意。在这一点上,关于“具体的”同意的要求,《规范》的适用范围相对于GDPR而言较窄。
此外,《规范》规定就部分类型的个人数据(个人敏感数据、间接获得的个人数据、超范围使用个人数据)需要取得用户的明示同意,并通过附录C举例说明在收集个人信息主体的敏感信息时,“同意”需要用户的肯定性动作(主动勾选、点击同意)。在这一点上,从其适用的范围来看,《规范》的严格性低于GDPR。
个人数据保护的全球发展趋势
纵观全球,欧盟本次执法行动体现了对个人数据保护中信息披露和用户同意取得方面的较高要求,在全球树立了数据隐私保护的标杆。美国亦已经在2018年并很有可能在今年继续推进数据隐私方面的立法。尽管各国在平衡信息技术产业发展需求和公民个人权利时会有不同侧重,从而在个人信息保护措施和监管方式上有所区别,但是GDPR执法部门展开执法行动、美国于2017年、2018年集中出台几部法律或法案、Facebook在2018年面对数据泄露调查、印度和巴西于2018年先后颁布《2018年个人数据保护法案(草案)》和《通用数据保护法》等一系列事件都预示着在全球范围内各国都会根据自身商业实践特点加强对公民数据隐私的保护,而且为达到这一目的,包括GDPR在内的有关个人数据保护的法律还具有域外管辖权。
我国的数据保护法规虽然参考了GDPR、OECD隐私框架、APEC隐私框架等国际标准,但主要关注点还在互联网服务涉及的国家安全和犯罪预防方面,目前也尚未出台面向全行业的强制性数据隐私保护法律规定,而且在数据和个人隐私保护的具体措施方面,现有法规和非强制性国家标准的严格程度与欧美立法也存在差异。尽管如此,对于中国企业,我们仍建议在一开始即按照国际上较高的标准和要求制定并实施数据安全和隐私保护机制,以期在数字经济时代,特别在加强个人数据保护的全球趋势下,达到整体合规成本最小化的目的。