到目前為止,介紹歐盟《通用數據保護條例》(GDPR)的中文文獻、評論已經汗牛充棟。大多數集中于以下幾點:歐盟將個人數據保護當成基本人權;歐盟通過一部單行法GDPR覆蓋了包括公私部門在內的各行各業的個人信息處理行為;GDPR詳細規定了個人信息處理的基本原則,如最少夠用、目的限定、存儲期限最小化等;GDPR賦予了個人對其信息非常廣泛的控制權利,如數據可攜帶權、被遺忘權、反對自動化決策機制權利等;GDPR對大規模處理個人信息的企業,要求設立數據保護官(DPO);GDPR要求產品和服務應實現通過設計和默認設置實現隱私保護(Privacy by Design and by Default);GDPR重構了歐盟層面的個人數據保護的落實機制;GDPR處罰額度可高達2000萬歐元或年收入4%,兩者取其高GDPR要求個人數據流出歐盟,應確保足夠的(adequate)保護水平等。
對GDPR實體規則的譯介很有必要,但還要從立法理念來掌握GDPR的精髓。因為只有牢牢把握了GDPR的立法理念,才能撥開云霧見青天,有的放矢地開展GDPR相關的工作。對于這點,尚沒有中文文獻深入剖析。
那GDPR的立法理念是什么呢?其實很簡單,特別對于從事網絡安全行業的同仁來說非常容易理解:GDPR是一部以“風險為路徑”(Risk-based)的個人數據保護法。無論是與歐盟委員會官員的私下交流,還是與德國、比利時、希臘的數據保護局(Data Protection Authority)的正式會面和合作中,筆者都能經常聽見“風險為路徑”的字眼。在2018年發布的宣介材料“GDPR:新機會、新義務”(The GDPR: New Opportunities, New Obligations)中,歐盟委員會也將“風險為路徑”作為GDPR的主要特征。因此,筆者將根據自己的理解和分析,從四個方面闡述,圍繞著“風險為路徑”,GDPR如何構造出精妙的個人數據保護體系。
一、個人數據
常見的論述都注意到了GDPR對個人數據的劃分,特別是專門提出了“特殊類型個人數據”。GDPR第9條規定:“處理個人數據,能夠揭露出其種族、民族、政治觀點、宗教和哲學信仰,或工會成員身份;處理基因數據、生物識別數據,以識別出特定個人;處理健康數據、與自然人性取向或性經歷有關的數據”,上述數據為特殊類型的個人數據。顯然,這是依風險的一種劃分方式。誠如GDPR前言第51段所述,這些所謂的特殊類型個人數據,“依其性質對基本權利和自由特別敏感的個人數據,因其處理過程中可能對于基本權利和自由造成顯著風險,故值得受到特別保護”。
實際上GDPR從另外一個維度對個人數據進行了劃分:個人數據的識別度。這一點為幾乎所有的中文文獻所忽略。在GDPR的文本中,實際上存在四種識別度的個人數據。
一是已識別的數據:與已識別出(identified)的自然人相關的任何信息。
二是可識別的數據(Readilyidentifiable data): 假名化且保留額外的數據、保留原始數據副本、數據能夠可逆變形且控制者知曉變形方式等。
三是GDPR第11條所規定的去標識化程度的個人數據: 即如果數據控制者能“表明其無法識別出特定個人時(the controller is able to demonstrate that it is not in a position toidentify the data subject),數據控制者應在可能的情形中通知數據主體,同時,第15條至20條的規定將不予適用,除非數據主體為行使其權利,向數據提供者額外提供了信息使數據控制者能夠重新識別出特定個人”。
四是匿名化數據:指無法與已識別或可識別的自然人相關聯(related to)的數據。GDPR規定,判斷是否可識別,應考慮到控制者本身或他人所能采用的、所有可合理用以直接或間接地識別數據主體的方式。為確認何為可合理使用作為識別數據主體的方法,應考慮所有客觀因素,諸如:識別所需的成本與時間,并考慮到數據處理當時現有的技術及科技發展。
四種識別度的數據,如何體現了風險的思路?首先,已識別和可識別的數據,毫無疑問屬于個人數據,但是由于可識別數據相對于已識別的數據,對個人的識別度相對較低,GDPR對前者給了一些特殊“優待”,突出體現在判斷目的兼容的條款中。GDPR中目的限制原則規定,“個人數據收集必須符合明確、明示、正當的目的,處理個人數據時應與這些目的相匹配”。第6條第二款同時規定,“當個人數據處理超出數據收集時出于的目的時,且沒有數據主體的同意或歐盟、成員國法律作為基礎時,數據控制者應判斷另外的目的,是否與數據收集出于的目的相匹配,在判斷時應考慮下述因素……”。這些因素之一就包括“是否采取了合適的保護措施,例如加密和假名化處理”。換句話說,如果采取了假名化等降低識別度的措施,新目的和原有目的的“距離”可以稍微“遠”些,也可被認定為新舊的目的之間相互兼容。這個規定直接激勵數據控制者主動降低數據的識別度,識別度降低,對個人合法權益的風險當然就更低。
其次,GDPR合規工作中最難實現的個人數據主體的權利。而如果數據控制者能做到GDPR第11條所規定的去標識化程度,GDPR明確規定包括查詢、更正、刪除(包括被遺忘權)、限制數據處理、攜帶等權利(也就是第15到20條),數據控制者是無需實現的。也就是說,數據控制者主動降低識別度至其本身無法識別個人,則GDPR相應地給予了這些“優待”,能夠節省巨大的合規成本。
最后,匿名化數據,由于無法指向個人,因此GDPR將其排除在管轄范圍之外。
因此,隨著識別度的依次降低,GDPR也區別對待,或者給予合規“優待”或“豁免”,直至排除適用,這都體現了經典的風險管理的思路。
二、個人數據處理的合法事由
GDPR要求,處理個人數據應當具備合法事由(lawful processing grounds)。第6條第一款規定了六項合法事由可供數據控制者選擇,分別是:“數據主體對出于單個或多個特定目的而處理其個人數據表示同意;處理是為向身為合同當事人之數據主體履行合同所必須的,或在締約前,應數據主體的要求所必須采取的步驟;因履行數據控制者承擔的法律義務而必須處理個人數據的;為保護數據主體重大利益或其他自然人重大利益而必須處理個人數據的;為公共利益而執行任務,或數據控制者履行賦予的公共職能時,必須處理個人數據的;因數據處理者正當利益或第三方正當利益而必須處理個人數據的,但當數據主體的利益或基本權利和自由(特別當數據主體尚未成年時)高于上述正當利益時,不得使用該事由。”
上述合法事由,實際上與個人數據主體權利差異化配置,依然體現了風險路徑。首先看同意和合同事由。因為同意在GDPR中應當是“數據主體通過書面聲明或經由一個清楚確定的動作,表示同意對其個人數據進行處理。該意愿表達應是自由給出的(freely given)、特定的(specific)、顯示出數據主體對前因后果清楚的(informed)、清晰明確的(unambiguous)”。因此,為了確保同意的合法有效,數據控制者需要把數據處理相應的風險告訴個人。而在獲得用戶的同意后,用戶就不擁有第21條反對數據處理的權利,但擁有撤回和要求刪除的權利。如果是基于合同事由,一般來說合同應是用戶主動發起,顯然用戶對風險是知悉的,此時用戶并沒有撤回的權利也沒有反對的權利,且在合同存續期間,用戶沒有第17條規定的刪除權(被遺忘權)。同時,由于這兩個事由中,個人或是自主選擇,或是主動發起,為了一以貫之保障用戶的主觀能動性,GDPR還賦予個人第20條的數據可攜帶權。
其次看公共利益、正當利益這兩個事由。與保護數據主體重大利益(一般為緊急情況下,如車禍)和履行法律義務這兩個事由相比,公共利益和正當利益更多的是依賴于數據控制者自己的判斷,個人數據主體參與程度很低,GDPR相應地賦予了個人數據主體事中、事后的反對、限制、刪除的權利。這樣的配置體現了一種風險動態平衡的思路,鼓勵個人主動參與到風險治理的過程,并提供了相應的工具。值得注意的是,在這兩個事由中,乃至于重大利益和履行法律義務,個人并沒有撤回權和可攜帶權。
總的來說,GDPR用六個合法事由概括了現實生活中可能出現的各種個人數據處理的情形,并考慮個人和數據控制者處置個人數據處理所帶來風險中的相對優勢地位,進行了權利、義務的精細配置。
三、數據控制者的總體保護義務和DPIA
GDPR第24條總體規定了數據控制者的保護義務。第一款規定:“考慮到數據處理的性質、范圍、情境、目的,以及對自然人權利和自由的不同程度和大小的風險,數據控制者應采取合適的技術和組織方面的措施,以保證數據處理符合GDPR的規定。這些措施應經常評估和更新”。第二款更規定上述“措施應與數據處理的風險合乎比例,應包括在內部建立合適的數據保護政策。”
顯然,該條文的寫法也突出風險管理的路徑。用大白話說就是,你要干什么事,就要考慮會對外界造成什么風險;為了降低這些風險,需要提出與面臨風險相稱的保護措施;這些保護措施還必須經常評估和更新,以適應風險態勢的變化。
以上是對數據處理風險一般性的規定。對于高風險的數據處理行為,GDPR還專門規定數據控制者應當開展數據保護影響評估(data protection impact assessment)。第35條第一款規定:“在考慮數據處理性質、范圍、情境、目的后,數據控制者如認為數據處理,特別是采用新技術的處理,可能導致個人權益有較高的風險被侵害的,應在處理前,進行數據保護影響評估”。該條第三款還規定了“在以下場景中,數據保護影響評估被特別要求:a)基于自動化數據處理,包括數字畫像,對數據主體個人方面開展系統和廣泛的評估,且評估對個人能產生法律效力,或類似重大的影響;b)對特定類別的數據進行大規模處理,或處理與刑事犯罪和刑事起訴相關的個人數據的;c)對公開區域進行大規模、系統性監控的”。
開展數據保護影響評估的目的,在于督促數據控制者主動考慮風險,主動提出降低風險的方案。GDPR還在第36條規定,“如前述的數據安全影響評估表明,數據控制者不采取額外措施的話,數據處理將帶來較高的風險,則數據控制者應在數據處理開始前,征求監管機構的意見。”這些規定再一次體現了GDPR對風險的審慎態度。目前,中國版的DPIA標準已經制定完成,并已生效,有力地支撐了我國《個人信息保護法》第五十五和五十六條的實施。【《個人信息安全影響評估指南》(GB/T 39335-2020)正式發布】
四、數據保護監管機構的處罰
GDPR規定的高額處罰規定非常吸引人眼球。但處罰并非目的,更重要的是改變數據控制者的行為。因此GDPR第83條規定,個案中的行政罰款應當是“有效、合乎比例、懲戒性”(“effective, proportionate and dissuasive”)。該條第二款規定在決定處罰數額中應當考慮的因素中,許多都和數據處理所帶來的風險有關系,同時數據控制者事先采取的能夠降低風險的措施,也會在決定處罰數據中予以考慮。
在此例舉以此相關的因素:“(a) 違規的性質、嚴重性及持續期間,并考慮到處理的性質范圍或目的,以及受影響之數據主體人數及其受損程度;(b) 違規的故意或過失;(c) 所采減少數據主體損害的任何行為;(d) 控管者或處理者的責任程度,并考慮到其依第 25 條(PbD)及第 32條(Security)所實施的技術上及組織上的措施;……(g) 違規所影響的個人資料類型 ;……(k) 任何其他適用于該個案情形之加重或減輕因素,例如因違約而直接或間接獲得的經濟利益或避免的損失。”
可見,在決定處罰數額中,GDPR依舊貫徹了風險路徑:涉事的數據處理行為是否高危、是否造成了嚴重后果、數據控制者是否事先采取降低風險的措施等等。這些因素都會影響處罰的力度。
五、結語
總的來說,GDPR貫徹的風險路徑,體現于文本中許多規定之中。正如歐盟委員會報告所述,堅持風險路徑“避免繁重、僵化的義務,并根據不同風險定制化了不同的義務”(avoids a burdensome, one-size-fits-all obligation and instead tailorsobligations to the respective risks.)換句話說,面包店涉及的處理個人數據的風險,顯然和開展征信業務的公司所涉及的風險截然不同,GDPR并不要求前者采取和后者相同的個人數據保護義務,例如任命個人數據保護官、開展數據保護影響評估等。因此,許多中文文獻再對GDPR提出嚴厲批評之前,應當先花點時間理解GDPR的立法理念以及制度設計。在筆者看來,風險為路徑的思路,也應當為我國《個人信息保護法》相關的后續立法和標準制定所積極借鑒。(完)
