到目前為止,,介紹歐盟《通用數(shù)據(jù)保護條例》(GDPR)的中文文獻,、評論已經(jīng)汗牛充棟,。大多數(shù)集中于以下幾點:歐盟將個人數(shù)據(jù)保護當(dāng)成基本人權(quán),;歐盟通過一部單行法GDPR覆蓋了包括公私部門在內(nèi)的各行各業(yè)的個人信息處理行為,;GDPR詳細(xì)規(guī)定了個人信息處理的基本原則,,如最少夠用,、目的限定,、存儲期限最小化等,;GDPR賦予了個人對其信息非常廣泛的控制權(quán)利,,如數(shù)據(jù)可攜帶權(quán)、被遺忘權(quán),、反對自動化決策機制權(quán)利等,;GDPR對大規(guī)模處理個人信息的企業(yè),要求設(shè)立數(shù)據(jù)保護官(DPO),;GDPR要求產(chǎn)品和服務(wù)應(yīng)實現(xiàn)通過設(shè)計和默認(rèn)設(shè)置實現(xiàn)隱私保護(Privacy by Design and by Default),;GDPR重構(gòu)了歐盟層面的個人數(shù)據(jù)保護的落實機制;GDPR處罰額度可高達2000萬歐元或年收入4%,,兩者取其高GDPR要求個人數(shù)據(jù)流出歐盟,,應(yīng)確保足夠的(adequate)保護水平等。
對GDPR實體規(guī)則的譯介很有必要,,但還要從立法理念來掌握GDPR的精髓,。因為只有牢牢把握了GDPR的立法理念,才能撥開云霧見青天,,有的放矢地開展GDPR相關(guān)的工作,。對于這點,尚沒有中文文獻深入剖析,。
那GDPR的立法理念是什么呢,?其實很簡單,特別對于從事網(wǎng)絡(luò)安全行業(yè)的同仁來說非常容易理解:GDPR是一部以“風(fēng)險為路徑”(Risk-based)的個人數(shù)據(jù)保護法,。無論是與歐盟委員會官員的私下交流,,還是與德國、比利時,、希臘的數(shù)據(jù)保護局(Data Protection Authority)的正式會面和合作中,,筆者都能經(jīng)常聽見“風(fēng)險為路徑”的字眼。在2018年發(fā)布的宣介材料“GDPR:新機會,、新義務(wù)”(The GDPR: New Opportunities, New Obligations)中,,歐盟委員會也將“風(fēng)險為路徑”作為GDPR的主要特征。因此,筆者將根據(jù)自己的理解和分析,,從四個方面闡述,,圍繞著“風(fēng)險為路徑”,GDPR如何構(gòu)造出精妙的個人數(shù)據(jù)保護體系,。
一,、個人數(shù)據(jù)
常見的論述都注意到了GDPR對個人數(shù)據(jù)的劃分,特別是專門提出了“特殊類型個人數(shù)據(jù)”,。GDPR第9條規(guī)定:“處理個人數(shù)據(jù),,能夠揭露出其種族、民族,、政治觀點,、宗教和哲學(xué)信仰,或工會成員身份,;處理基因數(shù)據(jù),、生物識別數(shù)據(jù),以識別出特定個人,;處理健康數(shù)據(jù),、與自然人性取向或性經(jīng)歷有關(guān)的數(shù)據(jù)”,上述數(shù)據(jù)為特殊類型的個人數(shù)據(jù),。顯然,,這是依風(fēng)險的一種劃分方式。誠如GDPR前言第51段所述,,這些所謂的特殊類型個人數(shù)據(jù),,“依其性質(zhì)對基本權(quán)利和自由特別敏感的個人數(shù)據(jù),因其處理過程中可能對于基本權(quán)利和自由造成顯著風(fēng)險,,故值得受到特別保護”,。
實際上GDPR從另外一個維度對個人數(shù)據(jù)進行了劃分:個人數(shù)據(jù)的識別度。這一點為幾乎所有的中文文獻所忽略,。在GDPR的文本中,,實際上存在四種識別度的個人數(shù)據(jù)。
一是已識別的數(shù)據(jù):與已識別出(identified)的自然人相關(guān)的任何信息,。
二是可識別的數(shù)據(jù)(Readilyidentifiable data): 假名化且保留額外的數(shù)據(jù),、保留原始數(shù)據(jù)副本、數(shù)據(jù)能夠可逆變形且控制者知曉變形方式等,。
三是GDPR第11條所規(guī)定的去標(biāo)識化程度的個人數(shù)據(jù): 即如果數(shù)據(jù)控制者能“表明其無法識別出特定個人時(the controller is able to demonstrate that it is not in a position toidentify the data subject),,數(shù)據(jù)控制者應(yīng)在可能的情形中通知數(shù)據(jù)主體,同時,,第15條至20條的規(guī)定將不予適用,,除非數(shù)據(jù)主體為行使其權(quán)利,,向數(shù)據(jù)提供者額外提供了信息使數(shù)據(jù)控制者能夠重新識別出特定個人”。
四是匿名化數(shù)據(jù):指無法與已識別或可識別的自然人相關(guān)聯(lián)(related to)的數(shù)據(jù),。GDPR規(guī)定,,判斷是否可識別,應(yīng)考慮到控制者本身或他人所能采用的,、所有可合理用以直接或間接地識別數(shù)據(jù)主體的方式,。為確認(rèn)何為可合理使用作為識別數(shù)據(jù)主體的方法,應(yīng)考慮所有客觀因素,,諸如:識別所需的成本與時間,并考慮到數(shù)據(jù)處理當(dāng)時現(xiàn)有的技術(shù)及科技發(fā)展,。
四種識別度的數(shù)據(jù),,如何體現(xiàn)了風(fēng)險的思路?首先,,已識別和可識別的數(shù)據(jù),,毫無疑問屬于個人數(shù)據(jù),但是由于可識別數(shù)據(jù)相對于已識別的數(shù)據(jù),,對個人的識別度相對較低,,GDPR對前者給了一些特殊“優(yōu)待”,突出體現(xiàn)在判斷目的兼容的條款中,。GDPR中目的限制原則規(guī)定,,“個人數(shù)據(jù)收集必須符合明確、明示,、正當(dāng)?shù)哪康?,處理個人數(shù)據(jù)時應(yīng)與這些目的相匹配”。第6條第二款同時規(guī)定,,“當(dāng)個人數(shù)據(jù)處理超出數(shù)據(jù)收集時出于的目的時,,且沒有數(shù)據(jù)主體的同意或歐盟、成員國法律作為基礎(chǔ)時,,數(shù)據(jù)控制者應(yīng)判斷另外的目的,,是否與數(shù)據(jù)收集出于的目的相匹配,在判斷時應(yīng)考慮下述因素……”,。這些因素之一就包括“是否采取了合適的保護措施,,例如加密和假名化處理”。換句話說,,如果采取了假名化等降低識別度的措施,,新目的和原有目的的“距離”可以稍微“遠(yuǎn)”些,也可被認(rèn)定為新舊的目的之間相互兼容,。這個規(guī)定直接激勵數(shù)據(jù)控制者主動降低數(shù)據(jù)的識別度,,識別度降低,,對個人合法權(quán)益的風(fēng)險當(dāng)然就更低。
其次,,GDPR合規(guī)工作中最難實現(xiàn)的個人數(shù)據(jù)主體的權(quán)利,。而如果數(shù)據(jù)控制者能做到GDPR第11條所規(guī)定的去標(biāo)識化程度,GDPR明確規(guī)定包括查詢,、更正,、刪除(包括被遺忘權(quán))、限制數(shù)據(jù)處理,、攜帶等權(quán)利(也就是第15到20條),,數(shù)據(jù)控制者是無需實現(xiàn)的。也就是說,,數(shù)據(jù)控制者主動降低識別度至其本身無法識別個人,,則GDPR相應(yīng)地給予了這些“優(yōu)待”,能夠節(jié)省巨大的合規(guī)成本,。
最后,,匿名化數(shù)據(jù),由于無法指向個人,,因此GDPR將其排除在管轄范圍之外,。
因此,隨著識別度的依次降低,,GDPR也區(qū)別對待,,或者給予合規(guī)“優(yōu)待”或“豁免”,直至排除適用,,這都體現(xiàn)了經(jīng)典的風(fēng)險管理的思路,。
二、個人數(shù)據(jù)處理的合法事由
GDPR要求,,處理個人數(shù)據(jù)應(yīng)當(dāng)具備合法事由(lawful processing grounds),。第6條第一款規(guī)定了六項合法事由可供數(shù)據(jù)控制者選擇,分別是:“數(shù)據(jù)主體對出于單個或多個特定目的而處理其個人數(shù)據(jù)表示同意,;處理是為向身為合同當(dāng)事人之?dāng)?shù)據(jù)主體履行合同所必須的,,或在締約前,應(yīng)數(shù)據(jù)主體的要求所必須采取的步驟,;因履行數(shù)據(jù)控制者承擔(dān)的法律義務(wù)而必須處理個人數(shù)據(jù)的,;為保護數(shù)據(jù)主體重大利益或其他自然人重大利益而必須處理個人數(shù)據(jù)的;為公共利益而執(zhí)行任務(wù),,或數(shù)據(jù)控制者履行賦予的公共職能時,,必須處理個人數(shù)據(jù)的;因數(shù)據(jù)處理者正當(dāng)利益或第三方正當(dāng)利益而必須處理個人數(shù)據(jù)的,,但當(dāng)數(shù)據(jù)主體的利益或基本權(quán)利和自由(特別當(dāng)數(shù)據(jù)主體尚未成年時)高于上述正當(dāng)利益時,,不得使用該事由,。”
上述合法事由,,實際上與個人數(shù)據(jù)主體權(quán)利差異化配置,,依然體現(xiàn)了風(fēng)險路徑。首先看同意和合同事由,。因為同意在GDPR中應(yīng)當(dāng)是“數(shù)據(jù)主體通過書面聲明或經(jīng)由一個清楚確定的動作,,表示同意對其個人數(shù)據(jù)進行處理。該意愿表達應(yīng)是自由給出的(freely given),、特定的(specific),、顯示出數(shù)據(jù)主體對前因后果清楚的(informed)、清晰明確的(unambiguous)”,。因此,,為了確保同意的合法有效,數(shù)據(jù)控制者需要把數(shù)據(jù)處理相應(yīng)的風(fēng)險告訴個人,。而在獲得用戶的同意后,用戶就不擁有第21條反對數(shù)據(jù)處理的權(quán)利,,但擁有撤回和要求刪除的權(quán)利,。如果是基于合同事由,一般來說合同應(yīng)是用戶主動發(fā)起,,顯然用戶對風(fēng)險是知悉的,,此時用戶并沒有撤回的權(quán)利也沒有反對的權(quán)利,且在合同存續(xù)期間,,用戶沒有第17條規(guī)定的刪除權(quán)(被遺忘權(quán)),。同時,由于這兩個事由中,,個人或是自主選擇,,或是主動發(fā)起,為了一以貫之保障用戶的主觀能動性,,GDPR還賦予個人第20條的數(shù)據(jù)可攜帶權(quán),。
其次看公共利益、正當(dāng)利益這兩個事由,。與保護數(shù)據(jù)主體重大利益(一般為緊急情況下,,如車禍)和履行法律義務(wù)這兩個事由相比,公共利益和正當(dāng)利益更多的是依賴于數(shù)據(jù)控制者自己的判斷,,個人數(shù)據(jù)主體參與程度很低,,GDPR相應(yīng)地賦予了個人數(shù)據(jù)主體事中、事后的反對,、限制,、刪除的權(quán)利,。這樣的配置體現(xiàn)了一種風(fēng)險動態(tài)平衡的思路,鼓勵個人主動參與到風(fēng)險治理的過程,,并提供了相應(yīng)的工具,。值得注意的是,在這兩個事由中,,乃至于重大利益和履行法律義務(wù),,個人并沒有撤回權(quán)和可攜帶權(quán)。
總的來說,,GDPR用六個合法事由概括了現(xiàn)實生活中可能出現(xiàn)的各種個人數(shù)據(jù)處理的情形,,并考慮個人和數(shù)據(jù)控制者處置個人數(shù)據(jù)處理所帶來風(fēng)險中的相對優(yōu)勢地位,進行了權(quán)利,、義務(wù)的精細(xì)配置,。
三、數(shù)據(jù)控制者的總體保護義務(wù)和DPIA
GDPR第24條總體規(guī)定了數(shù)據(jù)控制者的保護義務(wù),。第一款規(guī)定:“考慮到數(shù)據(jù)處理的性質(zhì),、范圍、情境,、目的,,以及對自然人權(quán)利和自由的不同程度和大小的風(fēng)險,數(shù)據(jù)控制者應(yīng)采取合適的技術(shù)和組織方面的措施,,以保證數(shù)據(jù)處理符合GDPR的規(guī)定,。這些措施應(yīng)經(jīng)常評估和更新”。第二款更規(guī)定上述“措施應(yīng)與數(shù)據(jù)處理的風(fēng)險合乎比例,,應(yīng)包括在內(nèi)部建立合適的數(shù)據(jù)保護政策,。”
顯然,,該條文的寫法也突出風(fēng)險管理的路徑,。用大白話說就是,你要干什么事,,就要考慮會對外界造成什么風(fēng)險,;為了降低這些風(fēng)險,需要提出與面臨風(fēng)險相稱的保護措施,;這些保護措施還必須經(jīng)常評估和更新,,以適應(yīng)風(fēng)險態(tài)勢的變化。
以上是對數(shù)據(jù)處理風(fēng)險一般性的規(guī)定,。對于高風(fēng)險的數(shù)據(jù)處理行為,,GDPR還專門規(guī)定數(shù)據(jù)控制者應(yīng)當(dāng)開展數(shù)據(jù)保護影響評估(data protection impact assessment)。第35條第一款規(guī)定:“在考慮數(shù)據(jù)處理性質(zhì),、范圍,、情境,、目的后,數(shù)據(jù)控制者如認(rèn)為數(shù)據(jù)處理,,特別是采用新技術(shù)的處理,,可能導(dǎo)致個人權(quán)益有較高的風(fēng)險被侵害的,應(yīng)在處理前,,進行數(shù)據(jù)保護影響評估”,。該條第三款還規(guī)定了“在以下場景中,數(shù)據(jù)保護影響評估被特別要求:a)基于自動化數(shù)據(jù)處理,,包括數(shù)字畫像,,對數(shù)據(jù)主體個人方面開展系統(tǒng)和廣泛的評估,且評估對個人能產(chǎn)生法律效力,,或類似重大的影響,;b)對特定類別的數(shù)據(jù)進行大規(guī)模處理,或處理與刑事犯罪和刑事起訴相關(guān)的個人數(shù)據(jù)的,;c)對公開區(qū)域進行大規(guī)模,、系統(tǒng)性監(jiān)控的”。
開展數(shù)據(jù)保護影響評估的目的,,在于督促數(shù)據(jù)控制者主動考慮風(fēng)險,,主動提出降低風(fēng)險的方案。GDPR還在第36條規(guī)定,,“如前述的數(shù)據(jù)安全影響評估表明,數(shù)據(jù)控制者不采取額外措施的話,,數(shù)據(jù)處理將帶來較高的風(fēng)險,,則數(shù)據(jù)控制者應(yīng)在數(shù)據(jù)處理開始前,征求監(jiān)管機構(gòu)的意見,?!边@些規(guī)定再一次體現(xiàn)了GDPR對風(fēng)險的審慎態(tài)度。目前,,中國版的DPIA標(biāo)準(zhǔn)已經(jīng)制定完成,,并已生效,有力地支撐了我國《個人信息保護法》第五十五和五十六條的實施,?!尽秱€人信息安全影響評估指南》(GB/T 39335-2020)正式發(fā)布】
四、數(shù)據(jù)保護監(jiān)管機構(gòu)的處罰
GDPR規(guī)定的高額處罰規(guī)定非常吸引人眼球,。但處罰并非目的,,更重要的是改變數(shù)據(jù)控制者的行為。因此GDPR第83條規(guī)定,,個案中的行政罰款應(yīng)當(dāng)是“有效,、合乎比例,、懲戒性”(“effective, proportionate and dissuasive”)。該條第二款規(guī)定在決定處罰數(shù)額中應(yīng)當(dāng)考慮的因素中,,許多都和數(shù)據(jù)處理所帶來的風(fēng)險有關(guān)系,,同時數(shù)據(jù)控制者事先采取的能夠降低風(fēng)險的措施,也會在決定處罰數(shù)據(jù)中予以考慮,。
在此例舉以此相關(guān)的因素:“(a) 違規(guī)的性質(zhì),、嚴(yán)重性及持續(xù)期間,并考慮到處理的性質(zhì)范圍或目的,,以及受影響之?dāng)?shù)據(jù)主體人數(shù)及其受損程度,;(b) 違規(guī)的故意或過失;(c) 所采減少數(shù)據(jù)主體損害的任何行為,;(d) 控管者或處理者的責(zé)任程度,,并考慮到其依第 25 條(PbD)及第 32條(Security)所實施的技術(shù)上及組織上的措施;……(g) 違規(guī)所影響的個人資料類型 ;……(k) 任何其他適用于該個案情形之加重或減輕因素,,例如因違約而直接或間接獲得的經(jīng)濟利益或避免的損失,。”
可見,,在決定處罰數(shù)額中,,GDPR依舊貫徹了風(fēng)險路徑:涉事的數(shù)據(jù)處理行為是否高危、是否造成了嚴(yán)重后果,、數(shù)據(jù)控制者是否事先采取降低風(fēng)險的措施等等,。這些因素都會影響處罰的力度。
五,、結(jié)語
總的來說,,GDPR貫徹的風(fēng)險路徑,體現(xiàn)于文本中許多規(guī)定之中,。正如歐盟委員會報告所述,,堅持風(fēng)險路徑“避免繁重、僵化的義務(wù),,并根據(jù)不同風(fēng)險定制化了不同的義務(wù)”(avoids a burdensome, one-size-fits-all obligation and instead tailorsobligations to the respective risks.)換句話說,,面包店涉及的處理個人數(shù)據(jù)的風(fēng)險,顯然和開展征信業(yè)務(wù)的公司所涉及的風(fēng)險截然不同,,GDPR并不要求前者采取和后者相同的個人數(shù)據(jù)保護義務(wù),,例如任命個人數(shù)據(jù)保護官、開展數(shù)據(jù)保護影響評估等,。因此,,許多中文文獻再對GDPR提出嚴(yán)厲批評之前,應(yīng)當(dāng)先花點時間理解GDPR的立法理念以及制度設(shè)計。在筆者看來,,風(fēng)險為路徑的思路,,也應(yīng)當(dāng)為我國《個人信息保護法》相關(guān)的后續(xù)立法和標(biāo)準(zhǔn)制定所積極借鑒。(完)
