到目前為止,,介紹歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)的中文文獻(xiàn),、評(píng)論已經(jīng)汗牛充棟。大多數(shù)集中于以下幾點(diǎn):歐盟將個(gè)人數(shù)據(jù)保護(hù)當(dāng)成基本人權(quán),;歐盟通過(guò)一部單行法GDPR覆蓋了包括公私部門(mén)在內(nèi)的各行各業(yè)的個(gè)人信息處理行為;GDPR詳細(xì)規(guī)定了個(gè)人信息處理的基本原則,,如最少夠用,、目的限定、存儲(chǔ)期限最小化等,;GDPR賦予了個(gè)人對(duì)其信息非常廣泛的控制權(quán)利,,如數(shù)據(jù)可攜帶權(quán),、被遺忘權(quán)、反對(duì)自動(dòng)化決策機(jī)制權(quán)利等,;GDPR對(duì)大規(guī)模處理個(gè)人信息的企業(yè),,要求設(shè)立數(shù)據(jù)保護(hù)官(DPO);GDPR要求產(chǎn)品和服務(wù)應(yīng)實(shí)現(xiàn)通過(guò)設(shè)計(jì)和默認(rèn)設(shè)置實(shí)現(xiàn)隱私保護(hù)(Privacy by Design and by Default),;GDPR重構(gòu)了歐盟層面的個(gè)人數(shù)據(jù)保護(hù)的落實(shí)機(jī)制,;GDPR處罰額度可高達(dá)2000萬(wàn)歐元或年收入4%,兩者取其高GDPR要求個(gè)人數(shù)據(jù)流出歐盟,,應(yīng)確保足夠的(adequate)保護(hù)水平等,。
對(duì)GDPR實(shí)體規(guī)則的譯介很有必要,但還要從立法理念來(lái)掌握GDPR的精髓,。因?yàn)橹挥欣卫伟盐樟薌DPR的立法理念,,才能撥開(kāi)云霧見(jiàn)青天,有的放矢地開(kāi)展GDPR相關(guān)的工作,。對(duì)于這點(diǎn),,尚沒(méi)有中文文獻(xiàn)深入剖析。
那GDPR的立法理念是什么呢,?其實(shí)很簡(jiǎn)單,,特別對(duì)于從事網(wǎng)絡(luò)安全行業(yè)的同仁來(lái)說(shuō)非常容易理解:GDPR是一部以“風(fēng)險(xiǎn)為路徑”(Risk-based)的個(gè)人數(shù)據(jù)保護(hù)法。無(wú)論是與歐盟委員會(huì)官員的私下交流,,還是與德國(guó),、比利時(shí)、希臘的數(shù)據(jù)保護(hù)局(Data Protection Authority)的正式會(huì)面和合作中,,筆者都能經(jīng)常聽(tīng)見(jiàn)“風(fēng)險(xiǎn)為路徑”的字眼,。在2018年發(fā)布的宣介材料“GDPR:新機(jī)會(huì)、新義務(wù)”(The GDPR: New Opportunities, New Obligations)中,,歐盟委員會(huì)也將“風(fēng)險(xiǎn)為路徑”作為GDPR的主要特征,。因此,筆者將根據(jù)自己的理解和分析,,從四個(gè)方面闡述,,圍繞著“風(fēng)險(xiǎn)為路徑”,GDPR如何構(gòu)造出精妙的個(gè)人數(shù)據(jù)保護(hù)體系,。
一,、個(gè)人數(shù)據(jù)
常見(jiàn)的論述都注意到了GDPR對(duì)個(gè)人數(shù)據(jù)的劃分,特別是專(zhuān)門(mén)提出了“特殊類(lèi)型個(gè)人數(shù)據(jù)”,。GDPR第9條規(guī)定:“處理個(gè)人數(shù)據(jù),,能夠揭露出其種族、民族、政治觀點(diǎn),、宗教和哲學(xué)信仰,,或工會(huì)成員身份;處理基因數(shù)據(jù),、生物識(shí)別數(shù)據(jù),,以識(shí)別出特定個(gè)人;處理健康數(shù)據(jù),、與自然人性取向或性經(jīng)歷有關(guān)的數(shù)據(jù)”,,上述數(shù)據(jù)為特殊類(lèi)型的個(gè)人數(shù)據(jù)。顯然,,這是依風(fēng)險(xiǎn)的一種劃分方式,。誠(chéng)如GDPR前言第51段所述,這些所謂的特殊類(lèi)型個(gè)人數(shù)據(jù),,“依其性質(zhì)對(duì)基本權(quán)利和自由特別敏感的個(gè)人數(shù)據(jù),,因其處理過(guò)程中可能對(duì)于基本權(quán)利和自由造成顯著風(fēng)險(xiǎn),故值得受到特別保護(hù)”,。
實(shí)際上GDPR從另外一個(gè)維度對(duì)個(gè)人數(shù)據(jù)進(jìn)行了劃分:個(gè)人數(shù)據(jù)的識(shí)別度,。這一點(diǎn)為幾乎所有的中文文獻(xiàn)所忽略。在GDPR的文本中,,實(shí)際上存在四種識(shí)別度的個(gè)人數(shù)據(jù),。
一是已識(shí)別的數(shù)據(jù):與已識(shí)別出(identified)的自然人相關(guān)的任何信息。
二是可識(shí)別的數(shù)據(jù)(Readilyidentifiable data): 假名化且保留額外的數(shù)據(jù),、保留原始數(shù)據(jù)副本,、數(shù)據(jù)能夠可逆變形且控制者知曉變形方式等。
三是GDPR第11條所規(guī)定的去標(biāo)識(shí)化程度的個(gè)人數(shù)據(jù): 即如果數(shù)據(jù)控制者能“表明其無(wú)法識(shí)別出特定個(gè)人時(shí)(the controller is able to demonstrate that it is not in a position toidentify the data subject),,數(shù)據(jù)控制者應(yīng)在可能的情形中通知數(shù)據(jù)主體,,同時(shí),第15條至20條的規(guī)定將不予適用,,除非數(shù)據(jù)主體為行使其權(quán)利,,向數(shù)據(jù)提供者額外提供了信息使數(shù)據(jù)控制者能夠重新識(shí)別出特定個(gè)人”。
四是匿名化數(shù)據(jù):指無(wú)法與已識(shí)別或可識(shí)別的自然人相關(guān)聯(lián)(related to)的數(shù)據(jù),。GDPR規(guī)定,,判斷是否可識(shí)別,應(yīng)考慮到控制者本身或他人所能采用的,、所有可合理用以直接或間接地識(shí)別數(shù)據(jù)主體的方式,。為確認(rèn)何為可合理使用作為識(shí)別數(shù)據(jù)主體的方法,應(yīng)考慮所有客觀因素,,諸如:識(shí)別所需的成本與時(shí)間,,并考慮到數(shù)據(jù)處理當(dāng)時(shí)現(xiàn)有的技術(shù)及科技發(fā)展,。
四種識(shí)別度的數(shù)據(jù),如何體現(xiàn)了風(fēng)險(xiǎn)的思路,?首先,已識(shí)別和可識(shí)別的數(shù)據(jù),,毫無(wú)疑問(wèn)屬于個(gè)人數(shù)據(jù),,但是由于可識(shí)別數(shù)據(jù)相對(duì)于已識(shí)別的數(shù)據(jù),對(duì)個(gè)人的識(shí)別度相對(duì)較低,,GDPR對(duì)前者給了一些特殊“優(yōu)待”,,突出體現(xiàn)在判斷目的兼容的條款中。GDPR中目的限制原則規(guī)定,,“個(gè)人數(shù)據(jù)收集必須符合明確,、明示、正當(dāng)?shù)哪康?,處理個(gè)人數(shù)據(jù)時(shí)應(yīng)與這些目的相匹配”,。第6條第二款同時(shí)規(guī)定,“當(dāng)個(gè)人數(shù)據(jù)處理超出數(shù)據(jù)收集時(shí)出于的目的時(shí),,且沒(méi)有數(shù)據(jù)主體的同意或歐盟,、成員國(guó)法律作為基礎(chǔ)時(shí),數(shù)據(jù)控制者應(yīng)判斷另外的目的,,是否與數(shù)據(jù)收集出于的目的相匹配,,在判斷時(shí)應(yīng)考慮下述因素……”。這些因素之一就包括“是否采取了合適的保護(hù)措施,,例如加密和假名化處理”,。換句話說(shuō),如果采取了假名化等降低識(shí)別度的措施,,新目的和原有目的的“距離”可以稍微“遠(yuǎn)”些,,也可被認(rèn)定為新舊的目的之間相互兼容。這個(gè)規(guī)定直接激勵(lì)數(shù)據(jù)控制者主動(dòng)降低數(shù)據(jù)的識(shí)別度,,識(shí)別度降低,,對(duì)個(gè)人合法權(quán)益的風(fēng)險(xiǎn)當(dāng)然就更低。
其次,,GDPR合規(guī)工作中最難實(shí)現(xiàn)的個(gè)人數(shù)據(jù)主體的權(quán)利,。而如果數(shù)據(jù)控制者能做到GDPR第11條所規(guī)定的去標(biāo)識(shí)化程度,GDPR明確規(guī)定包括查詢(xún),、更正,、刪除(包括被遺忘權(quán))、限制數(shù)據(jù)處理,、攜帶等權(quán)利(也就是第15到20條),,數(shù)據(jù)控制者是無(wú)需實(shí)現(xiàn)的,。也就是說(shuō),數(shù)據(jù)控制者主動(dòng)降低識(shí)別度至其本身無(wú)法識(shí)別個(gè)人,,則GDPR相應(yīng)地給予了這些“優(yōu)待”,,能夠節(jié)省巨大的合規(guī)成本。
最后,,匿名化數(shù)據(jù),,由于無(wú)法指向個(gè)人,因此GDPR將其排除在管轄范圍之外,。
因此,,隨著識(shí)別度的依次降低,GDPR也區(qū)別對(duì)待,,或者給予合規(guī)“優(yōu)待”或“豁免”,,直至排除適用,這都體現(xiàn)了經(jīng)典的風(fēng)險(xiǎn)管理的思路,。
二,、個(gè)人數(shù)據(jù)處理的合法事由
GDPR要求,處理個(gè)人數(shù)據(jù)應(yīng)當(dāng)具備合法事由(lawful processing grounds),。第6條第一款規(guī)定了六項(xiàng)合法事由可供數(shù)據(jù)控制者選擇,,分別是:“數(shù)據(jù)主體對(duì)出于單個(gè)或多個(gè)特定目的而處理其個(gè)人數(shù)據(jù)表示同意;處理是為向身為合同當(dāng)事人之?dāng)?shù)據(jù)主體履行合同所必須的,,或在締約前,,應(yīng)數(shù)據(jù)主體的要求所必須采取的步驟;因履行數(shù)據(jù)控制者承擔(dān)的法律義務(wù)而必須處理個(gè)人數(shù)據(jù)的,;為保護(hù)數(shù)據(jù)主體重大利益或其他自然人重大利益而必須處理個(gè)人數(shù)據(jù)的,;為公共利益而執(zhí)行任務(wù),或數(shù)據(jù)控制者履行賦予的公共職能時(shí),,必須處理個(gè)人數(shù)據(jù)的,;因數(shù)據(jù)處理者正當(dāng)利益或第三方正當(dāng)利益而必須處理個(gè)人數(shù)據(jù)的,但當(dāng)數(shù)據(jù)主體的利益或基本權(quán)利和自由(特別當(dāng)數(shù)據(jù)主體尚未成年時(shí))高于上述正當(dāng)利益時(shí),,不得使用該事由,。”
上述合法事由,,實(shí)際上與個(gè)人數(shù)據(jù)主體權(quán)利差異化配置,,依然體現(xiàn)了風(fēng)險(xiǎn)路徑。首先看同意和合同事由,。因?yàn)橥庠贕DPR中應(yīng)當(dāng)是“數(shù)據(jù)主體通過(guò)書(shū)面聲明或經(jīng)由一個(gè)清楚確定的動(dòng)作,,表示同意對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理。該意愿表達(dá)應(yīng)是自由給出的(freely given),、特定的(specific),、顯示出數(shù)據(jù)主體對(duì)前因后果清楚的(informed),、清晰明確的(unambiguous)”。因此,,為了確保同意的合法有效,,數(shù)據(jù)控制者需要把數(shù)據(jù)處理相應(yīng)的風(fēng)險(xiǎn)告訴個(gè)人。而在獲得用戶(hù)的同意后,,用戶(hù)就不擁有第21條反對(duì)數(shù)據(jù)處理的權(quán)利,,但擁有撤回和要求刪除的權(quán)利。如果是基于合同事由,,一般來(lái)說(shuō)合同應(yīng)是用戶(hù)主動(dòng)發(fā)起,顯然用戶(hù)對(duì)風(fēng)險(xiǎn)是知悉的,,此時(shí)用戶(hù)并沒(méi)有撤回的權(quán)利也沒(méi)有反對(duì)的權(quán)利,,且在合同存續(xù)期間,用戶(hù)沒(méi)有第17條規(guī)定的刪除權(quán)(被遺忘權(quán)),。同時(shí),,由于這兩個(gè)事由中,個(gè)人或是自主選擇,,或是主動(dòng)發(fā)起,,為了一以貫之保障用戶(hù)的主觀能動(dòng)性,GDPR還賦予個(gè)人第20條的數(shù)據(jù)可攜帶權(quán),。
其次看公共利益,、正當(dāng)利益這兩個(gè)事由。與保護(hù)數(shù)據(jù)主體重大利益(一般為緊急情況下,,如車(chē)禍)和履行法律義務(wù)這兩個(gè)事由相比,,公共利益和正當(dāng)利益更多的是依賴(lài)于數(shù)據(jù)控制者自己的判斷,個(gè)人數(shù)據(jù)主體參與程度很低,,GDPR相應(yīng)地賦予了個(gè)人數(shù)據(jù)主體事中,、事后的反對(duì)、限制,、刪除的權(quán)利,。這樣的配置體現(xiàn)了一種風(fēng)險(xiǎn)動(dòng)態(tài)平衡的思路,鼓勵(lì)個(gè)人主動(dòng)參與到風(fēng)險(xiǎn)治理的過(guò)程,,并提供了相應(yīng)的工具,。值得注意的是,在這兩個(gè)事由中,,乃至于重大利益和履行法律義務(wù),,個(gè)人并沒(méi)有撤回權(quán)和可攜帶權(quán)。
總的來(lái)說(shuō),,GDPR用六個(gè)合法事由概括了現(xiàn)實(shí)生活中可能出現(xiàn)的各種個(gè)人數(shù)據(jù)處理的情形,,并考慮個(gè)人和數(shù)據(jù)控制者處置個(gè)人數(shù)據(jù)處理所帶來(lái)風(fēng)險(xiǎn)中的相對(duì)優(yōu)勢(shì)地位,,進(jìn)行了權(quán)利、義務(wù)的精細(xì)配置,。
三,、數(shù)據(jù)控制者的總體保護(hù)義務(wù)和DPIA
GDPR第24條總體規(guī)定了數(shù)據(jù)控制者的保護(hù)義務(wù)。第一款規(guī)定:“考慮到數(shù)據(jù)處理的性質(zhì),、范圍,、情境、目的,,以及對(duì)自然人權(quán)利和自由的不同程度和大小的風(fēng)險(xiǎn),,數(shù)據(jù)控制者應(yīng)采取合適的技術(shù)和組織方面的措施,以保證數(shù)據(jù)處理符合GDPR的規(guī)定,。這些措施應(yīng)經(jīng)常評(píng)估和更新”,。第二款更規(guī)定上述“措施應(yīng)與數(shù)據(jù)處理的風(fēng)險(xiǎn)合乎比例,應(yīng)包括在內(nèi)部建立合適的數(shù)據(jù)保護(hù)政策,?!?/p>
顯然,該條文的寫(xiě)法也突出風(fēng)險(xiǎn)管理的路徑,。用大白話說(shuō)就是,,你要干什么事,就要考慮會(huì)對(duì)外界造成什么風(fēng)險(xiǎn),;為了降低這些風(fēng)險(xiǎn),,需要提出與面臨風(fēng)險(xiǎn)相稱(chēng)的保護(hù)措施;這些保護(hù)措施還必須經(jīng)常評(píng)估和更新,,以適應(yīng)風(fēng)險(xiǎn)態(tài)勢(shì)的變化,。
以上是對(duì)數(shù)據(jù)處理風(fēng)險(xiǎn)一般性的規(guī)定。對(duì)于高風(fēng)險(xiǎn)的數(shù)據(jù)處理行為,,GDPR還專(zhuān)門(mén)規(guī)定數(shù)據(jù)控制者應(yīng)當(dāng)開(kāi)展數(shù)據(jù)保護(hù)影響評(píng)估(data protection impact assessment),。第35條第一款規(guī)定:“在考慮數(shù)據(jù)處理性質(zhì)、范圍,、情境,、目的后,數(shù)據(jù)控制者如認(rèn)為數(shù)據(jù)處理,,特別是采用新技術(shù)的處理,,可能導(dǎo)致個(gè)人權(quán)益有較高的風(fēng)險(xiǎn)被侵害的,應(yīng)在處理前,,進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估”,。該條第三款還規(guī)定了“在以下場(chǎng)景中,數(shù)據(jù)保護(hù)影響評(píng)估被特別要求:a)基于自動(dòng)化數(shù)據(jù)處理,,包括數(shù)字畫(huà)像,,對(duì)數(shù)據(jù)主體個(gè)人方面開(kāi)展系統(tǒng)和廣泛的評(píng)估,,且評(píng)估對(duì)個(gè)人能產(chǎn)生法律效力,或類(lèi)似重大的影響,;b)對(duì)特定類(lèi)別的數(shù)據(jù)進(jìn)行大規(guī)模處理,,或處理與刑事犯罪和刑事起訴相關(guān)的個(gè)人數(shù)據(jù)的;c)對(duì)公開(kāi)區(qū)域進(jìn)行大規(guī)模,、系統(tǒng)性監(jiān)控的”,。
開(kāi)展數(shù)據(jù)保護(hù)影響評(píng)估的目的,在于督促數(shù)據(jù)控制者主動(dòng)考慮風(fēng)險(xiǎn),,主動(dòng)提出降低風(fēng)險(xiǎn)的方案,。GDPR還在第36條規(guī)定,“如前述的數(shù)據(jù)安全影響評(píng)估表明,,數(shù)據(jù)控制者不采取額外措施的話,,數(shù)據(jù)處理將帶來(lái)較高的風(fēng)險(xiǎn),則數(shù)據(jù)控制者應(yīng)在數(shù)據(jù)處理開(kāi)始前,,征求監(jiān)管機(jī)構(gòu)的意見(jiàn)?!边@些規(guī)定再一次體現(xiàn)了GDPR對(duì)風(fēng)險(xiǎn)的審慎態(tài)度,。目前,中國(guó)版的DPIA標(biāo)準(zhǔn)已經(jīng)制定完成,,并已生效,,有力地支撐了我國(guó)《個(gè)人信息保護(hù)法》第五十五和五十六條的實(shí)施?!尽秱€(gè)人信息安全影響評(píng)估指南》(GB/T 39335-2020)正式發(fā)布】
四,、數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的處罰
GDPR規(guī)定的高額處罰規(guī)定非常吸引人眼球。但處罰并非目的,,更重要的是改變數(shù)據(jù)控制者的行為,。因此GDPR第83條規(guī)定,個(gè)案中的行政罰款應(yīng)當(dāng)是“有效,、合乎比例,、懲戒性”(“effective, proportionate and dissuasive”)。該條第二款規(guī)定在決定處罰數(shù)額中應(yīng)當(dāng)考慮的因素中,,許多都和數(shù)據(jù)處理所帶來(lái)的風(fēng)險(xiǎn)有關(guān)系,,同時(shí)數(shù)據(jù)控制者事先采取的能夠降低風(fēng)險(xiǎn)的措施,也會(huì)在決定處罰數(shù)據(jù)中予以考慮,。
在此例舉以此相關(guān)的因素:“(a) 違規(guī)的性質(zhì),、嚴(yán)重性及持續(xù)期間,并考慮到處理的性質(zhì)范圍或目的,,以及受影響之?dāng)?shù)據(jù)主體人數(shù)及其受損程度,;(b) 違規(guī)的故意或過(guò)失,;(c) 所采減少數(shù)據(jù)主體損害的任何行為;(d) 控管者或處理者的責(zé)任程度,,并考慮到其依第 25 條(PbD)及第 32條(Security)所實(shí)施的技術(shù)上及組織上的措施,;……(g) 違規(guī)所影響的個(gè)人資料類(lèi)型 ;……(k) 任何其他適用于該個(gè)案情形之加重或減輕因素,例如因違約而直接或間接獲得的經(jīng)濟(jì)利益或避免的損失,?!?/p>
可見(jiàn),在決定處罰數(shù)額中,,GDPR依舊貫徹了風(fēng)險(xiǎn)路徑:涉事的數(shù)據(jù)處理行為是否高危,、是否造成了嚴(yán)重后果、數(shù)據(jù)控制者是否事先采取降低風(fēng)險(xiǎn)的措施等等,。這些因素都會(huì)影響處罰的力度,。
五、結(jié)語(yǔ)
總的來(lái)說(shuō),,GDPR貫徹的風(fēng)險(xiǎn)路徑,,體現(xiàn)于文本中許多規(guī)定之中。正如歐盟委員會(huì)報(bào)告所述,,堅(jiān)持風(fēng)險(xiǎn)路徑“避免繁重,、僵化的義務(wù),并根據(jù)不同風(fēng)險(xiǎn)定制化了不同的義務(wù)”(avoids a burdensome, one-size-fits-all obligation and instead tailorsobligations to the respective risks.)換句話說(shuō),,面包店涉及的處理個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn),,顯然和開(kāi)展征信業(yè)務(wù)的公司所涉及的風(fēng)險(xiǎn)截然不同,GDPR并不要求前者采取和后者相同的個(gè)人數(shù)據(jù)保護(hù)義務(wù),,例如任命個(gè)人數(shù)據(jù)保護(hù)官,、開(kāi)展數(shù)據(jù)保護(hù)影響評(píng)估等。因此,,許多中文文獻(xiàn)再對(duì)GDPR提出嚴(yán)厲批評(píng)之前,,應(yīng)當(dāng)先花點(diǎn)時(shí)間理解GDPR的立法理念以及制度設(shè)計(jì)。在筆者看來(lái),,風(fēng)險(xiǎn)為路徑的思路,,也應(yīng)當(dāng)為我國(guó)《個(gè)人信息保護(hù)法》相關(guān)的后續(xù)立法和標(biāo)準(zhǔn)制定所積極借鑒。(完)