个人信息保护立法和配套规则持续完善,新技术导致的隐私风险惹争议
各国政府及企业持续关注GDPR的实施。
欧盟《通用数据保护条例》(GDPR)已生效一年有余,但实践中还有很多操作性的问题有待解决,欧盟层面在不断回顾和审视GDPR的执行效果,落实制定配套规则;成员国也在抓紧推进立法的修订以与GDPR相匹配;大型科技企业跟进GDPR的重要条文,从产业层面研究制度的可行性。
2019年7月24日,在GDPR实施一年多后,欧盟委员会发布了一份报告,对GDPR的实施影响和反应进行了相应的评估。GDPR的一个关键目标是废除之前在《95数据保护指令》下存在的28部不同国家立法的碎片化格局,为整个欧盟的个人和企业提高法律确定性,目前这一目标基本实现。
各成员国也抓紧在国家层面上采取法律措施,目前已经有25个成员国对本国的数据保护立法进行了修订。2019年8月8日,葡萄牙为执行GDPR的数据保护法正式公布生效。葡萄牙数据保护法中遵循了GDPR对欧盟成员国的立法指导,规定了“同意”年龄、刑事制裁和处罚限制、数据保护官、认证、数据主体的权利和数据保护机构的权力等内容,适用范围涵盖了在葡萄牙进行的所有数据加工活动,不管数据控制者是私人还是公共性质的组织,也不管数据处理行为是否为了遵守法律义务或者为了公共利益而进行。2019年8月27日,希腊议会通过立法,将《欧盟通用数据保护条例》中的大部分内容纳入。
近期,关于GDPR被遗忘权的适用范围,欧盟最高法院做出了裁决。2019年9月,欧盟最高法院判决谷歌不需要将欧盟的“遗忘权”规则扩展适用到欧盟之外。案件起源于2015年法国数据保护监督机构(CNIL)要求谷歌删除其全球所有域名的个人敏感数据。谷歌不认同CNIL的想法,它将删除范围限制在与欧盟成员国谷歌搜索引擎版本对应的域名搜索结果上——换句话说,删除欧盟国家的搜索结果,但不删除全世界的搜索结果。谷歌还提出了一种“地理封锁”技术。这将阻止使用不同版本搜索引擎的欧盟成员国互联网用户从IP地址搜索链接。随后,CNIL与谷歌之间的分歧,导致法国数据保护监督机构对其处以10万欧元罚款。最终谷歌得到了法院的支持。法院不赞成对欧盟法律的规定进行广泛的解释,裁决做出之后,计算机和通信产业协会(CCIA)欧洲分部表示,该决定尊重欧盟居民被遗忘的权利,不损害欧盟以外公民的宪法权利。业界有观点认为,如果允许全球范围内的数据删除那么欧盟将有可能阻止第三国的个人获得信息。
世界各地的政策研究者越来越多的一致认为,数据可携带可以促进竞争,鼓励新业务的出现。但目前关于数据可携带缺乏明确的框架标准。鉴于此,脸书2019年9月发布了数据可携带的白皮书,对如何构建可信任和可使用的可携带工具,应当制定哪些明确的规则提出了企业的看法。具体包括五个问题:什么是数据的可携带;什么数据可以携带;谁的数据是可以携带的;如何在保护隐私的前提下实现可携带;数据携带之后谁负责保护。
美国加强儿童在线隐私保护立法和执法。
儿童网络个人信息保护依然是美国立法和监管重点。但是如何采取更灵活的方式对平台进行监管,美国执法机构也在不断反思。例如近期,美国联邦贸易委员会FTC在YouTube案子之后,开始检讨是否需要对《儿童在线隐私保护法》(COPPA)进行修订,允许授权YouTube等平台收集13岁及以上用户的数据。FTC认为,YouTube不能将其内容货币化,其业务可能会面临风险。但也有报告研究指出,过去人们认为的以行为为目标给企业带来的好处可能被夸大了,跟踪cookies给媒体公司带来的收入增长只有4%。因此,未来美国如何修改COPPA,以平衡市场发展与个人信息保护之间的利益,还有待进一步观察。
美国伊利诺伊州颁布了《2019年学生在线个人保护法》(SOPPA),将于2021年7月1日生效。该法针对之前的法律暴露的相关问题进行了修订,最初的法律没有考虑到可能需要的所有保障措施。父母并没有真正了解收集的内容,拥有、访问数据的人员以及所使用的范围。根据新的法律,明确了个人信息的类型,如果学校遭受数据泄露,必须告知家长。新条款阐明了父母检查、纠正和删除孩子数据的权利。学校只能收集与学校活动直接相关的数据,不能将其用于其他目的。如果学校与第三方共享儿童数据,他们必须签署符合某些标准的书面协议,协议将公开提供。
2019年9月,美国联邦贸易委员会FTC宣布与谷歌和YouTube达成和解协议,其因涉嫌违反儿童隐私法而支付1.7亿美元。YouTube违反了COPPA的规则,通过使用cookie的标识符向儿童频道的观众提供有针对性的广告,从而赚取了数百万美元。COPPA规则要求儿童网站和在线服务在收集13岁以下儿童的个人信息之前告知父母并获得同意。此外,广告网络等第三方如果他们知道自己直接从儿童使用的网站和在线服务收集个人信息也受到COPPA的约束。YouTube没有告诉广告商他们的频道有儿童用户,并且也没有遵守信息收集告知父母和获得同意的规则。除了罚款之外,和解还要求谷歌和YouTube开发一个系统,允许频道所有者在YouTube平台上识别他们的儿童导向内容,以便YouTube确保其符合COPPA。此外,公司必须通知频道所有者他们的儿童定向内容可能受COPPA规则的义务约束。YouTube表示,将停止在儿童相关内容上投放个性化广告并结束评论和通知。
政府和司法机关持续探索数据获取相关制度。
数字经济时代,数据作为一种生产要素已经渗透到经济运行之中,因此,如何合法正当的获取数据成为企业提升数据生产力的关键环节。对此,政府、司法机构从各自的角度,不断探索完善相关规则。
数据共享是企业获取数据的重要途径之一,但同时其也对个体权益带来潜在的威胁。英国数据保护机构(ICO)2019年7月就《数据共享行为守则》的修订情况公开征求意见。根据《英国2018年数据保护法案》的规定,ICO对2011年发布的《数据共享行为守则》进行了修改,主要包括透明性要求、合法数据处理的基础、全新归责原则以及记录数据处理行为的要求等。
利用现代化技术在网上自动抓取数据,已经成为一种新型的数据生产手段。数据爬取的监管涉及到网络安全、个人信息以及数据竞争等多方面因素,对此,美国在司法实践中也在不断探索利益的平衡点。
2019年9月9日,美国联邦第九巡回法院作出上诉判决:维持加州北区联邦法院就hiQ Labs诉LinkedIn案颁布的诉中禁令。法院支持下级法院的判决的重要考量之一在于支持公共利益,认为如果没有给予初步救济,会对hiQ造成无法弥补的伤害。法院的判决中对涉及违反美国《计算机欺诈和滥用法》(CFAA)法律规定的“未经授权访问受保护的计算机”进行了回应,认为CFAA 的相应条款,只适用于一定程度上非公开的页面,而对于公开信息的爬取不属于未经授权的范畴。但美国各法院以及国会对CFAA法中该条的适用存在不同的看法,未来此类案件会是何种走向,还有待观察。
人脸识别等收集个人敏感信息的技术惹争议。
人工智能等信息科学技术的加速发展以及不加区分的广泛应用,导致人体的指纹、虹膜、面容、DNA等个人生物信息被大范围地收集。由于人脸等生物识别信息具有唯一性和不可更改性,相关信息一旦发生泄露,就会造成不可逆转的潜在危机及风险。因此,目前国际上对这类型技术应用的质疑之声不断高涨。
在英国,伦敦市中心国王十字区使用面部识别人群受到关注。前自由民主党议员埃德布里奇斯起诉警方,使用自动面部识别技术搜寻人群。虽然法院认为警方使用自动面部识别技术是合法的,但该议员还将继续上诉,认为警方不加区别的对所有人进行面部识别,侵犯了个人隐私。对此,英国社会各界也存在争议,Ada Lovelace研究所发布的一项针对4000多名成年人的调查显示,大多数(55%)希望政府对警察使用面部识别技术施加限制,但近一半(49%)支持使用面部识别技术,如果有适当的保障措施。英国信息专员Elizabeth Denham于2019年8月就在伦敦国王十字地区使用现场面部识别技术发布声明。她认为,当人们合法地进行日常生活时,扫描他们的面部以确定他们的身份,这是对隐私的潜在威胁,应该引起我们所有人的关注。任何想要使用面部识别技术的组织都必须遵守法律,而且必须以公平、透明和负责任的方式遵守法律。他们必须证明他们如何以及为什么相信他们使用这项技术是合法的、相称的和正当的。
瑞典数据保护机构(DPA)根据GDPR对Anderstorps学校处以20万瑞典克朗(合29,000美元)的罚款,原因在于该学校通过摄像头以学生的面孔和全名的形式捕捉生物特征数据,来监测学生课堂参与情况,并且打算将这项技术作为标准程序实施。虽然学校获得了家长的同意,但既未执行风险评估,也未事先与瑞典DPA进行协商。瑞典DPA认为学校以三种方式违反了GDPR:以相对于目的而言更具侵害性的方式处理个人数据,从而违反了第5条的基本原则;在没有法律依据的情况下处理敏感的个人数据(生物统计数据),以及不符合数据保护影响评估和事先咨询要求的第35条和第36条。瑞典DPA强调虽然获得家长的同意,但学校与学生之间关系的严重不平等,以及出勤记录是一种单方面的控制措施。在此情况下,同意不能作为收集数据的法律依据,也不能将同意视为自愿。
美国伊利诺伊州两家最大的家居装饰零售商,家得宝(Home Depot)和劳斯(Lowes)受到集体诉讼,指控他们违反了《伊利诺伊州生物识别信息隐私法》(BIPA)。该诉讼称,Home Depot和Lowes中的面部识别软件通过独特的面部几何扫描来跟踪整个商店中个人的行为。
完善个人信息保护立法在具体应用中的规则。
个人信息保护制度的复杂性在于不同的应用场景规则的适用有其独特性,这需要监管机构不断充实监管规则。因此,近期欧洲的监管机构针对不同的应用如何进行个人信息保护出台了相关规则。
2019年9月,西班牙数据保护机构发布了处理个人数据的教育和健康应用指南。该指南不仅适用于负责处理数据的组织,也适用于应用程序的开发人员。欧盟EDPB发布《关于通过视频设备处理个人数据的指南》,该指南旨在就如何通过视频设备根据GDPR处理个人数据提供指导。
政府数据和网络管控强化,企业责任安全义务加强
加强政府网络和数据安全管控。
受国际贸易争端和冲突持续发酵的影响,各国政府进一步提升安全意识,主动防御。政府通过积极自主研发本土产品,为政府网络通信提供服务。
印度政府正在考虑开发一种“sarkari”版本的WhatsApp和其他本土安全通信网络,以便在不同政府机构和机构之间进行通信。政府官员表示,政府认为需要通过安全和本土开发的网络进行沟通。目前计划最初应用程序用户政府雇员之间的沟通,之后可能会扩展到公众。同时,政府认为,通过这些网络传输的所有通信和数据将100%存储在印度。印度并不是第一个考虑专门用于政府使用的沟通工具的国家。法国今年4月推出了Tchat应用程序,专门用于政府官员的官方通信。政府认为需要在法国建立一个仅限政府的聊天应用程序,因为总统依赖于使用Telegram进行通信,安全专家认为它很容易在世界各地发生黑客攻击。2019年9月12日,美国发布可信互联网连接(TIC)政策第三次更新的备忘录,提出路线图,以确保安全的访问政府系统。
强化企业数据安全义务。
网络安全事件频发,原因之一在于企业落实安全责任不足。近期一些国家继续加强企业数据安全管理和保护的义务,尤其是数据泄露通知制度,以加大安全保护力度。
2019年8月2日,美国新罕布什尔州签署《保险数据安全法案》要求在该州获得许可的保险公司(以下简称“被许可人”)实施数据安全计划并报告网络安全事件。作为信息安全计划的一部分,被许可人还必须制定书面的安全事件应急预案,旨在迅速对网络安全事件作出回应。当确定注册在新罕布什尔州的被许可人发生网络安全事件或者合理地认为网络安全事件影响了至少250名新罕布什尔州居民时,被许可人需将网络安全事件通知州保险专员。7月25日,纽约州通过《阻止黑客入侵并改善电子数据安全法案》。法案扩大了纽约州泄露通知立法的适用范围,并施加新的通知和安全义务。2019年8月14日,爱尔兰数据保护委员会发布了《数据泄露指南》,旨在帮助数据控制者更好地理解欧盟《通用数据保护条例》GDPR中的数据泄露通知要求。
政府密切跟踪研究加密货币监管,完善人工智能标准
加密货币引起各国监管机构的安全警惕。
2019年6月,脸书发布白皮书,公布了Libra和Calibra子公司计划。白皮书中透露了一些关于加密货币的技术细节,包括使用区块链支持其他类型加密货币的数字分类账来保护交易和用户数据。脸书计划建立总部设在日内瓦的天秤座协会,以监督和管理加密货币。任何拥有智能手机的人都可以使用这种新的支付系统,Calibra会收取交易费用。此举引发全球各国政府和立法机关的关注,重点是数据保护和金融安全。
2019年7月举行的美国参议院银行委员会听证会上,立法者抨击脸书的加密货币。参议员谢罗德布朗称脸书及其商业模式“危险”。脸书仍然需要解决一系列问题,包括实际支付系统如何运作,如何保护用户免受欺诈以及公司如何保护用户隐私。参议院议员Crapo认为立法者甚至可能需要考虑建立一个新的监管机构来监督加密货币问题。众议院金融服务委员会的一些民主党人正在考虑制定立法,禁止主要社交媒体和科技公司提供金融服务和提供数字货币。
2019年7月,韩国金融服务委员会(FSC)发布的最新趋势报告表示,脸书最近推出的Libra加密货币项目威胁到金融体系的稳定。报告指出,如果全球24亿脸书用户将十分之一的银行存款转移到Libra,银行的偿付能力将会下降,它们的贷款储备也会下降,这对新兴市场构成了资本外流的威胁。FSC还担心,随着人们将法定货币迁移至Libra,可能在金融或外汇危机期间发生银行挤兑风险。Libra货币兑换和汇款的简化也将限制央行控制国际资本流动的能力。
2019年8月,英国信息专员办公室(ICO)加入一个声明,该声明由来自世界各地的数据保护机构做出。声明由代表欧洲、美洲、非洲和澳大利亚的数据保护监管机构签署。声明要求脸书和该项目背后的其他28家公司提供有关如何根据数据保护法处理客户个人数据的详细信息。监管机构要求公司保证只收集所需的最低数据,服务是透明的,并要求详细说明如何在Libra Network成员之间共享数据。
持续加强人工智能标准研究。
2019年8月10日,美国国家标准与技术研究院(NIST)发布《美国如何领导人工智能:联邦参与制定技术标准及相关工具的计划》的报告,就政府如何制定人工智能(AI)技术及相关标准给出了指导意见。报告指出:参与AI标准制定的人员必须了解美国政府的政策和原则,包括那些涉及社会和道德问题、治理和隐私的政策和原则。该报告建议联邦政府更深入、更长期地参与AI标准开发活动,以帮助美国加快开发可靠、强健和值得信赖的AI技术的步伐。
政府网络内容监管权力扩大,企业加强内容管理自律能力
扩大政府监管权力,加强社交媒体内容监管。
英国政府打算出台新的规定,授予监管机构OFCOM新的法定权力来管理、调查和处罚社交媒体分享或直播暴力、虐待儿童和色情等“有害”视频的行为。新规则要求网站必须建立严格的年龄验证检查和家长控制,以确保儿童不会接触到不良视频内容,如果不满足这些条件,监管机构将能够开出25万英镑的罚单,或最高相当于一家公司收入5%的金额。如果公司不遵守规则,监管机构甚至可以暂停或者限制他们在英国提供服务。预计该规则将会在2020年9月出台。
企业主动作为,构建内容审查机制。
在各国立法强压之下,企业也开始加大自主审查力度。2019年9月17日,脸书公布了成立一个独立监督委员会的计划,该委员会将审查其在网上删除内容的决定。同时,脸书还将加强制定规则和开发工具来发现和消除仇恨言论。这个监督委员会还将为公司未来应该如何处理有问题的内容提供建议。多年来,美国国会议员施压硅谷的企业采取更积极的作用,实时监测暴力威胁和打击谎言,包括管理在线视频。脸书此举是为了应对各界的压力,也是为了提升公司的内容管理。
数字服务税收不平等引发政府制定新的税收规则体系
目前提供数字服务的大型科技公司利用国际税收原则的规定,选择税率较低的国家注册分公司,其采取一系列规避税收的操作后,使应税利润通常很低,从而其相较于其他传统企业有效税率低很多。此举引起多国政府启动制定新的税收细则。
2019年7月,法国参议院投票通过向大型互联网企业征收数字服务税的法律草案。根据该草案,谷歌、亚马逊、脸书等30余家全球数字业务营业收入不低于7.5亿欧元,同时在法国营业收入超过2500万欧元的互联网企业将被征收相当于其在法国营业额3%的数字税。
2019年8月,智利的众议院已批准对亚马逊,Netflix, Airbnb和Spotify等(OTT)数字服务的跨国提供商征收19%的新增值税。数字服务范围涵盖图像、视频、音乐、游戏和任何其他数字娱乐服务以及外国广告的付费服务和数据存储如云服务。自去年6月以来,该国一直在讨论引入这种税,目标是那些在国内提供服务但在智利没有实体存在的公司。据政府估计,该国财政部长估计,数字税每年可筹集约4000万美元。
大型科技公司的反竞争行为引发美、欧监管机构积极执法
少数几家大型互联网公司构筑的平台在许多国家形成“一家独大”的市场格局,在许多细分服务领域对产业链上的其他中小企业主体构成威胁。发达国家开始掀起新一轮针对大型互联网平台的反垄断浪潮。从监管机构关注的重点来看,主要涵盖电子商务平台与商家之间的协议、数据资源垄断等。
2019年7月,欧盟委员会已开展对亚马逊的正式反垄断调查。欧盟委员会评估亚马逊是否使用在其市场上销售的独立零售商的敏感数据,从而违反欧盟竞争规则。根据委员会的初步事实调查,亚马逊可能使用竞争者的敏感信息,委员会将进一步研究亚马逊与市场卖家之间的标准协议。如果得到证实,亚马逊可能违反欧盟关于公司之间反竞争协议的竞争规则(TFEU第101条)和/或滥用支配地位(TFEU第102条)。
2019年9月,亚马逊公司因对其平台的公司滥用条款,被法国巴黎商业法院罚款400万欧元。法国的消费者欺诈监管机构DGCCRF对第三方供应商平台进行了为期两年的调查。事实证明,亚马逊合同中的一些条款对使用该平台的10000家中小型法国公司可能不公平。一些滥用市场地位的条款包括亚马逊能够立即改变合同文本,缩短交货时间或阻止交货。亚马逊是唯一一家在提交DGCCRF调查结果后拒绝改变其使用条款的供应商。据相关报道,亚马逊的市场占有率占亚马逊法国总销售额的60%,总销售额为50亿欧元。法院还命令亚马逊在未来六个月内更改其中的六个条款,或者在条款不变的情况下每天罚款10000欧元。
2019年8月,脸书加密货币Libra项目刚刚推出2个月,就遭到欧盟反垄断监管机构的反垄断调查,理由是其存在潜在反竞争行为,可能会将竞争对手拒之门外。他们担心Libra可能会对将要交换的信息和消费者数据的使用设置“竞争限制”,他们的调查重点是Libra管理机构天秤座协会的治理结构和成员。此外,监管机构还在研究将Libra支持的应用程序整合到WhatsApp和Messenger等脸书服务中的可能性。
与此同时,在大洋彼岸的美国也开始针对大型互联网公司的行为开展反垄断调查。2019年9月,美国多个州的州检察长开始联合开展针对脸书公司的反竞争行为调查,参与的州包括纽约州、科罗拉多州、佛罗里达州、爱荷华州、内布拉斯加州、北卡罗来纳州、俄亥俄州、田纳西州和哥伦比亚特区等。
本文系中国信息通信研究院互联网法律研究中心团队原创作品
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
