吴沈括

网络法治国际中心执行主任、博导

中国互联网协会研究中心副主任

邓立山

网络法治国际中心研究助理

报告是国家社会科学基金项目的阶段性成果,《中国信息安全》期刊刊发,特此鸣谢。

前言

2021年2月10日,欧盟成员国就最新修订的《电子隐私条例》(E-Privacy Regulation)草案(以下简称:《电子隐私条例》)达成一致,该条例旨在加强对电子通信服务中用户隐私的保护,这标志着欧盟的个人隐私保护立法迈入新阶段。该项立法于2017年由欧盟委员会提出,历时四年多,中间跨越了9个欧盟理事会轮值主席国,已经提出十多个版本的草案。本次版本通过后,将经过欧盟议会的审议正式生效。

随着经济、技术和商业模式的发展和变化,基于网络的通信服务发展迅速,催生了新兴的Facebook、Skype、Zoom、WhatsApp及WeChat等网络即时通信软件、其他VoIP应用以及带有人工智能功能的物联网设备。这使得原有的包括《电子隐私指令》在内的欧盟电子通信法律体系,不足以对以OTTs服务为例的现有电子通信服务进行监管。本次立法的《电子隐私条例》对新技术的监管需求做出了积极的回应。

启动《电子隐私条例》的立法是为了配合欧盟数字单一市场战略(Digital Single Market Strategy)的执行,以提升对数字服务的信任和其本身的安全性。数字单一市场战略中规划的数据保护立法体系也包括了《通用数据保护条例》(GDPR)和《电子隐私条例》。在欧盟的立法规划中,《电子隐私条例》是作为《通用数据保护条例》在电子通信领域的中起细化和补充作用的特别法,因此在监管规则上《电子隐私条例》与《通用数据保护条例》保持了一定的一致性。《电子隐私条例》通过对数据类型的分类保护(例如区分电子通信内容和元数据)和对法人、自然人共同保护的方式加强和扩大了对隐私保护的力度和范围。另外,《电子隐私条例》也很注重实现欧盟在保持科技创新、进步和客户隐私保护之间的平衡。

一、 欧盟《电子隐私条例》的出台背景和立法价值

根据《电子隐私条例》序言第1条,本法是基于《欧盟基本权利宪章》(以下称《宪章》)第7条制定的,即人人有权享有私人和家庭生活、住宅以及通信受到尊重的基本权利,其中包含的保护客户隐私和通信秘密是《电子隐私条例》制定的主要目的。

信息科技的发展改变了人与人之间的沟通方式以及商业的运行模式,数字时代的参与者也面临更多隐私风险的挑战。《通用数据保护条例》对欧盟的个人数据保护建立了整体的法律框架,但在电子通信与互联网通信领域,需要更加细化的规则进行规制,特别是对如今迅速发展的以Skype、Zoom和Microsoft Teams为代表的OTTs领域,以及电子信息通信中存在的未经允许访问获取客户数据和进行广告推广等现象。而现行有效的,最早制定于2002年的《电子隐私指令》已不足以应对现在的电子通信环境。

最新修订的《电子隐私条例》在序言第6条和正文第27条中明确,《电子隐私条例》将会在其生效时取代《电子隐私指令》。《电子隐私指令》随着科技和商业模式的发展,即使经过多版修改,仍无法应对日益复杂的电子通信环境,这是《电子隐私条例》出台的一大原因。2015年,欧盟委员会发起了对《电子隐私指令》的评估,通过对2009年至2016年《电子隐私指令》适用性和实际应用评估发现,其部分规则已不能适应市场和科技发展与法律体系的变化。

在《电子隐私指令》的适用与执法中,其有效性从多方面面临挑战。由于很多成员国针对《电子隐私指令》建立的是一套多部门执法体制,这导致了部门间权责界限不清晰,并容易造成监管漏洞,影响现实中的执法效果。另外,各成员国在法律运用上也存在不到位的情况。以“同意规则(consent rule)”为例,现实中存在客户在不理解cookies协议时就被要求接受的情况,甚至未经同意就进行cookies设置。在评估中,“同意规则”还被认为在不同类型数据收集时存在该管未管,不该管却管了的情况。同时,评估发现《电子隐私指令》在应用过程中对利益相关方在时间、精力和金钱上的效率都不高,并且《电子隐私指令》与《通用数据保护条例》等现行其他欧盟法律的兼容性与一致性也存在问题。

二、 欧盟《电子隐私条例》的规范设计与制度安排

2020年2月10日通过的《电子隐私条例》包括了序言(43条)和正文(29条),正文分为了7个章节。正文条文主要内容如下:第一章主要介绍了法律规制的主要事项、适用范围和法律用词定义;第二章是用于保护储存于终端设备中的电子通信数据和信息以及隐私相关的用户信息权利;第三章强调了终端用户对电子通信权利的控制权;第四章对本法要求的独立监管机构设置和法律执行做出了规定;第五章是对违反本法的罚则,规定了赔偿、责任和惩罚等部分;第六章是本法授予权力的委托和执行条款;第七章在最后规定了《电子隐私指令》的废除、本法实施情况的监测和使本法生效的后续程序。

(一) 扩大规制范围

根据《电子隐私条例》第2条的规定,新法的适用范围不仅包括对电子通信数据和电子通信服务的规制,在第2条第1款(b)至(d)项中,法规管理范围还扩展到了终端用户的设备信息(例如cookies)、提供电子通信服务的终端用户的公开目录以及向终端用户发送直接营销信息的行为。另一方面,《电子隐私条例》还增加了对OTTs服务、固定和移动电话服务以及M2M(machine to machine)通信服务的管理。此外,非公开的电子通信服务被排除在了管辖之外。《电子隐私条例》应用范围的扩大保证了用户在使用传统和现代通信服务时,终端客户的隐私都能得到高效和平等的保护。

《电子隐私条例》沿用了《通用数据保护条例》追求法律域外效力的原则,扩大了规制的地域范围。《电子隐私条例》第3条规定,该条例适用于(1)向欧盟境内终端用户提供电子通信服务的;(2)对欧盟境内终端用户设备的信息保护。这也就意味着,数据处理地在欧盟境内和境外的电子通信服务提供者均适用本条例,因此,第3条对欧盟境外的电子通信服务提供者也产生了约束效力。另外,对于不在欧盟境内处理数据的电子通信服务提供者,其被要求在一个月内以书面形式在欧盟成员国内指定欧盟代表,并向监管机构汇报。但偶然在欧盟境外处理欧盟用户数据被作为一种例外可以免除欧盟代表设立义务。

(二) 加强通信保密性

《电子隐私条例》第5条确立了电子通信数据的受保护地位,并列举了被禁止的多种通信数据侵犯形式。欧洲晴雨表(Eurobarmeter)统计指出,92%的受访者认为电子邮件和短消息的保密是很重要的。通信保密作为电子隐私法律体系的重要部分,这关系到电子通信数据背后用户高度敏感的信息。比较典型的是该条例将“元数据(metadata)”列入保护范围,即用于传输、分发或交换电子通信内容的数据,包括用于追踪和识别通信来源和目的的数据,以及通信时间、位置等记录通信状态的数据。此类元数据,虽不包括具体内容,但仍然关联敏感且私人的信息。除了对侵犯自然人隐私的规制,《电子隐私条例》将法人和自然人的通信秘密进行了同等保护。

《电子隐私条例》第6条规定了允许处理的电子通信数据和具体情形,并对电子通信内容和元数据分别进行保护。首先,处理电子通信数据的用途被限定在提供通信服务需要、保护网络安全、遵守公法规定以及其他法定特殊用途且无法匿名使用的情况。并且,条例规定对电子通信内容的处理,需要获得终端用户的同意,且仅能服务于个人使用目的,处理该内容不能对他人的基本权利和利益产生消极影响。其次,对电子通信元数据的处理,必须基于终端用户同意的特定目的以及为公益服务、电信服务所必须等范围。对用于科学、历史研究等目的的元数据必须假名化、匿名化,并不能用于用户画像。《电子隐私条例》的第6c条对收集元数据做出了更加细化的规定,包括了收集元数据的目的、与最终目的之间的关系、收集元数据的场景、所收集数据性质和处理的方式、处理的后果以及保障措施等,并限制了对第三方的数据分享,以求最大限度的保障元数据的安全处理。另外,与《通用数据保护条例》相似,《电子隐私条例》第7条规定,电子通信服务者如没有合法理由则应当删除电子通信元数据或对其匿名化处理,这赋予了电子通信服务用户被遗忘权,减少了数据遭到泄露或其他侵犯的风险。

(三) 保护终端用户设备

用户的私人活动和个人终端不应当在未经允许的情况下,受到监控或被任何形式的侵犯。根据《电子隐私条例》第8条第1款,除非有用户同意或服务需要等特殊情况存在,条例禁止擅自使用终端设备的处理和储存功能或从用户的终端设备收集信息。

现行的《电子隐私指令》允许电子通信服务者在用户同意时使用类似于cookies的追踪技术。但各类电子通信服务者过多的同意弹窗使同意机制失效,用户往往在没有阅读和理解同意条款的情况下就点击了“接受”。此外,《电子隐私指令》也要求在追踪一些非隐私数据时获得同意,但却没有将一些新型追踪技术纳入规范。新的《电子隐私条例》简化了对用户终端设备使用追踪技术的要求,增加了用户的个性化设置权,终端用户可以通过软件设置一个“白名单”,同意特定电子通信服务者的特定服务对终端设备数据的处理,以此种方式减少弹窗的使用。对于非隐私相关的cookies,将不再被要求用户同意。但这类技术仍限制在具有以上法定目的和用户同意的情况下使用。

《电子隐私条例》还对收集终端用户所发出信息的行为进行了规制,这类情况主要适用于在设备进行互联网、局域网或其他设备间连接时发出的数据。进行网络连接需要定期发射数据包,以发现或保持连接状态。在数据包中,包含了能够唯一识别设别的地址,例如Mac地址、IMEI(国际移动站设别标识)、IMSI以及Wi-Fi信号等。除了获得用户同意和基于法定目的之外,《电子隐私条例》禁止了对此类信息的其他用途处理。

(四) 终端用户的通信控制权

《电子隐私条例》第12条赋予了电子通信用户自由决定是否展示自己通话线路识别的权利,用以保护通话线路识别中包含的个人隐私。例如,对于求助热线类电话,保证其来电者的匿名性是必要的。而第13条规定在拨打紧急电话等法定类型中,用户在通话线路识别中的隐私权将会被限制,因为这是对生命权等更大利益的保护。

为保护电子通信用户免受恶意骚扰电话或其他不愿意接受的电话类型的困扰,《电子隐私条例》第14条规定,成员国应立法在追踪恶意电话时临时取消对通话线路标识的隐藏。同时,电子通信服务提供者应当为用户提供对特定电话的限制呼入服务,用以解决不断的骚扰电话。

类似于通讯录的公开目录,包含了大量的个人隐私信息,例如姓名、电话、邮箱以及家庭住址等。《电子隐私条例》第15条为保护此类隐私,要求将用户信息加入公开目录特别是被纳入具有搜索功能的目录之前,必须征求信息主体的同意。另外,该法还赋予了用户核实、纠正以及删除自己信息的权利。

在《电子隐私条例》第16条第1款中,禁止了未经用户允许的直接商业营销通信。该种营销包括各类通信方式,例如短信、邮件以及蓝牙,因为这些方式的侵入性和骚扰性没有差别。新法规定,用户应当在收集信息时被明确地赋予同意或拒绝直接营销的机会,仅仅从用户处获得联系方式不能构成同意。但在产品和服务交易发生后,服务提供者可以在一段时间内使用联系方式进行直接营销。当自然人终端用户同意接收直接营销信息后,其拥有可以在任意时间,以方便的低成本方式撤回同意的权利。为落实这些规定,直接营销信息的发送者还被要求在发送时提供其自己的相关信息以保障用户撤回同意的权利。此外,《电子隐私条例》要求直接营销信息的发送者在电子通信中显示通话线路标识,并鼓励成员国在直接营销信息的发送者呼叫时显示特定代码或前缀,用以用户识别营销信息。这些规定可以帮助用户减少直接营销通信的骚扰。

(五) 监管和执法

《电子隐私条例》第18条规定,新法将在欧盟数据保护委员会的促进下,由各成员国的数据保护机构监督实施。第19条要求欧盟委员会承担了提供立法和修法建议、提供咨询意见以及提供相关指南、建议和最佳实践做法等工作。《电子隐私条例》第23条规定本法的罚款比照《通用数据保护条例》第83条做必要修改后适用,设定了最高额罚款和上一年营业额按比例罚款两种处罚方式以及不同的处罚级别。同时,新法还授权了成员国立法对违反第12、13和14条进行处罚。

三、 欧盟《电子隐私条例》与《通用数据保护条例》

《电子隐私条例》和《通用数据保护条例》的立法均是为了建立健全适应现代电子通信市场的隐私保护法律体系,并服务于欧盟数字单一市场战略的建立。一个互不冲突、互相补充的隐私法律保护体系,是为向所有电子通信用户提供良好的保护的保障。因此,在立法之初,《电子隐私条例》和《通用数据保护条例》之间的关系定位就要求两条例之间互相协调。但同时,两条例基于现实情况和实际需要也存在一定的差异。

(一) 一般法与特别法

《通用数据保护条例》的立法定位是欧盟数据保护的一般法,此条例适用于所有自然人数据的处理,电子通信领域也在《通用数据保护条例》的规制范围之内。在《电子隐私条例》的提案中,将其作用定位在补充和细化《通用数据保护条例》上。在新法中,立法者对电子通信终端用户和设备做出了特殊保护,例如对电子通信内容和元数据的分别保护、对未经同意广告推销的规制以及改变对以cookies为例的追踪技术的管理方式。除了以上特殊方面的保护,《电子隐私条例》在非电子通信特殊规范上与《通用数据保护条例》保持一致或相兼容,避免了法律规定的互相冲突,例如在同意原则、数据最小化原则、数据储存和删除规定、非欧盟数据处理者的代表设定义务以及对违法者的处罚方式等制度上的一致。

(二) 统一隐私保护体制

《电子隐私条例》与《通用数据保护条例》一样,其都是在欧盟成员国之间建立统一的隐私保护法律体制,这对欧盟全境的用户隐私提供了同等的保护,避免了由各国单独立法规制的不一致和混乱情况。

(三) 一致兼容的立法渊源

《电子隐私条例》是根据《宪章》第7条而设立的,即为保护私人生活、住宅和通信的不受侵犯。根据《通用数据保护条例》序言第1条,其立法渊源是《宪章》第8条,即对个人数据的保护。《电子隐私条例》所保护的隐私和通信秘密与《通用数据保护条例》所保护的个人数据,是相关但又存在有所区别的。无论通信的内容是否涉及个人数据,每个人的通信内容均不应当受到他人的侵犯。《电子隐私条例》作为《通用数据保护条例》的特别法,从通信隐私与秘密保护的角度对后者做出了细化和补充,使欧盟的数字单一市场法律体系更加的完善。

(四) 执法体制的异同

《电子隐私条例》和《通用数据保护条例》在设立负责隐私合规监管的独立监管机构上保持了一致。

对于在欧盟多成员国间跨境运营的数据处理和控制机构,《通用数据保护条例》建立了 “一站式(one stop shop)”管辖机制。此机制通过不同成员国执法机构的合作建立了对数据处理和控制机构而言的“执法中心点”,即机构所处成员国的监督机构。即使该机构处理了其他成员国数据,仍然由机构所处的成员国监督机构主要管辖。但是《电子隐私条例》不再适用“一站式”执法机制,而是把执法权给了成员国。

四、欧盟《电子隐私条例》的合规风控启示

随着中国企业走向全世界,中国企业的业务在欧洲市场也在扩张,欧盟《电子隐私条例》将来在域内和域外的适用都有可能会涉及中国公司,尤其是与用户数据密切相关的互联网公司。从已经生效的《通用数据保护条例》来看,《电子隐私条例》也会对中国企业的海外发展产生较大影响,因此有必要在新法未施行前探寻合规之道——

(一) 明确受《电子隐私条例》管辖的业务范围

由于《电子隐私条例》管辖范围的扩大,企业首先需要审视自己是否属于处理新法规定信息的电子通信服务者,特别是被纳入新法的OTTs服务公司。其次,企业需要检查自身是否向欧盟境内用户提供了新法规定的服务或处理了欧盟境内的用户数据。如果有涉及欧盟的业务,除了只是偶然提供服务的企业,应当在欧盟成员国设立分公司或代表。同时,由于《电子隐私条例》将保护范围扩大到对法人和自然人的同等保护,企业对其他法人的数据处理也应当纳入合规考虑中来。最后,新法将元数据纳入规范意味着企业还需要注重对电子通信内容和元数据的同等保护。

(二) 把握《电子隐私条例》合规关键

1. 合法合理的隐私制度安排

企业对数据的处理应当遵循《电子隐私条例》中规定的同意原则和各条款特定的处理用户隐私数据的合法事由,如履行协议之必须、用户利益、法律义务、公共利益和正当利益等。其次,企业对用户个人数据的用户画像也应当根据新法进行限制,例如用于科学和历史研究的元数据被禁止用于用户画像。

企业还应当根据新法,限制侵犯用户隐私的其他行为,例如未经允许的使用用户终端设备的储存和处理功能以及进行直接商业营销通信的行为。

2. 用户为本的隐私协议设计

企业对用户隐私数据的处理,可以继续使用“隐私协议”的方式获得用户同意。但对于企业对cookies等追踪技术的同意协议,应将更新的追踪技术纳入管理。另外,cookies协议中应排除不涉及隐私的数据追踪,建立“白名单制度”,让用户可以以一次性选择的方式管理cookies类追踪技术的使用,尽量减少询问弹窗的使用。

3. 体系化的隐私数据保护制度

企业应对个人数据分类管理。区分保护电子通信内容和元数据,对于两类数据的处理必须遵循各自的法定目的和不同的数据保护要求。对于设备进行网络连接发出的数据、通话线路识别和公开目录等特殊规定的被保护数据,企业要建立专门的保护制度。

企业应完善数据生命周期安全管理。在数据收集前,企业应当明确数据使用周期,明确储存时间,允许客户访问、查询、删除自己的数据,在储存时间到期后即时处理相关数据。同时,企业可以对不需识别个人的信息采取主动匿名化和假名化手段,对需要识别个人的信息采取加密手段,以降低泄露风险和合规风险。

企业在进行直接营销通信时,应保护个人的选择权,其包括显示分配的通话线路标识;告知企业身份和营销通信性质;使用有效回信地址或号码;发送直接营销法人或自然人的身份和联系方式,并保证同意接受直接营销的用户再次拒绝的权利。

(三) 构建合规联动体系

涉及上述相关业务的企业数据合规官,需要加强对《电子隐私条例》的学习,并根据企业现有业务模式和隐私保护机制,评估数据处理与隐私风险以及各类安全事故风险,全面设计调整隐私保护体系。

除了数据保护部门之外,相关业务部门也需要加强培训,根据数据合规官的意见,调整业务运营方式,设立风险管控机制,尽量避免出现违规情况。

因《电子隐私条例》对相关违法行为惩罚力度较大,企业需要积极配合数据保护部门工作,有相关问题要及时咨询数据保护部门,避免企业法律理解与实际执法之间出现偏差,造成损失。同时,与数据保护部门保持密切沟通,从而可以在不合规事件发生之初就能够察觉且采取行动,避免损失扩大。

声明:本文来自数字治理全球洞察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。