2022年4月21日,美国率领一众经济体宣布建立“全球跨境隐私体系”,将APEC框架下的CBPR数据跨境传输机制的适用扩展至全球范围。CBPR机制具体如何运作,与欧盟GDPR中规定的数据跨境传输机制有何区别?二者优劣如何?本文编译了2019年发布的《物联网时代下关于欧盟GDPR和APEC CBPR数据跨境传输机制和个人信息保护的比较分析》(EU GDPR or APEC CBPR? A comparative analysis of the approach of the EU and APEC to cross border data transfers and protection of personal data in the IoT era),原文载于Computer Law & Security Review,作者Clare Sullivan,为保证阅读的流畅性,本文对脚注及正文内容有删减。
摘要
本文研究了当今存在的两个主要数据跨境传输机制——欧盟(EU)《通用数据保护条例》(GDPR),以及亚太经济合作组织(APEC)的跨境隐私规则体系(CBPR)。
物联网数据影响到个人信息和隐私保护,进而为企业带来国际数据流动合规有关的问题。GDPR对包括个人数据跨境传输在内的个人数据处理进行监管。GDPR作为法律直接适用于欧盟成员国。GDPR也有大量的域外监管条款,适用于数据控制者/处理者的注册地和运营地在欧盟以外的个人数据处理活动。欧盟GDPR以多种方式实现了合法的个人数据跨境传输,包括与APEC CBPR大致相似的机制。
APEC CBPR是规范APEC成员国之间个人数据传输的另一个主要区域机制。它本质上是一个自愿的问责机制,首先需要国家接受,然后由问责机构(accountability agents)进行独立认证。许多美国人认为APEC CBPR比欧盟GDPR更可取,因为CBPR比GDPR更利于商业,因此被认为是最有可能成功的计划。
虽然欧盟和APEC在数据跨境传输方面的数据保护方法有很多相似之处,但也有很大的区别。本文研究了两者的异同,以及两种模式在物联网时代的适用程度。
1.简介
欧盟模式是世界上最广泛采用的个人数据保护模式。大多数国家都以1995年《数据保护指令》(Data Protection Directive,DPD)为蓝本进行立法,该指令是2018年开始实施的现行GDPR的前身。一些国家借鉴了DPD的大部分内容,而其他国家则借鉴了关键内容。唯一的例外是美国,它没有借鉴欧盟的数据保护模式。
广泛借鉴欧盟模式是出于现实考虑。欧盟要求打算在欧盟做生意的国家有同等的数据保护标准。GDPR可望为物联网数据处理设定标准,并为欧洲以外的法律改革提供参考。GDPR的影响体现在对个人信息和隐私保护的力度加强,以及欧洲以外国家的国内立法对不遵守规定的行为处罚加重。GDPR正在通过组织实践和程序进一步增加其域外管辖权的影响,因为欧盟以外处理欧盟数据个人数据的公司意识到他们必须遵守GDPR。
这特别引起了美国跨国公司对合规成本和精简全球合规战略及程序的关注。在美国,APEC CBPR机制的方法被广泛认为是更好的数据跨境传输模式,主要是因为它没有欧盟GDPR规范和严格,因此更有利于促进国家间的数据流动。
APEC是一个成立于1989年的区域经济论坛,大致仿效欧盟,但APEC没有欧盟的立法权和管理机制。APEC的既定目标是“通过促进平衡、包容、可持续、创新和安全的增长以及加速区域经济一体化,为该地区的人民创造更大的繁荣。”根据这一目标,APEC CBPR于2012年诞生,它是一个自愿参与的区域机制,旨在促进符合该机制规定的数据保护标准的成员之间的数据跨境流动。CBPR以APEC隐私框架中规定的数据保护原则为基础。CBPR机制要求成员加入CBPR并建立必要的立法和执法规则,然后,希望运用该机制传输数据的公司必须接受独立的合规评估。2012年,美国成为第一个加入CBPR机制的国家,美国联邦贸易委员会(FTC)成为第一个国内执法机构。
2.物联网数据和通信
本文研究了欧盟GDPR或APEC CBPR机制是否最适合于物联网时代的个人数据跨境传输。
本文所使用的物联网定义是最广泛的,包括广泛的联网设备和应用,还包括消费者应用。消费者应用包括联网的家用电器和设备,其中许多设备在持续、实时的基础上收集和处理个人数据。当数据被收集、传输、存储和分析以向企业提供性能和其他数据时,消费者应用也涉及商业物联网。物联网正在与OTT(over-the-top)服务、人工智能、深度学习和机器人技术快速融合,这种融合与数据跨境流动相结合,给个人数据保护带来了重大问题。
物联网时代最重大的技术挑战之一是如何有效管理前所未有的物联网数据量及其多样性。物联网设备产生了包括个人数据在内的大量数据。如果数据能够直接或间接地识别个人,那么它就是个人数据,这符合欧盟GDPR、APEC CBPR等对个人数据的定义。处理通常有广泛的含义。GDPR将处理定义为“对个人数据或个人数据集进行的任何操作或一系列操作,无论是否通过自动化手段,如收集、记录、组织、结构化、存储、调整或更改、检索、咨询、使用、通过传输、传播或以其他方式公开、调整或组合、限制、删除或销毁”。这一定义涵盖了所有物联网数据处理活动。
持续、快速处理个人数据对个人信息和隐私保护产生了空前的影响。在GDPR中,敏感个人数据或“特殊类别数据”通常被定义为可以揭示一个人的种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的数据,以及为唯一识别自然人而对遗传数据、生物特征数据进行的处理。有关健康的数据或关于自然人的性生活或性取向的数据也以这种方式分类。根据数据保护法,在没有数据主体同意的情况下,禁止处理这些个人数据。数据匿名化和假名化是GDPR特别提倡的一种促进物联网所需数据的处理方式。这两种技术都有缺陷,重新识别会带来侵犯个人权利的重大风险,并且数据处理者和控制者会被发现不合规。
物联网数据处理对法律法规来说是一个重大的新挑战,它们要在商业需求和物联网的社会效益与个人数据保护和电子通信保密性之间进行平衡。虽然欧盟和APEC的数据传输制度都试图平衡相互竞争的利益,但它们有根本不同的法律依据(legal basis)以及不同的数据保护方法。本文研究并比较了这两种方法,评估了APEC CBPR或欧盟GDPR是否能更好地平衡数据保护和促进数据跨境流动。作者最后提出了一个观点,即一种机制是否有可能成为占主导地位的全球方法。
3.相似但不同
APEC CBPR与欧盟GDPR的跨境传输机制有许多相似之处。根据GDPR,美国等国家的公司有一系列自愿选择,如欧盟/美国隐私盾协议(EU and US Privacy Shield)(译者注:欧美隐私盾协议已于2020年7月被欧盟法院宣判无效,欧美正在探索新的数据跨境传输机制) 、标准合同条款、经批准的行为准则以及GDPR下的认证。APEC为其成员制定了一个自愿机制,即CBPR。GDPR下的大多数传输机制与CBPR有相似之处,但后者在方法上与隐私盾协议最为相似。
APEC CBPR和隐私盾协议的法律基础和应用并不同。CBPR以APEC隐私框架的数据保护原则为基础。CBPR本质上是一个区域性的数据保护标准,而GDPR是一个欧盟法规,并通过域外应用在欧盟以外的地区适用。
为解决数字时代出现的问题,欧盟出台了一套相对全面的法规。2018年生效的数据保护改革方案由GDPR和《警察和刑事司法当局数据保护指令》(Data Protection Directive for Police and Criminal Justice Authorities,DPDPC)构成。这一改革机制的一个关键部分是拟议的《欧盟关于在电子通信中尊重私人生活和保护个人数据的条例》(EU Regulation Concerning the Respect for Private Life and the Protection of Personal Data in Electronic Communications,ePrivacy Regulation)(以下简称“《电子隐私条例》”),它将适用于物联网通信。新的《电子隐私条例》预计要到2019年才会成为欧盟的法律(译者注:欧盟理事会于2021年2月通过《电子隐私条例》最新版草案,但并未生效)。拟议的新法规对现有的电子隐私指令进行了大幅修改和扩展,包括将适用范围扩大到WhatsApp等OTT服务、元数据以及物联网通信。拟议的《电子隐私条例》具有域外适用性,并规定了违规行为的严重后果,但它与GDPR有不同之处,因为它保护的是保密权(right to confidentiality),不限于保护个人。另外,新的《电子隐私条例》一般不允许基于数据主体同意、公共利益或数据控制者的合法利益进行的数据处理。拟议的《电子隐私条例》与GDPR相比适用范围有限,但它有望比GDPR更严格。
欧盟GDPR以基本人权为基础。APEC CBPR关注的是在其认为可接受的数据保护程度范围内促进数据传输。关键问题是APEC CBPR是否适当地平衡了贸易目标和对个人数据及个人隐私的适当保护;以及在实现这种平衡方面,APEC CBPR与欧盟GDPR相比孰优孰劣。
4.APEC CBPR机制概述
APEC CBPR以APEC隐私框架为基础,该隐私框架于2005年制定并在2015年更新。APEC隐私框架旨在平衡数据跨境自由流动与个人信息及隐私保护。APEC隐私框架是协商产生的标准。该框架列出了APEC成员制定或修订其国内法时数据保护最低标准的基本要素。在没有国内立法或法律对数据主体提供较少保护的情况下,该框架确立了数据保护最低要求。
CBPR机制由三部分组成:第一,规定数据保护基本要求框架;第二,问责机构的选择和认证系统,问责机构是APEC认可的独立第三方,有资格根据框架评估和认证企业隐私实践;第三,内部执行机制。
为了让APEC成员加入该机制,CBPR机制包含一些允许最低限度地执行该框架的具体要求。APEC成员还必须认可问责机构,该机构认证希望加入CBPR机制的公司的隐私实践,并为被认证公司管理争议解决。问责机构,如美国的TrustArc Inc.,通常会更详细地列出特定的认证要求。对公司和问责机构来说,CBPR评估和合规程序是全面的,也是耗时的,这可能是一个昂贵的程序。至少在短期内,这通常将CBPR局限于拥有必要资金和资源的组织。
虽然GDPR有类似的自愿机制,但CBPR通常对美国公司更有吸引力,因为它不那么复杂和规范,更有利于数据跨境流动。事实上,CBPR机制的重点与GDPR不同,后者主要关注个人信息和隐私保护的欧盟人权义务。相反, CBPR主要是为了促进数据跨境流动。
5.欧盟GDPR机制概述
GDPR关于数据跨境传输机制的主要条款在第五章(第44至49条),其中有条款规定了数据收集者和处理者必须遵守的条件。
GDPR允许将数据传输到欧盟委员会(European Commission,EC)认为提供“充分”个人数据保护的国家,充分性基本上等同于等效性,即第三国或特定实体确保“基本等同于在[欧洲]联盟内确保的充分的保护水平”。在认定充分性时,EC会考虑具体的处理活动、国家间的人权规范、国家的一般和部门法律、有关公共安全、国防和国家安全、公共秩序和刑法的立法。
根据GDPR,在没有充分性认定决定的情况下,如果控制者或处理者使用第49条规定的其他保障措施,则允许数据跨境传输,这些保障措施包括:
公共当局或机构之间具有法律约束力和可执行的文书
第47条规定的具有约束力的公司规则(Binding Corporate Rules,BCRs)
EC根据第93条(2)款所述的审查程序通过的数据保护标准合同条款(standard data protection contractual clauses)
由监管机关采用并由EC根据第93条(2)款所述的审查程序批准的数据保护标准合同条款
第40条规定的经批准的行为准则,以及第三国的经营者或处理者作出的应用适当的保障措施保护数据主体权利的具有约束力和可执行的承诺
第42条规定的经批准的认证机制,以及第三国的控制者或处理者应用适当的保障措施保护数据主体等的权利的有约束力和可执行的承诺
欧盟认为美国的法律没有提供充分的数据保护。为了解决这个问题并促进欧盟和美国之间的数据流动,欧美于2016年达成隐私盾协议。隐私盾协议通过一个与CBPR非常相似的自愿加入机制,实施欧盟要求的数据保护标准。隐私盾协议包括美国政府对有限访问数据的保证,以及针对美国的合规和执法制度。美国商务部(Department of Commerce,DoC)监督合规情况,FTC负责执行。美国国务院的数据隐私监察员是欧盟公民的联系人,根据隐私护盾应对个人数据处理方面的投诉。参与隐私盾协议的美国组织必须遵守处理个人投诉的强制性截止日期,欧盟数据主体可以获得替代性的争端解决方案。此外,欧盟成员国的数据保护机关(Data Protection Authorities,DPAs)可以将投诉直接提交给美国DoC和FTC。隐私盾协议每年审查一次,以确保它们符合欧盟的隐私标准。欧盟委员会监督合规情况。然而,隐私盾协议可能被质疑没有提供充分的数据保护;这些质疑已被提交给欧洲法院(European Court of Justice,ECJ),可能影响隐私盾协议的未来。
在第49条的其他选项中,与美国公司最相关的是标准合同条款,包括示范条款(model clauses),BCRs,经批准的行为准则和认证。GDPR下的标准合同条款和BCRs可以在没有事先通知数据保护机关和获得其批准的情况下使用。GDPR在第46条中明确将BCRs作为一种充分的保障措施,并在第47条中对通过BCRs的方式进行传输规定了详细条件。GDPR规定了BCRs必须包含的内容,包括数据和传输过程信息等。因此,BCRs与CBPR有相似之处。
经批准的行为准则和认证也是可行的。行为准则可以处理GDPR规定的许多方面,包括数据跨境传输。GDPR称行为准则在跨境传输方面具有“约束力和可执行性”。采用BCRs的控制者必须证明它们具有约束力。不受GDPR约束但参与向欧盟以外地区传输个人数据的控制者或处理者遵守行为准则,有助于受监管的控制者证明其符合GDPR的规定。
GDPR第40和41条允许使用监管机关或“代表控制者或处理者的协会或其他机构”制定的行为准则,以执行GDPR的要求。第99条要求制定行为准则的私人协会“咨询利益相关者,并参考收到的材料和意见”。准则草案必须提交给相应的监管机关。经批准的行为准则必须能够“对其规定的合规情况进行监督”;监督机构(the monitoring body)必须得到主管监督机关的认证,证明其“具有适当的专业水平”。当控制者或处理者“违反”行为准则时,经认证的机构应“采取适当行动”。经认证的监督机构如果没有“采取适当的行动”,将面临高达100万欧元的罚款。经认证的机构的行动并不能取代监管机关对不遵守行为所采取的行动。监督机构必须通知监管机关,监管机关也可以采取执法行动。
GDPR下的新认证程序与美国公司处理和传输个人数据特别相关。认证涵盖GDPR第25条规定的义务,该条规定了隐私设计和默认情况下的数据保护。只有GDPR下的认证可以用来证明遵守了第25条,根据该条款,数据控制者有义务实施“如假名化等的适当技术和组织措施”。然而,尽管已知匿名化和假名化存在缺陷,GDPR不包含保护组织在发生数据主体识别或重新识别的情况下免于承担该法规定的或更广泛的责任的条款。
如果欧盟以外的控制者和处理者能够通过合同或其他有约束力的法律文书表明愿意实施规定的数据保护保障措施,则可获得认证。符合GDPR一般规定以及第25条规定的认证可以由一个可信的认证机构、“主管监督机关”或欧洲数据保护委员会颁发,进行认证的机构必须进行“适当的评估”,以便授予认证,并在不符合规定的情况下撤销认证。这就是“欧洲数据保护印章”。当认证机构授予或撤销对控制者或处理者的认证时,必须通知监管机关。违反GDPR规定职责的认证机构将受到最高1000万欧元的处罚。
认证是自愿的,认证的过程是透明的,认证后不“减轻控制者或处理者遵守GDPR规定的责任”。非欧盟的控制者和处理者也必须“通过合同或其他具有法律约束力的文书做出具有约束力和可执行的承诺,以应用这些保障数据主体权利的保障措施”。合规的数据跨境传输可能需要经批准的认证机制的认证,但必须具备“在第三国”有约束力和可执行的承诺。在评估对控制者或处理者违规行为的行政罚款时,要考虑认证机构的认证。
允许在没有充分保护的情况下将个人数据转移到欧盟以外,此即一般禁令的减损或例外。GDPR中的减损大致与指令中的减损相同,但为了控制者“令人信服的合法利益”,有一个新的减损事项允许数据跨境传输。
在下列情况下,允许减损:
在被告知由于缺乏充分性决定和适当的保障措施而导致的此类传输可能给数据主体带来的风险后,数据主体明确同意拟议的传输。
为了履行数据主体与控制者之间的合同,或执行应数据主体要求而采取的合同前措施,该传输是必要的。
为了数据主体的利益,控制者和另一个自然人或法人之间缔结或履行一项合同,传输是必要的。
出于公共利益的重要原因,传输是必要的。
传输对法律诉讼成立、进行或辩护是必要的。
在数据主体没有能力给予同意的情况下,为了保护数据主体或其他人的重要利益,这种传输是必要的。
登记者根据欧盟或成员国法律进行传输,该登记者旨在向一般公众或任何能证明有正当利益的人提供信息,但仅限于在满足欧盟或成员国法律规定的特定咨询条件下。
在非常有限的情况下,最后一个减损事项也是可用的,该事项为:传输是“非重复性、仅涉及有限数量的数据主体,对于控制者追求的令人信服的合法利益是必要的,而这种合法利益不违背数据主体的利益或权利、自由,并且控制者已经评估了与数据传输有关的所有情况,提供了保护个人数据的适当保障措施”。
GDPR第13条要求控制者在获取数据主体的信息时向其提供控制者打算将个人数据传输到第三国或国际组织等的信息。该通知必须说明,该传输是根据欧共体的充分性决定进行的,或指出充分或适当的保障措施,以及数据主体获得这些保障措施的途径。这些信息必须以清晰、通俗的语言及简明、透明、易懂和易于获得的形式提供。
在执法方面,违反GDPR第44-49条的数据传输规定可能会导致高额行政罚款。确定罚款时考虑的因素包括侵权的性质、严重程度和持续时间、侵权是否为故意、为减轻损害而采取的行动、责任程度或任何相关的先前侵权行为、监管机关了解侵权行为的方式、对针对控制者或处理者的命令、行为准则的遵守情况以及任何其他加重或减轻因素。
6. 两种机制的比较
本节将在物联网数据处理背景下,对欧盟GDPR数据传输计划的关键信息和APEC CBPR框架进行详细的审查和比较,初步的观察结果如下所述:
APEC CBPR框架和欧盟GDPR同时适用于私营和公共部门对个人数据的处理,欧盟GDPR的目标之一是为物联网、大数据和人工智能等提供更新数据保护的服务。此外,2015年更新的APEC CBPR框架涉及到技术发展,但序言虽指出了考虑技术的影响,却并没有涉及欧盟GDPR涵盖的关于物联网等的具体表述。
APEC CBPR框架和欧盟GDPR都旨在促进数据跨境流动和个人数据保护,但两者有不同的概念基础,因而重点不同。欧盟GDPR的重点为保护自然人的基本权利和自由,尤其侧重于保护个人数据权利;而APEC CBPR框架则侧重于促进数据跨境流动。这种不同的概念基础体现在:APEC CBPR框架从对个人受到伤害风险角度出发,而欧盟GDPR则是从对基本人权的保护角度出发。APEC CBPR框架的大多数要求以“合理性”为标准,许多以“适当性”为标准,还有一些则取决于个人受到伤害的风险和类型,具体的例子将在下文讨论。但应当注意到,在APEC CBPR框架之下对如何确定“合理性”、“适当性”以及个人风险的指导有限,这种标准虽然能够灵活解释,但在一定程度上可能导致对个人数据权利的保护程度缺乏明确性。
从APEC CBPR框架和欧盟GDPR处理物联网数据的情况可以看出,APEC CBPR框架只规定了一个最低限度的数据保护标准,而欧盟GDPR则规定得更加详细明确,其具体要求可直接作为法律适用。
下文将讨论两种模式之下的数据跨境传输、个人数据保护、数据主体权利以及两种模式差异的影响。
6.1.个人数据
APEC CBPR框架和欧盟GDPR对个人数据的定义相似。APEC CBPR框架和欧盟GDPR都将个人数据定义为已识别或可识别的个人任何数据。但欧盟GDPR的定义更加细化,类似定义最早出现在1995年《数据保护指令》(Data Protection Directive)中,即如果来自不同来源的数据综合考虑能够识别自然人的身份,则该一系列数据即为个人数据,因此,与消费者相关的连接物联网的数据很容易被纳入欧盟GDPR之下的个人数据定义。
为了将物联网数据排除在个人数据之外,可以从更加符合实际的角度出发对APEC CBPR框架和欧盟GDPR之下的个人数据定义进行解释,除非该物联网数据明显应当受到个人数据保护。在确定信息是否能够直接或间接识别自然人以构成个人信息的情况下,APEC成员国澳大利亚对适用该标准做了示范。澳大利亚联邦法院合议庭确认,根据1988年联邦《隐私法》(Privacy Act),只有当信息与个人之间存在足够充足的联系时,该信息才会被作为“个人数据”来规制,这是一个与物联网数据相关的重大司法发展,其影响范围远远超出澳大利亚。
澳大利亚《隐私法》与欧盟GDPR一样,根据数据是否可以识别一个人来定义的“个人数据”。一直以来,澳大利亚与采用欧盟模式的国家一样,主张只要能从一系列不同来源的数据中识别出一个人,这些数据就会被认为是“个人数据”。然而澳大利亚联邦法院合议庭的判决推翻了这一假设,在关于“个人数据”定义的第一个重要司法判决中,即在“隐私专员诉澳大利亚电信公司”(Privacy Commissioner v Telstra Corporation Limited)一案中联邦法院作出了判决。联邦法院在该案判决中一致认为,只有当数据所指向的对象是个人时,才可以被认定为个人数据。法院拒绝承认能通过合理方式确定个人身份的数据是个人数据,指出这种解释会使确认“关于个人”的要求变得宽泛不明晰。并认为《隐私法》中个人数据的概念虽然宽泛,但受到信息必须是“关于个人”且个人身份必须是明确的定义限制。法院举例说,个人的手机颜色和网络类型(3G)是法院认为不属于数据主体的信息,但是在其他情况下,结论可能是不同的,每个案件的结论将取决于案件具体的不同情况。
该判决在澳大利亚开创了法律先河,甚至可能影响其他司法管辖区对个人数据定义的解释,以限制个人数据定义的范围。澳大利亚《隐私法》与世界上大多数同类立法一样,严格遵循包括定义在内的欧盟数据保护模式。该判决意味着澳大利亚《隐私法》不一定会延伸到与个人没有实质关系的可能被追溯到该人的信息。考虑到该国目前根深蒂固的隐私保护文化,以及长期以来的所有可以合理地确定个人身份的信息都是个人数据的观点,这一判决让澳大利亚的许多人感到惊讶。虽然该案件没有涉及物联网数据,但这一判决可以被看作是对新时代“个人数据”法律定义的再回应。这一解释对物联网的意义在于,有关个人的信息不一定被定义为个人数据的做法可能引起欧盟GDPR等对个人信息处理的限制;好处在于这种方法并不绝对包含所有物联网数据,而且可以将其作为过渡的第一步,为实现个人利益和物联网之间的平衡制定更多的司法标准。
6.2.数据处理
欧盟GDPR中对数据处理的定义涵盖广泛,包括收集、记录、通过传输和删除手段进行披露等,并特别包括对物联网背景下完全或部分通过自动化手段进行的处理。APEC CBPR框架中没有对数据处理进行定义,但其对“个人信息控制者”的定义提到了一些具体的处理活动,即“收集、持有、处理、使用、披露或转让个人信息”。
与欧盟GDPR不同,APEC CBPR框架一般不保护已公开的个人数据,也不保护直接从数据主体那里收集的个人数据。APEC CBPR框架指出,个人信息控制者可能不适合提供收集和使用公开信息的通知,这与欧盟GDPR非常不同。例如,欧盟GDPR第14条规定,当个人数据还没有从数据主体那里收集,控制者应当向数据主体提供相关信息和通知。
欧盟GDPR第5条规定,收集个人数据一般应当出于特定明确且合法的目的,并且不得以非法方式作进一步处理。但欧盟GDPR和APEC CBPR框架都存在例外情况,如征得数据主体同意的情况。然而,APEC CBPR框架的基本要求一般低于欧盟GDPR,APEC CBPR框架仅规定应当通过合法公平的手段进行收集,并在适当情况下通知数据主体。至于数据的使用,APEC CBPR框架规定收集的个人信息仅可用于实现收集或其他相关目的。
APEC CBPR框架和欧盟GDPR都涵盖了数据访问和数据更正规范。APEC CBPR框架指出,数据主体能够对控制者所持有的个人数据进行确认,能够访问、质疑数据,并要求纠正、补充、修改和删除相关数据。但与欧盟GDPR不同的是,APEC CBPR框架规定由于个人数据性质的不同等原因,数据访问和数据更正的程序细节可能存在差别。因为这个原因,在某些情况下,更正或删除数据可能是不可行的,基于此,APEC CBPR框架相关方案要求APEC CBPR参与者实施合理适当的机制,以纠正、更新和删除数据,或满足数据主体不再使用所收集数据的要求。
欧盟GDPR将确认、访问、纠正以及删除个人数据确定为数据主体的权利,但并没有达到《相关程序要求》(以下简称“《要求》”)的程度。欧盟GDPR对处理信息进行了规定,其中包括:处理了哪些种类的数据、数据的接收者是谁、以及数据主体的权利、数据的来源、数据是否受到自动分析、处理对数据主体的重要性和预期后果等其他相关信息。虽然处理的信息通常是可取的,但由于人工智能固有的不透明性,给使用人工智能的物联网数据处理带来了困难。然而撇开这一点不谈,欧盟GDPR通常要求提供比APEC CBPR框架更多的数据信息。
6.3.数据主体通知和同意
与欧盟GDPR的通知规定相比,APEC CBPR框架做了一个类似但没有那么严格的规定,即数据控制者应提供清晰的声明,说明他们在个人数据方面的政策。APEC CBPR框架规定:在适当的情况下,应规定一套明确、突出、易懂且可负担的机制,以便数据主体在收集、使用和披露其个人数据方面行使选择权。然而在收集公开信息时,个人信息控制者可能不适合规定这些机制,但应尽最大可能,确保在收集个人信息之前或当时提供此类通知;《要求》再次重申了这一规定,要求控制者以“合理的方式”提供特权声明。这一规定为数据控制者提供了灵活性,但在实际应用中留下了很多不确定性的空间,不一定符合欧盟GDPR第5条规定的个人数据处理指导原则的公平透明要求。
APEC CBPR框架虽然要求取得数据主体的同意,但是缺乏具体的细节指导规定;而欧盟GDPR的数据主体同意规定是详细规范的。根据欧盟GDPR第4条规定,数据主体的“同意”应当是自由给予的、具体的、知情的和可接受的。数据主体应当通过声明或明确的肯定行动,表示同意处理与其有关的个人数据,表明自己的意愿。同意还必须与所有的处理活动有关,同时同意必须针对处理活动的所有目的,如果不允许对不同的处理活动作出单独的同意,则推定同意不是自由的。
欧盟GDPR进一步规定,数据主体应当通过书面声明、电子方式或口头声明等明确表示自己的“同意”,同时指出:默认设定或预先制定不应构成同意;预先制定的同意声明应当是清晰可获得的,且不包含不公平条款。
欧盟GDPR还规定了特殊类别个人数据(一般称为“敏感个人数据”)同意的具体要求,首先欧盟GDPR对特殊类别个人数据进行了定义,即由种族、民族血统、政治观点、宗教或哲学信仰或工会会员资格、基因数据、生物识别数据、健康数据或自然人性生活、性取向等组成的数据。根据欧盟GDPR的明确同意要求,除了有限的例外情况如出于公共利益考量或数据主体公开等,一般禁止在没有数据主体明确同意的情况下处理这些数据,要明确告知数据主体数据的使用情况,并采取清晰肯定的行动来证明同意。
APEC CBPR框架并未规定敏感个人数据的类别,虽然《要求》提及敏感个人数据的处理应当取得“明示同意”,但并没有对敏感个人数据进行定义,也没有规定“明示同意”具体条件。《要求》将明确同意的必要性建立在个人可能受到的伤害风险基础之上,指出如果未经授权使用或披露信息可能会对个人造成财务、身体或声誉上的损害,则在向服务提供商以外的第三方转移个人数据之前,必须获得个人的明确同意。
6.4.数据处理者和控制者
APEC CBPR框架和欧盟GDPR均规定数据控制者对数据处理合法合规负主要责任。APEC CBPR框架之下对控制者的定义为对数据处理的控制,不包括根据指令行事的自然人或法人;欧盟GDPR中对控制者的定义为代表控制者处理个人数据的自然人或法人、公共当局或其他机构。
对比APEC CBPR框架和欧盟GDPR的规定,数据控制者的责任免除存在根本差异,这在物联网数据转移方面尤为明显。APEC CBPR框架要求,如果个人数据被转移给另一个人或组织,控制者应当进行尽职调查;欧盟GDPR则规定按照第5条中的个人数据处理指导原则的公平透明要求进行处理。
6.5.数据保护和安全
APEC CBPR框架和欧盟GDPR均采用基于风险的数据保护和数据安全方法,但其存在很大的差异,这些差异对于物联网数据处理十分重要。
考虑到滥用个人数据可能造成的危害,为防止滥用个人数据,APEC CBPR框架指出,公司应以适当的保障措施保护个人信息,以防止个人信息的丢失或未经授权的访问破坏、使用、修改或披露等或其他滥用行为,同时该保障措施应当与收集、使用和转让个人信息所造成的危害可能性和严重性相称。
欧盟GDPR同样要求保护个人数据,但比APEC CBPR框架规定得更为广泛是特别要求使用适当的技术或组织措施来防止未经授权或非法处理的损失、破坏或损害。同时欧盟GDPR确实包含基于合理性或损害的限制,列出了处理个人数据所涉及的风险类型,这些风险类型超出了APEC CBPR框架中所列的风险类型范围。
与APEC CBPR框架规定一样,欧盟GDPR要求控制者实施与风险相适应的安全水平的保护措施,与此同时,欧盟GDPR将这一要求扩展到数据处理者。根据欧盟GDPR第32条规定,数据控制者和处理者应当采取措施,确保在控制者或处理者授权下行事的任何自然人在接触到个人数据时不会处理数据,除非得到控制者的指示。此外还要求任命一名“数据保护官员”,即具有数据保护法和实践方面专业知识的人,协助控制者或处理者监测内部合规情况。
总的来说,APEC CBPR框架在个人数据保护和数据安全方面的规定没有欧盟GDPR全面详细,欧盟GDPR与APEC CBPR框架的不同之处在于将数据安全框定在数据主体及其权利的风险方面,而不仅仅只局限于数据本身的风险。
6.6.数据泄露
在个人数据泄露方面,APEC CBPR框架和欧盟GDPR之间存在很大的差别。考虑到物联网时代的高度连接性以及数据泄露对个人造成伤害的风险增加,该差别对于物联网数据处理来说是非常重要的。
欧盟GDPR规定,个人数据泄露指导致意外或非法破坏、丢失、更改、未经授权披露或获取传输、存储或以其他方式保存的个人数据的安全漏洞。欧盟GDPR要求对数据事件进行评估,并在自然人的权利和自由面临高风险的情况下,无不当延迟地向数据主体发出明确的违规通知,但如果控制者已经实施了适当的保护措施,则不需要再向数据主体发出通知。
APEC CBPR框架在数据控制者部分没有规定数据泄露问题,只在“防止伤害”部分的评论中指出,在出现影响个人数据的重大安全漏洞时,向隐私执法机构或有关个人发出通知可能有助于减少个人遭受伤害的风险。APEC CBPR框架要求个人信息处理者、代理人、承包商或其他服务提供者在个人信息被转移时,及时通知数据控制者发生数据泄露。美国认证问责机构TrustArc进一步要求对第三方服务提供商也规定同等的义务,并要求第三方服务提供商向参与者提供数据泄露的通知。虽然这整体上是朝着正确的方向迈出的一步,但总的来说,这远远没有达到欧盟GDPR的要求。
APEC CBPR框架也没有要求成员国对隐私执法机构或数据主体实施强制通知,只要求成员国规定数据控制者应当以合同形式要求数据处理者、代理人、承包商和其他服务提供商向其进行通知。但这在任何情况下,尤其是在涉及物联网数据时,都是一个重大缺陷。
APEC CBPR框架的“国内实施指南”一节中的规定非常笼统,即成员经济体应考虑鼓励或要求个人信息控制者在出现个人信息的重大安全漏洞时,酌情向隐私执法机构或其他相关机构发出通知;如果有理由相信该漏洞可能会影响到个人,在可行和合理的情况下,应鼓励或要求及时通知受影响的个人。总的来说,在数据泄露方面,APEC CBPR框架并不符合欧盟GDPR以及一般的良好做法。
6.7.总结
对比APEC CBPR框架和欧盟GDPR可知,虽然两者存在一定的相似之处,但基本目标和标准不同。比较表明,APEC CBPR框架缺乏具体明确的规定,且总体上也没有达到欧盟GDPR所设定的标准。
APEC CBPR框架在以下方面存在明显不足:
缺乏数据收集的具体规定,特别是没有规定什么构成自由和知情同意;
没有解决对特殊类别个人数据,特别是健康数据、遗传数据和生物识别数据提供额外保护的需要;
虽然经过认证的公司可以国内法律作为其内部治理标准和程序的一部分,或满足问责机构独立要求的额外管理标准,但问题是缺乏共同的标准和要求;
没有达到欧盟GDPR所要求的数据和隐私保护水平;在某些方面例如加密,所采用的方法明显与欧盟GDPR和通常的做法不一致。
APEC CBPR的支持者断言,欧盟的方法过于关注数据保护和隐私,以至于相关规定有可能阻碍跨境数据流动,从而阻碍物联网设备、数据处理和通信的发展,但欧盟GDPR包含的一系列的数据传输机制,既可以用来传输数据,同时也充分保护个人权利,以此能够有效地来平衡此种冲突。
7. 结论
为了在促进国际数据流动的同时保护个人数据,物联网时代凸显了对有效机制的需求。尽管物联网为个人和企业带来了许多好处,但显然也存在着相应的个人数据保护风险,因此本文所探讨的门槛问题是物联网数据处理背景之下,哪种方案能更有效地实现这种平衡。
正如所讨论的那样,APEC CBPR框架和欧盟GDPR存在一些相似之处,但在概念基础、目标以及要求方面存在着明显的差异,尤其是个人数据保护的整体标准有着很大的不同。
APEC CBPR是一个促进APEC区域内贸易的机制,例如,日本自动允许获得APEC CBPR批准的公司进行数据跨境传输。然而,该框架是否符合第一部分所提到的意图(即为APEC的企业和政府实体提供明确的指导和方向、说明常见的隐私问题以及隐私问题对合法商业行为和政府职能的影响)是值得怀疑的。正如上文的比较显示的那样,APEC CBPR框架没有在一些关键领域提供明确和充分的指导,也没有规定一般认为的良好做法。
相比之下,欧盟GDPR具有较强的指导性。虽然欧盟GDPR的某些方面也存在一定的缺陷,但总体而言,个人数据保护的基本方法是完善的;同时也提供了一系列机制,以适应物联网数据和通信的各种数据传输情况。
APEC CBPR框架促进了包括美国在内的APEC成员之间的数据流动,而美国的国内数据保护法却不符合欧盟GDPR的适当性要求。目前值得怀疑的是该框架是否在贸易目标和充分的个人数据保护之间取得了正确的平衡。与APEC CBPR框架相比,欧盟GDPR更侧重于充分保护个人数据以及个人数据主体的权利。但这有时是以牺牲商业需求为代价的,该代价在拟议的《电子隐私条例》(e-Privacy Regulation)对物联网数据通信的应用中可能是最明显的;然而,APEC CBPR框架的标准和要求是最基本的,无法达到欧盟GDPR所要求的保护标准,在某些方面甚至也无法达到普遍接受的商业标准。
虽然APEC CBPR框架和欧盟GDPR都有可能通过更合适的解释和应用来平衡商业贸易目标与个人权利,但在物联网时代欧盟GDPR则是更合适的选择。欧盟GDPR遵从机制使组织在处理个人数据的同时,对个人数据和隐私提供高标准的保护。欧盟可能会继续为数据保护立法设定国际模式,已经有迹象表明,类似于欧盟GDPR中的变化正在被纳入欧盟以外国家的国内立法中,各国可能会实施类似的数据保护要求、境外管辖范围、数据传输机制和充分性要求,随着时间的推移,这将导致国家间数据保护标准的进一步趋同,增加相互承认适当性的机会。
即使像美国这样的国家,在短期内也不可能颁布与欧盟GDPR同等的国内数据保护立法,欧盟GDPR的域外管辖权也会致使美国的组织将欧盟GDPR的要求和标准纳入其全球企业合规政策和程序之中。因此,无论是通过法律还是通过实践,欧盟模式尤其是欧盟GDPR将继续设定国际数据保护标准。
声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。