Singling out people without knowing their names–Behavioural targeting, pseudonymous data, and the new Data Protection Regulation

无须知道姓名“拎出”特定个人——行为定向广告、假名数据和新数据保护条例

Dr. Frederik J. Zuiderveen Borgesius

Frederik是拉德布德大学数字安全小组的法学教授,也是阿姆斯特丹大学信息法研究所的研究员。其主要研究领域为隐私、数据保护、歧视和言论自由。其任《欧洲数据保护法评论》编辑委员会委员,曾于2015年出版《改善行为目标领域的隐私保护》一书。

文章梗概

IP地址是否属于个人信息?Frederik关于行为定向广告数据中的假名数据的讨论或许能给我们一些启发。

Frederik在本文讨论了行为定向广告中的假名数据是否属于个人数据这一基本概念问题,这对于欧洲数据保护法的适用非常关键。Frederik通过梳理新的数据保护法的立法历史,运用规范解释学方法,认为假名数据属于新法规制的个人数据。

Frederik指出新法在个人数据“可识别性”等要素上采用的是绝对路径,即只要数据控制者或者其他方中的任何一方有办法获取个人识别性信息就达到了“可能合理使用的所有手段”的法律要求。事实上,行为定向广告搜集的用户信息远不止是IP地址,广告商凭借跟踪技术实现数据主体姓名匹配更加容易。

文章结构

除前言和结论两章外,本文可分为三部分:第一部分包括第二章和第三章,主要介绍了行为定向广告公司以及数据保护法对假名数据的认定;第二部分包括第四章、第五章和第六章,作者结合行为定向广告数据的筛选用户和匹配用户姓名的功能,以及新数据保护条例关于假名数据的讨论,提出应采取绝对路径(absolute approach)来认定假名数据,即视为个人数据;最后一部分,即第七章和第八章,作者对支持和反对“可拎出特定个人”的数据属于个人数据这一观点的理由进行了阐述。

文章内容

1、行为定向广告概念

行为定向广告(Behavioural targeting)与行为广告(Behavioural advertisements)实为同一个概念。简言之,广告公司会使用第三方cookies和其它跟踪技术进行用户信息跟踪,此外还会运用cookie匹配(cookie matching)或cookie同步(cookie synching)来丰富用户画像。依照广告公司的说法,跟踪技术过程中的假名数据不会显示用户姓名,不属于个人数据,因此假名数据不属于数据保护法的管辖范围。

2.个人数据的认定要件

欧盟数据保护法的规范对象限于个人数据,因此假名数据是否属于个人数据成为解答“欧盟数据保护法能否规范行为定向广告”的关键。在第三章“行为定向广告数据用以筛选人群”中,作者紧接着就“个人数据”在不同法律规范中的定义进行重点阐述。

欧盟《数据保护指令》规定:“个人数据”是指与已识别或可识别的自然人(“数据主体”)有关的任何信息;“可识别的自然人”是指可以被直接或间接识别的自然人,特别是可通过可识别数字或特定于他的身体、生理、心理、经济、文化或社会认同的一个或多个因素识别的人。针对《数据保护指令》“个人数据”的定义,欧洲数据保护机构第29条工作小组的解释认为,该定义包含四个要素:(1)“任何信息”;(2)“有关的”;(3)“已识别的”或“可识别的”;(4)“自然人”。

3.假名数据属于个人数据

基于上述四要素,作者认为行为定向广告所使用的假名数据符合个人数据的定义

要素一:“任何信息”自然包括了广告商所追踪的个人网页浏览记录在内的一切信息自然是个。

要素二:根据第29条工作组的解释,判断信息与人是否相关可从信息的内容、目的和结果三个方面衡量。内容相关,即信息内容是关于某个人的,如广告商收集到的某个人感兴趣的网页的数据。结果相关,如广告商可根据某一结果而对广告对象区分对待,则该信息就实现了它的结果价值。再者,如果广告商使用某个数据就是为了评估、区分和影响某个人的行为或状态,则该信息则属于目的与人相关。因此,尽管某些基于大数据的分析模型在内容上并不涉及个人信息,但只要该分析是针对个人而展开的,符合“目的相关”或“结果相关”,该数据即使是假名化的也是个人数据。

要素三:“可识别的”定义中例举了“可识别数字”,即单纯的数字只要具有唯一可识别性就应当是“可识别的”,由此推知,包含了数字和字母的cookies识别码理应也具有唯一可识别性。事实上,广告商可以凭借Cookies和类似技术文件含有的独特识别码从一群人中挑选出某一特定个体,这一挑选过程就体现了“可识别的”功能。虽然某些场景下,比如网吧里的电脑可能由多个人使用,此时的识别码跟踪到的就不只是某一个人的信息,但广告商推送广告确是指向某个个体的,且每个人的浏览记录具有独特性,因此也不可就此否认cookies识别码所关联的信息是“可识别信息”。

要素四:“自然人”,将“法人”排除在外。综上,即使数据控制者所持有和处理的数据并没有显示数据主体的姓名,但是他们仍然可以凭借识别码分离出某个特定个体,这一过程本身暗含着识别意义,因此行为定向广告所处理的匿名数据应当属于个人数据。

事实上,除澳大利亚外,英国信息专员办公室、荷兰数据保护机构、法国数据保护机构、加拿大隐私专员、美国联邦贸易委员会、国际通讯信息保护工作组在个人数据上也采纳了与欧盟数据保护法类似的定义。

4.假名数据去标识化的四种情形

作者在第五章指出,假名数据并不会永远停留在假名状态——数据控制者或是其他公司总能凭借技术手段实现数据主体姓名匹配

为了解释假名数据去标识化(也就是数据主体姓名匹配),作者假设了四种情形:(1)知道数据主体姓名;(2)不知姓名但数据控制者容易实现数据主体姓名匹配;(3)在数据控制者不知道且不容易匹配数据主体姓名的情况下,第三方可以轻松实现数据主体姓名匹配;(4)包括数据控制者在内的任何人都难以实现数据主体姓名匹配。

通说认为是,第一种情形中的数据属于个人数据,且应当适用数据保护法。

至于第二种情形,结合《数据保护指令》序言规定,“确定一个人是否可识别,应考虑数据控制人或任何其他人可能合理使用的所有手段”可知,如果企业能够运用合理的手段实现假名数据主体姓名匹配,则该假名数据就属于可识别的个人数据。而在实践中,判断合理手段存在与否则应当结合科学、技术、经济成本等因素综合考量。

观察当下的网络技术发展现状,数据控制者运用合理手段实现假名数据去标识化着实不难。文中举例道,在2006年,搜索引擎提供商AOL曾发布过一组无名搜索配置文件的数据集,每个配置文件都绑定一个随机编码。短短几天之内,《纽约时报》的记者就根据这份数据集找到了一位随机编码为4.417.749的搜索者并判断出这位搜索者是一名来自英国利尔伯恩市、养着三条狗的老奶奶。随后《纽约时报》对其进行了采访,证实了这位老奶奶就是4.417.749号搜索者。也正如某位谷歌雇员在一次诉讼庭审中所说,“单单凭借某个搜索查询,我们也能有办法识别用户身份”,数据控制者所称的“匿名数据”实质上并不是真正的“匿名数据”,而是可识别的个人数据。

第三种情形就相对复杂了,作者承认,此种情形仍然有待继续探讨。从第26条的规定可以窥见,《数据保护指令》在合理手段方面采纳的是绝对路径(absolute approach),即只要数据控制者或者其他方中的任何一方有办法获取个人识别性信息就达到了“可能合理使用的所有手段”的法律要求。与之相对,相对路径(relative approach)则主张只有数据控制者通过合理方法识别主体姓名的数据才是个人数据,而其他人或机构通过合理手段实现数据主体姓名匹配的数据则不能被认为是“个人数据”。简单地说,绝对路径将扩大个人数据的定义范围,而相对路径下的个人数据范围相对狭窄。

不过,尽管欧盟法院在司法判例中时常适用第26条规定也就是绝对路径,但数据保护机构有时也会采用相对路径。英国信息专员办公室也貌似倾向于相对路径。事实上,关于行为定向广告数据中的假名数据的讨论与IP地址是否属于个人数据异曲同工。然而,行为定向广告搜集的用户信息远不止是IP地址,因而广告商凭借跟踪技术实现数据主体姓名匹配更加容易

对于最后一种情形,作者认为假名数据极易去匿名化,这种情形很难出现。更有甚者,即便假名数据无法添附姓名,不会侵犯用户隐私,但这种数据使用方式仍然会造成许多危害

5.假名数据的立法沿革

在第六章中,作者介绍了欧洲提议制定数据保护条例过程中与假名数据有关的立法意向。2012年,欧洲委员会提议制定数据保护条例以替代1995年的《数据保护指令》,该提议在个人数据“可识别性”定义上确定了绝对路径。此提议一出,互动广告局和亚马逊、雅虎等互联网公司立马积极游说,试图说服立法者对假名数据从宽规范。

2014年,欧洲议会出台妥协案,此案虽然坚持绝对路径,但却将“假名数据”作为一种新类型的个人数据。2015年,欧盟理事会也提出议案, 该议案内容上与2014年妥协案相差无几。针对2015年欧盟理事会议案,第29条工作组再次重申,能“分离出某个个体”就具有“可识别性”,同时反对将“假名数据”视为一种新的个人数据类型。12月,欧盟理事会和欧盟议会达成协定,确定了数据保护条例中关于个人数据的最终定义。

与1995年《数据保护指令》相比,这份最终定义中增添了“地理位置数据”、“网络标识码”(online identifier)两个例子。同时,在“可识别性”要素上采纳了绝对路径,使用了分离(“single out”)一词。此外,序言中还增加了“假名化”的定义。不过,这份协定将假名化视作一种安全保护措施,并暗示在某些情况下,假名数据处理公司不需要执行数据主体的数据访问请求。

历经多年的科技发展和学术讨论,数据保护立法者终于认识到假名数据问题立法的迫切性,开始针对行为定向广告进行立法探索。有关《数据保护条例》的一系列提案都明确道,假名数据可以成为个人数据,并在“可识别性”内涵上吸纳了“拎出特定个人”的概念,个人数据仍暂无准确定义,相关讨论仍在继续。

6.支持“可拎出特定个人”的信息是“可识别”信息的理由

本文的第七章,作者介绍了支持 “可拎出特定个人”的信息是“可识别的”信息的五大理由。

(1)数据保护法的核心是公平和正义,而行为广告公司大规模收集数据的行为内在潜藏的许多风险与数据是否假名无关。譬如,大规模的数据收集可能会引起“寒蝉效应”,人们会因为害怕网络活动被跟踪而畏手畏脚,对和自己有关的信息丧失控制感;大规模的数据储存更容易发生数据泄露事件;政府情报机构也会借机监查个人信息或者直接访问数据控制者的数据;营销公司掌握了大量的消费者信息,并对消费者进行分级,这种分级行为可能会造成不公正对待。

(2)姓名本身只是识别方式之一,姓名甚至不是最高效的识别手段。对广告商而言,跟踪用户网络活动或是推送广告,cookies的识别码比姓名更有用。

(3)行为定向广告的要义就是对个体进行追踪、个人画像并向个体推送广告,其行为必然要求运用识别码拎出特定个人

(4)《数据保护指令》的内核将数据权利视为基本人权,提供“更高级别”的人权保护,因此在网络时代,将“可拎出特定个人”的数据纳入“可识别的”数据对“保护私人生活”是十分必要的。

(5)如第五章所述,匿名数据主体姓名匹配相当容易实现。

7.反对“可拎出特定个体”的信息是“可识别”信息的理由

作者是站在“可拎出特定个体”数据属于“个人数据”观点一方的,因此在陈列反对理由的同时也不忘指出反对理由的缺陷。反对理由如下:

(1)一旦《数据保护条例》适用于假名数据或“可拎出特定个人”的数据,互联网公司将缺乏动力进行数据假名化。不过,作者认为,数据假名化对企业工作便利同样至关重要,因此企业并不会因此而放弃数据假名化。此外,数据假名也是防止数据泄露的绝佳手段。

(2)行为定向广告纳入数据保护法适用范围将有害社会创新和经济发展。而作者则指出,只考虑创新和效益而忽视人权保护,对于社会发展来说弊大于利,况且法律并不禁止全部的数据处理行为。相反,数据保护立法将推动企业重视人权保护、创新隐私保护技术。

(3)对“个人数据”的扩大解释导致个人隐私保护过度,草木皆兵。作者则反驳,与传统的隐私保护不同,数据保护的立法目的不仅在于保护个人隐私更包括追求公平

(4)个人数据概念界限模糊,“可拎出特定个人”的定义会让数据执法不易,法律确定性受挑战。对此,作者指出,正如环境保护法不能解决所有的环保问题,若因执法困难而逃避“可拎出特定个人”这一数据立法问题是因噎废食的做法,实不可取。

结语

最后,作者得出两大结论:第一,行为定向广告适用数据保护法是通行做法。第二,从规范角度看,行为定向广告应当适用数据保护法。首先,行为定向广告的核心是挑出某个个体,涉及跟踪个体、个体画像和确定广告对象。其次,姓名只是联系数据内容与数据主体的识别方式之一。最后,企业非常容易实现数据主体姓名匹配。总而言之,把“可拎出特定个人”的数据视作“个人数据”有利于追求公平和保护隐私,实现数据保护法的立法原意,应当将“可拎出特定个人”的数据纳入数据保护法的保护范围

翻译:朱利

审核:杨光 黄昊

编辑:杨光

声明:本文来自网络西东,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。