今天和大家分享的文章关注欧盟新近执法中所见的跨境传输和匿(假)名化问题。作者为朱悦。

在新的充分性决定通过之前,欧美之间几乎不存在实践易用的跨境传输工具和措施。许多业界常用的产品和服务因此面临严峻的合规风险。谷歌分析(GA)首当其冲。具体来说,已有至少十一个数据当局针对GA颁下决定或展开调查。虽然决定大多对GA不利,但严厉程度还是有所区别。奥地利等地的决定几乎宣判了“死刑”,也接近于彻底阻断个人信息的跨境流动;法国等地的决定虽然同样严厉,但还是给出了基于代理的假名化方案,留下一线生机;西班牙当局则是部分认可了使用GA基本功能的合法性,可以说更多一线宽容。排比分析三类决定,可以对跨境传输和匿名化等个人信息保护的关键概念形成更加深入的认识。在法国和西班牙当局的决定之间,可以构想更加平衡的跨境传输方案。

奥地利观点:跨境传输与匿名化均几乎不可能

当前,由于欧美间的个人信息跨境传输几乎不存在实践易用的传输工具和措施,克减也不足以支持频繁的、系统性的个人信息跨境传输。GA和有关处理者的跨境传输想要合规,只能论证其不属于《通用数据保护条例》(GDPR)的适用范围。由于“个人与家庭事务”例外在GDPR之下几乎无法实践适用,GA和有关的处理者只能论证其处理的所有信息都不属于个人信息,或者在实施跨境传输之前已经实施了匿名化。然而,奥地利数据当局从至少三个不同的角度否定了这样的可能性。相应地也对跨境传输和匿名化施加了最为严格的要求。

具体而言,GA通过读取http请求、读取DOM和种植第一方cookie等三种方式收集UA、语言设置、分辨率和滚动深度等大概三十个字段的信息,同时将相应信息与生成的若干ID相关联。奥地利数据当局从三个层层递进的角度认为如此构成个人信息的处理。首先,GA生成ID的目的即在于“区分”或“单独对待”特定用户,仅由此已经足以认定其为个人信息。奥地利当局进一步援引评注,从两方面加强了这一结论。一方面,用于个体化用户的“数字足迹[指纹]”一般应视为个人信息;另一方面,即使相应处理者后续不会通过区分实施进一步的识别,也不影响对于先前发生的区分或单独对待的定性。其次,即使不考虑ID单独是否足以构成个人信息——虽然已有明确的肯定性结论,ID与IP地址和其他收集信息相结合,也足以让“数字足迹[指纹]”具备更强的唯一性。最后再退一步,即使不考虑识别目的、而是从客观识别能力出发来分析,由于欧美跨境传输中妨碍充分性最主要的因素是美国政府情报部门的大规模监控,而相应部门又有强大的能力从IP地址或其他信息出发来识别和追踪个体,因此也应当视为个人信息。此外,如上解释GDPR符合立法和司法已经认可的个人信息处理当有可问责性、个人信息应当从宽解释和个体基本权利应当加强保护等三方面原则。既然GA收集的ID和其他信息属于个人信息,后续又发生了到美国的跨境传输,鉴于当前不存在场景中可用的工具和措施,相应传输便违反了GDPR。

以上,按照奥地利等数据当局的说理,GA几乎不可能再按目前的模式向GDPR适用区域的处理者提供服务。其中关于个人信息认定的说理影响更加深远。如果ID、数字足迹、数字指纹以及关联信息通常都属于个人信息,其他大量业界常用的产品和服务通常也无法再跨境提供服务。假使在这种情况下依然希望合规实施跨境信息传输、相应提供产品与服务,几乎只能通过在信息论的意义上降低ID的信息量、同时弱化其他字段的信息量上下功夫。目前在线广告的前沿实践包括限制比特数和引入一定比率的混淆,由此可以在一定程度上削弱区分和个体化的能力。然而在最严厉的合规视角下,依然难以断定这样足以实现匿名化。

法国观点:代理基础上的假名化

奥地利数据当局的说理,尤其是关于个人信息界定的说理,实际上代表了绝大多数其他数据当局的意见。法国和丹麦也不例外。这两家数据当局的不同之处在于:虽然也认为用于区分的ID以及其他相关信息都属于个人信息,但还是给出了基于代理的假名化方案,从而为跨境传输留下了“一线生机”。

具体而言,按照法国当局给出的、同时得到丹麦当局认可的方案,GA通过假名化跨境传输个人信息需要满足八个条件。第一点是所有相关流量需要经过代理服务器,并且代理服务器本身要位于具备充分保护水平的地区——很大程度上就是GDPR的适用区域。第二点是明确属于个人信息的字段,特别是IP地址需要删除。第三点是相对核心的要点,需要从两个方面来削减ID所包含的信息量。一方面是前面提到的、引入一定比率的混淆,从而确保ID之间发生足够概率的碰撞、削弱其区分或单独对待的能力;另一方面是ID在时间维度上不能始终不变,需要具备时变的特性。第四点是为了进一步降低追踪的能力,需要将反映跨站点跳转的参数信息(外部referral)删除。第五点和第四点相似,需要将同样可以用于跨站点归因的UTM等参数删除。第六点则针对前面提到的“足迹”或“指纹”提出了更高的要求——需要删除识别能力最强的字段。例如对于通过UA收集的多个字段,就需要删除其中可能性较多、分布相对分散的字段。第七点和第八点是“小兜底”和“大兜底”——第七点是需要避免收集所有跨站点ID和所有在时间维度上不变的ID,第八点则是需要删除其他任何可能导致识别的信息。

总的来说,如果上述要求全部满足,后续基本只能针对特定站点实施包含一定误差、且时效有限制的访客统计,并且无法再实施跨站点的流量追踪、归因和测量,GA也就在很大程度上失去了“灵魂”。尽管如此,相比奥地利等当局的严厉立场,这里还是留下了空间。其中一些关键参数的取值有待进一步厘清。例如对比目前在线广告相对常见的、5%的混淆率,需要明确其是否属于足够的概率;又如对于ID发生时变的频率,是否可以参照包括法国在内的若干数据当局针对cookie设置的、不长于13个月的期限。当前而言,鉴于法国当局上述八点要求与其对测量cookie相关规定的相似性,或可对照二者以校准关键参数。

西班牙观点:通过随机ID和加总统计实现合规?

西班牙数据当局面对的事实相对简单。涉案处理者只开启了免费版本GA的基本功能,由此只能访问GA ID,以及分国别、语言、设备类型等项目的统计数据。无法访问其他信息,特别是无法访问性别、年龄、用户活动和用户兴趣等信息,也无法访问相应项目的统计数据。针对这些事实,西班牙当局得到了若干和其他当局一致的结论,包括IP地址数据属于个人信息的结论。虽然如此,其在ID上的说理结论相比其他当局要“宽宥”得多,并没有当然地将ID视为个人信息。简而言之,虽然ID确实可以用于单独对待,但由于涉案处理者并不具备在ID基础上进一步识别的能力,没有采取识别的行动,也没有识别的目的,故其认定此处ID不属于个人信息。西班牙当局对于统计数据的性质界定同样相对可预测、且更为宽容。因为本案中能够访问的统计数据类型有限,特别是不包括特殊类型的个人信息以及儿童的信息,又因本案统计数据的量级在百万到千万级——远远超过西班牙当局先前在其他案件中用以判断个人信息的千的数量级,所以相应统计数据也不属于个人信息。综上,由于不涉及个人信息处理,自然也不存在GDPR意义下的跨境传输。这是诸多当局中仅有的没有得到违法结论的决定。

对于这一结论不能引申太远。如果严格遵从既不具备能力、也不采取行动、还要避免目的的要求,完全合规的GA,或者完全合规的类似服务或产品同样需要接近法国当局方案中的保护水平。尽管如此,根据西班牙当局说理,ID有可能得以避免混淆和时变要求,从而能够实现更高的统计准确性。如果推测认为颗粒度更细的ID,例如活动ID亦满足要求,则有可能支持更多的功能。此外,相比于其他当局,统计数据的跨境传输也在法律上具备相对较高的确定性。

结语

前文基于十一个数据当局针对GA的决定和调查,初步分析了相应案件对于欧美间个人信息跨境传输和匿(假)名化的意义,并且提出了综合相应案件的、设想的合规方案。此外有五点值得补充。首先是相应案件包含其他许多重要的细节,比如意大利当局明确否定了GA截断IP地址的最后一段构成匿名化的观点。值得进一步对读。第二点是各种ID均构成个人信息的严厉观点在GDPR下的影响越来越大,尤其值得注意。越是技术上复杂的案子,这个观点就越是重要。第三点是设想的观点显然不能确保完全合规——实际上,随着近年来GDPR执法所期待的保护程度愈发“水涨船高”,这样的设想最多也只能说是在保护的基线附近游走。诚然如此,在有关法律进一步明确以前,这种综合应用技术、分级测量归因的思路暂时代表了目前业界的前沿趋向,也是多种改进广告测量归因的行业倡议的主体内容。第四点是本文仅在GDPR下展开分析。如果正在推进的《数据法案》针对数据跨境传输提出更多限制,或者新的欧美间个人信息跨境传输充分性决定经历Schrems III而岿然不动,内容自然需要相应调整。最后,或许也是最重要的一点,即使本文内容将来不再适用于欧美间的跨境传输,在欧中间个人信息跨境传输合法性“风雨欲来”的当下,应当还是具有一定的现实意义。

主要参考文献

Agencia Española de Protección de Datos: E/10529/2021. 2022.

Autoriteit Persoonsgegevens: Handleiding privacyvriendelijk instellen van Google Analytics. 2022.

Commission Nationale Informatique & Libertés: MED-2022-015. 2022.

Commission Nationale Informatique & Libertés: MED-2022-016. 2022.

Commission Nationale Informatique & Libertés: [Redacted]. 2022.

Commission Nationale Informatique & Libertés: Google Analytics and data transfers: How to make your analytics tool compliant with the GDPR. 2022.

Datatilsynet: Use of Google Analytics for web analytics. 2022.

Datatilsynet: Google Analytics kan være ulovlig. 2022.

Datenschutzbehörde: D155.027. 2022.

Datenschutzbehörde: [Redacted]. 2022.

Datenschutzstelle Fürstentum Liechtenstein: Google Analytics und der Datenschutz. 2022.

European Data Protection Supervisor: 2020-1013. 2022.

Garante per la protezione dei dati personali: 9782890. 2022.

Persónuvernd: Notkun Google Analytics á íslenskum vefsíðum. 2022.

Tietosuojavaltuutetun toimisto: Euroopan tietosuojaviranomaiset ovat todenneet Google Analyticsin käytön verkkosivuilla tietosuojalainsäädännön vastaiseksi. 2022.

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。