杜安琪|中国信通院互联网法律研究中心助理研究员

“未来隐私论坛”(FPF)和“亚洲商法研究所”(ABLI)的专家联合发布了一份名为“亚太地区数据保护法律中有关‘个人数据处理的合法性基础’的比较分析”的报告(以下简称“报告”)[1]。报告详细比较了亚太地区14个司法管辖区的个人数据处理要求,包括澳大利亚、中国、印度、印度尼西亚、中国香港、日本、中国澳门、马来西亚、新西兰、菲律宾、新加坡、韩国、泰国和越南,说明了提高法律确定性以及互操作性所带来的利益,并提供了重新平衡同意与隐私责任的实践做法。在此基础上,报告针对亚太地区个人数据处理的合法性基础提出了改进建议。

一、个人数据处理的合法性基础

(一)同意

报告所研究的亚太地区14个司法管辖区均将同意作为个人数据处理的一个合法性基础。同意不仅是这些司法管辖区之间共同的合法性基础,也是各司法管辖区在其法律体系内常用的合法性基础。在大多数情况下,同意是唯一一个可以适用于涉及个人数据的所有活动的合法性基础。相比之下,除同意以外的其他合法性基础可能只适用于涉及个人数据的特定活动。

在印度尼西亚、中国澳门、马来西亚、菲律宾、新加坡和越南这6个司法管辖区内,同意是收集、使用和披露个人数据(或者根据相关司法管辖区使用的术语,“处理”个人数据)的几个平等合法性基础之一。

在中国、印度、韩国和泰国这4个司法管辖区内,同意是收集、使用和披露个人数据的合法性基础。在这些司法管辖区内,涉及个人数据的特定活动可能存在几个平等的合法性基础,但其他活动仅有一个合法性基础。

在澳大利亚、中国香港、日本和新西兰这4个司法管辖区内,同意不是为直接目的收集、使用(以及在某些情况下,披露)个人数据的合法性基础。然而,在这些司法管辖区内,同意可能是涉及个人数据的某些特定活动的合法性基础。

(二)同意的具体要求

在报告所研究的14个司法管辖区中,有8个司法管辖区(中国、印度、印度尼西亚、中国澳门、菲律宾、韩国、泰国和越南)的数据保护相关法律对同意进行了详细的定义,或规定了有效同意的详细要求。在其中的3个司法管辖区(中国、菲律宾和韩国),相关监管部门发布的指南和其他指导意见对同意提出了更为细致的要求。

相比之下,其余6个司法管辖区(澳大利亚、中国香港、日本、马来西亚、新西兰和新加坡)的法律要么没有规定同意的定义或要求,要么只规定了有限的定义或要求。在这6个司法管辖区中,只有3个司法管辖区(澳大利亚、日本和新加坡)的数据保护监管机构发布的指南中对同意提出了更为具体的要求。

表1 亚太地区14个司法管辖区的数据保护法律、法规和指南中的同意要求概述

(三)明示同意与默示同意

报告所研究的14个司法管辖区均认可明示同意。

1.认可默示同意

澳大利亚、日本和新加坡认可默示同意,并规定了默示同意的形式。

在日本,关于《个人信息保护法》的问答(APPI问答)表明,在适当的情况下可以认可默示同意的形式,即,使用合理和适当的方法,使数据主体能够决定是否同意。虽然APPI问答没有提供上述情形的具体示例,但部门指南提供了一些认可默示同意的情况的例子。

虽然印度的《信息技术(合理的安全实践和程序以及敏感个人数据或信息)规则》(以下简称《信息技术规则》)中不允许默示同意的形式,但是印度《数字个人数据保护法案》中认可一种默示同意的形式,即在某种情况下有理由相信数据主体是自愿向组织提供其个人数据的。印度《数字个人数据保护法案》提供了上述条款在实践中如何应用的例子:一个人为了在餐馆订座而向餐馆提供她的姓名和移动电话号码,将被视为同意该餐馆为了确认预订而收集其姓名和号码。

2.拒绝默示同意

此外,有5个司法管辖区在其数据保护相关法律中明确拒绝默示同意(中国香港、印度《信息技术规则》和越南),或通过数据保护监管机构发布的指南拒绝默示同意(菲律宾和泰国)。

然而,就中国香港而言,上述结论仅适用于在《个人资料(私隐)条例》附表1的规定下,改变最初收集个人信息所告知的用途而使用或披露个人数据所要求取得的同意。《个人资料(私隐)条例》第35A(1)条对于同意的定义较为有限,仅适用于直接营销,并允许选择退出同意。

3.并未明确对默示同意的态度

其余的司法管辖区并未明确对默示同意的态度,导致了法律的不确定性。

(四)撤回同意

报告所研究的14个司法管辖区中,有11个司法管辖区的法律法规以及准则中明确规定了撤回同意。

澳大利亚、中国和泰国要求实体提供一种简单易行的方法来撤回同意。相比之下,中国香港、印度(《信息技术规则》)、马来西亚和新加坡则要求通过书面请求撤回同意。

澳大利亚、中国香港、印度尼西亚、新加坡、韩国和泰国明确规定了撤回同意的效力:在中国香港、马来西亚和韩国,实体必须在撤回同意后立即停止处理个人数据。相比之下,印度尼西亚提供了一个从这一时间开始的72小时窗口,此后个人数据控制者必须停止处理;新加坡和泰国要求实体通知数据主体撤回同意后的效果。

其余3个司法管辖区(日本、中国澳门和新西兰)没有关于撤回同意的明确规定。尽管根据反馈,这些司法管辖区普遍认为同意可以撤回,但实体在同意撤回后的责任可能存在不确定性。

(五)同意以外的合法性基础

报告所研究的所有司法管辖区均规定了处理个人数据的其他合法性基础。本报告根据所研究的14个司法管辖区的数据保护相关法律的规定,确定了26个未经同意处理个人数据的合法性基础,如表2所示。

表2 亚太地区14个司法管辖区的数据保护法律中除同意以外其他处理个人数据合法性基础的概述

二、合法利益

报告指出,在所研究的14个司法管辖区中,有10个司法管辖区的数据保护相关法律包含了无需同意即可处理个人数据的明确的合法利益基础,或与合法利益基础广泛兼容的类似基础。目前,4个司法管辖区(中国、印度、马来西亚和越南)的数据保护相关法律缺乏这样的合法利益基础或类似基础。

重要的是,这10个司法管辖区的相关规定开放且灵活,可能任何“合法利益”(或同等利益)都可以被考虑在内。然而,这些国家在相关条款的结构和行文方式上存在一定差异。虽然这并不完全影响不同司法管辖区之间的条款的兼容,但可能会增加在多个司法管辖区经营的企业的合规经营成本,并阻碍企业选择采用合法利益基础作为同意的替代。

三、法律确定性和趋同所带来的集体利益

尽管亚太地区各司法管辖区文化规范不同、监管模式各异,但他们在弥合各自的数据保护框架之间的差距方面有着共同的利益。这种对法律之间趋同的努力将对组织、个人和监管机构产生积极的影响,增强法律的确定性并促进合规。具体利益包括:

1. 一套在亚太地区多个司法管辖区处理个人数据的统一的合法性基础有助于帮助在多个司法管辖区经营的组织遵守多种法律框架。

2. 消除法律不确定性、法律之间的差距、以及遵守各司法管辖区的数据保护相关法律的复杂性,是符合个人利益的。

3. 兼容的法律框架有助于数据保护机构进行合作,并分享洞察、经验和实施方法。

4. 与全球标准保持一致有利于所有利益相关者。

四、重新平衡亚太地区的同意和隐私责任:一个路线图

亚太地区和全球的一些司法管辖区已经或正在对其数据保护相关法律进行全面审查,以重新审视同意的地位作用,并促进以问责制为重点的替代方案。这些司法管辖区的经验可以为正在考虑对其数据保护相关法律进行类似改革的其他司法管辖区提供参考。

(一)加拿大

2015年,加拿大在《个人信息保护和电子文件法》(PIPEDA)中规定,个人同意的有效性取决于是否可以合理地预期该组织活动所针对的个人会了解他们所同意的个人信息的收集、使用或披露的性质、目的和后果。

此外,2016年,加拿大隐私专员办公室(OPC)针对PIPEDA下的同意问题发起了公众咨询。2016年5月,OPC发表了一份讨论文件,指出PIPEDA目前的同意模式存在的问题,并就可能的变化征求反馈意见。在第二年提交给议会的“关于PIPEDA的年度报告”中,OPC根据公众咨询期间从利益相关者那里得到的反馈,总结了一些措施。尽管OPC认识到需要建立同意以外的机制来增强隐私保护,但OPC建议的改革主要集中在同意方面。因为OPC认为,如果同意在更好的信息条件下作出,仍然可以在保护隐私方面发挥重要作用。值得注意的是,OPC还强调了法律以外的解决方案的重要性,如“设计隐私”和“默认隐私”等方法。

2018年,OPC整合了公众咨询的反馈,发布了关于获得有意义的同意的准则(以下简称“准则”)。准则(2021年修订)强调,同意应该仍然是保护个人数据的核心,但在技术进步和现代做法使得同意变得虚无缥缈的背景下,需要再次使同意变得有意义。

PIPEDA对明示和默示形式的同意均持认可态度。指南则对每种形式的同意何时合适提供了指导。指南建议,在下列情况下,应要求取得明示同意:

  • 有关个人数据是敏感的;

  • 数据主体对在这种情况下对其数据进行处理不会产生合理的预期;和/或

  • 处理过程中存在有意义的重大伤害的剩余风险。

在不存在上述任何情况的前提下,OPC允许组织采用默示同意的形式。

与亚太地区的许多司法管辖区的数据保护法律不同,PIPEDA并没有规定某些类别的个人数据为“敏感个人数据”。然而,个人数据的敏感性是在所有个人数据处理过程中均需要考虑的因素,并且是针对具体环境的。指南中明确,在实践中,如果处理某类个人数据会给个人带来特定的风险,则这类个人数据一般会被认为是敏感的。然而,指南也提到,个人数据是否符合敏感取决于具体情况。

指南指出,根据PIPEDA,组织应当采取措施减少在处理个人数据中可能造成的任何风险。但指南认识到,即使这些措施可以大大降低风险,但并不能完全消除处理活动对个人数据造成的全部风险,即仍可能存在剩余风险。因此,指南建议,如果存在有意义的重大伤害的剩余风险,该组织应在处理个人数据前通知个人这一风险并获得其明确同意。根据指南,如果风险实现的可能性超过了最低限度,那么该风险就是“有意义的”。此外,“重大伤害”是指身体伤害,人格、名誉或关系损害,就业损失,商业或专业机会损失,财务损失,身份盗窃,对信用记录的负面影响,以及财产的损害或损失。指南中的伤害不仅包括因处理个人数据而产生的直接伤害,还包括由第三方造成的可合理预见的伤害。

(二)新加坡

新加坡已经在亚洲率先提出了同意的替代方案。

新加坡《个人数据保护法2012》(PDPA)自2012年11月颁布以来,已将同意作为收集、使用或披露个人数据的核心要求。

然而,2017年,新加坡个人数据保护委员会(PDPC)开始就数字经济中的个人数据管理方法进行公开咨询。这次咨询最终导致在2020年对《个人数据保护法》进行的一系列实质性的修订,其中包括在《个人数据保护法》中引入处理个人数据的合法利益基础。

在PDPC于2017年7月发表的一份文件(PDPC咨询文件)中,PDPC确定了数字经济中同意的几个挑战,包括:

  • 被动地收集和分析大量的个人数据,使个人更难预测处理的目的,企业也更难识别并取得每个被收集和处理数据的个人的同意;

  • 信息过载;

  • 同意疲劳;

  • 缺乏知情同意;

  • 同意并不适合所有目的,包括从检测欺诈和安全威胁中获得更广泛的社会利益;以及

  • 需要组织问责制和负责任的数据使用,但也需要创新。

为了应对这些挑战,PDPC认为有必要在PDPA中引入几个新的替代同意处理个人数据的合法性依据,并通过PDPC咨询文件征求反馈意见,其中包括关于处理个人数据的两个新的合法性基础的建议,分别以“通知”和以“法律或商业目的”为前提。

作为对PDPC咨询文件的回应,PDPC收到了来自业界、法律界和学术界的个人和组织的68份意见书。2018年2月,PDPC发布了《对数字经济中个人数据管理方法公众咨询反馈的回应》(PDPC回应文件)。

PDPC回应文件中的修订建议最终形成了修订PDPA的法案。该法案对原来的框架进行了实质性的修改,包括,引入了一个关于“通过通知获得推定同意”的新条款,以及将出于“合法利益”和“业务改进”目的处理个人数据作为同意的例外。

修订后的PDPA法案于2020年获得通过。新加坡政府解释指出,该修订的动机是数字经济,以及希望在个人(例如,相信他们的数据在数字经济中会被安全和负责任地使用)和组织(例如,围绕为合法商业目的使用数据的法律确定性,受保障措施和问责)的利益之间取得平衡。

(三)澳大利亚

近年来,澳大利亚当局一直在考虑对《隐私法》进行大规模修订,以更好地监管数字经济和对澳大利亚公民的私人生活有重大影响的大型数字平台。

2019年6月,澳大利亚竞争和消费者委员会(ACCC)发布了一份详细的数字平台调查报告(DPI报告),该报告就数字市场中的隐私以及竞争和消费者保护相关问题提出了建议。

作为对DPI报告的回应,澳大利亚政府宣布启动对《隐私法》的审查,并开始就实施DPI报告中几项针对隐私的建议进行讨论,以更好地赋予消费者权力,保护其数据,并支持数字经济。

2020年10月,澳大利亚总检察长(AGD)通过发布《隐私法》审查问题文件(AGD问题文件)开始了公众咨询。一年后,即2021年10月,AGD发布了一份《隐私法》审查讨论文件(AGD讨论文件),根据AGD收到的200多份针对AGD问题文件的意见,概述了更详细的改革建议。

在DPI报告中,ACCC建议加强《隐私法》中的同意要求,这样《隐私法》将默认要求通过自愿、具体、不含糊和知情的明确肯定行为来取得对个人数据的任何处理的同意。然而,DPI报告也承认“同意疲劳”的问题,并建议采取措施解决这一问题。为了减少同意疲劳,ACCC建议在个人数据被用于不相干的或意想不到的目的时要求取得同意。值得注意的是,ACCC承认,在数字经济中,同意对消费者来说已成为越来越复杂和繁重的任务,获得同意可能无法对个人数据提供足够的保护。

相比之下,AGD在AGD讨论文件中指出,咨询回复提交者“压倒性地反对”在《隐私法》中给予同意更突出的作用,并认为尽管在某些情况下同意可能是必要的,但不应该经常依赖同意。AGD表达了咨询回复提交者在以下方面的关切:

  • 同意疲劳。

  • 同意要求的繁琐特质:

- 对企业而言,特别是在个人不希望或不需要同意的情况下,以及在个人或更广泛的社会将合理地预期为特定目的处理个人数据的情况下;以及

- 对个人而言,他们被期望理解和考虑复杂的数据实践,并识别可能的危害。

  • 在现代数据实践中缺乏有意义的同意。

因此,AGD讨论文件提出了一个较为温和的建议,即应修改《隐私法》,加入更详细的同意的定义,要求同意是自愿的、知情的、当前的、具体的,并通过明确的行动毫不含糊地作出。AGD还考虑将同意的作用限制在对个人构成最高隐私风险的个人数据处理,以及改变最初处理个人信息所告知的目的而处理个人数据。

在DPI报告中,ACCC考虑了一项建议,即采用欧洲数据保护法(包括GDPR)中的处理个人数据的合法利益基础,但最终建议不要在《隐私法》中采用这一基础,理由是鉴于“合法利益”的定义广泛而灵活,因而存在不确定性。

AGD讨论文件指出,20个咨询回复提交者建议采用处理个人数据的合法利益基础。AGD考虑了这一建议,但最终选择推荐一项一般要求,即实体不对个人的个人信息采取不公平、造成伤害或超出普通个人合理预期的行为或做法。然而,这种区别可能只是学术上的,因为在实践中,如果澳大利亚采用合理性要求,其对处理个人数据的要求将与合法利益基础下的要求相似。特别是,《隐私法》将允许在未经同意的情况下,为组织的职能或活动所需的各种目的处理个人数据,但要进行影响评估并考虑数据主体的合理预期。

五、 建议

基于世界各国重新平衡同意模式的成功实践,报告提出了一系列措施建议。亚太地区的各司法管辖区可以考虑采用这些措施,以加强组织的可问责性,并减少个人隐私自我管理的负担。

一是应当保留同意作为个人数据处理的合法性基础之一。然而,亚太地区各司法管辖区应对同意适用一致的要求,且各监管机构及数据保护机构应出台指引以提高同意适应情况的一致性。亚太地区的监管机构及数据保护机构也应明确有效同意的范围,包括明示的“选择-加入”、默示的“选择-加入”、以及“选择-退出”。

二是应当保留数据保护相关法律中现有的同意替代方案,但在某些情况下,提高明确性可能会带来更大的益处。

三是亚太地区的监管机构及数据保护机构可以考虑推广将合法利益作为个人数据处理的合法性基础,以适应未来的数据保护相关法律,并为同意提供灵活的替代方案,尤其是在不适合采用同意这一合法性基础的情况下。

参考文献

[1] https://fpf.org/wp-content/uploads/2022/11/FPF-APAC-Comparative-Review-DIGITAL.pdf

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。