【全文】
2021年2月10日,欧盟成员国就最新修订的《电子隐私条例》(E-Privacy Regulation)草案(以下简称《电子隐私条例》)达成一致。该条例旨在加强对电子通信服务中用户隐私的保护,标志着欧盟个人隐私保护立法迈入新阶段。该项立法于2017年由欧盟委员会提出,历时四年多,跨越9个欧盟理事会轮值主席国,提出十多个版本的草案。本次版本通过后,将经过欧盟议会的审议正式生效。
启动《电子隐私条例》的立法是为了配合欧盟数字单一市场战略(Digital Single Market Strategy)的执行,以提升对数字服务的信任和其本身的安全性。数字单一市场战略中规划的数据保护立法体系也包括了《通用数据保护条例》(GDPR)和《电子隐私条例》。在欧盟的立法规划中,《电子隐私条例》是作为《通用数据保护条例》在电子通信领域起细化和补充作用的特别法,因此在监管规则上《电子隐私条例》与《通用数据保护条例》保持了一定的一致性。《电子隐私条例》通过对数据类型的分类保护(例如区分电子通信内容和元数据)和对法人、自然人共同保护的方式加强并扩大了对隐私保护的力度和范围。另外,《电子隐私条例》也很注重实现欧盟在保持科技创新、进步和客户隐私保护之间的平衡。
一、欧盟《电子隐私条例》的出台背景和立法价值
根据《电子隐私条例》序言第1条,本法是基于《欧盟基本权利宪章》(以下称《宪章》)第7条制定的,即人人有权享有私人和家庭生活、住宅以及通信受到尊重的基本权利,其中包含的保护客户隐私和通信秘密是《电子隐私条例》制定的主要目的。
信息科技的发展改变了人与人之间的沟通方式以及商业的运行模式,数字时代的参与者也面临更多隐私风险的挑战。《通用数据保护条例》对欧盟的个人数据保护建立了整体的法律框架,但在电子通信与互联网通信领域,需要更加细化的规则进行规制,特别是对如今迅速发展的以Skype、Zoom和Microsoft Teams为代表的送出中继线测试系统(OTTs)领域,以及电子信息通信中存在的未经允许访问获取客户数据和进行广告推广等现象。而现行有效的,制定于2002年的《电子隐私指令》已不足以应对现在的电子通信环境。
最新修订的《电子隐私条例》在序言第6条和正文第27条中明确,《电子隐私条例》将会在其生效时取代《电子隐私指令》。《电子隐私指令》随着科技和商业模式的发展,即使经过多版修改,仍无法应对日益复杂的电子通信环境,这是《电子隐私条例》出台的一大原因。2015年,欧盟委员会发起了对《电子隐私指令》的评估,通过对2009年至2016年《电子隐私指令》适用性和实际应用评估发现,其部分规则已不能适应市场和科技发展与法律体系的变化。
在《电子隐私指令》的适用与执法中,其有效性面临多方面挑战。由于很多成员国针对《电子隐私指令》建立的是一套多部门执法体制,这导致了部门间权责界限不清晰,并容易造成监管漏洞,影响现实中的执法效果。另外,各成员国在法律运用上也存在不到位的情况。同时,评估发现《电子隐私指令》在应用过程中对利益相关方在时间、精力和金钱上的效率都不高,并且《电子隐私指令》与《通用数据保护条例》等现行其他欧盟法律的兼容性与一致性也存在问题。
二、欧盟《电子隐私条例》的规范设计与制度安排
2021年2月10日通过的《电子隐私条例》包括了序言(43条)和正文(29条),正文分为7个章节,主要涉及以下五大方面议题:
(一)扩大规制范围
根据《电子隐私条例》第2条的规定,新法的适用范围不仅包括对电子通信数据和电子通信服务的规制,在第2条第1款(b)至(d)项中,法规管理范围还扩展到了终端用户的设备信息(例如cookies)、提供电子通信服务的终端用户的公开目录以及向终端用户发送直接营销信息的行为。另一方面,《电子隐私条例》还增加了对OTTs服务、固定和移动电话服务以及通信服务的管理(machine to machine,M2M)。此外,非公开的电子通信服务被排除在了管辖之外。《电子隐私条例》应用范围的扩大保证了用户在使用传统和现代通信服务时,终端客户的隐私都能得到高效和平等的保护。
《电子隐私条例》沿用了《通用数据保护条例》追求法律域外效力的原则,扩大了规制的地域范围。《电子隐私条例》第3条规定,该条例适用于(1)向欧盟境内终端用户提供电子通信服务的;(2)对欧盟境内终端用户设备的信息保护。这也就意味着,数据处理地在欧盟境内和境外的电子通信服务提供者均适用本条例,因此,第3条对欧盟境外的电子通信服务提供者也产生了约束效力。另外,对于不在欧盟境内处理数据的电子通信服务提供者,其被要求在一个月内以书面形式在欧盟成员国内指定欧盟代表,并向监管机构汇报。但偶然在欧盟境外处理欧盟用户数据被作为一种例外可以免除欧盟代表设立义务。
(二)加强通信保密性
《电子隐私条例》第5条确立了电子通信数据的受保护地位,并列举了被禁止的多种通信数据侵犯形式。欧洲晴雨表(Eurobarmeter)统计指出,92%的受访者认为电子邮件和短消息的保密是很重要的。通信保密作为电子隐私法律体系的重要部分,这关系到电子通信数据背后用户高度敏感的信息。比较典型的是该条例将“元数据”(metadata)列入保护范围,即用于传输、分发或交换电子通信内容的数据,包括用于追踪和识别通信来源和目的的数据,以及通信时间、位置等记录通信状态的数据。此类元数据,虽不包括具体内容,但仍然关联敏感且私人的信息。除了对侵犯自然人隐私的规制,《电子隐私条例》将法人和自然人的通信秘密进行了同等保护。
《电子隐私条例》第6条规定了允许处理的电子通信数据和具体情形,并对电子通信内容和元数据分别进行保护。首先,处理电子通信数据的用途被限定在提供通信服务需要、保护网络安全、遵守公法规定以及其他法定特殊用途且无法匿名使用的情况。并且,条例规定对电子通信内容的处理,需要获得终端用户的同意,且仅能服务于个人使用目的,处理该内容不能对他人的基本权利和利益产生消极影响。其次,对电子通信元数据的处理,必须基于终端用户同意的特定目的以及为公益服务、电信服务所必须等范围。对用于科学、历史研究等目的的元数据必须假名化、匿名化,并不能用于用户画像。《电子隐私条例》的第6条对收集元数据做出了更加细化的规定,包括了收集元数据的目的、与最终目的之间的关系、收集元数据的场景、所收集数据性质和处理的方式、处理的后果以及保障措施等,并限制了对第三方的数据分享,以求最大限度地保障元数据的安全处理。
(三)保护终端用户设备
用户的私人活动和个人终端不应当在未经允许的情况下,受到监控或被任何形式的侵犯。根据《电子隐私条例》第8条第1款,除非有用户同意或服务需要等特殊情况存在,条例禁止擅自使用终端设备的处理和储存功能或从用户的终端设备收集信息。
现行的《电子隐私指令》允许电子通信服务者在用户同意时使用类似于cookies的追踪技术。但各类电子通信服务者过多的同意弹窗使同意机制失效,用户往往在没有阅读和理解同意条款的情况下就点击了“接受”。此外,《电子隐私指令》也要求在追踪一些非隐私数据时获得同意,但却没有将一些新型追踪技术纳入规范。新的《电子隐私条例》简化了对用户终端设备使用追踪技术的要求,增加了用户的个性化设置权,终端用户可以通过软件设置一个“白名单”,同意特定电子通信服务者的特定服务对终端设备数据的处理,以此种方式减少弹窗的使用。对于非隐私相关的cookies,将不再被要求用户同意。但这类技术仍限制在具有以上法定目的和用户同意的情况下使用。
《电子隐私条例》还对收集终端用户所发出信息的行为进行了规制,这类情况主要适用于在设备进行互联网、局域网或其他设备间连接时发出的数据。进行网络连接需要定期发射数据包,以发现或保持连接状态。在数据包中,包含了能够唯一识别设别的地址,例如MAC地址、国际移动站设别标识(IMEI)、IMSI以及Wi-Fi信号等。除了获得用户同意和基于法定目的之外,《电子隐私条例》禁止对此类信息的其他用途处理。
(四)终端用户的通信控制权
《电子隐私条例》第12条赋予了电子通信用户自由决定是否展示自己通话线路识别的权利,用以保护通话线路识别中包含的个人隐私。例如,对于求助热线类电话,保证其来电者的匿名性是必要的。而第13条规定在拨打紧急电话等法定类型中,用户在通话线路识别中的隐私权将会被限制,因为这是对生命权等更大利益的保护。而为保护电子通信用户免受恶意骚扰电话或其他不愿意接受的电话类型的困扰,《电子隐私条例》第14条规定,成员国应立法在追踪恶意电话时临时取消对通话线路标识的隐藏。同时,电子通信服务提供者应当为用户提供对特定电话的限制呼入服务,用以解决持续不断的骚扰电话。
此外,在《电子隐私条例》第16条第1款中,禁止了未经用户允许的直接商业营销通信。该种营销包括各类通信方式,例如短信、邮件以及蓝牙,因为这些方式的侵入性和骚扰性没有差别。新法规定,用户应当在收集信息时被明确地赋予同意或拒绝直接营销的机会,仅仅从用户处获得联系方式不能构成同意。但在产品和服务交易发生后,服务提供者可以在一段时间内使用联系方式进行直接营销。当自然人终端用户同意接收直接营销信息后,其拥有可以在任意时间,以方便的低成本方式撤回同意的权利。为落实这些规定,直接营销信息的发送者还被要求在发送时提供其自己的相关信息以保障用户撤回同意的权利。此外,《电子隐私条例》要求直接营销信息的发送者在电子通信中显示通话线路标识,并鼓励成员国在直接营销信息的发送者呼叫时显示特定代码或前缀,用以用户识别营销信息。这些规定可以帮助用户减少直接营销通信的骚扰。
(五)监管和执法
《电子隐私条例》第18条规定,新法将在欧盟数据保护委员会的促进下,由各成员国的数据保护机构监督实施。第19条要求欧盟委员会承担了提供立法和修法建议、提供咨询意见以及提供相关指南、建议和最佳实践做法等工作。《电子隐私条例》第23条规定本法的罚款比照《通用数据保护条例》第83条做必要修改后适用,设定了最高额罚款和上一年营业额按比例罚款两种处罚方式以及不同的处罚级别。同时,新法还授权了成员国立法对违反第12、13和14条进行处罚。
三、欧盟《电子隐私条例》的合规风控启示
随着中国企业走向全世界,中国企业的业务在欧洲市场也在扩张,欧盟《电子隐私条例》将来在域内和域外的适用都有可能会涉及中国公司,尤其是与用户数据密切相关的互联网公司。从已经生效的《通用数据保护条例》来看,《电子隐私条例》也会对中国企业的海外发展产生较大影响,因此有必要在新法未施行前探寻合规之道。
(一)明确受《电子隐私条例》管辖的业务范围
由于《电子隐私条例》管辖范围的扩大,企业首先需要审视自己是否属于处理新法规定信息的电子通信服务者,特别是被纳入新法的OTTs服务公司。其次,企业需要检查自身是否向欧盟境内用户提供了新法规定的服务或处理了欧盟境内的用户数据。如果有涉及欧盟的业务,除了只是偶然提供服务的企业,应当在欧盟成员国设立分公司或代表处。同时,由于《电子隐私条例》将保护范围扩大到对法人和自然人的同等保护,企业对其他法人的数据处理也应当纳入合规考虑中来。最后,新法将元数据纳入规范意味着企业还需要注重对电子通信内容和元数据的同等保护。
(二)把握《电子隐私条例》合规关键
1. 合法合理的隐私制度安排
企业对数据的处理应当遵循《电子隐私条例》中规定的同意原则和各条款特定的处理用户隐私数据的合法事由,如履行协议之必须、用户利益、法律义务、公共利益和正当利益等。其次,企业对用户个人数据的用户画像也应当根据新法进行限制,例如用于科学和历史研究的元数据被禁止用于用户画像。
企业还应当根据新法,限制侵犯用户隐私的其他行为,例如未经允许的使用用户终端设备的储存和处理功能以及进行直接商业营销通信的行为。
2. 用户为本的隐私协议设计
企业对用户隐私数据的处理,可以继续使用“隐私协议”的方式获得用户同意。但对于企业对cookies等追踪技术的同意协议,应将更新的追踪技术纳入管理。另外,cookies协议中应排除不涉及隐私的数据追踪,建立“白名单制度”,让用户可以以一次性选择的方式管理cookies类追踪技术的使用,尽量减少询问弹窗的使用。
3. 体系化的隐私数据保护制度
企业应对个人数据分类管理。区分保护电子通信内容和元数据,对于两类数据的处理必须遵循各自的法定目的和不同的数据保护要求。对于设备进行网络连接发出的数据、通话线路识别和公开目录等特殊规定的被保护数据,企业要建立专门的保护制度。
企业应完善数据生命周期安全管理。在数据收集前,企业应当明确数据使用周期,明确储存时间,允许客户访问、查询、删除自己的数据,在储存时间到期后即时处理相关数据。同时,企业可以对不需识别个人的信息采取主动匿名化和假名化手段,对需要识别个人的信息采取加密手段,以降低泄露风险和合规风险。
企业在进行直接营销通信时,应保护个人的选择权,其包括显示分配的通话线路标识;告知企业身份和营销通信性质;使用有效回信地址或号码;发送直接营销法人或自然人的身份和联系方式,并保证同意接受直接营销的用户再次拒绝的权利。
(三)构建合规联动体系
涉及上述相关业务的企业数据合规官,需要加强对《电子隐私条例》的学习,并根据企业现有业务模式和隐私保护机制,评估数据处理与隐私风险以及各类安全事故风险,全面设计调整隐私保护体系。
除了数据保护部门之外,相关业务部门也需要加强培训,根据数据合规官的意见,调整业务运营方式,设立风险管控机制,尽量避免出现违规情况。
因《电子隐私条例》对相关违法行为惩罚力度较大,企业需要积极配合数据保护部门工作,有相关问题要及时咨询数据保护部门,避免企业法律理解与实际执法之间出现偏差,造成损失。同时,与数据保护部门保持密切沟通,从而可以在不合规事件发生之初就能够察觉且采取行动,避免损失扩大。
