【全文】
1.对于企业疯狂采集个人数据的行为,作为公民个人,可以说“不”吗?
2.企业采集的公民个人数据到底属于谁?企业还是个人?
3.面对企业基于营销而完成的用户画像,个人可以说“不”吗?
4.一旦微信中的数据被删掉了,而现又需要拿它作证据,该怎么办呢?
2015年生效的《欧盟通用数据保护条例》针对这一系列的问题给出了答案,对于我国完善数据立法具有重要的借鉴意义!
Facebook的数据“泄漏”事件为世人瞩目,扎克伯格也正急着四处灭火。恰逢此时,欧盟《通用数据保护条例》(GDPR)已于2018年5月25日正式生效,GDPR关注“自然人享有的个人数据保护的权利”的保护,并为企业在收集和利用个人数据方面制定了“严格”的规则。GDPR还尽可能把更多的企业纳入到自己的管辖范畴,至少以下二类企业需要受该法律调整:1.设在欧盟内部的企业(即使其服务器设在欧盟之外)会受该法律的调整;2.数据处理商没有设在在欧盟,比如系美国的企业,但如果它对于欧盟内的自然人提供商品或服务(哪怕是免费的商品或服务),同样受该法律的调整。
根据欧盟《通用数据保护条例》的规定,这里的个人数据与民法中的“隐私”并非是同一概念。隐私是一个民法学上的概念,它着重强调自然人私密的,不愿意公开的信息。个人数据的范畴较为广泛,包括姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份信息等,可以说,凡是能够识别自然人主体相关的信息,都可以称为个人数据。个人数据当中的绝大多数信息,包括姓名、网上标识等恰恰又是需要公开的,不属于隐私的范畴。用户个人数据虽然不能等同于民法上的“隐私”,但借助个人数据所完成的用户画像,又可以完整地呈现一个人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪。从这一意义上讲,在大数据和人工智能时代,用户个人数据又会将用户隐私带入一个全新的领域。
在涉及个人数据利用问题上,GDPR明确规定了数据利用的基本原则,包括:
1.合法、合理、透明原则。该原则强调对于用户个人数据抓取、存储、用户画像等使用过程中,需要严格按照GDPR的规定,并且还要遵守合理和透明的原则。事实上,GDPR在通篇规则中都彰显了“合理”、“透明”的原则,尤其是在解释企业利用用户个人数合法基础的时候,还将用户“同意”放在首要的位置上。
2.目的限制原则。这是一种基于约定而产生的当然义务。当用户同意企业利用自己的个人数据时,是基于企业所表明的特定初始目的,于是初始目的也就成为用户和企业协议的重要组成部分,如果企业违反初始目的即视为对协议的违反。当然,GDPR也强调,基于公共利益、科学或历史研究或统计目的,不视为违反初始目的。
3.最小化使用原则。对用户个人数据的利用需要“相在”和“最小化”,比如在采集用户数据时就需要回答,到底需要采集哪些个人用户数据,这实际上取决于要实现的初始目的,按照该原则的要求,只需要采集能够实现初始目的相关和最小化数据。
4.准确使用原则。如果个人数据存在错误,就有可能会误导公众,也可能会对用户个人的利益实现造成妨碍,因此,GDPR要求准确使用用户数据。事实上,当用户数据被错误利用时,用户还享有请求纠正的权利。
5.重要数据的期限存储原则。这里的“重要数据”是指能够识别用户的个人数据,比如像姓名、身份证号码等数据,之所以重要,是因为这些数据能够识别出用户的主体身份,通过对这部分数据的分析可以直接窥探到用户的隐私;如果为犯罪份子掌握,还可能构成对用户权益的侵犯。因此,于GDPR要求对于上述数据的存储时间不得超过实现目的的必要时间。一旦超越了该必要时间,企业就应当删除上述数据。当然,GDPR也做了例外规定,比如基于公共利益的需要并且已经采取足够安全的保密措施的,可以一直存储。
6.安全使用原则。GDPR要求用户企业应当安全使用数据,要防止被黑客非法利用,否则就可能会用户个人的权益造成损失。同时需要注意,这里的安全使用原则还要求“不得毁损和灭失”。事实上,GDPR将用户个人数据视为用户和企业共同的财富,在企业收集和使用的过程中,用户个人同样有权利将其个人数据再次交易。如果企业在管理数据过程出现毁损情况,不仅仅是对企业自身的损失,同样也是对个人用户利益的损失。
上述六项原则,系企业管理和使用个人用户数据过程中需要遵守的法定原则。一旦发生诉讼或争议,企业就需要论述其是否符合上述六项原则,并承担举证责任。
GDPR回答了企业利用用户个人数据合法性的基础。根据GDPR的相关规定,如果企业要证明自己采集、使用、管理用户个人数据系存在合法基础的,它至少需要证明存在以下任何一项事由:
2.为了实现用户的合同目的。比如在金融管理中,需要存储和使用用户个人数据,以实现为用户提供金融管理服务合同目的。
3.履行其法定义务所必需。如保险公司基于保险法之义务,收集和记录用户个人数据信息。
4.为了用户的核心利益所必要。如银行为客户打印存款单的行为,即为了准确记录用户余额而使用用户数据。
5.基于公共利益或官方权威。比如为配合司法调查,采集和使用用户的个人数据信息,虽缺少用户的同意,但配合司法调查作为企业的法定义务,因此上述行为同意具有合法性基础。
6.对于企业或第三方所追求的正当利益是必要的。事实上,企业需要证明其利用数据是为了追求自己的正当利益,何为正当利益,这为数据使用留下了些许的自由载量权。
事实上,绝大多数的数据处理都将是基于同意完成。这种同意也将主要表现在对格式协议的默认方面。然而,在争议中企业需要对个人的同意提供证据,即举证人在企业一方,如果企业证明不了用户同意,那也将视为“不同意”。
数据主体所作出的同意是可以撤销的。企业应当在对数据处理前就告知用户有这种撤销权,当然,在用户撤销之前,企业对于数据的处理是合法的。该法还进一步明确,企业作出撤销的意思表示应当像作出同意那样的意思表示一样“简单”。事实上,如果让用户作出撤销意思表示十分困难的话,那无疑等于剥夺了用户的撤销权。显然,该法在这方面为用户考虑到细致入微的程度。
与此同时,即便企业在诉讼中拿出了用户同意的证据,用户还可能反驳并非在“自由”的状态下作出“同意”的意思表示,对于这种反驳,法官同意需要认真审查,其中的要点在于“对契约的履行——包括履行条款所规定的服务,个人数据处理是否必要”。
对于特殊类型的个人数据应当被禁止使用,这里所谓“特殊类型的个人数据”,是指那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,该部法律规定应当禁止处理;除非有法律规定的极特殊情形。
与此同时,与违法犯罪有关的个人数据,实施严格管理,具体为由官方机构控制或者由法律授权进行处理,从这一意义上讲,一般的商业机构便无权处理该部分数据。
GDPR规定了两种场景下的知情权:一是企业需要收集用户数据的时候,首先是要用征用户的同意。在客户同意的情况下,企业仍有义务告知用户必要的信息,包括:我是谁,我会收集你的哪些信息,收集和处理信息的目的和法律基础等相关事项。二在数据收集完成后,针对数据的利用情况,用户仍有进一步知情的权利。关于自己的个人数据是否正在被收集和使用,如果存在收集和使用情况,用户还有权访问个人数据并获取如下信息:1.使用的目的;2.数据类型,或者说具体包括哪些自己的个人数据被收集和使用。3.个人数据披露给了谁?4.存储期限或者确定期限的标准。5.要求变更或删除数据时,如企业对此存在反对意见需向用户表示反对的依据和权利。6.向监管机构申诉的权利。7.如果用户发现,企业所掌握的个人数据并不是直接从用户那里收集,用户有权知道企业获取数所的来源。8.用户画像的逻辑。
根据GDPR的规定,用户有权要求获取个人数据提供备份的权利。用户可以要求企业向自己提供一份自己的个人数据备份。按照该法律规定,如果用户又进一步要求额外备份,企业有权收取一定的费用。备份的数据原则上应当以通常使用的电子形式提供,比如办公常用的word文档或者excel表格均属于常用的电子形式。
GDPR赋予了用户“更正权”,该权利包括两方面的内容:一是对于不正确信息的更正;二是对于不充分信息的完善。用户的个人数据与企业所掌握的数据可能会有区别,之所以会有区别,大致有两个方面的原因:一是企业在首次获取用户数据时存在错误,如获取了错误的用户电话号码;二是用户的信息会发生变化,如用户自己更换了自己的电话号码,然而企业所掌握的信息并没有即时更新。
删除也也称“被遗忘权”,根据GDPR的规定,该权利是指用户有权要求企业删除个人数据的权利。比较典型的情况二种:一、当收集或处理数据的目的不再必要的时候,用户有权请求删除数据。二、撤销此前同意的情况下。绝大多数场景下企业使用数据都是以户的同意作为基础的,事实上GDPR允许用户撤销此前的同意, 亦即意味着允许用户单方撤销协议。此外,需要特别考虑的情况是,一旦用户要求删除数据时,如果该个人数据已由收集企业披露给其他企业,需要如何处理的问题。收集个人数据的企业,还义务告知其他也在利用该数据的企业:用户已经要求他们删除个人数据了。当然,用户要求删除数据的目的也并非总是能够被满足,如果基于公益的目的或者基于法律规定不宜删除的,用户要求删除的请求并不会被满足。
用户除了请求删除个人数据之外,还有一种较为常用的场景,用户需要企业停止使用其个人数据。根据GDPR的规定,以在下情况下,用户有权禁止企业使用其个人数据:
1.对数据准确性存在争议,这种情况下,用户有权禁止企业使用。
2.企业存在非法利用数据时,用户有权企业禁止利用其数据。当然,这时用户可以要求企业删除其个人数据,但是在某些特定情况下,用户又不愿意删除其个人数据,比如在论文网络平台中,如果完全删除用户的数据,可能会影响用会的社会评价。如果用户发现企业在使用数据存在违反版权的3.企业不再需要个人数据时,用户基于诉讼或者法律证据的考虑,可以要求企业不能删除。
4.在涉及用户画像时,用户提出反对意见,企业同时提出了更具有说服力的理由,这里用户如果提出需要确定企业的理由是否优于自身理由时,可以暂时先停止用户画像。
一旦出现了上述事由,企业除了储存数据外,原则上不得再采用其他方法使用上述数据。当然,该法律也规定了例外情况,如基于法律诉讼的需要或者公共利益的目的利用个人数据可以不受限制。
数据能不能像包裹一样随身携带,是这项权利要解决的问题。当企业完成对个人数据收集完成后,如果用户需要把该数据“带给”其他企业使用时,用户该怎么办呢?为此,GDPR专门规定了“数据携带权”,该权利实质上实现了这样一种场景:当用户同意了某企业(第一个企业)收集个人数据之后,用户又与其他企业(第二个或第三个企业)达成利用数据协议,用户几乎可以通过一键传送那样的便利,将数据从第一个企业传输到其他企业。数据携带权,实质上允许用户可以将一份数据卖给多家企业。
“反对权”不同于前面的“限制使用权”,它并非是要对用户个人数据全方位的禁止,而仅仅是针对用户个人数据在特定应用场景下的应用的反对,这里的特定应用场景主要包括二种情况:一是针对企业用户画像下的反对;二是针对直接营销目的的数据利用的反对。
关于用户画像。用户画像是一个更为复杂的问题,它不等于简单地收集信息,而是通过对信息综合运算的结果。人工智能借助大数据完成用户画相,并实现自主决策,比如根据用户画相信息向用户提供匹配的新闻或者根据用户画相信息向用户推送合适的广告等。针对用户画相,GDPR明确规定了用户有权提出反对。用户行使反对权后,企业随非能提出压倒性的正当理由或者“为了提起。行使或辩护法律主张”,否则就应当停止用户画像。
用户画像最终将还将形成对用户的习惯、爱好、诚信等方面的评价。事实上,在人工智能时代,这些评价还进被广泛地运用到金融、法律等领域,用户画像也随之成为决策依据:法官决定对被告人量刑的依据,或者解行在风险评估时决定是否要对用户发放贷款的依据。根据GDPR的规定,针对机构依据用户画像所作出的决策,用户个人同样有权提出反对。当然,GDPR也提出了反对权无效的特例:
(1)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的,用户的反对无效;比如借助人工智能帮助风险用户的诚信指数时,系统需要通过用户画相完成对用户诚信评级,这对于银行进行风险评估至关重要,因此用户反对依据用户画像作出决策的说就难以成立了。
(2)当依据用户画像作出决策系法律所授权的,这种情况下,用户个人的反对无效。
(3)依据用户画像作出决策系用户明确同意的,用户反对无效。
尤其是基于直接营销目的而使用数据的,用户更是有权随时反对,并且一旦用户提出反对,数据主体将不能为了此类目的而使用个人数据。
企业在收集和使用个人数据的过程中,应当采用适当的技术措施保证个人数据的安全。这里的关键词系“安全”,何为安全呢?GDPR着重强调三个方面:第一,就是数据的保密性,企业应当采用对个人数据采取保密措施,从而有效防止数据泄密;第二,保证数据的备份和完整,即便是在服务器遭受物理性或技术性攻击的情况下,企业仍然有能力保障数据的安全。第三,拥有正常使用数据的技术能力,特别是在个人数据传输、储存或处理过程中的意外或非法销毁、丢失。
在对企业苛求安全义务的前提之下,该法律进一步规定,一旦出现数据泄漏,企业所要承担的报告的义务。根据该法律规定,当个人数据出现泄漏的情况下,企业应当在其知悉后至迟72个小时内向监管机构报告。报告的内容至少要包括个人数据泄漏的性质、大致数量、类型、可能后果以及已经采用或计划采用的措施等。法律之所以规定在出现个人数据泄漏的情况下企业承担向监管机构报告的义务,其目的在于,全面评估事故,以调动各方资源尽可能减少事故损失。
当个人数据出现泄漏的情况下,企业除了向监管机构报告,企业还应当向用户个人传达个人数据泄漏的事宜。根据GDPR的规定,在数据泄漏事件中,用户享有全面的知情权。考虑到个人用户对于技术的非专业性特点,该法律甚至还要求企业在向个人用户告的时候,需要采用清晰和平白的语言传达个人人数据泄漏的性质。
每个数据主体都有向监管机构申请保护的权利。对于监管机构的的决定,用户还有权进一步法院提请诉讼的权利,从而获得司法救济权。事实上,当企业收集或使用数据的行为涉及侵犯用户数据权利的情况下,用户还有权直接向法院提请诉讼。
由于个人数据问题往往会涉及人数众多,相关诉讼大都只可能是集体诉讼。作为诉讼的原告方大都会委托诉讼代表提请诉公,为此该法律还特别规定了“代表诉讼”。根据该法律规定,作为用户个体有权委托非盈利机构、实体或协会代表其行使相关救济权利:既包括代理用户向监管机构申请保护的权利,也包括代理用户向法律提请诉讼的权利。
如果企业违反本法导致用户利益受到损失,用户有权获得赔偿,尤其需要指出,该部法律还规定了精神损害赔偿。的确,由于个人数据利用不当极有可能给用户造成经济上的或者是精神上的损失,为此用户有权请求“控制者”和“处理者”承担连带法律责任,这里的“控制者”是指对数据享有实际控制权的主体,处理者则是受控制者委托实际收集和利用数据的主体(如接受委托的技术公司)。在这里,数据控制者和处理者需要承担连带责任,从而最大程度保证数据用户的利益。
最后需要指出,该法赋予了监管机构的至高的处罚权。如果企业在收集和使用个人数据的过程中,违反了本法的相关规定,监管机构最高可以处罚至2000万欧元或者上一年度全球总营业额4%的罚款(两者择其高)。
