曾麗潔

(湖北大學, 湖北 武漢 430062)

一、研究背景

歐盟《通用數據保護條例》(General Data Protection Regulation, GDPR)代表著數據保護領域立法的最新發(fā)展并有著廣泛的域外適用范圍,尤其是2018年5月實施之后,針對一些國際知名企業(yè)違反GDPR的行為作出的巨額行政罰金或其他限制性處罰,使該條例不僅引起了我國學界的研究,也受到了實務界的高度關注。

國外學者關于GDPR研究的代表性成果是Mariusz Krzysztofek教授的專著GDPR:Post-ReformPersonalDataProtectionintheEuropeanUnion[1]。作者從適用范圍、基本概念、數據處理一般原則、數據處理的合法根據、數據控制者提供數據處理相關信息的義務、數據主體權利、數據控制者與合作者的關系、數據保護監(jiān)管、向非歐盟國家跨境數據流通等方面,全面地介紹了GDPR的制度安排,尤其提到GDPR的直接效力(Direct Horizontal Effect)。該書作者作為跨理論與實務界的專家,所做評述極有見地,對GDPR的研究具有重要參考價值。

國內學者對GDPR的研究成果不算很多,但分別從不同角度做了比較充分的研究。中國信息通信研究院互聯網法律中心的王融[2]早在2016年就關注GDPR對歐盟1995年《數據保護指令》的修訂及幾大變化,為人們及時了解歐盟的立法動態(tài)做了引介。鄒軍[3]總結了GDPR關于個人數據跨境流動的原則,認為GDPR面臨著產業(yè)發(fā)展、隱私保護和國家安全的張力,建立了保護、平衡和信任的新機制,對我國完善相關數據政策具有積極意義。林凌、李昭熠[4]通過對GDPR法政治學、立法特點以及法理的深入探討,認為GDPR在執(zhí)行過程中將遭遇一系列法理和司法困境,如果不加以妥善處理,勢必影響GDPR的權威性和可執(zhí)行性,提出我國應借鑒歐盟GDPR立法理念,從法律維度、社會治理維度和信息產業(yè)維度構建個人信息雙軌保護制度。吳云云[5]在碩士論文中專門研究個人信息自決權,認為歐盟通過提高主體同意規(guī)則的標準、完善個人信息自決權的監(jiān)管機制等措施強化主體的信息自決權,分析了GDPR強化信息自決權的相關規(guī)定的爭議點,尤其是指出了作為信息自決權基礎的主體同意規(guī)則所面臨的困境及其與其他個人信息自決權保護策略的優(yōu)勢對比,從而更加明確主體同意規(guī)則之于個人信息自決權保護的普適性。 葉開儒[6]從GDPR的長臂管轄制度入手,闡明歐洲采取強數據主體權利保護模式的原因,尤其是其歷史和文化取向,揭示觀念如何型塑具體法律規(guī)則和制度、現實目的又是如何利用價值原則來實現的,從而提出,中國既要基于自身特有的文化和歷史情境,又要與現實的數據產業(yè)發(fā)展相協調,形成一種積極有為、內外聯動的立法模式。

綜上,國內外學者已有的研究偏于宏觀,主要是對GDPR制度設計的整體介紹、立法取向的探析或某一方面制度的評價以及對我國立法的宏觀上的借鑒意義,比較少從中國企業(yè)如何針對該條例的域外適用建立合規(guī)體系這一視角來探討企業(yè)的應對之策。

收集、生產、聚合與分發(fā)信息是智能傳播平臺發(fā)展的基礎,但是,這些過程很可能引發(fā)個人數據保護的法律問題。根據GDPR適用范圍的規(guī)定,設立地位于歐盟境外的機構,只要其在提供產品或服務的過程中處理了歐盟境內個人的個人數據,將同樣適用于該條例,包括對歐盟境內個人活動進行網絡跟蹤等監(jiān)控行為 (第3條)。那么,任何位于中國的智能傳播平臺只要能夠被歐盟境內的個人訪問和使用、產品或服務使用的語言是英語或某一歐盟成員國語言、產品以歐元標價,都可以被認為該產品、服務的目標用戶包括歐盟境內用戶,從而屬于GDPR適用的對象。GDPR的立法目標是二元的:保護個人權利并促進個人數據流動,以期在數據權利與其他正當利益之間形成平衡,其主要特征是“以風險為路徑”。合規(guī)不僅是義務,也是智能傳播平臺降低問責成本、增強適應性和提升市場競爭力的路徑。鑒于GDPR正式實施后陸續(xù)有著名企業(yè)或機構因違反而受到處罰①,本文旨在探討中國智能傳播平臺應對GDPR數據風險的防控路徑,從而降低或避免數據違規(guī)成本。

二、GDPR的相關規(guī)定給中國智能傳播平臺帶來的挑戰(zhàn)

(一)從設計著手保護隱私增加了產品或服務設計成本

GDPR強調事前防范與主動防護,要求“自設計開始的個人數據保護”(Data Protection by Design),在產品或服務的設計時就應建立數據主體權利實現的機制。GDPR確立了數據主體的幾項權利:(1)知情權。規(guī)定數據控制者必須以清楚、簡單、明了的方式向用戶說明其個人數據是如何被收集、處理或傳輸的(第12、13條);(2)訪問權。規(guī)定數據控制者應當為用戶實現該權利提供相應的程序(第15條);(3)反對權。包括絕對的拒絕權和限制處理的權利(第21條);(4)可攜帶權。數據控制者不僅無權干涉,而且有義務提供數據文本以幫助用戶實現可攜帶權 (第20條);(5)被遺忘權。當用戶依法撤回同意或者數據控制者不再有合法理由繼續(xù)處理數據時,用戶有權要求刪除數據;數據控制者不僅要刪除自己所控制的數據,還負責對其公開傳播的數據通知其他第三方停止利用并刪除(第17條)。

數據主體權利的確立加重了數據控制者的義務。在設計產品和服務時,就應充分考慮個人信息保護和智能傳播有序發(fā)展的相關需求,并對可能出現的技術風險提前做出預判[7]。產品和服務的設計要符合GDPR的目的限定原則②、最小范圍原則③、存儲限制原則。

(二)數據利用及維護中的數據保護要求加重了數據保護義務

1.數據的分類保護

在以“可識別性”為核心界定個人數據的框架下,GDPR所定義的個人數據包括“已識別”與“可識別”的,包含了識別路徑的個人數據(由信息本身特殊性識別出特定自然人)和關聯路徑的個人數據(已識別的個人后續(xù)的動作被系統記錄顯示出的偏好和行為軌跡)。GDPR允許對可識別的數據進行加密和假名化處理后可以有與收集時的原始目的相兼容的新目的。去標識化的個人數據,不適用數據主體相關權利的規(guī)定,除非附加新信息后可重新具有“可識別性”。 匿名化數據不受GDPR管轄。

2.處理個人數據必須要有合法理由

GDPR認可的數據處理的合法根據包括:數據主體的同意、履行合同之必要、履行法定義務的需要以及數據控制者的合法利益等。對于最重要的“同意”規(guī)則,規(guī)定了嚴格的有效標準:必須是具體的、清晰的,是數據主體在充分知情的前提下自由做出的(第7條)④。同時,還賦予了數據主體可以隨時撤回同意的權利;處理兒童個人數據必須獲得其父母或者其他監(jiān)護人的同意并負有舉證責任(第8條)。

關于“數據控制者的合法利益”這一合法理由,數據控制者必須能夠證明,其合法的利益顯著高于數據主體的個人權利和自由(第6條),同時賦予了數據主體對于營銷活動的絕對反對權。

GDPR對用戶畫像技術做了特別規(guī)定,必須符合以下條件之一:數據主體明確同意;歐盟或成員國法的明確授權;數據主體和數據控制者之間簽訂或履行合同所必要(第22條)。獲得用戶合法有效的同意,首先應當向數據主體全面介紹用戶畫像技術如何進行、所收集數據的范圍、算法基本邏輯、評估結果是否對用戶產生法律影響。其次,應當區(qū)別于其他信息、明確無誤地采用足以引起用戶注意的方式,告知用戶其享有對畫像技術的反對權(第13(2)、21條)。

3.為數據處理者設定了同等義務和責任

GDPR為數據處理者也設定了與數據控制者相同的數據安全保障義務,并詳細規(guī)定了控制者與處理者之間協議應包含的與數據保護相關的內容。如果數據主體所訴某項侵權涉及一個以上的數據控制者、處理者,則他們共同承擔連帶責任,除非能證明其對損害的產生沒有責任。

(三)數據監(jiān)管的要求加重了行政負擔

GDPR的數據監(jiān)管機制分為內部監(jiān)管和外部監(jiān)管。

1.機構內部監(jiān)管

(1)數據保護影響評估

GDPR對于高風險的數據處理活動,例如,會對數據主體產生法律上的影響的個人評價、對大量敏感數據的處理、對公共領域大規(guī)模的系統性監(jiān)控等,要求事先進行數據保護影響評估(Data Protection Impact Assessment, DPIA) (第35條)。如果數據保護影響評估的結果顯示是高風險,且數據控制者沒有有效降低風險的措施,數據控制者應當就數據處理活動向數據保護機構進行事先協商(Prior Consultation)。監(jiān)管機構應當在收到協商申請的特定期限內提出處理意見,并可以采取糾正措施(第36條)。

(2)痕跡管理及問責機制

GDPR要求企業(yè)在內部建立完善的問責機制(達到一定規(guī)模的機構還要設置數據保護官)。數據控制者必須做好痕跡管理,全面記載其數據處理活動以作為問責的證據(第5條)。GDPR對屬于其適用范圍但設立地在歐盟境外的機構,要求其必須在歐盟境內指定一個代表,作為與數據保護監(jiān)管機構之間的聯系點(第27條)。

(3)數據泄露報告

一旦發(fā)生數據泄露事故,數據控制者要在72小時之內通知監(jiān)管機構,若未在72小時內報告,則后續(xù)報告應當說明延遲報告的理由。數據處理者應當在意識到泄露事故及風險后及時告知數據控制者(第33條)⑤。

2.外部監(jiān)管

GDPR要求歐盟各成員國設置數據保護專員,并增強了監(jiān)管機構的執(zhí)法權,可以根據具體情節(jié)采取不同的處罰措施:通知并提醒當事者注意相關違反行為;要求當事者提供相關信息或提供訪問相關信息的入口;現場調查、審計;命令修改、刪除或銷毀相關個人數據;采取臨時或限定性的數據處理禁令;課以罰金(第58條)。

尤其使GDPR在全球具有威懾力的是其所規(guī)定的高額罰金:(1)處以1000萬歐元或上一年度全球營業(yè)收入2%的罰款,兩者取其高。適用的行為包括:未實施充分的安全保障措施,未提供全面的透明的隱私政策,未簽訂書面的數據處理協議等。(2)處以2000萬歐元或上一年度全球營業(yè)收入4%的罰款,兩者取其高。適用的行為包括:無法說明如何獲得用戶的同意,違反數據處理的一般原則,侵害數據主體的合法權利、拒絕服從監(jiān)管機構的執(zhí)法命令等(第83條)。

三、中國智能傳播平臺運營中應對風險點的合規(guī)措施

在GDPR框架下,智能傳播平臺個人數據保護的合規(guī)風險具體體現在用戶感知、法律風險和監(jiān)管態(tài)度三個方面。其中,用戶感知主要通過產品及服務設計來實現,法律風險的防范貫穿于數據收集、數據處理、數據流動三大環(huán)節(jié)中,監(jiān)管態(tài)度包含了內部日常監(jiān)管和對外部執(zhí)法機構的協助監(jiān)管。本文結合智能傳播平臺運營中可能遇到的一些突出風險點,提出應有的合規(guī)措施。

(一)提供最佳用戶隱私感知的隱私設計

智能傳播平臺應把保護用戶隱私與發(fā)展業(yè)務放到同等重要的位置,在考慮如何給用戶創(chuàng)造智能和便利的同時,也要考慮如何為用戶創(chuàng)造安全感、尊重感和價值感。為了盡可能提供最佳的用戶隱私體驗,需要考慮用戶正當期待,使智能傳播產品和服務從設計伊始就以用戶友好的方式構建其隱私保護策略。

1.以用戶為中心設計隱私政策

以用戶為中心的核心要點就是用戶授權。數據主體的“同意”在收集、處理、流通各個環(huán)節(jié)都有相應的要求,主要通過隱私政策或用戶協議獲得。

實務中許多隱私政策或用戶協議的設計不符合GDPR關于“同意”的要求。內容上,普遍存在數據主體權利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病,尤其是涉及企業(yè)責任的重要條款普遍缺失[8]。權利義務的分配方面,作為協議制定方的平臺向自身利益傾斜,平臺“權力”擠壓用戶權利[9]。在獲得用戶授權的方式上,最常見的是采用“注冊即視為同意《隱私政策》與《Cookie協議》”的默認勾選或“一攬子”授權同意、概括式同意⑥。默認勾選同意大多與服務捆綁,不同意則無法享受服務。凡是使用平臺服務的用戶都被推定為接受了這一協議,這也得到包括我國在內的大多數國家法院判決的認可[10]。只提示開啟存儲權限,卻使用戶“一攬子”授權同意了在后臺開啟位置權限,導致應用程序自動追蹤。表示會把個人數據提供給第三方,卻未提供第三方信息,通過格式條款使用戶概括地同意了各種不可預見的數據處理行為。

智能傳播平臺應對標修改內部流程,建立確保同意有效性及可撤回的機制。首先,應更新現有隱私政策,重新審視已獲得的同意是否合法有效。如不符合,可按要求重新獲得同意。其次,智能傳播平臺需要做出平衡透明度與用戶閱讀體驗的最佳隱私政策。美國學者對聯邦貿易委員會(FTC)《公平信息實踐準則》要求下的簡化隱私政策的“最優(yōu)實踐”進行調查研究發(fā)現,隱私政策簡化措施效果不明顯,加上警示標志可以增加關注度[11]。GDPR的要求也將使隱私政策內容更長。但是,過長的隱私政策文本會造成閱讀量下降甚至客戶流失,個人數據用于新的目的還需再次提醒并征得用戶同意,可能導致用戶一定程度的“同意疲勞”而不經閱讀直接給出同意。實踐中,大多數用戶并未閱讀在線協議就直接點擊“同意”,這就減弱了授權機制的實際警告效果,甚至給用戶帶來了風險。實際上,GDPR以“用戶知情同意”為前提的統一標準轉化為在具體場景中以個案的風險衡量為判定原則。“場景”意味著從用戶的期待與接受程度出發(fā),而不是一味秉持“原始目的”的僵硬標準。信息場景被用來代指影響用戶接受程度或對個人信息利用敏感程度的因素[12]。因此,智能傳播平臺隱私政策設計中的風險防控路徑是要考慮一個正常理性的用戶的合理期待與感知,既要平衡平臺運行的需要與用戶隱私感知的滿足之間的關系,又要平衡授權合規(guī)的正當性要求與授權機制的效率要求之間的關系。

2.提升告知的透明度

透明度使用戶能夠了解智能傳播平臺的數據處理行為,并在必要時對個人數據處理行為進行干預,從而增進用戶對平臺數據處理行為的信任。

GDPR中的“顯著告知”意味著“告知”應該立即顯示并引導用戶訪問隱私政策信息。將隱私政策鏈接以醒目的形式掛在網站首頁突出的位置或采用彈窗提示,確保有用戶同意的點擊動作,是符合GDPR“顯著性”要求的常用方式⑦。智能傳播平臺還可以提供鏈接、明確標記、進入聊天機器人界面的交互形式告知隱私政策信息。為了克服智能傳播介質顯示空間的局限,可以使用分層隱私聲明鏈接各類信息,允許用戶直接導航到欲知曉的特定內容,以避免信息冗長帶來的“信息疲勞”,也可以避免過度干擾用戶體驗或產品設計,以解決隱私政策的完整性和用戶充分了解之間的矛盾。形式上,可以圖文并茂,以通俗易懂的動畫演示和文字說明,添加示例、關鍵術語定義的鏈接解釋,以使不同文化水平、生活背景的用戶都能理解隱私政策,提升告知的透明度。

多維度的動態(tài)數據的收集方式雖然會在隱私政策中被告知,然而,動態(tài)收集的核心問題是數據主體與數據控制者都無法預知數據使用中所產生的數據類型和形式,形成隱私政策無法說明、無法預知的模糊地帶。為提升動態(tài)收集下隱私政策的透明度,平臺可以根據數據搜集和使用的進程與用戶溝通,定期動態(tài)更新政策內容并征得用戶授權。針對動態(tài)化收集到不在約定范圍的數據隱私,也可以局部調整政策內容,隨時以彈出界面的方式將調整部分告知用戶,增加用戶閱讀協議的可能,征得用戶許可[13]。

3.確保用戶個人信息自決權

透明度要求并不僅僅是采用“顯著”的方式告知,其核心是尊重并保障用戶的個人信息自決權⑧。我國目前大多數智能傳播平臺對用戶個人信息控制的賦能機制不足。智能傳播平臺要采取適當的技術性和組織性措施,賦予用戶個人信息控制力。不得采用“霸王條款”讓用戶沒有選擇權而失去數據控制力,而且,在設計隱私政策時,要清晰地分隔數據使用的不同權限,區(qū)分核心功能和附加功能,區(qū)分雙方協議功能和第三方協議功能。用戶對不同權限和功能應有選擇權,且不能因拒絕授權附加功能、第三方協議功能影響核心功能、雙方協議功能的使用。還可以提供用戶控制其個人信息權利實現的工具,例如,通過修改偏好設置來控制被自動化決策用于定向推送的個人信息,以滿足GDPR所要求的訪問權、修改權以及自動化決策的可解釋性等問題。

(二)構建隱私數據圖譜防控數據采集中的合規(guī)風險

1.明確劃分個人數據的內容、范圍與分類

個人數據的范疇非常大,其內涵隨著信息技術的發(fā)展不斷豐富,司法實踐目前無法把每種利益都界定得特別清楚。一般來講,用戶個人數據通常應包括個人特征數據、可推測主體身份和行為的數據(訪問內容、終端的IP地址、傳播內容電子記錄、論壇與博客、與他人的交互信息等)、受眾身份與行為記錄(設備及智能傳播應用軟件的用戶ID、密碼、Cookie、網站信息等)。歐盟語境中“身份”(Identity)的內涵遠比中文語境中更寬泛,包括身體的、生理的、基因的、精神的、經濟的、文化與社會的身份。歐洲法院最近裁定,在某些情況下,動態(tài)IP地址也可視為個人數據[14]。手機上網記錄、手機設備號是否屬于個人數據,一直存在爭議。一般認為,不能追蹤到實際個人身份的設備信息、上網信息不構成個人信息。但手機設備號有標識符,只要上網記錄等其他數據就能夠和用戶關聯,從這個意義上講,屬于個人數據。統一資源定位符(URL)可能反映一個人的上網喜好、搜索內容等信息,特別是那些帶參數的,有很大的商業(yè)價值,比Cookie暴露的信息更多,屬于個人數據。上網數據一般是和個人掛鉤的,甚至和上網賬號聯系在一起,要和其他數據放到應用場景中來判斷其是否屬于個人數據。

清晰的分類可以直觀地發(fā)現個人信息流通的路徑[15]。根據GDPR目的限定原則、最小范圍原則、存儲限制原則,智能傳播平臺應確保從目的、數量及時間三個維度對個人數據的收集與處理進行限制,對所收集的個人數據過濾后及時刪除與傳播服務無關的數據。根據分級、分類,分別采取不同的保護措施。尤其要注意對基本權利和自由特別敏感的特殊數據的劃分和特別保護,包括種族、民族、政治觀點、宗教、工會成員身份、基因、生物識別、健康及與性取向或性經歷有關的數據⑨。應指導用戶對個人數據的正確收集做出判定,在技術上讓用戶通過更改隱私設置來限制平臺對其信息的收集范圍。以自建私有云或租賃與自建相結合的方式,對一般數據和特殊數據實行分類存儲,將保密要求高的數據傳輸至平臺私有云存儲。為不同類別的數據分別確定符合處理所必需的最短存儲期限,允許用戶經權限驗證后對其個人數據進行訪問、審查、糾正或要求刪除。

2.主動降低數據識別度

主動降低數據的識別度,可降低風險?？勺R別的數據對個人的識別度相對較低,GDPR允許對該類加密和假名化數據的處理可以有與收集時的原始目的相兼容的新目的。智能傳播平臺在目的限制原則下所承擔的風險就低一些。判斷某項個人數據是否可識別時,始終把握數據的可識別性和識別后對權利主體的影響這兩個基本點,結合指向特定自然人的程度以及需要花費的成本、時間及技術水平等所有客觀因素,綜合考慮可合理用以直接或間接地識別數據主體的方式。智能傳播平臺區(qū)別具有相對獨立性和確定性的非身份性數據與需要跟其他數據相結合才能指向特定個人的數據,根據二者的風險程度分別設置不同的流轉規(guī)則。

去標識化的個人數據,不適用數據主體相關權利的規(guī)定,除非數據主體額外提供了信息,使平臺能夠重新識別出特定個人。智能傳播平臺收集個人信息后立即進行去標識化處理,并采取技術和管理措施,將去標識化的數據與可用于恢復識別個人的數據分開存儲,并確保在后續(xù)的數據處理中不重新識別個人,則可豁免相關義務,節(jié)省巨大的合規(guī)成本。

匿名化數據被排除在GDPR管轄范圍之外。智能傳播平臺將數據做匿名化處理,因無法與已識別或可識別的自然人相關聯,不受GDPR管轄。

(三)確保數據處理的合法性與正當性

1.適當選擇數據處理的合法事由

GDPR規(guī)定了個人數據處理的六個合法事由:同意、履行或訂立合同之必要、數據主體重大利益、法律義務、公共利益、正當利益。在數據處理行為開始之前選擇適當的合法事由十分重要,否則,該行為可能會被認定違反GDPR而受處罰。一般傳播行為中用到的主要是前兩種。

最常用的合法事由就是數據主體的同意。雖然,有學者主張網絡上個人信息的使用適用默示許可[16],但GDPR明確規(guī)定“數據主體授權”必須是數據主體被告知情況下自愿給出的特定的“明確”表示,并確定了“授權”的要件?！懊鞔_”一詞意味著數據控制者不能通過數據主體的不作為或沉默來獲取其同意,也不能通過一般服務條款來獲得,必須是“特定的”。

關于“履行合同之必要”的具體運用,歐盟數據保護委員會(EDPB)于2019年4月12日公布的《關于在向數據主體提供在線服務時依據GDPR第6(1)(b)條規(guī)定處理個人數據的第2/2019號指引》(征求意見稿),為如何判斷“履行與數據主體簽訂的合同或在簽訂合同前應數據主體的請求采取的行動所必須的數據處理行為”提供了指引,明確在何種情況下數據處理行為可以援引該條作為合法性基礎,并對“必要性”作了限縮解釋?！奥男泻贤匾辈⒉粏渭兪侵朴喓贤脑诰€服務提供商所認為的必要,并非在線服務提供商寫入合同中的所有與服務相關的數據處理行為都可理解為履行合同所必要的,在合同中規(guī)定某項“數據處理行為屬于本合同所必須”也并不意味客觀上確實是履行該合同所必要的?！氨匾浴北仨毷强陀^上的必要,要通過客觀的事實來判斷。假定一個理性的數據主體在訂立合同時,就客觀上期待和判斷該服務中必須要進行該數據處理行為,數據控制者需要承擔舉證責任來證明該數據處理行為若不進行,就無法履行合同?！氨匾浴边€需要基于合同目的進行判斷。如果合同目的的實現不以該數據處理行為為必要條件,則該數據處理行為不具有客觀上的“必要性”[17]。

智能傳播平臺常常用到新聞個性化推薦、個性化展示。如用戶選擇由在線新聞網站提供新聞匯總服務,客觀上期待網站向其提供來自多個在線資源的定制內容,那么,為了實現這一服務,網站要求用戶創(chuàng)建個人興趣檔案的行為可認為是履行合同之必要。個性化展示往往是智能傳播服務的必要元素,因此可以將其認定為履行合同之必要。需要注意的是,EDPB明確指出使用已往交易數據進行個性化推薦的行為是為了刺激消費者訂立新合同、購買新產品或服務,并非履行已經訂立的合同所必要。

2.恰當援用數據處理中義務的減免

GDPR第85條關于為了新聞目的而進行處理的規(guī)定,表明其調和大眾傳播與個人信息保護之間張力的立法意圖。智能傳播平臺應關注豁免或克減條款,減輕平臺相關義務,為平臺發(fā)展贏取空間。

例如,被遺忘權不是絕對權利,只在用戶撤回同意或平臺不再有合理理由繼續(xù)處理數據等情形下適用。第20條規(guī)定,如果技術可行,數據主體應當有權將個人數據直接從一個控制者傳輸到另一控制者。智能傳播平臺應注意“技術可行”對可攜帶權適用的限制條件,它表明GDPR并沒有將可攜帶權上升到強制性的互兼容、互操作技術標準的程度,而是給平臺留有一定空間可以兼顧自身利益。如果數據處理行為是基于同意或履行合同之必要以外的其他合法事由,可攜帶權不能適用。在限制處理期間,平臺只能存儲相關數據,但是基于數據主體的同意、履行法律義務、保護第三方正當利益、重大公共利益的例外情形下,可以處理。在不同情況下,智能傳播平臺對用戶的反對處理權的義務是不同的。對出于直接營銷目的的處理,比如會對其產生一定的法律后果或重大影響的自動化處理的決策(包括用戶畫像和定向推送),反對權是絕對的,平臺必須停止處理,除非為雙方訂立或履行合同所必要,或數據主體事前已明確同意。智能傳播平臺應單獨、清晰地告知用戶擁有這種絕對反對權。對基于公共利益、正當利益或履行法律義務所必需的數據處理,反對權不是絕對的,但平臺必須證明其擁有令人信服的、優(yōu)先于用戶利益的上述正當理由。

3.謹慎采用個性化推薦技術

智能傳播平臺運作的核心在于根據用戶特征、場景和文章特征做個性化推薦,每一個用戶的推薦內容都不同,以避免形成“廣場效應”[18]。尤其是隨著場景傳播的興起,場景及信息的適配,實質上就是特定情境下的個性化傳播和精準服務[19],其重要方式就是利用移動設備的定位功能測定用戶位置來選擇推送傳播產品,使智能傳播成為與受眾日常生活軌跡緊密結合的個性化推送。智能傳播平臺必然青睞用戶畫像技術,解析、預測、評估用戶服務模式與用戶個性化傳播需求的匹配度及傳播服務的可持續(xù)性,以提升用戶的忠誠度。隨著GDPR的施行,用戶畫像的合規(guī)問題特別突出。精準推送背后的邏輯是用戶隱私數據的二次售賣,大數據技術使得網民置身于一個“全景敞視”的數字監(jiān)獄中[20]。這種會讓用戶感覺到被監(jiān)控的技術觸及了用戶的底線,還會引起平等權問題。

首先,智能傳播平臺要明晰“用戶畫像”的定義。根據第4條的定義,“為了評估自然人的某些條件而對個人數據進行的任何自動化處理”,及第2條適用于“形成或旨在形成用戶畫像的非自動個人數據處理”的規(guī)定,在GDPR語境下,不僅用戶畫像本身,而且收集、整合網站瀏覽記錄、軟件使用記錄、點擊記錄、行蹤軌跡等“形成或旨在形成用戶畫像”的活動亦屬于個人數據處理。

其次,應注意區(qū)分兩種用戶畫像行為。一種是用戶群體畫像,屬于協同過濾的個性化推薦,即集合具有相似背景、興趣、行為的用戶群在使用某產品或服務時所呈現出的共同特征,聚類刻畫,提煉出群體的“典型用戶”。分析這類用戶的需求來設計或改進產品或服務。例如,通過建立“社交傳播”網絡平臺,在用戶傳播心得的分享、關注或評論中,通過興趣驅動,有選擇地向某類用戶推送其感興趣的傳播信息,提高傳播產品靜默下單或咨詢下單的數量,甚至幫用戶組織有相同需求的人群互動傳播。另一種是用戶屬性畫像,構建的是用戶的屬性標簽,每個用戶角色的建立都有一些基本的且能唯一標識該用戶的屬性。傳播平臺尤其要注意這種具有特定指向的用戶畫像,因其具有可識別性,并且易對數據主體形成差別待遇。

再次,應保證用戶畫像技術運用的合法性。依GDPR的規(guī)定,用戶畫像如果對數據主體產生法律上的影響或其他重大影響,應為法律所授權且數據控制者已經制定了適當的保護措施、簽訂或履行合同所必要、數據主體明確同意。在后兩種情形下,數據控制者也應采取適當措施保障數據主體的權益,包括其對用戶畫像質疑和進行人工干涉的權利。實踐中,由法律授權使用的情形十分有限,大多數情形下也很難說是履行合同之必要,在絕大多數情形下需取得數據主體的明確同意。傳播平臺應當告知數據主體存在用戶畫像程序并提供相關邏輯,包括此類處理對于數據主體產生的預期后果。GDPR第22條明確規(guī)定數據主體有權不接受完全由自動化處理,沒有人類干涉的條件下做出的重大決定。如果數據主體表示反對,平臺須立即停止特定處理行為。針對特殊類型個人數據,只有數據主體明確同意,或為公共利益所必要且已采取保護措施,才可以進行用戶畫像⑩。

最后,應保障個性化推薦技術程序的正當性。智能傳播基于“算法黑箱”做出的自動化決策,不透明性使用戶無法理解算法的機理,從而帶來不公平性的問題。用戶偶爾好奇或誤點了一條新聞就會不斷被推送相關內容的新聞。這實際上剝奪了用戶的選擇權[21]。處于被動地位的公眾由于他們有限的信息承受和接收能力,無法正確處理算法“黑箱”,不能自主把控數據信息所形成的算法決策,法律面前人人平等的原則將被消解[22]。GDPR首次提出算法的可解釋性,但如何向用戶解釋算法仍亟待落實。算法的監(jiān)管對象不應是算法本身,而是算法如何運用。智能算法決策本質上是用過去預測未來,而過去的歧視和偏見可能會在智能算法中固化并在未來得以強化,形成“自我實現的歧視性反饋循環(huán)”[23]。智能傳播平臺需要構建倫理規(guī)則,強調社會責任。在設計算法時,應結合倫理、法律上的考慮,不斷探索既可以保護隱私、短期內又能夠提供個性化服務的技術出路,在重視個性化推薦技術精準傳播效應的同時,需關注對個性化推薦技術的科學解釋和通俗性普及,通過程序設計來保障公平的實現,并借助于技術程序的正當性來強化智能決策系統的透明性、可審查性和可解釋性。而在研發(fā)出可靠計算機輔助工具進行數據處理之前,尚需有效地利用人工篩選方法[24]。

(四)數據流動與融合中輸出匹配合規(guī)能力

1.實現可攜帶權兼顧第三人隱私權

個人數據可能同時關聯其他第三人的個人數據,如數據主體針對通訊錄、通話記錄、聊天記錄、往來郵件、轉賬記錄等關系鏈數據行使可攜帶權時,可能對第三人的數據權利帶來侵害,因為第三人無從得知其個人數據被傳播企業(yè)提交給了新的數據控制者,從而沒有機會行使數據權利。平臺要注意的一個突出問題是,不能對他人的權利產生負面影響。第29條工作組《關于數據可攜帶權的指南》規(guī)定,僅僅在行使數據可攜帶權的數據主體本人對所轉移的涉及第三人的個人數據進行唯一的控制下, 才允許由另一控制者純粹為數據主體個人和家庭需求進行處理[25]。那么,接收數據的控制者是不能基于自身利益去處理相關第三人數據,尤其不能對第三人進行用戶畫像或開展營銷活動等。為避免對第三人的侵權風險,該指南還規(guī)定數據輸出方和接受方都應設置相應的技術,確保由數據主體選擇可發(fā)送、接收和須排除的第三人數據。

2.對合作者的合規(guī)管理及責任劃分

智能傳播平臺出于業(yè)務或技術需要必須進行數據合作,就必須對上、下游平臺進行控制、評估和審計等數據合規(guī)管理。智能傳播平臺在與其他數據處理者合作時,要審慎選擇第三方數據處理者,選擇能夠保證采取足夠適當的技術和組織措施的處理者,并能控制其數據處理行為以及次級處理者鏈條。要依角色確定責任。對內部、外部參與各類數據處理活動的當事人及其角色進行梳理、評估和劃分,區(qū)隔作為控制者與處理者各自的職責及相應的義務。數據處理者的權利和義務由其與控制者之間的數據處理協議約定,處理者只能按照控制者的書面指示處理個人數據、協助控制者履行其因應數據主體權利請求的義務以及GDPR下的特定義務。GDPR明確了數據處理協議內容的強制性要求。平臺應明確相關情形下的責任分擔,還要定期對第三方進行審計,盡量識別和避免因事實上的數據合作而導致的責任。

3.數據融合行為的嚴格限制

數據的價值并不僅限于特定的用途,它可以為了同一目的而被多次使用,也可以用于其他目的[26]。為了提高數據的使用效率和價值密度,智能傳播平臺還可能會以協作的方式與其他服務商實現數據共享。尤其是隨著融合傳播的興起,開放平臺成為跨產業(yè)、跨區(qū)域、跨市場融合的傳播產業(yè)發(fā)展趨勢。基于大數據的算法分發(fā)已經成為主流的信息傳播模式,媒介的核心優(yōu)勢在于對新聞內容的采集與整合,在于通過算法分發(fā)所帶來的精準傳播和衍生應用,通過新聞內容對受眾進行引流和導入,再利用基于用戶數據的衍生服務提高傳播效率,獲得長尾效益,這才是新聞移動生產可持續(xù)的運營模式和價值所在[27]。以場景、細分和垂直、個性化服務為特征是web3.0場景媒體時代的特點。這個時代就是對內容、用戶價值進行利用和拓展,要對價值進行深度開掘[28]。智能傳播平臺立足于媒體大數據平臺,以大數據智能分析工具作為技術支撐,將媒體旗下媒體資源融合共享使用,實現“一次采集、多元加工、多次發(fā)布”的智能生產和傳播[18]。在多屏場景中,用戶多屏間動態(tài)切換,以個人的賬號體系使數據在各個場景維度中形成相關性。比如,天天快報沒有單獨注冊選項,授權微信和QQ登陸兩種方式,通過挖掘用戶在社交媒體中產生的大數據進行用戶畫像,來匹配推送個性化新聞。今日頭條的用戶可使用微博、微信、QQ、人人網的社交賬號注冊,后臺系統會抓取用戶社交賬號上的數據以及用戶的手機機型等信息,為用戶建立DNA興趣圖譜。

但GDPR關于“處理合法性”的第6條規(guī)定,若出于收集個人數據以外的其他目的處理數據,控制者需要考慮多種因素,確保該目的與初始目的相容,否則不可處理個人數據。這一規(guī)定使智能傳播平臺無法自由擴展用戶數據的使用范圍,但如果所收集的信息只用于它的基本用途,而不能被多次分析與使用,就會逐漸變成沉默數據[7]。為了在遵守處理合法性與充分利用數據之間求得平衡,智能傳播平臺在數據融合中,要注意區(qū)分注冊用戶、非注冊用戶和被動用戶(訪問設置智能傳播平臺Cookies的第三方網站的用戶)。注冊用戶的全部數據可能會被用于平臺的任何服務;非注冊用戶的數據可能會被用于平臺的其他服務,如個性化搜索結果;被動用戶的數據,如通過設置在第三方網站的Cookies收集的數據,可能會被平臺用于產品改進、個性化廣告展示和數據分析。用戶無法分清自己所享用的服務中的哪一類數據被處理,也無法辨別處理目的。

智能傳播平臺需要明確數據融合的目的、方法及融合的程度,并且應當開發(fā)新工具讓用戶對個人數據擁有更多的控制權。根據不同融合目的,原則上分為兩類處理方式:針對有處理合法性的融合目的,應當遵守“自設計開始的個人數據保護”原則。如提供簡單的opt-out機制,保存期限應當限定于特定目的。針對無處理合法性的數據融合目的,應當獲得用戶的明確同意且限定于融合目的對應的處理范圍。同時給用戶提供控制措施,例如,為注冊用戶提供具體的設置,為非注冊用戶和被動用戶提供明確同意以及對Cookie的改進控制等。為特殊目的而進行的數據融合行為,應得到用戶的明確同意;除安全目的以外,應限制對被動用戶數據的融合行為;簡化注冊用戶和非注冊用戶的退出機制(opt-out);明確個人數據的保留期限,特別是在用戶作出刪除特定內容、取消訂閱特定服務、刪除賬戶等行為時的保留期限。

智能傳播平臺與第三方合作者進行匹配數據交易時也要輸出匹配的合規(guī)能力。在GDPR以“同意為中心”的合規(guī)體系下,數據融合中,需要設置數據“入口”和“出口”的合規(guī)流程設計。一方面,對融合來的數據要進行合法性來源的審查,后臺數據關聯應避免共享簡化,不能事先利用“一攬子”協議將用戶所有相關授權窮盡,應分項明示,由用戶手動設置。不論第三方是否采取了同樣的隱私保護政策,與之進行匹配數據交易,應符合用戶自愿原則,經其同意方可操作。另一方面,對供應商的資質與數據脫敏進行評估。也可以跟第三方簽訂保密協議或者對特定數據做去標識化處理。

(五)體現對內嚴格對外友好的數據監(jiān)管態(tài)度

對數據監(jiān)管的態(tài)度也是智能傳播平臺降低合規(guī)風險的一個方面。數據監(jiān)管主體是多元的,既有外部監(jiān)管,也有企業(yè)內部監(jiān)管。

1.風險防控體系與產品和服務同步設計

智能傳播平臺合規(guī)的方向是可知、可控、可示、可溯、可預。

數據合規(guī)風險防控措施必須與個人信息處理程序同步規(guī)劃并同步上線。首要的是從個人數據的收集、存儲、應用和流通四個環(huán)節(jié)構建數據地圖,從而作數據清單、數據追蹤、授權和使用的一致性檢測、數據使用場景梳理。一是建立隱私數據圖譜,給數據打上標簽,分級、分類,梳理數據及其存儲位置。二是構建數據運用圖譜,在數據未來的使用中要能自動歸集并實時自動化監(jiān)控,對于數據使用者、數據應用場景、有無充分保護等通過數據運用圖譜清晰可見可控。三是構建數據流動圖譜,使數據開放給平臺或轉移給第三方時清晰可溯,使數據流動各個節(jié)點的風險可預警。這樣才能從傳播產品或服務的設計著手,建立覆蓋數據全生命周期的隱私保護體系,考慮數據處理的性質、范圍、場景、目的以及對自然人權利不同程度的風險,采取適當的技術和組織措施。規(guī)范數據處理過程中的基礎設施、數據管理和用戶交互行為,確保個人數據系統的透明性、完整性、保密性、可用性、可干預性、不可聯結性。還應關注GDPR的克減條款、例外情況、可豁免義務、對數據主體權利的限制等,為平臺合規(guī)管理增加余地。

2.建立科學的數據保護影響評估模型

針對高風險的數據處理行為發(fā)布數據保護影響評估(DPIA)報告是促進平臺企業(yè)自證合規(guī)、配合監(jiān)管的有效工具,目的在于督促企業(yè)主動識別風險和最大限度降低風險。智能傳播平臺應建立科學的DPIA模型,明確評估的內容、方法和標準,在收集和處理前系統地分析特定項目對隱私的影響,從而對數據風險早期預防、實時感知、即時反饋和動態(tài)監(jiān)控。若DPIA表明存在較高風險,應事先征求監(jiān)管機構的意見,并根據法律、標準,結合平臺數據流進行調整,采取與風險相稱的技術或組織措施消除潛在問題,例如,決定不收集或存儲特定類型的信息;設計為實現數據使用目的必需的最小保留期限,只保留具有較高價值密度、與用戶個性化傳播服務有較強關聯的必要信息,并安全銷毀不必保留的信息;采用加密等安全措施傳輸和存儲個人敏感信息;匿名化處理;確保用戶充分了解其特殊數據使用情況等。

3.做好痕跡審計證據管理

GDPR第5(2)條規(guī)定了問責原則,要求數據控制者必須始終能夠證明個人數據是以向數據主體透明的方式處理的。智能傳播平臺要以可見的形式合規(guī)保存數據處理活動的書面(包括電子)記錄,以便于痕跡審計。記錄數據處理活動,要建立全面、準確、完整地反映平臺運營狀況的數據地圖,建立數據血緣關系的數據檔案,描述數據獲取途徑、處理手段、流動路徑、存儲位置、用戶對數據權利的請求等動態(tài)變化;要記載數據全生命周期每一環(huán)節(jié)的狀態(tài),為風險評估提供事實依據。書面記錄作為留痕審計的重要證據,在監(jiān)管機構問責時可展示平臺數據處理行為的合規(guī)性以完成舉證義務。而且,智能傳播平臺自我規(guī)制,遵守由國際組織、行業(yè)協會等擬定的行為規(guī)則,向認證機構申請國際標準的合格評定時也可將記錄作為重要資料。

4.及時有效地處理數據安全事故

智能傳播平臺因面向的用戶眾多,且具有較強的公開性和互動性,要做好內部數據泄露應急處理預案,包括在事故發(fā)生時須采取的行動、檢查事項清單和后續(xù)措施等。并且,發(fā)生安全事故時,除了立即啟動應急措施,還應第一時間以有效的方式告知當事人。確實技術不可行,應采取合理方式有效地進行公開警示。同時,要在規(guī)定時間內向監(jiān)管部門報告。

5.積極配合監(jiān)管機構的審查

GDPR高額的行政罰款案例使涉及個人數據相關業(yè)務的經營組織感到風險重重。其實,最高罰金僅僅在最嚴重的違法行為下適用。如果違法行為不會對數據主體的權利構成重大風險,可以用警告、申誡、要求改正、要求更正或刪除個人數據等取代罰款。第29條工作組《行政罰款的適用和設置指南》明確指出,在具體案件中,監(jiān)管機構有責任采取審慎平衡的方法,選擇“有效的、恰當的、有說服力的”措施[29]。同時,監(jiān)管機構在評估是否應當適用罰款及確定罰款金額時,應考慮的因素中就包括數據控制者或數據處理者為了減輕數據主體損失而采取的所有行動、與監(jiān)管機構的合作程度、監(jiān)管機構得知違法行為的方式等。因此,一旦發(fā)生用戶個人數據保護相關的事件,智能傳播平臺與監(jiān)管機構保持良好密切的溝通,有助于避免更為嚴厲的處罰。

注釋:

①目前尚無中國企業(yè)違反GDPR而受處罰的案例。

②數據主體向比利時數據保護局投訴,舉報市長濫用房地產交易咨詢事項中建筑師所提供的個人電子郵箱向其發(fā)送競選信息進行拉票。2019年5月28日,比利時數據保護局裁定比利時市市長使用數據主體個人電子郵箱地址并發(fā)送競選信息的行為,已經超出數據主體提交個人郵箱地址的目的,違反了GDPR目的限制原則,并作出了處罰決定。參見比利時數據保護局官方網站https://www.gegevensbeschermingsautoriteit. be/nieuws/de-gegevensbeschermingsautoriteit-legteen-sanctie-op-het-kader-van-een-verkiezingscampagne。

③出租車公司Taxa雖然在合法保留客戶的姓名和地址兩年后予以刪除,但在隨后三年的時間里違法保留了900多萬名客戶的電話號碼。2019年5月,丹麥數據保護機構認為Taxa沒有遵守GDPR的最小范圍原則,對Taxa處以120萬克朗的罰金。參見丹麥數據保護機構官方網站:https://www.datatilsynet.dk/tilsyn-ogafgoerelser/afgoerelser/2019/mar/tilsyn-med-taxa-4x35sbehandling-af-personoplysninger/。2019年5月,立陶宛數據保護機構認為MisterTango提供支付服務時,超出必要限度讀取并收集用戶的個人信息,與GDPR的最小范圍原則不符。參見立陶宛數據保護監(jiān)管機構官方網站https://www.ada.lt/go.php/lit/Imones-atsakomybes-neisvengs--lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenu-apsaugos-reglamento-pazeidimus-/1。

④西甲聯賽所采用的一款應用程序盡管獲得了用戶使用麥克風和GPS的許可,但它并未告知用戶收集數據的目的。2019年6月,西班牙數據保護局認為用戶的同意不夠具體,西甲聯賽沒有獲得用戶關于數據收集和使用的有效同意,違反了GDPR第7條。參見西班牙當地媒體報道https://www.eldiario.es/tecnologia/Agencia-Proteccion-Datos-Liga-microfono_0_908859408.html。

⑤2018年7月,MisterTango公司用戶的個人信息以及9000張網絡支付交易截圖被非法披露在互聯網上,公司未在數據泄露事件發(fā)生72小時內向監(jiān)管機構報告,違反了GDPR的規(guī)定。2019年5月16日,立陶宛數據保護監(jiān)管機構因MisterTango公司不恰當處理數據、泄露個人信息以及未向監(jiān)管機構報告數據泄露事件對其進行處罰。參見立陶宛數據保護監(jiān)管機構官方網站https://www.ada.lt/go.php/lit/Imones-atsakomybesneisvengs-lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenuapsaugos-reglamento-pazeidimus-/1。

⑥2019年1月,法國數據保護機構以違反GDPR的同意規(guī)則為由,處罰Google 5000萬歐元。法國數據保護機構主張Google收集個人數據時征得用戶的同意既不“具體”也不“明確”,GDPR所要求的同意只有當用戶針對諸多特定目的分別給予認可(而不是“一攬子”同意)時才是“具體的”,并且只有當用戶做出清晰的確認動作才是“明確的”。參見法國數據保護機構官方網站https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc。

⑦Google案中,Google的主要違法行為是未向用戶提供透明和清晰的處理個人數據的方式。法國數據保護機構表示,Google的用戶無法完全理解該公司如何使用數據,因為其披露的信息過于“籠統和含糊”,并分散在許多不同頁面和文件中。參見法國數據保護機構官方網站https://www.cnil.fr/en/cnils-restrictedcommittee-imposes-financial-penalty-50-million-euros-against-google-llc。

⑧一家波蘭公司出于商業(yè)目的處理自公共來源獲得的涉及600萬人的個人信息。但該公司僅對“已掌握電子郵箱”的數據主體通過電子郵件履行了GDPR規(guī)定的信息告知義務。對其余數據主體,該公司稱因成本過高而未告知正在進行的數據處理活動,只在其官方網站上展示了相關信息,以此完成告知。經查明,該公司已掌握所有涉案數據主體的電子郵箱地址和電話號碼。2019年3月,波蘭數據保護機構裁定,該公司所述的“成本過高”只是其不履行法定義務的借口,公司應當通過這些郵箱地址等聯系方式對所有數據主體履行信息告知義務。數據主體無法獲知與個人信息相關的數據處理活動,也就無法提出反對處理權、更正或刪除權,事實上剝奪了他們對個人信息保護的權利和自由,這是非常嚴重的違法行為,并作出了處罰。參見波蘭數據保護機構官方網站https://uodo.gov.pl/decyzje/ZSPR.421.3.2018。

⑨德國聊天社交平臺Knuddels.de網站于2018年7月受到黑客襲擊,導致約330000名用戶的電子郵箱地址和密碼泄露。德國數據保護機構調查發(fā)現,該平臺以純文本形式存儲用戶密碼,沒有采取任何加密措施,違反了GDPR第32條第1款規(guī)定的數據安全義務,即數據控制者及處理者應考慮現有技術、執(zhí)行成本、處理的本質、范圍、背景及目的與對自然人權利及自由所存在的諸多且嚴重的風險,采取適當的技術及組織措施,以確保合理應對風險的安全水平,尤其需考慮個人數據的化名化及加密。因此對Knuddels.de平臺處以罰款。參見德國數據保護機構官方網站https://www.baden-wuerttemberg.datenschutz.de/lfdi-badenwuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/。

⑩Google案中,法國數據保護機構認為Google的個性化廣告行為未獲得用戶的有效同意而具有合法根據。參見https://www.cnil.fr/en/cnils-restricted-committee-imposesfinancial-penalty-50-million-euros-against-google-llc。