楊先德

GDPR實(shí)施以來(lái)，歐洲建立了專(zhuān)門(mén)的網(wǎng)站追蹤各國(guó)的執(zhí)法進(jìn)度和執(zhí)法狀況

App作為安裝于智能手機(jī)、平板電腦或其他移動(dòng)智能終端上的應(yīng)用程序，是移動(dòng)互聯(lián)時(shí)代用戶獲得移動(dòng)互聯(lián)網(wǎng)服務(wù)的重要載體。對(duì)于用戶來(lái)說(shuō)，App在提供便捷服務(wù)的同時(shí)，也在時(shí)刻收集、控制、處理用戶個(gè)人信息，進(jìn)而可能對(duì)個(gè)人生活安寧、隱私、人身和財(cái)產(chǎn)安全造成風(fēng)險(xiǎn)。App使用滋生的這些風(fēng)險(xiǎn)是移動(dòng)互聯(lián)時(shí)代個(gè)人信息安全風(fēng)險(xiǎn)的一部分。

在眾所周知的個(gè)人信息風(fēng)險(xiǎn)現(xiàn)實(shí)面前，歐盟及其成員國(guó)最早作出全面應(yīng)對(duì)。應(yīng)對(duì)的武器之一就是歐洲議會(huì)于2016年通過(guò)、2018年在歐盟成員國(guó)生效實(shí)施的《通用數(shù)據(jù)保護(hù)條例（General Data Protection Regulations）》（GDPR）。該條例為個(gè)人信息提供了十分周全的保護(hù)，對(duì)違法者給予十分嚴(yán)厲的處罰?？梢哉f(shuō)，歐盟的信息保護(hù)制度走在了世界前列。GDPR通過(guò)兩年多來(lái)，歐盟國(guó)家認(rèn)真落實(shí)，執(zhí)法利劍所到之處，諸如谷歌、英國(guó)航公、H&M等跨國(guó)公司應(yīng)聲倒下，淪為處罰對(duì)象，動(dòng)輒上千萬(wàn)、上億歐元的罰款讓這些公司為違法行為付出了沉重的代價(jià)，也領(lǐng)教了GDPR的威力。其中部分案件就是針對(duì)App運(yùn)營(yíng)者的處罰。

GDPR共計(jì)11章99條，包括通則、基本原則、數(shù)據(jù)主體的權(quán)利、數(shù)據(jù)控制者和處理者責(zé)任、向第三國(guó)或國(guó)際組織轉(zhuǎn)移數(shù)據(jù)、獨(dú)立監(jiān)管機(jī)構(gòu)、合作與一致性、救濟(jì)、責(zé)任與處罰、特定情形下的數(shù)據(jù)處理規(guī)定、授權(quán)和實(shí)施、附則。該條例的適用范圍極為廣泛，任何收集、傳輸、保留或處理涉及歐盟所有成員國(guó)在內(nèi)的個(gè)人信息的機(jī)構(gòu)組織均受該條例的約束。條例明確了數(shù)據(jù)主體的權(quán)利，包括知情權(quán)、同意權(quán)、信息訪問(wèn)權(quán)、修改信息權(quán)、限制處理權(quán)、攜帶轉(zhuǎn)移權(quán)、拒絕權(quán)以及廣受關(guān)注的用戶的“刪除權(quán)”即“被遺忘權(quán)”。被遺忘權(quán)是指用戶個(gè)人可以要求數(shù)據(jù)控制者刪除關(guān)于自己的數(shù)據(jù)記錄，不得再用于收集時(shí)信息所有者同意使用的目的等。條例還明確了數(shù)據(jù)控制者和處理者的責(zé)任，包括要采取必要的技術(shù)和組織措施維護(hù)數(shù)據(jù)安全，非經(jīng)授權(quán)不得處理數(shù)據(jù)，處理數(shù)據(jù)要有記錄，符合條件的實(shí)體要設(shè)置專(zhuān)門(mén)的數(shù)據(jù)保護(hù)專(zhuān)員，等等。從上述內(nèi)容看，歐盟數(shù)據(jù)主體的權(quán)利和控制、處理者的義務(wù)規(guī)定得都較為全面，基本形成了權(quán)利主導(dǎo)型的數(shù)據(jù)保護(hù)規(guī)則架構(gòu)，以強(qiáng)化公民個(gè)人信息的自決權(quán)，從事先防范到全程處理跟蹤再到事后補(bǔ)救，數(shù)據(jù)主體都處于較為主動(dòng)的位置，而數(shù)據(jù)的自由交換、交易較大程度受到限制，信息控制者、處理者的注意義務(wù)、合規(guī)風(fēng)險(xiǎn)較高。比如，在實(shí)踐中，如果數(shù)據(jù)收集者違反規(guī)定，在使用目的之外備份用戶數(shù)據(jù)都將面臨處罰。

無(wú)救濟(jì)則無(wú)權(quán)利。數(shù)據(jù)保護(hù)規(guī)則的有效性關(guān)鍵在于違法行為是否能夠得到及時(shí)的查處，權(quán)利受損者能否得到及時(shí)、充分的法律救濟(jì)。條例最為重要的內(nèi)容之一是關(guān)于權(quán)利救濟(jì)和處罰的規(guī)定。條例規(guī)定，任何數(shù)據(jù)主體都有權(quán)向監(jiān)管機(jī)構(gòu)、司法機(jī)構(gòu)提起控告和訴訟，尋求權(quán)利救濟(jì)。任何自然人或法人都有權(quán)向司法機(jī)構(gòu)提起針對(duì)監(jiān)管機(jī)構(gòu)做出的與其相關(guān)的決定或訴訟。對(duì)于數(shù)據(jù)主體，其有權(quán)授權(quán)數(shù)據(jù)保護(hù)方面的公益組織代表其提出控告或訴訟。符合條件的代表公共利益的公益組織等也可以獨(dú)立于數(shù)據(jù)主體提起針對(duì)數(shù)據(jù)保護(hù)違法行為的控告或訴訟。任何遭遇侵權(quán)行為的人都有權(quán)向造成損害的數(shù)據(jù)控制者或數(shù)據(jù)處理者主張賠償，同時(shí)存在多個(gè)侵權(quán)者的，每一個(gè)侵權(quán)人都要對(duì)全部損失承擔(dān)賠償責(zé)任，以確保數(shù)據(jù)主體獲得有效的賠償。條例還賦予監(jiān)管機(jī)構(gòu)處罰違法者的權(quán)力，針對(duì)不同的違法行為，設(shè)置了不同的行政罰款。如果違反了諸如兒童信息使用同意條款，設(shè)計(jì)或默認(rèn)的數(shù)據(jù)保護(hù)措施條款，信息保護(hù)專(zhuān)員義務(wù)條款，設(shè)置數(shù)據(jù)認(rèn)證、封存機(jī)制條款規(guī)定的義務(wù)的，對(duì)違法主體的行政罰金最高可達(dá)1000萬(wàn)歐元或者其全球營(yíng)業(yè)額的2%，以高者為準(zhǔn)。如果違反了諸如數(shù)據(jù)處理的基本原則、用戶同意權(quán)、知情權(quán)等條款規(guī)定的義務(wù)，對(duì)違法主體的行政罰金最高可達(dá)2000萬(wàn)歐元或者其全球營(yíng)業(yè)額的4%，以高者為準(zhǔn)。下面就結(jié)合GDPR的相關(guān)規(guī)定，介紹幾起規(guī)制和處罰App侵犯數(shù)據(jù)主體權(quán)利行為的案例。

西甲App違規(guī)收集數(shù)據(jù)遭遇處罰

按照GDPR第5條的規(guī)定，個(gè)人數(shù)據(jù)應(yīng)該得到“合法、公平、透明地處理”，收集和處理數(shù)據(jù)應(yīng)該及時(shí)告知并征求數(shù)據(jù)主體的同意，而且這種同意是可以撤銷(xiāo)的。如果違反這些規(guī)定則會(huì)面臨處罰。西甲聯(lián)賽一款足球App就因?yàn)檫`反該條規(guī)定，被監(jiān)管者依照GDPR規(guī)定處以25萬(wàn)歐元的罰款。西甲這款在Android和IOS系統(tǒng)使用的App，提供比賽直播等服務(wù)，下載量達(dá)1000萬(wàn)。監(jiān)管機(jī)構(gòu)發(fā)現(xiàn)，這款A(yù)pp可以通過(guò)使用者的手機(jī)麥克風(fēng)了解使用者是否使用電視或者其他類(lèi)似設(shè)備觀看足球賽。西甲希望更多地通過(guò)更加昂貴的商業(yè)訂閱的方式進(jìn)行直播，他們就通過(guò)手機(jī)麥克風(fēng)記錄使用者觀看足球賽的習(xí)慣，來(lái)調(diào)整西甲的足球直播商業(yè)模式。監(jiān)管機(jī)構(gòu)認(rèn)為，西甲沒(méi)有充分告知用戶他們使用的西甲App在監(jiān)視用戶的消費(fèi)習(xí)慣，它只是曾經(jīng)簡(jiǎn)單地詢問(wèn)是否可以使用用戶的麥克風(fēng)，但是沒(méi)有明確說(shuō)明會(huì)重復(fù)性地（每一分鐘訪問(wèn)一次的頻率）使用手機(jī)的聲音傳感器。而且西甲App在用戶撤銷(xiāo)同意權(quán)方面達(dá)到GDPR第7條的要求。因此認(rèn)定，西甲違背了《通用數(shù)據(jù)保護(hù)條例》的相關(guān)規(guī)定，不當(dāng)?shù)厥占擞脩舻膫€(gè)人數(shù)據(jù)信息，并作出25萬(wàn)歐元行政罰款的處罰。

英國(guó)母嬰服務(wù)公司Bounty Limited違規(guī)分享用戶信息遭遇處罰

英國(guó)在沒(méi)有脫歐之前已經(jīng)將GDPR的相關(guān)規(guī)定轉(zhuǎn)化為國(guó)內(nèi)法，即英國(guó)《2018年數(shù)據(jù)保護(hù)法》，因此英國(guó)執(zhí)行與歐盟成員國(guó)同樣的數(shù)據(jù)規(guī)則。為規(guī)范App的開(kāi)發(fā)行為，英國(guó)監(jiān)管機(jī)構(gòu)信息委員會(huì)辦公室（ICO）還頒布了《移動(dòng)應(yīng)用系統(tǒng)中的隱私政策》，即App開(kāi)發(fā)者指南，為App的信息合規(guī)提供了更為全面細(xì)致的要求和指引。

英國(guó)信息委員會(huì)辦公室2019年處罰了英國(guó)一家母嬰服務(wù)公司（Bounty Limited），該公司違法與第三方分享了1400萬(wàn)用戶的個(gè)人信息，通過(guò)其網(wǎng)站、公司App等途徑收集個(gè)人信息。但該公司也從事數(shù)據(jù)經(jīng)紀(jì)業(yè)務(wù)，向多家第三方機(jī)構(gòu)提供數(shù)據(jù)，供后者用于電子商務(wù)市場(chǎng)營(yíng)銷(xiāo)。這些信息不僅包括孕婦信息，還包括嬰兒的性別和出生日期等信息。執(zhí)法者發(fā)現(xiàn)，對(duì)于線上注冊(cè)的用戶，該公司的隱私政策中告知了用戶該公司將要分享數(shù)據(jù)的部分第三方公司名稱，但是這些公司中并未包括實(shí)際上分享數(shù)據(jù)最多的幾家第三方公司。而對(duì)于線下途徑獲得的用戶信息，根本就沒(méi)有告知和征求同意分享信息的行為。因此，該公司違反了歐盟和英國(guó)的數(shù)據(jù)保護(hù)規(guī)定，被英國(guó)信息委員會(huì)辦公室科處40萬(wàn)英鎊。

涉新冠疫情App的個(gè)人信息保護(hù)

歐洲國(guó)家監(jiān)管機(jī)構(gòu)并不滿足于僅事后執(zhí)法來(lái)保障公民數(shù)據(jù)安全，更會(huì)在App的開(kāi)發(fā)、運(yùn)營(yíng)等環(huán)節(jié)加強(qiáng)事先和使用中監(jiān)管。英國(guó)監(jiān)管機(jī)構(gòu)對(duì)涉疫情App的監(jiān)管即為一例。2020年，為應(yīng)對(duì)疫情，英國(guó)政府在蘋(píng)果和谷歌的支持下，開(kāi)發(fā)了一款NHS Covid-19 App。該款A(yù)pp通過(guò)記錄用戶的位置、軌跡等尋找密切接觸者、追蹤疫情、提供預(yù)警。作為信息保護(hù)的監(jiān)管者，英國(guó)信息委員會(huì)辦公室較早地介入了由英國(guó)健康和社會(huì)服務(wù)部主導(dǎo)的App開(kāi)發(fā)工作，就相關(guān)措施的透明、合法和公正性提出質(zhì)詢和監(jiān)管意見(jiàn)。委員會(huì)的介入推動(dòng)了該款A(yù)pp從以下四個(gè)方面提升了個(gè)人信息安全保障水平：一是提升App隱私政策告知透明度，確保用戶清楚使用該款A(yù)pp對(duì)其個(gè)人隱私和信息的影響，了解減少數(shù)據(jù)安全風(fēng)險(xiǎn)的措施，以及知曉如何行使他們的數(shù)據(jù)權(quán)利;二是確保用戶知曉App自動(dòng)決策的過(guò)程，用戶有權(quán)與決策者對(duì)話，了解App背后的算法原理;三是確保用戶了解其個(gè)人信息如何以及何時(shí)會(huì)被匿名化處理，以及其信息將會(huì)與誰(shuí)分享;四是提供更加明晰的數(shù)據(jù)的流動(dòng)和安全措施。該委員會(huì)促進(jìn)提升了App使用的自愿性，包括為公民使用二維碼進(jìn)入某個(gè)場(chǎng)所提供選擇權(quán)，為疫情防控時(shí)期提供最大限度的隱私保護(hù)。

GDPR實(shí)施以來(lái)，歐洲建立了專(zhuān)門(mén)的網(wǎng)站追蹤各國(guó)的執(zhí)法進(jìn)度和執(zhí)法狀況。應(yīng)該說(shuō)，通過(guò)嚴(yán)格執(zhí)法，真正地讓紙面上的法律成為維護(hù)公民數(shù)據(jù)安全的武器。

編輯：黃靈? yeshzhwu@foxmail.com