欧盟《通用数据保护条例》框架下智能传播平台数据合规风险防控*

曾丽洁

(湖北大学, 湖北 武汉 430062)

一、研究背景

欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)代表着数据保护领域立法的最新发展并有着广泛的域外适用范围,尤其是2018年5月实施之后,针对一些国际知名企业违反GDPR的行为作出的巨额行政罚金或其他限制性处罚,使该条例不仅引起了我国学界的研究,也受到了实务界的高度关注。

国外学者关于GDPR研究的代表性成果是Mariusz Krzysztofek教授的专著GDPR:Post-ReformPersonalDataProtectionintheEuropeanUnion[1]。作者从适用范围、基本概念、数据处理一般原则、数据处理的合法根据、数据控制者提供数据处理相关信息的义务、数据主体权利、数据控制者与合作者的关系、数据保护监管、向非欧盟国家跨境数据流通等方面,全面地介绍了GDPR的制度安排,尤其提到GDPR的直接效力(Direct Horizontal Effect)。该书作者作为跨理论与实务界的专家,所做评述极有见地,对GDPR的研究具有重要参考价值。

国内学者对GDPR的研究成果不算很多,但分别从不同角度做了比较充分的研究。中国信息通信研究院互联网法律中心的王融[2]早在2016年就关注GDPR对欧盟1995年《数据保护指令》的修订及几大变化,为人们及时了解欧盟的立法动态做了引介。邹军[3]总结了GDPR关于个人数据跨境流动的原则,认为GDPR面临着产业发展、隐私保护和国家安全的张力,建立了保护、平衡和信任的新机制,对我国完善相关数据政策具有积极意义。林凌、李昭熠[4]通过对GDPR法政治学、立法特点以及法理的深入探讨,认为GDPR在执行过程中将遭遇一系列法理和司法困境,如果不加以妥善处理,势必影响GDPR的权威性和可执行性,提出我国应借鉴欧盟GDPR立法理念,从法律维度、社会治理维度和信息产业维度构建个人信息双轨保护制度。吴云云[5]在硕士论文中专门研究个人信息自决权,认为欧盟通过提高主体同意规则的标准、完善个人信息自决权的监管机制等措施强化主体的信息自决权,分析了GDPR强化信息自决权的相关规定的争议点,尤其是指出了作为信息自决权基础的主体同意规则所面临的困境及其与其他个人信息自决权保护策略的优势对比,从而更加明确主体同意规则之于个人信息自决权保护的普适性。 叶开儒[6]从GDPR的长臂管辖制度入手,阐明欧洲采取强数据主体权利保护模式的原因,尤其是其历史和文化取向,揭示观念如何型塑具体法律规则和制度、现实目的又是如何利用价值原则来实现的,从而提出,中国既要基于自身特有的文化和历史情境,又要与现实的数据产业发展相协调,形成一种积极有为、内外联动的立法模式。

综上,国内外学者已有的研究偏于宏观,主要是对GDPR制度设计的整体介绍、立法取向的探析或某一方面制度的评价以及对我国立法的宏观上的借鉴意义,比较少从中国企业如何针对该条例的域外适用建立合规体系这一视角来探讨企业的应对之策。

收集、生产、聚合与分发信息是智能传播平台发展的基础,但是,这些过程很可能引发个人数据保护的法律问题。根据GDPR适用范围的规定,设立地位于欧盟境外的机构,只要其在提供产品或服务的过程中处理了欧盟境内个人的个人数据,将同样适用于该条例,包括对欧盟境内个人活动进行网络跟踪等监控行为 (第3条)。那么,任何位于中国的智能传播平台只要能够被欧盟境内的个人访问和使用、产品或服务使用的语言是英语或某一欧盟成员国语言、产品以欧元标价,都可以被认为该产品、服务的目标用户包括欧盟境内用户,从而属于GDPR适用的对象。GDPR的立法目标是二元的:保护个人权利并促进个人数据流动,以期在数据权利与其他正当利益之间形成平衡,其主要特征是“以风险为路径”。合规不仅是义务,也是智能传播平台降低问责成本、增强适应性和提升市场竞争力的路径。鉴于GDPR正式实施后陆续有著名企业或机构因违反而受到处罚①,本文旨在探讨中国智能传播平台应对GDPR数据风险的防控路径,从而降低或避免数据违规成本。

二、GDPR的相关规定给中国智能传播平台带来的挑战

(一)从设计着手保护隐私增加了产品或服务设计成本

GDPR强调事前防范与主动防护,要求“自设计开始的个人数据保护”(Data Protection by Design),在产品或服务的设计时就应建立数据主体权利实现的机制。GDPR确立了数据主体的几项权利:(1)知情权。规定数据控制者必须以清楚、简单、明了的方式向用户说明其个人数据是如何被收集、处理或传输的(第12、13条);(2)访问权。规定数据控制者应当为用户实现该权利提供相应的程序(第15条);(3)反对权。包括绝对的拒绝权和限制处理的权利(第21条);(4)可携带权。数据控制者不仅无权干涉,而且有义务提供数据文本以帮助用户实现可携带权 (第20条);(5)被遗忘权。当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时,用户有权要求删除数据;数据控制者不仅要删除自己所控制的数据,还负责对其公开传播的数据通知其他第三方停止利用并删除(第17条)。

数据主体权利的确立加重了数据控制者的义务。在设计产品和服务时,就应充分考虑个人信息保护和智能传播有序发展的相关需求,并对可能出现的技术风险提前做出预判[7]。产品和服务的设计要符合GDPR的目的限定原则②、最小范围原则③、存储限制原则。

(二)数据利用及维护中的数据保护要求加重了数据保护义务

1.数据的分类保护

在以“可识别性”为核心界定个人数据的框架下,GDPR所定义的个人数据包括“已识别”与“可识别”的,包含了识别路径的个人数据(由信息本身特殊性识别出特定自然人)和关联路径的个人数据(已识别的个人后续的动作被系统记录显示出的偏好和行为轨迹)。GDPR允许对可识别的数据进行加密和假名化处理后可以有与收集时的原始目的相兼容的新目的。去标识化的个人数据,不适用数据主体相关权利的规定,除非附加新信息后可重新具有“可识别性”。 匿名化数据不受GDPR管辖。

2.处理个人数据必须要有合法理由

GDPR认可的数据处理的合法根据包括:数据主体的同意、履行合同之必要、履行法定义务的需要以及数据控制者的合法利益等。对于最重要的“同意”规则,规定了严格的有效标准:必须是具体的、清晰的,是数据主体在充分知情的前提下自由做出的(第7条)④。同时,还赋予了数据主体可以随时撤回同意的权利;处理儿童个人数据必须获得其父母或者其他监护人的同意并负有举证责任(第8条)。

关于“数据控制者的合法利益”这一合法理由,数据控制者必须能够证明,其合法的利益显著高于数据主体的个人权利和自由(第6条),同时赋予了数据主体对于营销活动的绝对反对权。

GDPR对用户画像技术做了特别规定,必须符合以下条件之一:数据主体明确同意;欧盟或成员国法的明确授权;数据主体和数据控制者之间签订或履行合同所必要(第22条)。获得用户合法有效的同意,首先应当向数据主体全面介绍用户画像技术如何进行、所收集数据的范围、算法基本逻辑、评估结果是否对用户产生法律影响。其次,应当区别于其他信息、明确无误地采用足以引起用户注意的方式,告知用户其享有对画像技术的反对权(第13(2)、21条)。

3.为数据处理者设定了同等义务和责任

GDPR为数据处理者也设定了与数据控制者相同的数据安全保障义务,并详细规定了控制者与处理者之间协议应包含的与数据保护相关的内容。如果数据主体所诉某项侵权涉及一个以上的数据控制者、处理者,则他们共同承担连带责任,除非能证明其对损害的产生没有责任。

(三)数据监管的要求加重了行政负担

GDPR的数据监管机制分为内部监管和外部监管。

1.机构内部监管

(1)数据保护影响评估

GDPR对于高风险的数据处理活动,例如,会对数据主体产生法律上的影响的个人评价、对大量敏感数据的处理、对公共领域大规模的系统性监控等,要求事先进行数据保护影响评估(Data Protection Impact Assessment, DPIA) (第35条)。如果数据保护影响评估的结果显示是高风险,且数据控制者没有有效降低风险的措施,数据控制者应当就数据处理活动向数据保护机构进行事先协商(Prior Consultation)。监管机构应当在收到协商申请的特定期限内提出处理意见,并可以采取纠正措施(第36条)。

(2)痕迹管理及问责机制

GDPR要求企业在内部建立完善的问责机制(达到一定规模的机构还要设置数据保护官)。数据控制者必须做好痕迹管理,全面记载其数据处理活动以作为问责的证据(第5条)。GDPR对属于其适用范围但设立地在欧盟境外的机构,要求其必须在欧盟境内指定一个代表,作为与数据保护监管机构之间的联系点(第27条)。

(3)数据泄露报告

一旦发生数据泄露事故,数据控制者要在72小时之内通知监管机构,若未在72小时内报告,则后续报告应当说明延迟报告的理由。数据处理者应当在意识到泄露事故及风险后及时告知数据控制者(第33条)⑤。

2.外部监管

GDPR要求欧盟各成员国设置数据保护专员,并增强了监管机构的执法权,可以根据具体情节采取不同的处罚措施:通知并提醒当事者注意相关违反行为;要求当事者提供相关信息或提供访问相关信息的入口;现场调查、审计;命令修改、删除或销毁相关个人数据;采取临时或限定性的数据处理禁令;课以罚金(第58条)。

尤其使GDPR在全球具有威慑力的是其所规定的高额罚金:(1)处以1000万欧元或上一年度全球营业收入2%的罚款,两者取其高。适用的行为包括:未实施充分的安全保障措施,未提供全面的透明的隐私政策,未签订书面的数据处理协议等。(2)处以2000万欧元或上一年度全球营业收入4%的罚款,两者取其高。适用的行为包括:无法说明如何获得用户的同意,违反数据处理的一般原则,侵害数据主体的合法权利、拒绝服从监管机构的执法命令等(第83条)。

三、中国智能传播平台运营中应对风险点的合规措施

在GDPR框架下,智能传播平台个人数据保护的合规风险具体体现在用户感知、法律风险和监管态度三个方面。其中,用户感知主要通过产品及服务设计来实现,法律风险的防范贯穿于数据收集、数据处理、数据流动三大环节中,监管态度包含了内部日常监管和对外部执法机构的协助监管。本文结合智能传播平台运营中可能遇到的一些突出风险点,提出应有的合规措施。

(一)提供最佳用户隐私感知的隐私设计

智能传播平台应把保护用户隐私与发展业务放到同等重要的位置,在考虑如何给用户创造智能和便利的同时,也要考虑如何为用户创造安全感、尊重感和价值感。为了尽可能提供最佳的用户隐私体验,需要考虑用户正当期待,使智能传播产品和服务从设计伊始就以用户友好的方式构建其隐私保护策略。

1.以用户为中心设计隐私政策

以用户为中心的核心要点就是用户授权。数据主体的“同意”在收集、处理、流通各个环节都有相应的要求,主要通过隐私政策或用户协议获得。

实务中许多隐私政策或用户协议的设计不符合GDPR关于“同意”的要求。内容上,普遍存在数据主体权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病,尤其是涉及企业责任的重要条款普遍缺失[8]。权利义务的分配方面,作为协议制定方的平台向自身利益倾斜,平台“权力”挤压用户权利[9]。在获得用户授权的方式上,最常见的是采用“注册即视为同意《隐私政策》与《Cookie协议》”的默认勾选或“一揽子”授权同意、概括式同意⑥。默认勾选同意大多与服务捆绑,不同意则无法享受服务。凡是使用平台服务的用户都被推定为接受了这一协议,这也得到包括我国在内的大多数国家法院判决的认可[10]。只提示开启存储权限,却使用户“一揽子”授权同意了在后台开启位置权限,导致应用程序自动追踪。表示会把个人数据提供给第三方,却未提供第三方信息,通过格式条款使用户概括地同意了各种不可预见的数据处理行为。

智能传播平台应对标修改内部流程,建立确保同意有效性及可撤回的机制。首先,应更新现有隐私政策,重新审视已获得的同意是否合法有效。如不符合,可按要求重新获得同意。其次,智能传播平台需要做出平衡透明度与用户阅读体验的最佳隐私政策。美国学者对联邦贸易委员会(FTC)《公平信息实践准则》要求下的简化隐私政策的“最优实践”进行调查研究发现,隐私政策简化措施效果不明显,加上警示标志可以增加关注度[11]。GDPR的要求也将使隐私政策内容更长。但是,过长的隐私政策文本会造成阅读量下降甚至客户流失,个人数据用于新的目的还需再次提醒并征得用户同意,可能导致用户一定程度的“同意疲劳”而不经阅读直接给出同意。实践中,大多数用户并未阅读在线协议就直接点击“同意”,这就减弱了授权机制的实际警告效果,甚至给用户带来了风险。实际上,GDPR以“用户知情同意”为前提的统一标准转化为在具体场景中以个案的风险衡量为判定原则。“场景”意味着从用户的期待与接受程度出发,而不是一味秉持“原始目的”的僵硬标准。信息场景被用来代指影响用户接受程度或对个人信息利用敏感程度的因素[12]。因此,智能传播平台隐私政策设计中的风险防控路径是要考虑一个正常理性的用户的合理期待与感知,既要平衡平台运行的需要与用户隐私感知的满足之间的关系,又要平衡授权合规的正当性要求与授权机制的效率要求之间的关系。

2.提升告知的透明度

透明度使用户能够了解智能传播平台的数据处理行为,并在必要时对个人数据处理行为进行干预,从而增进用户对平台数据处理行为的信任。

GDPR中的“显著告知”意味着“告知”应该立即显示并引导用户访问隐私政策信息。将隐私政策链接以醒目的形式挂在网站首页突出的位置或采用弹窗提示,确保有用户同意的点击动作,是符合GDPR“显著性”要求的常用方式⑦。智能传播平台还可以提供链接、明确标记、进入聊天机器人界面的交互形式告知隐私政策信息。为了克服智能传播介质显示空间的局限,可以使用分层隐私声明链接各类信息,允许用户直接导航到欲知晓的特定内容,以避免信息冗长带来的“信息疲劳”,也可以避免过度干扰用户体验或产品设计,以解决隐私政策的完整性和用户充分了解之间的矛盾。形式上,可以图文并茂,以通俗易懂的动画演示和文字说明,添加示例、关键术语定义的链接解释,以使不同文化水平、生活背景的用户都能理解隐私政策,提升告知的透明度。

多维度的动态数据的收集方式虽然会在隐私政策中被告知,然而,动态收集的核心问题是数据主体与数据控制者都无法预知数据使用中所产生的数据类型和形式,形成隐私政策无法说明、无法预知的模糊地带。为提升动态收集下隐私政策的透明度,平台可以根据数据搜集和使用的进程与用户沟通,定期动态更新政策内容并征得用户授权。针对动态化收集到不在约定范围的数据隐私,也可以局部调整政策内容,随时以弹出界面的方式将调整部分告知用户,增加用户阅读协议的可能,征得用户许可[13]。

3.确保用户个人信息自决权

透明度要求并不仅仅是采用“显著”的方式告知,其核心是尊重并保障用户的个人信息自决权⑧。我国目前大多数智能传播平台对用户个人信息控制的赋能机制不足。智能传播平台要采取适当的技术性和组织性措施,赋予用户个人信息控制力。不得采用“霸王条款”让用户没有选择权而失去数据控制力,而且,在设计隐私政策时,要清晰地分隔数据使用的不同权限,区分核心功能和附加功能,区分双方协议功能和第三方协议功能。用户对不同权限和功能应有选择权,且不能因拒绝授权附加功能、第三方协议功能影响核心功能、双方协议功能的使用。还可以提供用户控制其个人信息权利实现的工具,例如,通过修改偏好设置来控制被自动化决策用于定向推送的个人信息,以满足GDPR所要求的访问权、修改权以及自动化决策的可解释性等问题。

(二)构建隐私数据图谱防控数据采集中的合规风险

1.明确划分个人数据的内容、范围与分类

个人数据的范畴非常大,其内涵随着信息技术的发展不断丰富,司法实践目前无法把每种利益都界定得特别清楚。一般来讲,用户个人数据通常应包括个人特征数据、可推测主体身份和行为的数据(访问内容、终端的IP地址、传播内容电子记录、论坛与博客、与他人的交互信息等)、受众身份与行为记录(设备及智能传播应用软件的用户ID、密码、Cookie、网站信息等)。欧盟语境中“身份”(Identity)的内涵远比中文语境中更宽泛,包括身体的、生理的、基因的、精神的、经济的、文化与社会的身份。欧洲法院最近裁定,在某些情况下,动态IP地址也可视为个人数据[14]。手机上网记录、手机设备号是否属于个人数据,一直存在争议。一般认为,不能追踪到实际个人身份的设备信息、上网信息不构成个人信息。但手机设备号有标识符,只要上网记录等其他数据就能够和用户关联,从这个意义上讲,属于个人数据。统一资源定位符(URL)可能反映一个人的上网喜好、搜索内容等信息,特别是那些带参数的,有很大的商业价值,比Cookie暴露的信息更多,属于个人数据。上网数据一般是和个人挂钩的,甚至和上网账号联系在一起,要和其他数据放到应用场景中来判断其是否属于个人数据。

清晰的分类可以直观地发现个人信息流通的路径[15]。根据GDPR目的限定原则、最小范围原则、存储限制原则,智能传播平台应确保从目的、数量及时间三个维度对个人数据的收集与处理进行限制,对所收集的个人数据过滤后及时删除与传播服务无关的数据。根据分级、分类,分别采取不同的保护措施。尤其要注意对基本权利和自由特别敏感的特殊数据的划分和特别保护,包括种族、民族、政治观点、宗教、工会成员身份、基因、生物识别、健康及与性取向或性经历有关的数据⑨。应指导用户对个人数据的正确收集做出判定,在技术上让用户通过更改隐私设置来限制平台对其信息的收集范围。以自建私有云或租赁与自建相结合的方式,对一般数据和特殊数据实行分类存储,将保密要求高的数据传输至平台私有云存储。为不同类别的数据分别确定符合处理所必需的最短存储期限,允许用户经权限验证后对其个人数据进行访问、审查、纠正或要求删除。

2.主动降低数据识别度

主动降低数据的识别度,可降低风险。可识别的数据对个人的识别度相对较低,GDPR允许对该类加密和假名化数据的处理可以有与收集时的原始目的相兼容的新目的。智能传播平台在目的限制原则下所承担的风险就低一些。判断某项个人数据是否可识别时,始终把握数据的可识别性和识别后对权利主体的影响这两个基本点,结合指向特定自然人的程度以及需要花费的成本、时间及技术水平等所有客观因素,综合考虑可合理用以直接或间接地识别数据主体的方式。智能传播平台区别具有相对独立性和确定性的非身份性数据与需要跟其他数据相结合才能指向特定个人的数据,根据二者的风险程度分别设置不同的流转规则。

去标识化的个人数据,不适用数据主体相关权利的规定,除非数据主体额外提供了信息,使平台能够重新识别出特定个人。智能传播平台收集个人信息后立即进行去标识化处理,并采取技术和管理措施,将去标识化的数据与可用于恢复识别个人的数据分开存储,并确保在后续的数据处理中不重新识别个人,则可豁免相关义务,节省巨大的合规成本。

匿名化数据被排除在GDPR管辖范围之外。智能传播平台将数据做匿名化处理,因无法与已识别或可识别的自然人相关联,不受GDPR管辖。

(三)确保数据处理的合法性与正当性

1.适当选择数据处理的合法事由

GDPR规定了个人数据处理的六个合法事由:同意、履行或订立合同之必要、数据主体重大利益、法律义务、公共利益、正当利益。在数据处理行为开始之前选择适当的合法事由十分重要,否则,该行为可能会被认定违反GDPR而受处罚。一般传播行为中用到的主要是前两种。

最常用的合法事由就是数据主体的同意。虽然,有学者主张网络上个人信息的使用适用默示许可[16],但GDPR明确规定“数据主体授权”必须是数据主体被告知情况下自愿给出的特定的“明确”表示,并确定了“授权”的要件。“明确”一词意味着数据控制者不能通过数据主体的不作为或沉默来获取其同意,也不能通过一般服务条款来获得,必须是“特定的”。

关于“履行合同之必要”的具体运用,欧盟数据保护委员会(EDPB)于2019年4月12日公布的《关于在向数据主体提供在线服务时依据GDPR第6(1)(b)条规定处理个人数据的第2/2019号指引》(征求意见稿),为如何判断“履行与数据主体签订的合同或在签订合同前应数据主体的请求采取的行动所必须的数据处理行为”提供了指引,明确在何种情况下数据处理行为可以援引该条作为合法性基础,并对“必要性”作了限缩解释。“履行合同之必要”并不单纯是制订合同的在线服务提供商所认为的必要,并非在线服务提供商写入合同中的所有与服务相关的数据处理行为都可理解为履行合同所必要的,在合同中规定某项“数据处理行为属于本合同所必须”也并不意味客观上确实是履行该合同所必要的。“必要性”必须是客观上的必要,要通过客观的事实来判断。假定一个理性的数据主体在订立合同时,就客观上期待和判断该服务中必须要进行该数据处理行为,数据控制者需要承担举证责任来证明该数据处理行为若不进行,就无法履行合同。“必要性”还需要基于合同目的进行判断。如果合同目的的实现不以该数据处理行为为必要条件,则该数据处理行为不具有客观上的“必要性”[17]。

智能传播平台常常用到新闻个性化推荐、个性化展示。如用户选择由在线新闻网站提供新闻汇总服务,客观上期待网站向其提供来自多个在线资源的定制内容,那么,为了实现这一服务,网站要求用户创建个人兴趣档案的行为可认为是履行合同之必要。个性化展示往往是智能传播服务的必要元素,因此可以将其认定为履行合同之必要。需要注意的是,EDPB明确指出使用已往交易数据进行个性化推荐的行为是为了刺激消费者订立新合同、购买新产品或服务,并非履行已经订立的合同所必要。

2.恰当援用数据处理中义务的减免

GDPR第85条关于为了新闻目的而进行处理的规定,表明其调和大众传播与个人信息保护之间张力的立法意图。智能传播平台应关注豁免或克减条款,减轻平台相关义务,为平台发展赢取空间。

例如,被遗忘权不是绝对权利,只在用户撤回同意或平台不再有合理理由继续处理数据等情形下适用。第20条规定,如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一控制者。智能传播平台应注意“技术可行”对可携带权适用的限制条件,它表明GDPR并没有将可携带权上升到强制性的互兼容、互操作技术标准的程度,而是给平台留有一定空间可以兼顾自身利益。如果数据处理行为是基于同意或履行合同之必要以外的其他合法事由,可携带权不能适用。在限制处理期间,平台只能存储相关数据,但是基于数据主体的同意、履行法律义务、保护第三方正当利益、重大公共利益的例外情形下,可以处理。在不同情况下,智能传播平台对用户的反对处理权的义务是不同的。对出于直接营销目的的处理,比如会对其产生一定的法律后果或重大影响的自动化处理的决策(包括用户画像和定向推送),反对权是绝对的,平台必须停止处理,除非为双方订立或履行合同所必要,或数据主体事前已明确同意。智能传播平台应单独、清晰地告知用户拥有这种绝对反对权。对基于公共利益、正当利益或履行法律义务所必需的数据处理,反对权不是绝对的,但平台必须证明其拥有令人信服的、优先于用户利益的上述正当理由。

3.谨慎采用个性化推荐技术

智能传播平台运作的核心在于根据用户特征、场景和文章特征做个性化推荐,每一个用户的推荐内容都不同,以避免形成“广场效应”[18]。尤其是随着场景传播的兴起,场景及信息的适配,实质上就是特定情境下的个性化传播和精准服务[19],其重要方式就是利用移动设备的定位功能测定用户位置来选择推送传播产品,使智能传播成为与受众日常生活轨迹紧密结合的个性化推送。智能传播平台必然青睐用户画像技术,解析、预测、评估用户服务模式与用户个性化传播需求的匹配度及传播服务的可持续性,以提升用户的忠诚度。随着GDPR的施行,用户画像的合规问题特别突出。精准推送背后的逻辑是用户隐私数据的二次售卖,大数据技术使得网民置身于一个“全景敞视”的数字监狱中[20]。这种会让用户感觉到被监控的技术触及了用户的底线,还会引起平等权问题。

首先,智能传播平台要明晰“用户画像”的定义。根据第4条的定义,“为了评估自然人的某些条件而对个人数据进行的任何自动化处理”,及第2条适用于“形成或旨在形成用户画像的非自动个人数据处理”的规定,在GDPR语境下,不仅用户画像本身,而且收集、整合网站浏览记录、软件使用记录、点击记录、行踪轨迹等“形成或旨在形成用户画像”的活动亦属于个人数据处理。

其次,应注意区分两种用户画像行为。一种是用户群体画像,属于协同过滤的个性化推荐,即集合具有相似背景、兴趣、行为的用户群在使用某产品或服务时所呈现出的共同特征,聚类刻画,提炼出群体的“典型用户”。分析这类用户的需求来设计或改进产品或服务。例如,通过建立“社交传播”网络平台,在用户传播心得的分享、关注或评论中,通过兴趣驱动,有选择地向某类用户推送其感兴趣的传播信息,提高传播产品静默下单或咨询下单的数量,甚至帮用户组织有相同需求的人群互动传播。另一种是用户属性画像,构建的是用户的属性标签,每个用户角色的建立都有一些基本的且能唯一标识该用户的属性。传播平台尤其要注意这种具有特定指向的用户画像,因其具有可识别性,并且易对数据主体形成差别待遇。

再次,应保证用户画像技术运用的合法性。依GDPR的规定,用户画像如果对数据主体产生法律上的影响或其他重大影响,应为法律所授权且数据控制者已经制定了适当的保护措施、签订或履行合同所必要、数据主体明确同意。在后两种情形下,数据控制者也应采取适当措施保障数据主体的权益,包括其对用户画像质疑和进行人工干涉的权利。实践中,由法律授权使用的情形十分有限,大多数情形下也很难说是履行合同之必要,在绝大多数情形下需取得数据主体的明确同意。传播平台应当告知数据主体存在用户画像程序并提供相关逻辑,包括此类处理对于数据主体产生的预期后果。GDPR第22条明确规定数据主体有权不接受完全由自动化处理,没有人类干涉的条件下做出的重大决定。如果数据主体表示反对,平台须立即停止特定处理行为。针对特殊类型个人数据,只有数据主体明确同意,或为公共利益所必要且已采取保护措施,才可以进行用户画像⑩。

最后,应保障个性化推荐技术程序的正当性。智能传播基于“算法黑箱”做出的自动化决策,不透明性使用户无法理解算法的机理,从而带来不公平性的问题。用户偶尔好奇或误点了一条新闻就会不断被推送相关内容的新闻。这实际上剥夺了用户的选择权[21]。处于被动地位的公众由于他们有限的信息承受和接收能力,无法正确处理算法“黑箱”,不能自主把控数据信息所形成的算法决策,法律面前人人平等的原则将被消解[22]。GDPR首次提出算法的可解释性,但如何向用户解释算法仍亟待落实。算法的监管对象不应是算法本身,而是算法如何运用。智能算法决策本质上是用过去预测未来,而过去的歧视和偏见可能会在智能算法中固化并在未来得以强化,形成“自我实现的歧视性反馈循环”[23]。智能传播平台需要构建伦理规则,强调社会责任。在设计算法时,应结合伦理、法律上的考虑,不断探索既可以保护隐私、短期内又能够提供个性化服务的技术出路,在重视个性化推荐技术精准传播效应的同时,需关注对个性化推荐技术的科学解释和通俗性普及,通过程序设计来保障公平的实现,并借助于技术程序的正当性来强化智能决策系统的透明性、可审查性和可解释性。而在研发出可靠计算机辅助工具进行数据处理之前,尚需有效地利用人工筛选方法[24]。

(四)数据流动与融合中输出匹配合规能力

1.实现可携带权兼顾第三人隐私权

个人数据可能同时关联其他第三人的个人数据,如数据主体针对通讯录、通话记录、聊天记录、往来邮件、转账记录等关系链数据行使可携带权时,可能对第三人的数据权利带来侵害,因为第三人无从得知其个人数据被传播企业提交给了新的数据控制者,从而没有机会行使数据权利。平台要注意的一个突出问题是,不能对他人的权利产生负面影响。第29条工作组《关于数据可携带权的指南》规定,仅仅在行使数据可携带权的数据主体本人对所转移的涉及第三人的个人数据进行唯一的控制下, 才允许由另一控制者纯粹为数据主体个人和家庭需求进行处理[25]。那么,接收数据的控制者是不能基于自身利益去处理相关第三人数据,尤其不能对第三人进行用户画像或开展营销活动等。为避免对第三人的侵权风险,该指南还规定数据输出方和接受方都应设置相应的技术,确保由数据主体选择可发送、接收和须排除的第三人数据。

2.对合作者的合规管理及责任划分

智能传播平台出于业务或技术需要必须进行数据合作,就必须对上、下游平台进行控制、评估和审计等数据合规管理。智能传播平台在与其他数据处理者合作时,要审慎选择第三方数据处理者,选择能够保证采取足够适当的技术和组织措施的处理者,并能控制其数据处理行为以及次级处理者链条。要依角色确定责任。对内部、外部参与各类数据处理活动的当事人及其角色进行梳理、评估和划分,区隔作为控制者与处理者各自的职责及相应的义务。数据处理者的权利和义务由其与控制者之间的数据处理协议约定,处理者只能按照控制者的书面指示处理个人数据、协助控制者履行其因应数据主体权利请求的义务以及GDPR下的特定义务。GDPR明确了数据处理协议内容的强制性要求。平台应明确相关情形下的责任分担,还要定期对第三方进行审计,尽量识别和避免因事实上的数据合作而导致的责任。

3.数据融合行为的严格限制

数据的价值并不仅限于特定的用途,它可以为了同一目的而被多次使用,也可以用于其他目的[26]。为了提高数据的使用效率和价值密度,智能传播平台还可能会以协作的方式与其他服务商实现数据共享。尤其是随着融合传播的兴起,开放平台成为跨产业、跨区域、跨市场融合的传播产业发展趋势。基于大数据的算法分发已经成为主流的信息传播模式,媒介的核心优势在于对新闻内容的采集与整合,在于通过算法分发所带来的精准传播和衍生应用,通过新闻内容对受众进行引流和导入,再利用基于用户数据的衍生服务提高传播效率,获得长尾效益,这才是新闻移动生产可持续的运营模式和价值所在[27]。以场景、细分和垂直、个性化服务为特征是web3.0场景媒体时代的特点。这个时代就是对内容、用户价值进行利用和拓展,要对价值进行深度开掘[28]。智能传播平台立足于媒体大数据平台,以大数据智能分析工具作为技术支撑,将媒体旗下媒体资源融合共享使用,实现“一次采集、多元加工、多次发布”的智能生产和传播[18]。在多屏场景中,用户多屏间动态切换,以个人的账号体系使数据在各个场景维度中形成相关性。比如,天天快报没有单独注册选项,授权微信和QQ登陆两种方式,通过挖掘用户在社交媒体中产生的大数据进行用户画像,来匹配推送个性化新闻。今日头条的用户可使用微博、微信、QQ、人人网的社交账号注册,后台系统会抓取用户社交账号上的数据以及用户的手机机型等信息,为用户建立DNA兴趣图谱。

但GDPR关于“处理合法性”的第6条规定,若出于收集个人数据以外的其他目的处理数据,控制者需要考虑多种因素,确保该目的与初始目的相容,否则不可处理个人数据。这一规定使智能传播平台无法自由扩展用户数据的使用范围,但如果所收集的信息只用于它的基本用途,而不能被多次分析与使用,就会逐渐变成沉默数据[7]。为了在遵守处理合法性与充分利用数据之间求得平衡,智能传播平台在数据融合中,要注意区分注册用户、非注册用户和被动用户(访问设置智能传播平台Cookies的第三方网站的用户)。注册用户的全部数据可能会被用于平台的任何服务;非注册用户的数据可能会被用于平台的其他服务,如个性化搜索结果;被动用户的数据,如通过设置在第三方网站的Cookies收集的数据,可能会被平台用于产品改进、个性化广告展示和数据分析。用户无法分清自己所享用的服务中的哪一类数据被处理,也无法辨别处理目的。

智能传播平台需要明确数据融合的目的、方法及融合的程度,并且应当开发新工具让用户对个人数据拥有更多的控制权。根据不同融合目的,原则上分为两类处理方式:针对有处理合法性的融合目的,应当遵守“自设计开始的个人数据保护”原则。如提供简单的opt-out机制,保存期限应当限定于特定目的。针对无处理合法性的数据融合目的,应当获得用户的明确同意且限定于融合目的对应的处理范围。同时给用户提供控制措施,例如,为注册用户提供具体的设置,为非注册用户和被动用户提供明确同意以及对Cookie的改进控制等。为特殊目的而进行的数据融合行为,应得到用户的明确同意;除安全目的以外,应限制对被动用户数据的融合行为;简化注册用户和非注册用户的退出机制(opt-out);明确个人数据的保留期限,特别是在用户作出删除特定内容、取消订阅特定服务、删除账户等行为时的保留期限。

智能传播平台与第三方合作者进行匹配数据交易时也要输出匹配的合规能力。在GDPR以“同意为中心”的合规体系下,数据融合中,需要设置数据“入口”和“出口”的合规流程设计。一方面,对融合来的数据要进行合法性来源的审查,后台数据关联应避免共享简化,不能事先利用“一揽子”协议将用户所有相关授权穷尽,应分项明示,由用户手动设置。不论第三方是否采取了同样的隐私保护政策,与之进行匹配数据交易,应符合用户自愿原则,经其同意方可操作。另一方面,对供应商的资质与数据脱敏进行评估。也可以跟第三方签订保密协议或者对特定数据做去标识化处理。

(五)体现对内严格对外友好的数据监管态度

对数据监管的态度也是智能传播平台降低合规风险的一个方面。数据监管主体是多元的,既有外部监管,也有企业内部监管。

1.风险防控体系与产品和服务同步设计

智能传播平台合规的方向是可知、可控、可示、可溯、可预。

数据合规风险防控措施必须与个人信息处理程序同步规划并同步上线。首要的是从个人数据的收集、存储、应用和流通四个环节构建数据地图,从而作数据清单、数据追踪、授权和使用的一致性检测、数据使用场景梳理。一是建立隐私数据图谱,给数据打上标签,分级、分类,梳理数据及其存储位置。二是构建数据运用图谱,在数据未来的使用中要能自动归集并实时自动化监控,对于数据使用者、数据应用场景、有无充分保护等通过数据运用图谱清晰可见可控。三是构建数据流动图谱,使数据开放给平台或转移给第三方时清晰可溯,使数据流动各个节点的风险可预警。这样才能从传播产品或服务的设计着手,建立覆盖数据全生命周期的隐私保护体系,考虑数据处理的性质、范围、场景、目的以及对自然人权利不同程度的风险,采取适当的技术和组织措施。规范数据处理过程中的基础设施、数据管理和用户交互行为,确保个人数据系统的透明性、完整性、保密性、可用性、可干预性、不可联结性。还应关注GDPR的克减条款、例外情况、可豁免义务、对数据主体权利的限制等,为平台合规管理增加余地。

2.建立科学的数据保护影响评估模型

针对高风险的数据处理行为发布数据保护影响评估(DPIA)报告是促进平台企业自证合规、配合监管的有效工具,目的在于督促企业主动识别风险和最大限度降低风险。智能传播平台应建立科学的DPIA模型,明确评估的内容、方法和标准,在收集和处理前系统地分析特定项目对隐私的影响,从而对数据风险早期预防、实时感知、即时反馈和动态监控。若DPIA表明存在较高风险,应事先征求监管机构的意见,并根据法律、标准,结合平台数据流进行调整,采取与风险相称的技术或组织措施消除潜在问题,例如,决定不收集或存储特定类型的信息;设计为实现数据使用目的必需的最小保留期限,只保留具有较高价值密度、与用户个性化传播服务有较强关联的必要信息,并安全销毁不必保留的信息;采用加密等安全措施传输和存储个人敏感信息;匿名化处理;确保用户充分了解其特殊数据使用情况等。

3.做好痕迹审计证据管理

GDPR第5(2)条规定了问责原则,要求数据控制者必须始终能够证明个人数据是以向数据主体透明的方式处理的。智能传播平台要以可见的形式合规保存数据处理活动的书面(包括电子)记录,以便于痕迹审计。记录数据处理活动,要建立全面、准确、完整地反映平台运营状况的数据地图,建立数据血缘关系的数据档案,描述数据获取途径、处理手段、流动路径、存储位置、用户对数据权利的请求等动态变化;要记载数据全生命周期每一环节的状态,为风险评估提供事实依据。书面记录作为留痕审计的重要证据,在监管机构问责时可展示平台数据处理行为的合规性以完成举证义务。而且,智能传播平台自我规制,遵守由国际组织、行业协会等拟定的行为规则,向认证机构申请国际标准的合格评定时也可将记录作为重要资料。

4.及时有效地处理数据安全事故

智能传播平台因面向的用户众多,且具有较强的公开性和互动性,要做好内部数据泄露应急处理预案,包括在事故发生时须采取的行动、检查事项清单和后续措施等。并且,发生安全事故时,除了立即启动应急措施,还应第一时间以有效的方式告知当事人。确实技术不可行,应采取合理方式有效地进行公开警示。同时,要在规定时间内向监管部门报告。

5.积极配合监管机构的审查

GDPR高额的行政罚款案例使涉及个人数据相关业务的经营组织感到风险重重。其实,最高罚金仅仅在最严重的违法行为下适用。如果违法行为不会对数据主体的权利构成重大风险,可以用警告、申诫、要求改正、要求更正或删除个人数据等取代罚款。第29条工作组《行政罚款的适用和设置指南》明确指出,在具体案件中,监管机构有责任采取审慎平衡的方法,选择“有效的、恰当的、有说服力的”措施[29]。同时,监管机构在评估是否应当适用罚款及确定罚款金额时,应考虑的因素中就包括数据控制者或数据处理者为了减轻数据主体损失而采取的所有行动、与监管机构的合作程度、监管机构得知违法行为的方式等。因此,一旦发生用户个人数据保护相关的事件,智能传播平台与监管机构保持良好密切的沟通,有助于避免更为严厉的处罚。

注释:

①目前尚无中国企业违反GDPR而受处罚的案例。

②数据主体向比利时数据保护局投诉,举报市长滥用房地产交易咨询事项中建筑师所提供的个人电子邮箱向其发送竞选信息进行拉票。2019年5月28日,比利时数据保护局裁定比利时市市长使用数据主体个人电子邮箱地址并发送竞选信息的行为,已经超出数据主体提交个人邮箱地址的目的,违反了GDPR目的限制原则,并作出了处罚决定。参见比利时数据保护局官方网站https://www.gegevensbeschermingsautoriteit. be/nieuws/de-gegevensbeschermingsautoriteit-legteen-sanctie-op-het-kader-van-een-verkiezingscampagne。

③出租车公司Taxa虽然在合法保留客户的姓名和地址两年后予以删除,但在随后三年的时间里违法保留了900多万名客户的电话号码。2019年5月,丹麦数据保护机构认为Taxa没有遵守GDPR的最小范围原则,对Taxa处以120万克朗的罚金。参见丹麦数据保护机构官方网站:https://www.datatilsynet.dk/tilsyn-ogafgoerelser/afgoerelser/2019/mar/tilsyn-med-taxa-4x35sbehandling-af-personoplysninger/。2019年5月,立陶宛数据保护机构认为MisterTango提供支付服务时,超出必要限度读取并收集用户的个人信息,与GDPR的最小范围原则不符。参见立陶宛数据保护监管机构官方网站https://www.ada.lt/go.php/lit/Imones-atsakomybes-neisvengs--lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenu-apsaugos-reglamento-pazeidimus-/1。

④西甲联赛所采用的一款应用程序尽管获得了用户使用麦克风和GPS的许可,但它并未告知用户收集数据的目的。2019年6月,西班牙数据保护局认为用户的同意不够具体,西甲联赛没有获得用户关于数据收集和使用的有效同意,违反了GDPR第7条。参见西班牙当地媒体报道https://www.eldiario.es/tecnologia/Agencia-Proteccion-Datos-Liga-microfono_0_908859408.html。

⑤2018年7月,MisterTango公司用户的个人信息以及9000张网络支付交易截图被非法披露在互联网上,公司未在数据泄露事件发生72小时内向监管机构报告,违反了GDPR的规定。2019年5月16日,立陶宛数据保护监管机构因MisterTango公司不恰当处理数据、泄露个人信息以及未向监管机构报告数据泄露事件对其进行处罚。参见立陶宛数据保护监管机构官方网站https://www.ada.lt/go.php/lit/Imones-atsakomybesneisvengs-lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenuapsaugos-reglamento-pazeidimus-/1。

⑥2019年1月,法国数据保护机构以违反GDPR的同意规则为由,处罚Google 5000万欧元。法国数据保护机构主张Google收集个人数据时征得用户的同意既不“具体”也不“明确”,GDPR所要求的同意只有当用户针对诸多特定目的分别给予认可(而不是“一揽子”同意)时才是“具体的”,并且只有当用户做出清晰的确认动作才是“明确的”。参见法国数据保护机构官方网站https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc。

⑦Google案中,Google的主要违法行为是未向用户提供透明和清晰的处理个人数据的方式。法国数据保护机构表示,Google的用户无法完全理解该公司如何使用数据,因为其披露的信息过于“笼统和含糊”,并分散在许多不同页面和文件中。参见法国数据保护机构官方网站https://www.cnil.fr/en/cnils-restrictedcommittee-imposes-financial-penalty-50-million-euros-against-google-llc。

⑧一家波兰公司出于商业目的处理自公共来源获得的涉及600万人的个人信息。但该公司仅对“已掌握电子邮箱”的数据主体通过电子邮件履行了GDPR规定的信息告知义务。对其余数据主体,该公司称因成本过高而未告知正在进行的数据处理活动,只在其官方网站上展示了相关信息,以此完成告知。经查明,该公司已掌握所有涉案数据主体的电子邮箱地址和电话号码。2019年3月,波兰数据保护机构裁定,该公司所述的“成本过高”只是其不履行法定义务的借口,公司应当通过这些邮箱地址等联系方式对所有数据主体履行信息告知义务。数据主体无法获知与个人信息相关的数据处理活动,也就无法提出反对处理权、更正或删除权,事实上剥夺了他们对个人信息保护的权利和自由,这是非常严重的违法行为,并作出了处罚。参见波兰数据保护机构官方网站https://uodo.gov.pl/decyzje/ZSPR.421.3.2018。

⑨德国聊天社交平台Knuddels.de网站于2018年7月受到黑客袭击,导致约330000名用户的电子邮箱地址和密码泄露。德国数据保护机构调查发现,该平台以纯文本形式存储用户密码,没有采取任何加密措施,违反了GDPR第32条第1款规定的数据安全义务,即数据控制者及处理者应考虑现有技术、执行成本、处理的本质、范围、背景及目的与对自然人权利及自由所存在的诸多且严重的风险,采取适当的技术及组织措施,以确保合理应对风险的安全水平,尤其需考虑个人数据的化名化及加密。因此对Knuddels.de平台处以罚款。参见德国数据保护机构官方网站https://www.baden-wuerttemberg.datenschutz.de/lfdi-badenwuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/。

⑩Google案中,法国数据保护机构认为Google的个性化广告行为未获得用户的有效同意而具有合法根据。参见https://www.cnil.fr/en/cnils-restricted-committee-imposesfinancial-penalty-50-million-euros-against-google-llc。