国际隐私立法动态报告(2014年第2季度)
腾讯互联网与社会研究院
重点摘要:
欧盟数据保护改革取得阶段性进展:欧洲议会正式认可新数据保护条例提案条款,欧洲理事会就其中国际数据传输规则以及新数据保护条例的管辖范围达成一致意见,意味着在欧盟境内经营的外国公司也必须遵循新数据保护条例,欧盟最高法院亦通过谷歌需执行用户遗忘权一案的判决对新数据保护条例的管辖范围加以背书。此外,欧盟与美国就安全港协议延续的大多数条款达成一致协议,包括加强认证企业的隐私政策透明度以及监管执法力度等,但美国拒绝同意欧盟提出的国家安全例外条款,即将国家安全机构直接获取数据的权力限制在有限的情况下以保证欧盟公民的隐私权益,目前双方正就这一问题进行继续谈判。经过三年谈判,欧盟与美国政府达成协议,欧盟公民可以向美国法院提交隐私或个人数据滥用问题的争端。
在美国国内,法官裁定隐私监管机构联邦贸易委员会(FTC)必须公开其用于衡量是否对特定机构违反隐私法律的行为采取执法行动的标准,提高监管标准透明度。FTC在批准Facebook收购WhatsApp之后公开发信提醒交易双方遵守隐私承诺,意味着美国未来将更加关注社交媒体收并购中可能带来的隐私合规问题。在FTC与Credit Karma, Inc. 和 Fandango LLC达成的隐私和解方案中,FTC 对违规行为进行定性时仅讨论其“欺骗性“,而没有评论其违规行为是否构成FTC法案第五章的不正当竞争行为。这意味着FTC对于消费者隐私保护的监管将采取更加积极的态度;即使FTC的隐私监管权限是基于不正当竞争条款,但在企业机构的隐私违规行为尚未构成不正当竞争时FTC已经有权力介入调查并提起控诉。
后斯诺登时代,各国更加重视对个人信息及电子通讯内容的保护,具体表现在开始对个人信息保护从无到有的立法过程,或对现有隐私法律进行更新。2014年4月-6月,加拿大、新加坡、巴西,南非等国先后出台或更新隐私法规,各国共同关注的重点是信息收集过程中对用户同意的获取,以及本国法律对外国公司的适用。其中南非的个人信息保护法案(以及2014年第一季度末的澳大利亚隐私修订法案)很大程度上参考了欧盟现行的数据保护原则,而加拿大与新加坡法律中有关获取用户同意的条款也与欧盟法律十分类似。可见,全球范围内隐私立法的趋势是逐渐形成对于数据法律保护的国际共识,而随着企业的国际化运营与跨境数据传输需要的增长,这一共识的应用将逐渐打破地域范围;欧盟数据保护法律虽然严苛,但对数据保护立法的新兴国家仍然有重要的参考意义。
一、欧盟
(一)新数据保护条例(General Data Protection Regulation)
欧盟自1995年数据保护指令实施以来一直实行严格的个人隐私和数据保护制度。随着互联网的飞速发展,数据跨境传输大量增长,以及美国国家安全局监听项目“棱镜”事件的披露,欧盟委员会意识到更新数据保护法律、保护公民线上隐私权益和信息安全的必要性。2012年1月,欧盟委员会正式宣布进行数据保护改革,并发布新数据保护条例提案(Proposal for the EU General Data Protection Regulation)。新数据保护条例预计在2014年底生效,并于两年缓冲期后(2016年)正式取代原有的数据保护指令。2014年第二季度伊始,经过两年多的修改和谈判,新数据保护条例的法律框架和基本原则都已经为欧盟议会所认可, 若新数据保护条例提案随后获得欧盟部长理事会投票通过,则将正式成为生效法律。
欧盟部长理事会(Council of Ministers)于2014年6月就新数据保护条例召开会议,总结数据保护改革中的重要进展,并就若干重要问题达成一致,主要包括:
1. 新法管辖范围:欧盟境外的数据控制人如因向欧盟居民提供货物或服务而需要传输欧盟居民的个人信息,则该数据控制人必须遵循数据保护条例规定,无论上述服务是否属于付费性质。
2. 数据的国际传输:向欧盟境外传输个人信息的前提条件是接收个人信息的国家或地区有“程度足够的数据保护机制”。 如果该国家或地区没有上述机制,则数据传输情况必须符合其他法定条件,例如获得数据主体同意,出于履行合同的目的,或者数据控制人使用了其他合适的数据保护机制。如果企业或组织在传输个人数据的过程中选择使用并签订欧盟委员会发布的合同格式条款,或由其他数据监管机构发布、欧盟委员会核准的格式条款,则可以认为已经提供了合适的数据保护机制。此外,如果数据控制人选择使用格式条款且使用情况已经被认证,则不必再针对相应的数据传输申请进行其他的认证或审核程序。
3. “一站式”数据监管机构:“一站式”数据监管机构(one stop shop)是指在欧盟境内建立一个统一的数据监管机构,对企业和组织的数据合规进行监管和执法活动。欧盟部长理事会目前尚未针对这一点达成一致意见,但大多数认为应当设立一个占据主导地位的单一数据机构,在此基础上由这一主导机构与各国当地的其他数据机构进行合作与联系。
此外,新数据保护条例提案新增有关遗忘权的规定,即用户享有要求网络服务提供商将敏感个人信息从网上删除,并禁止网络服务提供商进一步散播该信息的权利。
虽然立法机构没有对这一条文进行进一步讨论,但欧盟最高法院已经通过“不可上诉判决”的形式在新数据保护条例实施之前对网络遗忘权加以确认——谷歌在搜索结果中展示一名西班牙公民的房屋被法定拍卖信息后遭原告起诉,欧盟最高法院判定用户有权要求谷歌从搜索结果中删除与其相关的敏感信息。这一判决结果对于欧盟个人数据保护实践可谓具有突破性意义:欧盟隐私专家认为它不仅对隐私保护领域有所影响,同时也会影响信息产业的形态。对于谷歌等网络内容提供商而言,法院对于网络遗忘权的认可有可能推动大量用户要求删除相关个人信息,而使得公司面临运营成本上升的情况,谷歌也因此对该判决表示不满。但法院将这一情况与网络平台移除知识产权侵权内容的义务进行类比,表示搜索引擎的运营与信息传播相关,因此必须承担应用户要求删除敏感信息的成本。在一向将隐私视为基本人权之一的欧盟地区,法院显然认为保护个人隐私远比商业利益乃至公众获得特定信息的权利更加重要。欧盟司法专员Viviane Reding表示欧盟各国均已同意与欧盟最高法院合作执行谷歌遗忘权一案的判决;欧盟境外的公司如果其互联网活动对于欧盟公民和欧盟商业活动有所影响,则也需要遵守遗忘权的相关规定。作为对遗忘权判决回应最早的国家,德国正考虑设立特别的“网络法庭”。德国内政部表示相关的判断不应当交由谷歌的算法程序进行,因此柏林方面正在探索解决这类冲突的机制,包括网络法庭,第三方仲裁等。网络法庭将采取特殊司法机构的模式,并赋予这一司法机构解决科技公司与用户之间冲突的权力。目前谷歌已经根据欧盟最高法院的判决开始执行被遗忘权,用户可以通过填写并提交相应的表格要求谷歌移除有关链接信息,谷歌的欧洲页面也开始在某些搜索过程中出现“部分内容已经根据欧洲数据保护法律移除”的告示。但许多有关知名人士的搜索结果页面并不会出现上述告示,意味着谷歌很可能基于公众的知情权而拒绝了这些人的内容删除请求。
(二)安全港协议进展(Safe Harbour)
根据美国与欧盟与2000年签订的安全港协议,只要美国企业加入安全港认证项目且遵守安全港协议条款,即可视为已经具备符合1995年数据保护指令要求的数据保护机制,可以向非欧盟地区传输欧盟公民的个人信息。目前欧盟正就是否继续执行安全港项目以及继续项目的具体条款与美国进行谈判。截至2014年6月,欧盟与美国已经达成一致的继续条款包括:安全港协议认证企业必须公布其隐私政策;允许欧盟公民将违反安全港协议的隐私争端提交到美国境内的诉讼外纠纷解决机构,认证企业的隐私条款页面必须包含指向美国商务部安全港认证企业名单和诉讼外纠纷解决服务机构的页面链接;认证企业需公布签订任何外包合同的隐私条件;加强安全港合规的执法监管力度,如在发现违规情况并进行调查或控诉一年后,应当有后续跟进调查;美国商务部对于企业的合规情况有疑问时应当及时通知相关的欧盟数据保护机构等。唯一未能达成协议的是国家安全例外条款,即允许美国国家安全机构获取安全港项目所保护的数据。欧盟认为这一条款仅可在出于严格需要的情况下适度使用,而美国国家安全机构不同意这一限制条件。
2014年6月,经过欧盟与美国的三年谈判,奥巴马政府表示将把欧盟公民纳入美国隐私法案的保护范围,意味着欧盟公民可以向美国法院提交隐私或个人数据滥用问题的争端。这一举措是欧盟数据监管机构期待已久的一步,有助于重建美欧之间数据传输的信任问题;但外界认为在美国NSA监听政策并无实质性改变的情况下,这一做法并未能针对美国政府的信息监控行为为欧盟公民数据提供更多的保护。此前,在出于政府调查、执法或反恐原因的数据跨境传输过程中,任何遭遇个人数据被滥用的美国或欧盟公民都可以在欧盟境内将争端提交至法院系统,但美国的司法系统并不相应地受理欧盟公民提交的诉讼请求。
二、美国
(一)联邦贸易委员会(FTC)隐私监管趋势——监管标准透明化
自1990年起,美国联邦贸易委员会(FTC)就以美国贸易委员会法案(FTC Act)第五章的禁止不正当竞争条款为法律依据,对公司通过欺骗性陈述或其他手段违反隐私政策、数据安全保护条款的行为进行监管和处罚。FTC对于“可能对美国境内产生合理的、可预期的损害或者在美国境内实行重要部分的”外国商业实践也有隐私监管权限。FTC并没有公布统一的隐私合规标准,而是通过积极地监管企业的数据安全及隐私合规情况,与可能违规的企业签订和解方案来实现其监管职能。因此,FTC公布的一系列隐私和解方案实际上已经在美国国内成为最具有影响力的隐私实践准则,应用范围甚至比制定法更为广泛。同时,由于消费者的数据对于商业研究来说至关重要,因此FTC的执法重点不仅对公司合规来说意义重大,对于研究机构也具有很重要的参考价值。
尽管业界和研究机构已经习惯于从FTC隐私和解方案中解读其监管标准,但要求FTC提高监管标准透明度与可预期性的呼声一直存在。2014年5月,在FTC诉LabMD一案中,法官裁定FTC必须公开其用于衡量是否对特定机构违反隐私法律的行为采取执法行动的标准。根据法官裁决,企业或机构未必有权要求FTC公开法律推理过程中所使用的法律标准,但有权利知道执法机构决定是否采取执法行动时所采纳的数据安全标准,且执法机构必须标明特定的执法行动是基于FTC已经发布的哪些数据安全准则。许多企业机构认为FTC法案不正当竞争条款条文过于简单,却在隐私合规问题上给予了FTC相当广泛的调查起诉权,使得企业在应诉时处于被动地位,并往往需要付出高昂代价达成和解。而这一裁决对致力于要求FTC提高隐私执法准则透明度的企业来说可谓重要进展。
(二)FTC隐私监管趋势——社交媒体收购中的隐私合规问题
2014年4月,在Facebook对外界确认FTC已经批准其对WhatsApp的收购,美国FTC发信要求Facebook和WhatsApp继续遵守其各自的隐私承诺。FTC表示,Facebook和WhatsApp发布的公开声明和原本的隐私政策都构成对消费者隐私保护的明确承诺。如果任何一方违反这些承诺,都将构成欺骗性陈述而违反FTC法案第五章的不正当竞争条款。FTC在发信中明确指出最重要的三条准则:
1. WhatsApp在隐私条款中承诺不会在未获得用户同意的情况下将用户个人信息用于广告目的,或将信息出售给第三方,而Facebook承诺不会在收购后改变WhatsApp的隐私政策——WhatsApp和Facebook必须严格遵守这些承诺;
2. 当Facebook处理WhatsApp用户信息的隐私政策发生实质性改变时,Facebook必须事先获得用户的明确同意,并最好向WhatsApp用户提供退出选项;
3. Facebook不得做出任何超出隐私承诺范围或者就隐私承诺做出有欺骗性的陈述。
FTC以公开发信形式详细提醒社交媒体遵守其隐私义务并不常见,意味着美国监管机构在未来将更加注重社交媒体收并购带来的隐私合规问题。
(三)FTC隐私监管趋势——FTC介入隐私调查的法律门槛
2014年4月,FTC与Credit Karma, Inc. 和 Fandango LLC达成隐私和解方案。FTC认为这两家移动程序应用商未能提供SSL认证,这一程序漏洞明显将与程序相关的用户个人信息置于合理的安全保护范围之外,很可能导致黑客通过伪造认证的方式接入移动程序并获取未加密的敏感信息。这一和解方案之所以重要是因为FTC重申移动程序提供商对程序进行安全审核与测试的重要性,以及程序应当提供举报安全漏洞的渠道这一主张。 最值得注意的是FTC在对这两家移动程序应用的行为进行定性时仅讨论其“欺骗性“,而没有评论其违规行为是否构成FTC法案第五章的不正当竞争行为。这意味着FTC对于消费者隐私保护的监管将采取更加积极的态度;即使FTC的隐私监管权限是基于不正当竞争条款,但在企业机构的隐私违规行为尚未构成不正当竞争时FTC已经有权力介入调查并提起控诉。
(四)电子通信隐私法案改革进展
1986年发布的美国电子通信隐私法案(The Electronic Communications Privacy Act ,ECPA)规定监管和执法机构(例如FBI和美国国税局)无需申请搜查令即可获取电子邮件、短信等私人电子通讯内容。这项法案自发布以来未经任何更新,而对该法案进行改革的呼声也在2014年初达到了历史最高点。2014年6月18日,为推行电子通信隐私法案改革而出台的美国电子邮件隐私法案(Email Privacy Act)在众议院获大多数签署支持,该法案要求政府机构在查看被调查人员的电子邮件之前必须获得搜查令。但电子隐私法案在正式生效之前必须获得国会投票通过,同时也面临来自反对ECPA改革的司法部的压力。
2014年6月26日,美国最高法院在Riley诉加利福尼亚州一案中裁决警方查看被捕嫌疑人的手机之前必须获得搜查令,只有在有限的的紧急情况下方可不申请搜查令而直接查看嫌疑人手机。美国的许多执法机构,包括司法部都希望在无搜查令进行搜查这一问题上获得更多的裁量权,这一裁决无疑对此表示反对,同时也推动了美国隐私法案的改革进程。与此同时,法院在裁决意见中表示“手机即如同迷你电脑“——意味着搜查令要求的适用范围将不仅限于手机,而显然将同样适用于平板电脑和笔记本等电子设备。在未来,这一隐私保护条款也有可能从保护存储在电子设备上的信息扩展到保护所有的电子信息,例如ECPA改革所呼吁的电子邮件等。虽然Riley一案的裁决对于ECPA改革的影响还有待观察,但法院裁决意见表明司法系统支持公民保护其个人数据和其中所蕴含的隐私保护利益。
三、其他地区主要隐私立法动态
(一)加拿大参议院提出个人信息保护及电子文档法案(PIPEDA)修订案
提案新增收集,使用以及披露个人信息时应当获得的同意的具体要件,以及某些无需个人同意即可披露个人信息的特殊情况,例如允许商业机构在合理判定可能存在违约或欺诈而需进行相关调查时向另一机构披露用户个人信息。但允许商业机构在未获得个人同意或法院搜查令的情况下披露个人信息,意味着将判断披露行为是否合理、确保披露过程安全性以及披露信息不被滥用的义务全部交由商业机构履行,但却没有针对商业机构建立相应的监管机制,外界担忧可能造成个人隐私权利被侵犯;
南非个人信息保护法案于2014年4月下旬起部分实施,生效条款包括监管机构的成立和职能规定,立法程序,以及政府部门和监管机构的立法权限。专家预计该法案将在2015年中整体生效,各机构在法案整体生效后有一年的合规调整期;
2014年4月, 巴西总理签署通过保障巴西互联网隐私及网络接入的法案。该法案限制从巴西公民处收集元数据,并确认网络服务提供商对于用户发布的侵权内容免责,但需根据法院要求移除侵权内容;若外国网络公司所提供服务涉及巴西当地用户,则必须遵循该隐私法的规定。
俄罗斯联邦议会通过一项法案,要求存储俄罗斯国民个人信息的在线服务商必须在本国境内建立服务器以存储个人信息。该法案若获得通过将产生广泛影响:意味着Facebook,谷歌等处理个人信息的国际网站或应用软件必须在俄国境内建立本土服务器。此外,外国公司如果不能保证个人信息存储在俄国境内,则将被禁止往俄国境外发送数据。若外国公司不遵循上述规定,俄国电信监管机构将要求国内运营商限制用户接入这些服务。该法案同时也推行对俄国现有个人信息及数据保护法律的改动。
根据该法规定,企业及各类组织机构必须在收集个人信息前获得个人同意,并知会个人收集、披露或使用其信息的目的。虽然公共机构不属于新法的管辖范围,但新加坡政府表示已经采用与新法原则相同的自律规则。通讯信息主管官员表示,用于规制政府机构的自律规则不仅与新法原则相同,在很多方面甚至比个人数据保护法的要求更加严格。