摘要
本篇带来数据保护政策总体走向分析,特别是欧盟未来的立法重点——e-Privacy Regulation 以及美国联邦及州层面隐私立法趋势。此外还特别对区块链、人脸识别新技术应用相关的数据政策趋势进行了展望。
一、 欧美总体政策趋势
在全球数据保护法律政策中,欧美仍将扮演引领性角色。
(一) 欧盟 “e-Privacy Regulation”或带来更严格规制
在GDPR之后,欧盟未来的数据保护立法重点无疑在《隐私与电子通信条例》(Regulation on Privacy and Electronic Communications,又称 “e-Privacy Regulation”, e-PR)。2017 年1 月10 日,欧盟委员会公布了e-PR草案,旨在规范电子通信服务并保护与用户终端设备相关的个人信息。e-PR将取代当前的《电子隐私指令》(e-Privacy Directive,简称“e-PD”),实现更严格更全面的电子通信数据保护,也将作为GDPR的特别法与之并行,在电子通信数据方面对GDPR进行具体化和补充[1]。
一方面,e-PR与GDPR存在一致性。两者在关于隐私和数据的相关定义、技术和组织安全标准、罚则等方面均保持了一致。另一方面,两者也存在一定的区别。GDPR是为了体现《欧洲人权宪章》第八条保护个人数据方面的目标;而e-PR则是落实《宪章》第七条:“每个人在其私人和家庭生活、家庭和通讯方面都有权受到尊重”。也有分析认为,在适用性方面,由于e-PR覆盖面广泛且规则更严格,特别是其关于数据处理的合法情形更加限缩,某种程度上将取代GDPR。
e-PR将适用于在线通信服务、使用在线跟踪技术或从事电子直接营销的企业,包括即时通讯、VoIP 等OTT 服务商,如WhatsApp、Facebook Messenger、Skype 等;保护范围不仅包括通信内容,还涉及时间、地点、来源等标记通信内容的元数据。e-PR的前身e-PD经常被称为cookie指令,但其实,e-PD 和e-PR不仅仅是关于cookie信息留存和访问的规定,它还涉及电子通信和保密权、隐私数据保护等数据安全的其他方面。
e-PR原计划于2018年5月25日生效,但目前消息称其生效时间将推迟到2019年,不论如何,e-PR生效实施将对电子通信行业的数据处理活动带来重大影响。
(二) 美国联邦与地方隐私立法的互补
虽然在近二十年里,美国联邦层级的隐私立法并未有实质性推进,[2]但在Facebook数据泄露事件后,建立美国联邦层面的统一隐私立法似乎已经成为了新的共识。[3]但同时,考虑到美国各州差异巨大,能在联邦层面达成共识的隐私立法不会过于详实,具体的执法细则应根据各州的具体情况进行规定,制度规范也不会像GDPR那般严苛,而是更加注重消费者保护的实际效果和促进企业发展、技术创新之间的平衡。
与美国联邦隐私立法的缓慢进程情形相比,美国部分州和城市的隐私立法呈现出不同景象。
全美各州都制定了数据泄露通知法,在今年爆发大规模数据泄露事件的影响下,美国各州进一步完善数据泄露通知法。很多州立法中引入了向受数据泄露影响的个人提供免费信用监测服务的规定。例如特拉华州要求公司在特定情况下向受数据泄露影响的个人提供一年的免费信用监测服务。[4]
数据泄露制度最早起源于加州2002年《数据泄露通知法案》,这一制度有两个主要功能。其一,为企业保护敏感数据提供动力,因为公开披露的数据安全事件会损害企业声誉并触发昂贵的补救活动。其二,通知数据泄露的个人,使其能够迅速做出反应,以减少潜在的损害。[5]但是在数据泄露事件多发的背景下,《数据泄露通知法》所发挥的实际作用仍有待实践检验。公司对《数据泄露通知法》的遵守意识和程度并不尽如人意。特别是对于资源较少的小公司,令其承担证明安全程序合理或在数据泄露的情况下提供免费的信用监测的义务并不现实。此外,由于数据泄露的规模不断扩大,欺诈手段的不断演化升级,数据泄露通知制度对于预防减少欺诈的作用,关联度已越来越弱。
而在数据泄露通知等传统立法领域之外,部分州将目光转向了新兴业务领域的数据安全问题。2018年9月28日,加州通过《信息隐私:连接设备法案》(SB-327 Information privacy: connected devices)。该法案旨在管理物联网设备,是美国首部关于“物联网”隐私的州立法。该法案规定,任何与互联网相连的“智能”设备的制造商都必须确保该设备具有“合理”的安全功能,“保护设备和其中包含的任何信息不受未经授权的访问、破坏、使用、修改或披露”。
除了州立法外,为了应对与智慧城市大数据相关的隐私问题,城市隐私保护法律法规在美国兴起,成为继联邦和州隐私立法之后的第三个层次的隐私保护的制度来源,其主要覆盖对警方使用数据的规制,如西雅图市议会修订监视条例,以避免公共生活中存在普遍和持续的监视。纽约市也建立了类似法规,并同步探索针对智能城市使用传感器技术的指导原则。[6]这些灵活的地方立法,成为美国隐私立法的先行者,为未来联邦层面的隐私立法起到了经验积累作用。
二、 新兴技术业务隐私保护争议与政策趋势
(一) 面部识别技术隐私与数据保护政策趋势
2018年,面部识别技术发展迅猛,在安防、管理、金融、消费、社交、娱乐等多个领域得到应用。然而,面部识别技术大规模、多领域的全面应用,带来的不仅是安全有序的社会环境、高效便捷的服务体验,同时也造成了对隐私保护、数据安全的担忧。
面部识别技术已经产生了一些引人注目的诉讼案件。2018年12月29日,谷歌面部识别诉讼案落下帷幕,法院支持被告谷歌公司的抗辩,以原告不存在实际损害为由驳回起诉。[7] 在该案中,原告Weiss是谷歌照片(Google photos)的用户,但另一原告Rivera不是谷歌用户,法院判定谷歌公司保存和收集面部模板的行为均未造成损害,不满足美国宪法第三条(Article III)的起诉原则(the standing doctrine),即原告没有证明自己遭受了“事实上的伤害”。尽管在诉讼中,谷歌并未败诉,但为了避免面部识别技术可能带来的潜在风险,谷歌宣布了包含结合隐私设计原则等在内的人工智能原则[8],并提出在解决重要的技术和政策问题之前,主动推迟提供通用的面部识别API功能。[9]
消费者知情同意问题是面部识别技术应用的另一争议点。2018年4月6日,电子隐私信息中心(EPIC)等组织向美国联邦贸易委员会(FTC)申诉,指控Facebook的面部识别功能缺乏有效的隐私保护措施,违反了FTC 2011年的同意令(DOCKET NO. C-4365),该同意令要求Facebook在发布超越用户隐私偏好的更新之前应获得用户肯定性的明确同意。投诉针对Facebook在2018年初生效的功能更新,即在未经人像主体或上传照片的人同意的情况下,定期扫描用户发布的照片进行面部匹配和标签。EPIC强调,这种自动的、欺骗性的、不必要的个人身份识别破坏了用户的隐私,目前此案尚在调查中。
除了消费者知情同意问题,面部识别的数据准确性也引发争议。2018年4月,英国《独立报》报道称,数据显示,英国大都会警察使用的面部识别系统在98%的案例中会出现匹配错误;2018年7月,在美国公民自由联盟(ACLU)的实验中,亚马逊面部识别误判28名国会议员为罪犯,遭到15万人联名抗议;[10]2018年11月29日,美国七名众议院民主党人针对面部识别技术的准确性向亚马逊提出问题,指出其给有色人种带来过重负担,并可能扼杀美国人在公共场合行使《第一修正案》权利的意愿。因为人们可能出于被面部识别的恐惧,而不愿积极参加抗议活动或宗教活动[11]。
同时,面部识别技术往往与庞大的个人数据库相联系,因此其带来的更深刻的问题是公共空间的匿名性悖论。在公共活动中一张脸的单个图像可以通过查阅数据库被快速识别,而如果该数据库与其他数据库相连,则可能链接到无尽的个人信息。政府执法部门可以利用该技术持续、实时、大规模监测民众言行举止,商家可以利用该技术记录甚至分享消费者的购物情况及喜好。在公共空间内,公民原来匿名环境中的安宁与自由以及隐私的基本期待被彻底颠覆。
暴露在外的面部就像一扇门,而面部识别技术则可能是打开潘多拉魔盒的万能钥匙,未经主人同意就开门索取门内个人相关信息的行为,显然存在道德伦理上的问题。
为此,2018年7月,微软总裁 Bradford L. Smith公开发表题为《面部识别技术:公共管制和公司责任的需要》的文章,建议美国国会展开研究并监督该技术的使用,科技公司应主动承担道德责任,微软公司会通过多种途径确保这项技术以人为中心的方式发展。12月6日,Smith再次发表文章——《面部识别:是采取行动的时候了》,[12]总结了半年来的相关研究进展,提出该技术面临偏见和歧视、侵犯隐私和民主自由的风险,分享了微软应对面部识别技术应用问题的六项原则——公平、透明度、问责制、不歧视、通知和同意、合法监督,并在17号发表的微软报告中具体阐释了这六项原则。[13] 我们看到,在明确的人脸识别法律规范之前,科技公司和研究机构已主动通过自律方式积极提出建议方案。
(二) 区块链的隐私和政策保护趋势
与人脸识别技术更依赖于科技伦理来引导相比,区块链技术则面临现实的合规性问题。
尽管区块链技术将有利于提升人们对个人数据的控制权,但区块链去中心化的数据处理模式却导致其与传统中心化范式的GDPR难以兼容。
面对区块链应用带来的数据保护合规问题,法国数据保护机构CNIL在2018年9月发布了区块链GDPR指南,作出了首次官方回应。[14]
第一,对于如何界定区块链中的数据控制者和数据处理者的问题,CNIL认为在以下情况下,区块链的参与者可以作为数据控制者:其一,参与者是自然人并且处理行为与专业性或商业性活动有关;其二,参与者是在区块链中登记个人数据的法人。而当一组实体决定对区块链进行处理操作以达到共同目的时,应由参与者对数据控制者的职责做出共同决定,即通过创建或指定一个合法人员作为数据控制者。否则,所有参与者将可能被视为联合控制者。
第二,对于如何在区块链上履行最小化原则,以尽可能减少对数据主体的风险,CNIL认为,首先应当在事前仔细评估是否需要使用区块链。如果必须使用区块链,则应该优先考虑受许可管理的区块链。其次,在使用区块链时要仔细选择数据的注册格式。其三,在处理目的合理且当评估证明剩余风险可以接受时,可以使用没有密钥的散列函数存储数据,或者在没有密钥的情况下以明文形式存储数据。
第三,对于如何确保有效行使GDPR规定的数据权利,CNIL认为,首先,信息权、访问权和可携带性在区块链中是可以实现的。其次,对于在区块链中难以实现的擦除权,可以采取与风险最小化类似的方法,选择适当的加密方法来存储数据,从而更接近于实现权利的目的。其三,擦除存储在区块链之外的数据和能够验证的元素,消除允许访问区块链上记录的证据,使数据获取变得困难甚至无法检索。
第四,对于区块链的安全性问题,CNIL认为对于许可区块链,可以根据参与者利益的潜在分歧或趋同,对最小数量的矿工进行评估,以确保控制链上不存在超过50%权力的联盟;应制定技术和组织程序以限制潜在算法失败对交易安全性的影响;还应记录用于创建交易和开发软件变更的操作,并制定技术和组织程序,以确保计划权限与实际应用之间的一致性。如果区块链不是公开的,应特别注意为确保区块链的机密性而采取的措施。[15]
尽管CNIL最近发布的指南确实提供了一些允许区块链在GDPR下存在的解决方案,但它却为这些解决方案在实践中如何运作提出了更多问题。
例如,业内专家指出:将一些区块链用户归类为数据控制者在概念上是有道理的,因为它符合GDPR的原则,但这可能很难在实践中落实。再者,CNIL的指导可能适用于私有区块链服务,但却不适用于公共区块链。私有区块链服务的所有用户可以同意单一行为准则,而公共区块链却难以形成行为准则。同时,从技术角度来看,CNIL指南中的一些建议可能并不完全可行。虽然从本质上讲,如果删除用户访问区块链的私钥,则意味着在私有区块链上进行了擦除。但是,销毁私钥是否等同于擦除,在实践中仍是一个悬而未决的问题。[16]
在区块链的使用应符合GDPR规则的问题上,除了CNIL的指导外,民间的咨询机构也给出了相关意见。其中比较有代表性的是咨询机构“Tech GDPR”强调的区块链隐私保护需要遵循“设计隐私”理念。其阐述了这一概念所包含的七个重要原则,这些原则已被GDPR所确立,因而其已经成为必选项而不是任选项。这些原则包括:1.采取事前、预防措施;2.将隐私作为默认设置;3.将隐私融入设计;4.隐私保护和功能性兼顾;5.通过端到端的防护实现数据全生命周期的保护;6.实践可见性与透明度,保持开放;7.尊重用户隐私,以用户为中心。[17]
总体看,不论是人脸识别技术,还是区块链技术,都体现了现有数据法规难以适用的落差。解决的思路可以从两端出发,一是科技行业主动自律,正如谷歌、微软积极提出人脸识别技术及其他AI技术的使用原则,以“科技向善”的理念进行自我约束,明确技术不能突破的底线;二是立法与监管也需要不断创新,以创造性提出解决方案。从区块链数据保护规范来看,如果仅是从传统规制思路出发,仅能能覆盖一部分区块链应用,而不能解决全部问题,这将会带来规制的市场扭曲现象。
三、2019年数据保护政策关键词趋势
在数据保护政策年度观察报告的结尾,我们选取了七个政策关键词来统领展望未来数据保护政策的主要走向。
(一) 数据主权
随着美欧相继提出cloud法案、《电子证据跨境条例》,跨境调取电子数据证据将进一步点燃数据主权之争。
一方面我们应认识到该问题形成的必然性:在数据化、云化的背景下,越来越多的刑事调查取证涉及到跨境数据调取问题(据欧盟调查报告现实,超过一半以上的刑事调查将涉及到跨国电子证据调取),而传统的双边司法协助条约/协定(MLAT/MLAA)的冗长低效已难以与现实需求相符合,传统司法协作机制正面临着前所未有的挑战。回避这一挑战无助于走出现实困境。
另一方面,从美欧跨境电子证据制度改革看,虽然其制度尝试还远未成熟,但已显露出基本共性——充分考虑提升跨境电子证据数据调取效率的同时,通过程序和实体机制的设计,来兼顾调取国、数据存储国和信息服务提供商的基本利益平衡。
正视问题并以务实态度参与跨境数据调取制度的国际规则建设,将有助于未来数据主权问题的真正落地。
(二) 数据跨境流动
如果说“数据主权”这一概念主要统领执法领域之间的国际协助机制改革带来的数据问题,那么“数据跨境流动”则更多描述商业语境下的数字贸易问题。2018年,无论是欧盟主导的白名单认证——“充分性”认定机制,还是美国推进的APEC隐私框架下的CBPRs机制,两者均取得了重大积极进展。可见,随着经济全球化与数字化深入发展,数据跨境流动在国际贸易中愈发频繁,建立有序的数据跨境自由流动机制在国际上已有了越来越多的共识和积极践行者。
(三) 数据保护合规
尽管欧盟数字竞争力面临巨大质疑和压力,但这并不妨碍欧盟在数据保护领域持续输送制度影响力。GDPR落地执行,以及欧盟个人数据保护国际公约(108公约)和充分性保护白名单认定程序的推进,均在不断放大欧盟在数据保护领域的国际话语权。
2019年度伊始,法国数据保护机构CNIL完成了GDPR生效后第一案,对谷歌实施违规处罚。这其中一个容易被忽略的事实是: GDPR生效后,谷歌因为更强的合规能力,其欧盟在线广告市场份额实际是上升的[18]。而从更宏观和长远视角看,消费支出的增长以及从实体店到在线商务的持续转变,数字广告仍有着巨大的发展空间,不论是消费品巨头,还是小商家广告商,在线平台广告仍然是其联系客户的重要工具。
因此,在未来,不论是规避处罚风险,还是在其中赢得竞争优势,“数据保护合规”将成为包括互联网、金融、航空、医疗等行业在内的,所有涉及个人数据处理领域的重要关切。
(四) 数据泄露
大规模数据泄露仍然是全球个人数据保护共同面临的难点问题。传统的“数据泄露通知”机制已暴露出其局限性。由于数据泄露的规模不断扩大,欺诈手段的演化升级,数据泄露通知制度对于预防减少欺诈的作用、关联度已越来越弱。数据泄露通知机制亟待得到优化和改良。基于此,美国提出“信用监测服务”,即在特定情况下,要求公司向受数据泄露影响的个人提供免费信用监测服务,以更好地预防相关风险。同时,通过发展网络与数据安全保险市场等市场化手段来减轻数据泄露可能带来的损害也是一种可行的方法。最后,通过技术的手段来解决负面问题,也将是重要路径方向,包括将算法应用于数据(Algorithm-to-the-data)以及隐私保护计算(Privacy-preserving computation)等技术方式都将会在数据安全方面发挥重要角色。未来,关于数据泄露的救济机制将会在公、私领域下得到进一步的探索推进。
(五) 数据滥用
Facebook丑闻令各界关注到数据滥用问题的严重性,大型平台也开始纷纷缩紧其平台数据开放政策,以减少其数据被第三方滥用的风险,这一定程度上代表了平台从开放到收紧的阶段性趋势。
这表明,在促进数据创新和保证数据安全两个观察维度下,对于个人数据的开放利用会得出不同的结果。从允许数据开发、激发业务创新方面,数据开放的尺度应当越大越好,而从安全和防止滥用的角度看,结论则可能完全相反。因此,解决数据滥用问题的出路不是一刀切的切断数据共享,更为关键的是要采用法律、管理、技术等手段增强数据使用中的安全控制,这仍有待于未来的持续探索。
(六) 数据权属
在法律上,关于数据权属仍没有明确定论,但基于该问题的研究却已取得很多进展。企业间的数据分享和再利用不仅大量存在,而且在未来还将持续增长。目前,对于“非个人的和计算机生成的匿名化数据”,欧盟提出了创设“数据生产者权利”的设想,即数据生产者权利可以是排他性的财产权,数据生产者有权分配或许可他人使用其数据,并独立于其与第三方之间的合同关系,这或许是一个可参考的解决方案。关于数据权属的进一步明细化,将会助力物联网、智慧城市、以及工业互联网等数据处理生态的繁荣。
(七) 数据共享
数据共享是发展数据经济的重要着力点。欧盟预测,其数据市场价值在2020年将超过1060亿欧元,增长前景可期。但这有赖于建立更为完善的数据共享政策环境,以促进数字领域的无缝衔接,通过规模效应实现基于数据的新产品和新服务的大发展。
欧盟在提出GDPR的同时,对促进数据共享政策仍投入巨大精力,可以预测,在欧盟政策引领下,数据共享政策环境框架在未来仍然将会得到持续完善,包括在明确数据权属的前提下,通过推广许可协议做法,明确数据共享各方的数据安全责任,并配合相关审计、技术手段来增强数据共享中的安全可信水平。