從谷歌被罰看GDPR數(shù)據(jù)隱私保護

◎ 文 《法人》特約撰稿 申曉雨 吳雅涵

縱觀全球，歐盟本次執(zhí)法行動體現(xiàn)了對個人數(shù)據(jù)保護中信息披露和用戶同意取得方面的較高要求，在全球樹立了數(shù)據(jù)隱私保護的標桿

據(jù)法國《通用數(shù)據(jù)保護條例》（“GDPR”）執(zhí)法機關(guān)法國國家信息與自由委員會（“CNIL”）2019年1月21日的通告，谷歌因違反GDPR而被其處以5000萬歐元罰款。

本文將通過谷歌的違法行為及近期其他GDPR處罰案例，淺析GDPR中的信息披露要求和有效的用戶同意要求，并與我國有關(guān)個人數(shù)據(jù)保護的規(guī)定進行比較，以期更加清晰地認識全球化背景下數(shù)據(jù)隱私保護的立法和監(jiān)管環(huán)境及發(fā)展趨勢。

本次CNIL對谷歌作出處罰的主要原因有兩方面，一是谷歌違反了控制者的信息披露義務(wù)；二是違反了處理個人數(shù)據(jù)需要有合法基礎(chǔ)的義務(wù)，具體而言，谷歌未有效取得用戶同意。

控制者的信息披露義務(wù)

控制者的信息披露義務(wù)，即處理個人數(shù)據(jù)的有關(guān)信息的提供義務(wù)，包括就收集和處理個人數(shù)據(jù)，控制者應(yīng)當向數(shù)據(jù)主體提供哪些信息以及以何種方式提供這些信息。

首先，GDPR第13條至第22條及第34條規(guī)定了控制者應(yīng)當向數(shù)據(jù)主體提供的信息內(nèi)容。例如，GDPR第13條要求控制者向數(shù)據(jù)主體提供數(shù)據(jù)控制者的身份、數(shù)據(jù)保護官的聯(lián)系方式、數(shù)據(jù)處理的目的和合法性基礎(chǔ)、特定情況下控制者追求的合法利益、數(shù)據(jù)接收方的身份或種類（如有）、跨境傳輸?shù)那闆r、數(shù)據(jù)留存的時間等確保數(shù)據(jù)主體合法權(quán)利的信息。但其中部分信息谷歌未能提供。

其次，就上述信息提供的方式，根據(jù)GDPR第12.1條的要求，數(shù)據(jù)控制者應(yīng)以“簡潔、透明、易懂且容易獲取的形式，使用清楚且直白的語言”提供有關(guān)數(shù)據(jù)處理的信息。借助歐盟數(shù)據(jù)保護“第二十九條工作組”（Article 29 Data Protection Working Party）《關(guān)于2016/679號條例下“透明”的指導方針》（Guidelines on Transparency under Regulation 2016/679 (wp260rev.01)）的解讀，“簡潔、透明、易懂”的核心含義是，“數(shù)據(jù)主體應(yīng)當能夠（通過控制者披露的信息）事先確認對其個人數(shù)據(jù)的處理的范圍和后果且不應(yīng)在此后對其個人數(shù)據(jù)的使用方式感到意外”；“容易獲取”則是指“數(shù)據(jù)主體不應(yīng)當去搜尋信息，在哪里以及如何獲取信息對其而言應(yīng)當是顯而易見的”。

反觀谷歌的做法，對于數(shù)據(jù)處理的目的和收集的個人數(shù)據(jù)類型，谷歌使用了“為了在內(nèi)容上提供個性化的服務(wù)”、“為確保產(chǎn)品和服務(wù)的安全”、“為了提供和開發(fā)服務(wù)”等表述，CNIL認為這種說法過于籠統(tǒng)。此外，有些內(nèi)容的描述也過于模糊，如：“我們收集信息是用于改善向所有用戶提供的服務(wù)……我們收集的信息以及我們?nèi)绾问褂眠@些信息取決于您如何使用我們的服務(wù)，以及您如何管理您的隱私政策?！?用戶無法根據(jù)谷歌提供的信息充分理解其所執(zhí)行的處理操作。而且，谷歌提供的關(guān)于數(shù)據(jù)處理的關(guān)鍵信息過于分散，記載于幾個文檔之中，以至于用戶需要經(jīng)過五六個步驟才能全面訪問。這些都與GDPR第12.1條的要求相違背。

在我國，《網(wǎng)絡(luò)安全法》僅籠統(tǒng)地規(guī)定網(wǎng)絡(luò)運營者應(yīng)公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍?！缎畔踩夹g(shù) 個人信息安全規(guī)范》（“《規(guī)范》”）在此方面做出更加詳細的規(guī)定，盡管該規(guī)范目前并非強制性規(guī)定。與GDPR相比，在個人信息控制者應(yīng)當向個人信息主體告知的信息內(nèi)容方面，《規(guī)范》第5.3條和第5.6條的規(guī)定與GDPR大致相同。就提供此類信息的方式，《規(guī)范》第5.6條(b)、(c)和(d)項同樣要求“隱私政策所告知的信息應(yīng)真實、準確、完整”，“隱私政策的內(nèi)容應(yīng)清晰易懂，符合通用的語言習慣，使用標準化的數(shù)字、圖示等，避免使用有歧義的語言，并在起始部分提供摘要，簡述告知內(nèi)容的重點”，“隱私政策應(yīng)公開發(fā)布且易于訪問，例如，在網(wǎng)站主頁、移動應(yīng)用程序安裝頁、社交媒體首頁等顯著位置設(shè)置鏈接”。在《規(guī)范》附錄D隱私政策模板中，編寫要求一欄明確表示，隱私政策應(yīng)“1、詳細列舉收集和使用個人信息的目的，不得使用概括性語言。2、根據(jù)目的對應(yīng)的不同業(yè)務(wù)功能，詳細列出收集的個人信息類型?！庇纱丝梢钥闯觯谛畔⑴读x務(wù)方面，《規(guī)范》的要求和GDPR基本一致。

對數(shù)據(jù)主體同意的有效獲取

根據(jù)GDPR的規(guī)定，取得數(shù)據(jù)主體的同意是處理個人數(shù)據(jù)的合法基礎(chǔ)之一。在GDPR的定義部分（第4.11條），“同意”被明確定義為“數(shù)據(jù)主體通過聲明或明確的肯定性行為作出的自愿、具體、知情且明確的意思表示，表明其同意處理與其有關(guān)的個人數(shù)據(jù)。”這一定義說明有效獲取數(shù)據(jù)主體的同意必須同時滿足“自愿”、“具體”、“知情”及“明確”等條件。而谷歌未能滿足相關(guān)條件，其違法行為體現(xiàn)在以下幾個方面：

首先，用戶給出的同意不是“具體的”。在創(chuàng)建帳戶前，用戶被要求勾選“我同意谷歌的服務(wù)條款”以及“我同意按照上述方式和隱私政策中進一步解釋的方式處理我的信息”。因此，用戶必須給予完全的、對基于所有目的由谷歌完成的數(shù)據(jù)處理的同意（包括個性化廣告、語音識別等等）。但GDPR的要求是只有在針對每一特定目的特定地給出的同意才是“具體的”同意。根據(jù)歐盟數(shù)據(jù)保護“第二十九條工作組”在2018年4月10日發(fā)布的《關(guān)于2016/679號條例下“同意”的指導方針》（Guidelines on Consent under Regulation 2016/679 (wp259rev.01)）對“具體的”同意的解讀，數(shù)據(jù)控制者應(yīng)針對每項處理目的提供單獨“選擇加入”選項，以確保用戶能夠就特定的目的給出具體的同意。

其次，用戶的同意并非充分知情后給出的。谷歌為了提供個性化廣告而進行的個人數(shù)據(jù)處理操作相關(guān)的告知信息散落在幾份文檔中，用戶在“個性化廣告”的設(shè)置部分不可能意識到該告知涉及谷歌提供的多重服務(wù)、網(wǎng)站和應(yīng)用（包括谷歌搜索、Youtube、谷歌家居、谷歌地圖、谷歌應(yīng)用商店、谷歌圖片等等），也不清楚被處理的個人數(shù)據(jù)的數(shù)量。因此，消費者給出的同意不可能是“知情的”。CNIL在判罰文書中提到，《關(guān)于2016/679號條例下“同意”的指導方針》對“知情”同意所需的最基本信息水平做出了指引，亦即，未提供此類信息時，用戶給出的同意便不是“知情”同意。此類信息包括：控制者的身份；每個尋求同意的數(shù)據(jù)處理操作的目的；什么（何種）數(shù)據(jù)將被收集或使用；存在撤回同意的權(quán)利；在相關(guān)的情況下，根據(jù)GDPR第22.2(c)條告知將數(shù)據(jù)用于自動化決策；以及由于缺乏GDPR第46條描述的充分性決議和適當保障措施而可能導致的數(shù)據(jù)傳輸?shù)娘L險。

此外，根據(jù)具體情況的差異，可能還需要提供更多信息，讓數(shù)據(jù)主體真正理解即將發(fā)生的數(shù)據(jù)處理情況。

而對于上述信息提供的方式，根據(jù)GDPR第7.2條，如果數(shù)據(jù)主體的同意是以書面聲明的形式給出且涉及其他事項，則要求數(shù)據(jù)主體同意的請求必須明確與其他事項區(qū)分，采用易懂且容易獲取的方式，并應(yīng)使用清晰直白的語言。谷歌的做法顯然未能滿足這一要求。

第三，谷歌收集的用戶“同意”的表示也不是“明確的”。在創(chuàng)建帳戶時，用戶雖然能夠通過點選“更多選項”調(diào)整某些設(shè)置且顯著地能看到個性化廣告展示的設(shè)置，但CNIL依然認為這種做法違反了GDPR，原因是展示個性化廣告的選項是預先勾選的。而根據(jù)GDPR前言部分第32項的解釋，“同意應(yīng)以明確的肯定性行為表示，確立數(shù)據(jù)主體自愿、具體、知情且明確的意思表示，……包括在瀏覽網(wǎng)頁時勾選選項，選擇信息社會服務(wù)的技術(shù)設(shè)置，或清楚地表明數(shù)據(jù)主體接受對其個人數(shù)據(jù)進行擬議處理的其他聲明或行為。默認、預先勾選或無行動均不能構(gòu)成同意?！敝档米⒁獾氖?，即便是用戶在手機上創(chuàng)建帳戶時，如果沒有停用個性化內(nèi)容，谷歌會通過彈出通知的方式提示用戶其個人設(shè)置中包含個性化內(nèi)容，但是使用這種方式依然未被認為獲得了明確的用戶同意。

在我國，就“具體的”同意而言，《規(guī)范》第5.3條(a)項要求“應(yīng)向個人信息主體明確告知所提供產(chǎn)品或服務(wù)的不同業(yè)務(wù)功能分別收集的個人信息類型”，亦即僅要求分別告知，但未要求分別征求同意。第5.5條和附錄C要求在收集個人敏感信息時，應(yīng)區(qū)分“核心功能”和“附加功能”，并要求就核心功能和每項附加功能分別獲取用戶的同意。在這一點上，關(guān)于“具體的”同意的要求，《規(guī)范》的適用范圍相對于GDPR而言較窄。

此外，《規(guī)范》規(guī)定就部分類型的個人數(shù)據(jù)（個人敏感數(shù)據(jù)、間接獲得的個人數(shù)據(jù)、超范圍使用個人數(shù)據(jù)）需要取得用戶的明示同意，并通過附錄C舉例說明在收集個人信息主體的敏感信息時，“同意”需要用戶的肯定性動作（主動勾選、點擊同意）。在這一點上，從其適用的范圍來看，《規(guī)范》的嚴格性低于GDPR。

個人數(shù)據(jù)保護的全球發(fā)展趨勢

縱觀全球，歐盟本次執(zhí)法行動體現(xiàn)了對個人數(shù)據(jù)保護中信息披露和用戶同意取得方面的較高要求，在全球樹立了數(shù)據(jù)隱私保護的標桿。美國亦已經(jīng)在2018年并很有可能在今年繼續(xù)推進數(shù)據(jù)隱私方面的立法。盡管各國在平衡信息技術(shù)產(chǎn)業(yè)發(fā)展需求和公民個人權(quán)利時會有不同側(cè)重，從而在個人信息保護措施和監(jiān)管方式上有所區(qū)別，但是GDPR執(zhí)法部門展開執(zhí)法行動、美國于2017年、2018年集中出臺幾部法律或法案、Facebook在2018年面對數(shù)據(jù)泄露調(diào)查、印度和巴西于2018年先后頒布《2018年個人數(shù)據(jù)保護法案（草案）》和《通用數(shù)據(jù)保護法》等一系列事件都預示著在全球范圍內(nèi)各國都會根據(jù)自身商業(yè)實踐特點加強對公民數(shù)據(jù)隱私的保護，而且為達到這一目的，包括GDPR在內(nèi)的有關(guān)個人數(shù)據(jù)保護的法律還具有域外管轄權(quán)。

我國的數(shù)據(jù)保護法規(guī)雖然參考了GDPR、OECD隱私框架、APEC隱私框架等國際標準，但主要關(guān)注點還在互聯(lián)網(wǎng)服務(wù)涉及的國家安全和犯罪預防方面，目前也尚未出臺面向全行業(yè)的強制性數(shù)據(jù)隱私保護法律規(guī)定，而且在數(shù)據(jù)和個人隱私保護的具體措施方面，現(xiàn)有法規(guī)和非強制性國家標準的嚴格程度與歐美立法也存在差異。盡管如此，對于中國企業(yè)，我們?nèi)越ㄗh在一開始即按照國際上較高的標準和要求制定并實施數(shù)據(jù)安全和隱私保護機制，以期在數(shù)字經(jīng)濟時代，特別在加強個人數(shù)據(jù)保護的全球趨勢下，達到整體合規(guī)成本最小化的目的。