歐盟《通用數(shù)據(jù)保護(hù)條例》框架下智能傳播平臺數(shù)據(jù)合規(guī)風(fēng)險防控*

曾麗潔

(湖北大學(xué), 湖北 武漢 430062)

一、研究背景

歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR)代表著數(shù)據(jù)保護(hù)領(lǐng)域立法的最新發(fā)展并有著廣泛的域外適用范圍,尤其是2018年5月實(shí)施之后,針對一些國際知名企業(yè)違反GDPR的行為作出的巨額行政罰金或其他限制性處罰,使該條例不僅引起了我國學(xué)界的研究,也受到了實(shí)務(wù)界的高度關(guān)注。

國外學(xué)者關(guān)于GDPR研究的代表性成果是Mariusz Krzysztofek教授的專著GDPR:Post-ReformPersonalDataProtectionintheEuropeanUnion[1]。作者從適用范圍、基本概念、數(shù)據(jù)處理一般原則、數(shù)據(jù)處理的合法根據(jù)、數(shù)據(jù)控制者提供數(shù)據(jù)處理相關(guān)信息的義務(wù)、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制者與合作者的關(guān)系、數(shù)據(jù)保護(hù)監(jiān)管、向非歐盟國家跨境數(shù)據(jù)流通等方面,全面地介紹了GDPR的制度安排,尤其提到GDPR的直接效力(Direct Horizontal Effect)。該書作者作為跨理論與實(shí)務(wù)界的專家,所做評述極有見地,對GDPR的研究具有重要參考價值。

國內(nèi)學(xué)者對GDPR的研究成果不算很多,但分別從不同角度做了比較充分的研究。中國信息通信研究院互聯(lián)網(wǎng)法律中心的王融[2]早在2016年就關(guān)注GDPR對歐盟1995年《數(shù)據(jù)保護(hù)指令》的修訂及幾大變化,為人們及時了解歐盟的立法動態(tài)做了引介。鄒軍[3]總結(jié)了GDPR關(guān)于個人數(shù)據(jù)跨境流動的原則,認(rèn)為GDPR面臨著產(chǎn)業(yè)發(fā)展、隱私保護(hù)和國家安全的張力,建立了保護(hù)、平衡和信任的新機(jī)制,對我國完善相關(guān)數(shù)據(jù)政策具有積極意義。林凌、李昭熠[4]通過對GDPR法政治學(xué)、立法特點(diǎn)以及法理的深入探討,認(rèn)為GDPR在執(zhí)行過程中將遭遇一系列法理和司法困境,如果不加以妥善處理,勢必影響GDPR的權(quán)威性和可執(zhí)行性,提出我國應(yīng)借鑒歐盟GDPR立法理念,從法律維度、社會治理維度和信息產(chǎn)業(yè)維度構(gòu)建個人信息雙軌保護(hù)制度。吳云云[5]在碩士論文中專門研究個人信息自決權(quán),認(rèn)為歐盟通過提高主體同意規(guī)則的標(biāo)準(zhǔn)、完善個人信息自決權(quán)的監(jiān)管機(jī)制等措施強(qiáng)化主體的信息自決權(quán),分析了GDPR強(qiáng)化信息自決權(quán)的相關(guān)規(guī)定的爭議點(diǎn),尤其是指出了作為信息自決權(quán)基礎(chǔ)的主體同意規(guī)則所面臨的困境及其與其他個人信息自決權(quán)保護(hù)策略的優(yōu)勢對比,從而更加明確主體同意規(guī)則之于個人信息自決權(quán)保護(hù)的普適性。 葉開儒[6]從GDPR的長臂管轄制度入手,闡明歐洲采取強(qiáng)數(shù)據(jù)主體權(quán)利保護(hù)模式的原因,尤其是其歷史和文化取向,揭示觀念如何型塑具體法律規(guī)則和制度、現(xiàn)實(shí)目的又是如何利用價值原則來實(shí)現(xiàn)的,從而提出,中國既要基于自身特有的文化和歷史情境,又要與現(xiàn)實(shí)的數(shù)據(jù)產(chǎn)業(yè)發(fā)展相協(xié)調(diào),形成一種積極有為、內(nèi)外聯(lián)動的立法模式。

綜上,國內(nèi)外學(xué)者已有的研究偏于宏觀,主要是對GDPR制度設(shè)計(jì)的整體介紹、立法取向的探析或某一方面制度的評價以及對我國立法的宏觀上的借鑒意義,比較少從中國企業(yè)如何針對該條例的域外適用建立合規(guī)體系這一視角來探討企業(yè)的應(yīng)對之策。

收集、生產(chǎn)、聚合與分發(fā)信息是智能傳播平臺發(fā)展的基礎(chǔ),但是,這些過程很可能引發(fā)個人數(shù)據(jù)保護(hù)的法律問題。根據(jù)GDPR適用范圍的規(guī)定,設(shè)立地位于歐盟境外的機(jī)構(gòu),只要其在提供產(chǎn)品或服務(wù)的過程中處理了歐盟境內(nèi)個人的個人數(shù)據(jù),將同樣適用于該條例,包括對歐盟境內(nèi)個人活動進(jìn)行網(wǎng)絡(luò)跟蹤等監(jiān)控行為 (第3條)。那么,任何位于中國的智能傳播平臺只要能夠被歐盟境內(nèi)的個人訪問和使用、產(chǎn)品或服務(wù)使用的語言是英語或某一歐盟成員國語言、產(chǎn)品以歐元標(biāo)價,都可以被認(rèn)為該產(chǎn)品、服務(wù)的目標(biāo)用戶包括歐盟境內(nèi)用戶,從而屬于GDPR適用的對象。GDPR的立法目標(biāo)是二元的:保護(hù)個人權(quán)利并促進(jìn)個人數(shù)據(jù)流動,以期在數(shù)據(jù)權(quán)利與其他正當(dāng)利益之間形成平衡,其主要特征是“以風(fēng)險為路徑”。合規(guī)不僅是義務(wù),也是智能傳播平臺降低問責(zé)成本、增強(qiáng)適應(yīng)性和提升市場競爭力的路徑。鑒于GDPR正式實(shí)施后陸續(xù)有著名企業(yè)或機(jī)構(gòu)因違反而受到處罰①,本文旨在探討中國智能傳播平臺應(yīng)對GDPR數(shù)據(jù)風(fēng)險的防控路徑,從而降低或避免數(shù)據(jù)違規(guī)成本。

二、GDPR的相關(guān)規(guī)定給中國智能傳播平臺帶來的挑戰(zhàn)

(一)從設(shè)計(jì)著手保護(hù)隱私增加了產(chǎn)品或服務(wù)設(shè)計(jì)成本

GDPR強(qiáng)調(diào)事前防范與主動防護(hù),要求“自設(shè)計(jì)開始的個人數(shù)據(jù)保護(hù)”(Data Protection by Design),在產(chǎn)品或服務(wù)的設(shè)計(jì)時就應(yīng)建立數(shù)據(jù)主體權(quán)利實(shí)現(xiàn)的機(jī)制。GDPR確立了數(shù)據(jù)主體的幾項(xiàng)權(quán)利:(1)知情權(quán)。規(guī)定數(shù)據(jù)控制者必須以清楚、簡單、明了的方式向用戶說明其個人數(shù)據(jù)是如何被收集、處理或傳輸?shù)?第12、13條);(2)訪問權(quán)。規(guī)定數(shù)據(jù)控制者應(yīng)當(dāng)為用戶實(shí)現(xiàn)該權(quán)利提供相應(yīng)的程序(第15條);(3)反對權(quán)。包括絕對的拒絕權(quán)和限制處理的權(quán)利(第21條);(4)可攜帶權(quán)。數(shù)據(jù)控制者不僅無權(quán)干涉,而且有義務(wù)提供數(shù)據(jù)文本以幫助用戶實(shí)現(xiàn)可攜帶權(quán) (第20條);(5)被遺忘權(quán)。當(dāng)用戶依法撤回同意或者數(shù)據(jù)控制者不再有合法理由繼續(xù)處理數(shù)據(jù)時,用戶有權(quán)要求刪除數(shù)據(jù);數(shù)據(jù)控制者不僅要刪除自己所控制的數(shù)據(jù),還負(fù)責(zé)對其公開傳播的數(shù)據(jù)通知其他第三方停止利用并刪除(第17條)。

數(shù)據(jù)主體權(quán)利的確立加重了數(shù)據(jù)控制者的義務(wù)。在設(shè)計(jì)產(chǎn)品和服務(wù)時,就應(yīng)充分考慮個人信息保護(hù)和智能傳播有序發(fā)展的相關(guān)需求,并對可能出現(xiàn)的技術(shù)風(fēng)險提前做出預(yù)判[7]。產(chǎn)品和服務(wù)的設(shè)計(jì)要符合GDPR的目的限定原則②、最小范圍原則③、存儲限制原則。

(二)數(shù)據(jù)利用及維護(hù)中的數(shù)據(jù)保護(hù)要求加重了數(shù)據(jù)保護(hù)義務(wù)

1.數(shù)據(jù)的分類保護(hù)

在以“可識別性”為核心界定個人數(shù)據(jù)的框架下,GDPR所定義的個人數(shù)據(jù)包括“已識別”與“可識別”的,包含了識別路徑的個人數(shù)據(jù)(由信息本身特殊性識別出特定自然人)和關(guān)聯(lián)路徑的個人數(shù)據(jù)(已識別的個人后續(xù)的動作被系統(tǒng)記錄顯示出的偏好和行為軌跡)。GDPR允許對可識別的數(shù)據(jù)進(jìn)行加密和假名化處理后可以有與收集時的原始目的相兼容的新目的。去標(biāo)識化的個人數(shù)據(jù),不適用數(shù)據(jù)主體相關(guān)權(quán)利的規(guī)定,除非附加新信息后可重新具有“可識別性”。 匿名化數(shù)據(jù)不受GDPR管轄。

2.處理個人數(shù)據(jù)必須要有合法理由

GDPR認(rèn)可的數(shù)據(jù)處理的合法根據(jù)包括:數(shù)據(jù)主體的同意、履行合同之必要、履行法定義務(wù)的需要以及數(shù)據(jù)控制者的合法利益等。對于最重要的“同意”規(guī)則,規(guī)定了嚴(yán)格的有效標(biāo)準(zhǔn):必須是具體的、清晰的,是數(shù)據(jù)主體在充分知情的前提下自由做出的(第7條)④。同時,還賦予了數(shù)據(jù)主體可以隨時撤回同意的權(quán)利;處理兒童個人數(shù)據(jù)必須獲得其父母或者其他監(jiān)護(hù)人的同意并負(fù)有舉證責(zé)任(第8條)。

關(guān)于“數(shù)據(jù)控制者的合法利益”這一合法理由,數(shù)據(jù)控制者必須能夠證明,其合法的利益顯著高于數(shù)據(jù)主體的個人權(quán)利和自由(第6條),同時賦予了數(shù)據(jù)主體對于營銷活動的絕對反對權(quán)。

GDPR對用戶畫像技術(shù)做了特別規(guī)定,必須符合以下條件之一:數(shù)據(jù)主體明確同意;歐盟或成員國法的明確授權(quán);數(shù)據(jù)主體和數(shù)據(jù)控制者之間簽訂或履行合同所必要(第22條)。獲得用戶合法有效的同意,首先應(yīng)當(dāng)向數(shù)據(jù)主體全面介紹用戶畫像技術(shù)如何進(jìn)行、所收集數(shù)據(jù)的范圍、算法基本邏輯、評估結(jié)果是否對用戶產(chǎn)生法律影響。其次,應(yīng)當(dāng)區(qū)別于其他信息、明確無誤地采用足以引起用戶注意的方式,告知用戶其享有對畫像技術(shù)的反對權(quán)(第13(2)、21條)。

3.為數(shù)據(jù)處理者設(shè)定了同等義務(wù)和責(zé)任

GDPR為數(shù)據(jù)處理者也設(shè)定了與數(shù)據(jù)控制者相同的數(shù)據(jù)安全保障義務(wù),并詳細(xì)規(guī)定了控制者與處理者之間協(xié)議應(yīng)包含的與數(shù)據(jù)保護(hù)相關(guān)的內(nèi)容。如果數(shù)據(jù)主體所訴某項(xiàng)侵權(quán)涉及一個以上的數(shù)據(jù)控制者、處理者,則他們共同承擔(dān)連帶責(zé)任,除非能證明其對損害的產(chǎn)生沒有責(zé)任。

(三)數(shù)據(jù)監(jiān)管的要求加重了行政負(fù)擔(dān)

GDPR的數(shù)據(jù)監(jiān)管機(jī)制分為內(nèi)部監(jiān)管和外部監(jiān)管。

1.機(jī)構(gòu)內(nèi)部監(jiān)管

(1)數(shù)據(jù)保護(hù)影響評估

GDPR對于高風(fēng)險的數(shù)據(jù)處理活動,例如,會對數(shù)據(jù)主體產(chǎn)生法律上的影響的個人評價、對大量敏感數(shù)據(jù)的處理、對公共領(lǐng)域大規(guī)模的系統(tǒng)性監(jiān)控等,要求事先進(jìn)行數(shù)據(jù)保護(hù)影響評估(Data Protection Impact Assessment, DPIA) (第35條)。如果數(shù)據(jù)保護(hù)影響評估的結(jié)果顯示是高風(fēng)險,且數(shù)據(jù)控制者沒有有效降低風(fēng)險的措施,數(shù)據(jù)控制者應(yīng)當(dāng)就數(shù)據(jù)處理活動向數(shù)據(jù)保護(hù)機(jī)構(gòu)進(jìn)行事先協(xié)商(Prior Consultation)。監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)在收到協(xié)商申請的特定期限內(nèi)提出處理意見,并可以采取糾正措施(第36條)。

(2)痕跡管理及問責(zé)機(jī)制

GDPR要求企業(yè)在內(nèi)部建立完善的問責(zé)機(jī)制(達(dá)到一定規(guī)模的機(jī)構(gòu)還要設(shè)置數(shù)據(jù)保護(hù)官)。數(shù)據(jù)控制者必須做好痕跡管理,全面記載其數(shù)據(jù)處理活動以作為問責(zé)的證據(jù)(第5條)。GDPR對屬于其適用范圍但設(shè)立地在歐盟境外的機(jī)構(gòu),要求其必須在歐盟境內(nèi)指定一個代表,作為與數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)之間的聯(lián)系點(diǎn)(第27條)。

(3)數(shù)據(jù)泄露報(bào)告

一旦發(fā)生數(shù)據(jù)泄露事故,數(shù)據(jù)控制者要在72小時之內(nèi)通知監(jiān)管機(jī)構(gòu),若未在72小時內(nèi)報(bào)告,則后續(xù)報(bào)告應(yīng)當(dāng)說明延遲報(bào)告的理由。數(shù)據(jù)處理者應(yīng)當(dāng)在意識到泄露事故及風(fēng)險后及時告知數(shù)據(jù)控制者(第33條)⑤。

2.外部監(jiān)管

GDPR要求歐盟各成員國設(shè)置數(shù)據(jù)保護(hù)專員,并增強(qiáng)了監(jiān)管機(jī)構(gòu)的執(zhí)法權(quán),可以根據(jù)具體情節(jié)采取不同的處罰措施:通知并提醒當(dāng)事者注意相關(guān)違反行為;要求當(dāng)事者提供相關(guān)信息或提供訪問相關(guān)信息的入口;現(xiàn)場調(diào)查、審計(jì);命令修改、刪除或銷毀相關(guān)個人數(shù)據(jù);采取臨時或限定性的數(shù)據(jù)處理禁令;課以罰金(第58條)。

尤其使GDPR在全球具有威懾力的是其所規(guī)定的高額罰金:(1)處以1000萬歐元或上一年度全球營業(yè)收入2%的罰款,兩者取其高。適用的行為包括:未實(shí)施充分的安全保障措施,未提供全面的透明的隱私政策,未簽訂書面的數(shù)據(jù)處理協(xié)議等。(2)處以2000萬歐元或上一年度全球營業(yè)收入4%的罰款,兩者取其高。適用的行為包括:無法說明如何獲得用戶的同意,違反數(shù)據(jù)處理的一般原則,侵害數(shù)據(jù)主體的合法權(quán)利、拒絕服從監(jiān)管機(jī)構(gòu)的執(zhí)法命令等(第83條)。

三、中國智能傳播平臺運(yùn)營中應(yīng)對風(fēng)險點(diǎn)的合規(guī)措施

在GDPR框架下,智能傳播平臺個人數(shù)據(jù)保護(hù)的合規(guī)風(fēng)險具體體現(xiàn)在用戶感知、法律風(fēng)險和監(jiān)管態(tài)度三個方面。其中,用戶感知主要通過產(chǎn)品及服務(wù)設(shè)計(jì)來實(shí)現(xiàn),法律風(fēng)險的防范貫穿于數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)流動三大環(huán)節(jié)中,監(jiān)管態(tài)度包含了內(nèi)部日常監(jiān)管和對外部執(zhí)法機(jī)構(gòu)的協(xié)助監(jiān)管。本文結(jié)合智能傳播平臺運(yùn)營中可能遇到的一些突出風(fēng)險點(diǎn),提出應(yīng)有的合規(guī)措施。

(一)提供最佳用戶隱私感知的隱私設(shè)計(jì)

智能傳播平臺應(yīng)把保護(hù)用戶隱私與發(fā)展業(yè)務(wù)放到同等重要的位置,在考慮如何給用戶創(chuàng)造智能和便利的同時,也要考慮如何為用戶創(chuàng)造安全感、尊重感和價值感。為了盡可能提供最佳的用戶隱私體驗(yàn),需要考慮用戶正當(dāng)期待,使智能傳播產(chǎn)品和服務(wù)從設(shè)計(jì)伊始就以用戶友好的方式構(gòu)建其隱私保護(hù)策略。

1.以用戶為中心設(shè)計(jì)隱私政策

以用戶為中心的核心要點(diǎn)就是用戶授權(quán)。數(shù)據(jù)主體的“同意”在收集、處理、流通各個環(huán)節(jié)都有相應(yīng)的要求,主要通過隱私政策或用戶協(xié)議獲得。

實(shí)務(wù)中許多隱私政策或用戶協(xié)議的設(shè)計(jì)不符合GDPR關(guān)于“同意”的要求。內(nèi)容上,普遍存在數(shù)據(jù)主體權(quán)利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病,尤其是涉及企業(yè)責(zé)任的重要條款普遍缺失[8]。權(quán)利義務(wù)的分配方面,作為協(xié)議制定方的平臺向自身利益傾斜,平臺“權(quán)力”擠壓用戶權(quán)利[9]。在獲得用戶授權(quán)的方式上,最常見的是采用“注冊即視為同意《隱私政策》與《Cookie協(xié)議》”的默認(rèn)勾選或“一攬子”授權(quán)同意、概括式同意⑥。默認(rèn)勾選同意大多與服務(wù)捆綁,不同意則無法享受服務(wù)。凡是使用平臺服務(wù)的用戶都被推定為接受了這一協(xié)議,這也得到包括我國在內(nèi)的大多數(shù)國家法院判決的認(rèn)可[10]。只提示開啟存儲權(quán)限,卻使用戶“一攬子”授權(quán)同意了在后臺開啟位置權(quán)限,導(dǎo)致應(yīng)用程序自動追蹤。表示會把個人數(shù)據(jù)提供給第三方,卻未提供第三方信息,通過格式條款使用戶概括地同意了各種不可預(yù)見的數(shù)據(jù)處理行為。

智能傳播平臺應(yīng)對標(biāo)修改內(nèi)部流程,建立確保同意有效性及可撤回的機(jī)制。首先,應(yīng)更新現(xiàn)有隱私政策,重新審視已獲得的同意是否合法有效。如不符合,可按要求重新獲得同意。其次,智能傳播平臺需要做出平衡透明度與用戶閱讀體驗(yàn)的最佳隱私政策。美國學(xué)者對聯(lián)邦貿(mào)易委員會(FTC)《公平信息實(shí)踐準(zhǔn)則》要求下的簡化隱私政策的“最優(yōu)實(shí)踐”進(jìn)行調(diào)查研究發(fā)現(xiàn),隱私政策簡化措施效果不明顯,加上警示標(biāo)志可以增加關(guān)注度[11]。GDPR的要求也將使隱私政策內(nèi)容更長。但是,過長的隱私政策文本會造成閱讀量下降甚至客戶流失,個人數(shù)據(jù)用于新的目的還需再次提醒并征得用戶同意,可能導(dǎo)致用戶一定程度的“同意疲勞”而不經(jīng)閱讀直接給出同意。實(shí)踐中,大多數(shù)用戶并未閱讀在線協(xié)議就直接點(diǎn)擊“同意”,這就減弱了授權(quán)機(jī)制的實(shí)際警告效果,甚至給用戶帶來了風(fēng)險。實(shí)際上,GDPR以“用戶知情同意”為前提的統(tǒng)一標(biāo)準(zhǔn)轉(zhuǎn)化為在具體場景中以個案的風(fēng)險衡量為判定原則。“場景”意味著從用戶的期待與接受程度出發(fā),而不是一味秉持“原始目的”的僵硬標(biāo)準(zhǔn)。信息場景被用來代指影響用戶接受程度或?qū)€人信息利用敏感程度的因素[12]。因此,智能傳播平臺隱私政策設(shè)計(jì)中的風(fēng)險防控路徑是要考慮一個正常理性的用戶的合理期待與感知,既要平衡平臺運(yùn)行的需要與用戶隱私感知的滿足之間的關(guān)系,又要平衡授權(quán)合規(guī)的正當(dāng)性要求與授權(quán)機(jī)制的效率要求之間的關(guān)系。

2.提升告知的透明度

透明度使用戶能夠了解智能傳播平臺的數(shù)據(jù)處理行為,并在必要時對個人數(shù)據(jù)處理行為進(jìn)行干預(yù),從而增進(jìn)用戶對平臺數(shù)據(jù)處理行為的信任。

GDPR中的“顯著告知”意味著“告知”應(yīng)該立即顯示并引導(dǎo)用戶訪問隱私政策信息。將隱私政策鏈接以醒目的形式掛在網(wǎng)站首頁突出的位置或采用彈窗提示,確保有用戶同意的點(diǎn)擊動作,是符合GDPR“顯著性”要求的常用方式⑦。智能傳播平臺還可以提供鏈接、明確標(biāo)記、進(jìn)入聊天機(jī)器人界面的交互形式告知隱私政策信息。為了克服智能傳播介質(zhì)顯示空間的局限,可以使用分層隱私聲明鏈接各類信息,允許用戶直接導(dǎo)航到欲知曉的特定內(nèi)容,以避免信息冗長帶來的“信息疲勞”,也可以避免過度干擾用戶體驗(yàn)或產(chǎn)品設(shè)計(jì),以解決隱私政策的完整性和用戶充分了解之間的矛盾。形式上,可以圖文并茂,以通俗易懂的動畫演示和文字說明,添加示例、關(guān)鍵術(shù)語定義的鏈接解釋,以使不同文化水平、生活背景的用戶都能理解隱私政策,提升告知的透明度。

多維度的動態(tài)數(shù)據(jù)的收集方式雖然會在隱私政策中被告知,然而,動態(tài)收集的核心問題是數(shù)據(jù)主體與數(shù)據(jù)控制者都無法預(yù)知數(shù)據(jù)使用中所產(chǎn)生的數(shù)據(jù)類型和形式,形成隱私政策無法說明、無法預(yù)知的模糊地帶。為提升動態(tài)收集下隱私政策的透明度,平臺可以根據(jù)數(shù)據(jù)搜集和使用的進(jìn)程與用戶溝通,定期動態(tài)更新政策內(nèi)容并征得用戶授權(quán)。針對動態(tài)化收集到不在約定范圍的數(shù)據(jù)隱私,也可以局部調(diào)整政策內(nèi)容,隨時以彈出界面的方式將調(diào)整部分告知用戶,增加用戶閱讀協(xié)議的可能,征得用戶許可[13]。

3.確保用戶個人信息自決權(quán)

透明度要求并不僅僅是采用“顯著”的方式告知,其核心是尊重并保障用戶的個人信息自決權(quán)⑧。我國目前大多數(shù)智能傳播平臺對用戶個人信息控制的賦能機(jī)制不足。智能傳播平臺要采取適當(dāng)?shù)募夹g(shù)性和組織性措施,賦予用戶個人信息控制力。不得采用“霸王條款”讓用戶沒有選擇權(quán)而失去數(shù)據(jù)控制力,而且,在設(shè)計(jì)隱私政策時,要清晰地分隔數(shù)據(jù)使用的不同權(quán)限,區(qū)分核心功能和附加功能,區(qū)分雙方協(xié)議功能和第三方協(xié)議功能。用戶對不同權(quán)限和功能應(yīng)有選擇權(quán),且不能因拒絕授權(quán)附加功能、第三方協(xié)議功能影響核心功能、雙方協(xié)議功能的使用。還可以提供用戶控制其個人信息權(quán)利實(shí)現(xiàn)的工具,例如,通過修改偏好設(shè)置來控制被自動化決策用于定向推送的個人信息,以滿足GDPR所要求的訪問權(quán)、修改權(quán)以及自動化決策的可解釋性等問題。

(二)構(gòu)建隱私數(shù)據(jù)圖譜防控?cái)?shù)據(jù)采集中的合規(guī)風(fēng)險

1.明確劃分個人數(shù)據(jù)的內(nèi)容、范圍與分類

個人數(shù)據(jù)的范疇非常大,其內(nèi)涵隨著信息技術(shù)的發(fā)展不斷豐富,司法實(shí)踐目前無法把每種利益都界定得特別清楚。一般來講,用戶個人數(shù)據(jù)通常應(yīng)包括個人特征數(shù)據(jù)、可推測主體身份和行為的數(shù)據(jù)(訪問內(nèi)容、終端的IP地址、傳播內(nèi)容電子記錄、論壇與博客、與他人的交互信息等)、受眾身份與行為記錄(設(shè)備及智能傳播應(yīng)用軟件的用戶ID、密碼、Cookie、網(wǎng)站信息等)。歐盟語境中“身份”(Identity)的內(nèi)涵遠(yuǎn)比中文語境中更寬泛,包括身體的、生理的、基因的、精神的、經(jīng)濟(jì)的、文化與社會的身份。歐洲法院最近裁定,在某些情況下,動態(tài)IP地址也可視為個人數(shù)據(jù)[14]。手機(jī)上網(wǎng)記錄、手機(jī)設(shè)備號是否屬于個人數(shù)據(jù),一直存在爭議。一般認(rèn)為,不能追蹤到實(shí)際個人身份的設(shè)備信息、上網(wǎng)信息不構(gòu)成個人信息。但手機(jī)設(shè)備號有標(biāo)識符,只要上網(wǎng)記錄等其他數(shù)據(jù)就能夠和用戶關(guān)聯(lián),從這個意義上講,屬于個人數(shù)據(jù)。統(tǒng)一資源定位符(URL)可能反映一個人的上網(wǎng)喜好、搜索內(nèi)容等信息,特別是那些帶參數(shù)的,有很大的商業(yè)價值,比Cookie暴露的信息更多,屬于個人數(shù)據(jù)。上網(wǎng)數(shù)據(jù)一般是和個人掛鉤的,甚至和上網(wǎng)賬號聯(lián)系在一起,要和其他數(shù)據(jù)放到應(yīng)用場景中來判斷其是否屬于個人數(shù)據(jù)。

清晰的分類可以直觀地發(fā)現(xiàn)個人信息流通的路徑[15]。根據(jù)GDPR目的限定原則、最小范圍原則、存儲限制原則,智能傳播平臺應(yīng)確保從目的、數(shù)量及時間三個維度對個人數(shù)據(jù)的收集與處理進(jìn)行限制,對所收集的個人數(shù)據(jù)過濾后及時刪除與傳播服務(wù)無關(guān)的數(shù)據(jù)。根據(jù)分級、分類,分別采取不同的保護(hù)措施。尤其要注意對基本權(quán)利和自由特別敏感的特殊數(shù)據(jù)的劃分和特別保護(hù),包括種族、民族、政治觀點(diǎn)、宗教、工會成員身份、基因、生物識別、健康及與性取向或性經(jīng)歷有關(guān)的數(shù)據(jù)⑨。應(yīng)指導(dǎo)用戶對個人數(shù)據(jù)的正確收集做出判定,在技術(shù)上讓用戶通過更改隱私設(shè)置來限制平臺對其信息的收集范圍。以自建私有云或租賃與自建相結(jié)合的方式,對一般數(shù)據(jù)和特殊數(shù)據(jù)實(shí)行分類存儲,將保密要求高的數(shù)據(jù)傳輸至平臺私有云存儲。為不同類別的數(shù)據(jù)分別確定符合處理所必需的最短存儲期限,允許用戶經(jīng)權(quán)限驗(yàn)證后對其個人數(shù)據(jù)進(jìn)行訪問、審查、糾正或要求刪除。

2.主動降低數(shù)據(jù)識別度

主動降低數(shù)據(jù)的識別度,可降低風(fēng)險?？勺R別的數(shù)據(jù)對個人的識別度相對較低,GDPR允許對該類加密和假名化數(shù)據(jù)的處理可以有與收集時的原始目的相兼容的新目的。智能傳播平臺在目的限制原則下所承擔(dān)的風(fēng)險就低一些。判斷某項(xiàng)個人數(shù)據(jù)是否可識別時,始終把握數(shù)據(jù)的可識別性和識別后對權(quán)利主體的影響這兩個基本點(diǎn),結(jié)合指向特定自然人的程度以及需要花費(fèi)的成本、時間及技術(shù)水平等所有客觀因素,綜合考慮可合理用以直接或間接地識別數(shù)據(jù)主體的方式。智能傳播平臺區(qū)別具有相對獨(dú)立性和確定性的非身份性數(shù)據(jù)與需要跟其他數(shù)據(jù)相結(jié)合才能指向特定個人的數(shù)據(jù),根據(jù)二者的風(fēng)險程度分別設(shè)置不同的流轉(zhuǎn)規(guī)則。

去標(biāo)識化的個人數(shù)據(jù),不適用數(shù)據(jù)主體相關(guān)權(quán)利的規(guī)定,除非數(shù)據(jù)主體額外提供了信息,使平臺能夠重新識別出特定個人。智能傳播平臺收集個人信息后立即進(jìn)行去標(biāo)識化處理,并采取技術(shù)和管理措施,將去標(biāo)識化的數(shù)據(jù)與可用于恢復(fù)識別個人的數(shù)據(jù)分開存儲,并確保在后續(xù)的數(shù)據(jù)處理中不重新識別個人,則可豁免相關(guān)義務(wù),節(jié)省巨大的合規(guī)成本。

匿名化數(shù)據(jù)被排除在GDPR管轄范圍之外。智能傳播平臺將數(shù)據(jù)做匿名化處理,因無法與已識別或可識別的自然人相關(guān)聯(lián),不受GDPR管轄。

(三)確保數(shù)據(jù)處理的合法性與正當(dāng)性

1.適當(dāng)選擇數(shù)據(jù)處理的合法事由

GDPR規(guī)定了個人數(shù)據(jù)處理的六個合法事由:同意、履行或訂立合同之必要、數(shù)據(jù)主體重大利益、法律義務(wù)、公共利益、正當(dāng)利益。在數(shù)據(jù)處理行為開始之前選擇適當(dāng)?shù)暮戏ㄊ掠墒种匾?否則,該行為可能會被認(rèn)定違反GDPR而受處罰。一般傳播行為中用到的主要是前兩種。

最常用的合法事由就是數(shù)據(jù)主體的同意。雖然,有學(xué)者主張網(wǎng)絡(luò)上個人信息的使用適用默示許可[16],但GDPR明確規(guī)定“數(shù)據(jù)主體授權(quán)”必須是數(shù)據(jù)主體被告知情況下自愿給出的特定的“明確”表示,并確定了“授權(quán)”的要件?！懊鞔_”一詞意味著數(shù)據(jù)控制者不能通過數(shù)據(jù)主體的不作為或沉默來獲取其同意,也不能通過一般服務(wù)條款來獲得,必須是“特定的”。

關(guān)于“履行合同之必要”的具體運(yùn)用,歐盟數(shù)據(jù)保護(hù)委員會(EDPB)于2019年4月12日公布的《關(guān)于在向數(shù)據(jù)主體提供在線服務(wù)時依據(jù)GDPR第6(1)(b)條規(guī)定處理個人數(shù)據(jù)的第2/2019號指引》(征求意見稿),為如何判斷“履行與數(shù)據(jù)主體簽訂的合同或在簽訂合同前應(yīng)數(shù)據(jù)主體的請求采取的行動所必須的數(shù)據(jù)處理行為”提供了指引,明確在何種情況下數(shù)據(jù)處理行為可以援引該條作為合法性基礎(chǔ),并對“必要性”作了限縮解釋?！奥男泻贤匾辈⒉粏渭兪侵朴喓贤脑诰€服務(wù)提供商所認(rèn)為的必要,并非在線服務(wù)提供商寫入合同中的所有與服務(wù)相關(guān)的數(shù)據(jù)處理行為都可理解為履行合同所必要的,在合同中規(guī)定某項(xiàng)“數(shù)據(jù)處理行為屬于本合同所必須”也并不意味客觀上確實(shí)是履行該合同所必要的。“必要性”必須是客觀上的必要,要通過客觀的事實(shí)來判斷。假定一個理性的數(shù)據(jù)主體在訂立合同時,就客觀上期待和判斷該服務(wù)中必須要進(jìn)行該數(shù)據(jù)處理行為,數(shù)據(jù)控制者需要承擔(dān)舉證責(zé)任來證明該數(shù)據(jù)處理行為若不進(jìn)行,就無法履行合同?！氨匾浴边€需要基于合同目的進(jìn)行判斷。如果合同目的的實(shí)現(xiàn)不以該數(shù)據(jù)處理行為為必要條件,則該數(shù)據(jù)處理行為不具有客觀上的“必要性”[17]。

智能傳播平臺常常用到新聞個性化推薦、個性化展示。如用戶選擇由在線新聞網(wǎng)站提供新聞匯總服務(wù),客觀上期待網(wǎng)站向其提供來自多個在線資源的定制內(nèi)容,那么,為了實(shí)現(xiàn)這一服務(wù),網(wǎng)站要求用戶創(chuàng)建個人興趣檔案的行為可認(rèn)為是履行合同之必要。個性化展示往往是智能傳播服務(wù)的必要元素,因此可以將其認(rèn)定為履行合同之必要。需要注意的是,EDPB明確指出使用已往交易數(shù)據(jù)進(jìn)行個性化推薦的行為是為了刺激消費(fèi)者訂立新合同、購買新產(chǎn)品或服務(wù),并非履行已經(jīng)訂立的合同所必要。

2.恰當(dāng)援用數(shù)據(jù)處理中義務(wù)的減免

GDPR第85條關(guān)于為了新聞目的而進(jìn)行處理的規(guī)定,表明其調(diào)和大眾傳播與個人信息保護(hù)之間張力的立法意圖。智能傳播平臺應(yīng)關(guān)注豁免或克減條款,減輕平臺相關(guān)義務(wù),為平臺發(fā)展贏取空間。

例如,被遺忘權(quán)不是絕對權(quán)利,只在用戶撤回同意或平臺不再有合理理由繼續(xù)處理數(shù)據(jù)等情形下適用。第20條規(guī)定,如果技術(shù)可行,數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)將個人數(shù)據(jù)直接從一個控制者傳輸?shù)搅硪豢刂普摺Ｖ悄軅鞑テ脚_應(yīng)注意“技術(shù)可行”對可攜帶權(quán)適用的限制條件,它表明GDPR并沒有將可攜帶權(quán)上升到強(qiáng)制性的互兼容、互操作技術(shù)標(biāo)準(zhǔn)的程度,而是給平臺留有一定空間可以兼顧自身利益。如果數(shù)據(jù)處理行為是基于同意或履行合同之必要以外的其他合法事由,可攜帶權(quán)不能適用。在限制處理期間,平臺只能存儲相關(guān)數(shù)據(jù),但是基于數(shù)據(jù)主體的同意、履行法律義務(wù)、保護(hù)第三方正當(dāng)利益、重大公共利益的例外情形下,可以處理。在不同情況下,智能傳播平臺對用戶的反對處理權(quán)的義務(wù)是不同的。對出于直接營銷目的的處理,比如會對其產(chǎn)生一定的法律后果或重大影響的自動化處理的決策(包括用戶畫像和定向推送),反對權(quán)是絕對的,平臺必須停止處理,除非為雙方訂立或履行合同所必要,或數(shù)據(jù)主體事前已明確同意。智能傳播平臺應(yīng)單獨(dú)、清晰地告知用戶擁有這種絕對反對權(quán)。對基于公共利益、正當(dāng)利益或履行法律義務(wù)所必需的數(shù)據(jù)處理,反對權(quán)不是絕對的,但平臺必須證明其擁有令人信服的、優(yōu)先于用戶利益的上述正當(dāng)理由。

3.謹(jǐn)慎采用個性化推薦技術(shù)

智能傳播平臺運(yùn)作的核心在于根據(jù)用戶特征、場景和文章特征做個性化推薦,每一個用戶的推薦內(nèi)容都不同,以避免形成“廣場效應(yīng)”[18]。尤其是隨著場景傳播的興起,場景及信息的適配,實(shí)質(zhì)上就是特定情境下的個性化傳播和精準(zhǔn)服務(wù)[19],其重要方式就是利用移動設(shè)備的定位功能測定用戶位置來選擇推送傳播產(chǎn)品,使智能傳播成為與受眾日常生活軌跡緊密結(jié)合的個性化推送。智能傳播平臺必然青睞用戶畫像技術(shù),解析、預(yù)測、評估用戶服務(wù)模式與用戶個性化傳播需求的匹配度及傳播服務(wù)的可持續(xù)性,以提升用戶的忠誠度。隨著GDPR的施行,用戶畫像的合規(guī)問題特別突出。精準(zhǔn)推送背后的邏輯是用戶隱私數(shù)據(jù)的二次售賣,大數(shù)據(jù)技術(shù)使得網(wǎng)民置身于一個“全景敞視”的數(shù)字監(jiān)獄中[20]。這種會讓用戶感覺到被監(jiān)控的技術(shù)觸及了用戶的底線,還會引起平等權(quán)問題。

首先,智能傳播平臺要明晰“用戶畫像”的定義。根據(jù)第4條的定義,“為了評估自然人的某些條件而對個人數(shù)據(jù)進(jìn)行的任何自動化處理”,及第2條適用于“形成或旨在形成用戶畫像的非自動個人數(shù)據(jù)處理”的規(guī)定,在GDPR語境下,不僅用戶畫像本身,而且收集、整合網(wǎng)站瀏覽記錄、軟件使用記錄、點(diǎn)擊記錄、行蹤軌跡等“形成或旨在形成用戶畫像”的活動亦屬于個人數(shù)據(jù)處理。

其次,應(yīng)注意區(qū)分兩種用戶畫像行為。一種是用戶群體畫像,屬于協(xié)同過濾的個性化推薦,即集合具有相似背景、興趣、行為的用戶群在使用某產(chǎn)品或服務(wù)時所呈現(xiàn)出的共同特征,聚類刻畫,提煉出群體的“典型用戶”。分析這類用戶的需求來設(shè)計(jì)或改進(jìn)產(chǎn)品或服務(wù)。例如,通過建立“社交傳播”網(wǎng)絡(luò)平臺,在用戶傳播心得的分享、關(guān)注或評論中,通過興趣驅(qū)動,有選擇地向某類用戶推送其感興趣的傳播信息,提高傳播產(chǎn)品靜默下單或咨詢下單的數(shù)量,甚至幫用戶組織有相同需求的人群互動傳播。另一種是用戶屬性畫像,構(gòu)建的是用戶的屬性標(biāo)簽,每個用戶角色的建立都有一些基本的且能唯一標(biāo)識該用戶的屬性。傳播平臺尤其要注意這種具有特定指向的用戶畫像,因其具有可識別性,并且易對數(shù)據(jù)主體形成差別待遇。

再次,應(yīng)保證用戶畫像技術(shù)運(yùn)用的合法性。依GDPR的規(guī)定,用戶畫像如果對數(shù)據(jù)主體產(chǎn)生法律上的影響或其他重大影響,應(yīng)為法律所授權(quán)且數(shù)據(jù)控制者已經(jīng)制定了適當(dāng)?shù)谋Ｗo(hù)措施、簽訂或履行合同所必要、數(shù)據(jù)主體明確同意。在后兩種情形下,數(shù)據(jù)控制者也應(yīng)采取適當(dāng)措施保障數(shù)據(jù)主體的權(quán)益,包括其對用戶畫像質(zhì)疑和進(jìn)行人工干涉的權(quán)利。實(shí)踐中,由法律授權(quán)使用的情形十分有限,大多數(shù)情形下也很難說是履行合同之必要,在絕大多數(shù)情形下需取得數(shù)據(jù)主體的明確同意。傳播平臺應(yīng)當(dāng)告知數(shù)據(jù)主體存在用戶畫像程序并提供相關(guān)邏輯,包括此類處理對于數(shù)據(jù)主體產(chǎn)生的預(yù)期后果。GDPR第22條明確規(guī)定數(shù)據(jù)主體有權(quán)不接受完全由自動化處理,沒有人類干涉的條件下做出的重大決定。如果數(shù)據(jù)主體表示反對,平臺須立即停止特定處理行為。針對特殊類型個人數(shù)據(jù),只有數(shù)據(jù)主體明確同意,或?yàn)楣怖嫠匾乙巡扇”Ｗo(hù)措施,才可以進(jìn)行用戶畫像⑩。

最后,應(yīng)保障個性化推薦技術(shù)程序的正當(dāng)性。智能傳播基于“算法黑箱”做出的自動化決策,不透明性使用戶無法理解算法的機(jī)理,從而帶來不公平性的問題。用戶偶爾好奇或誤點(diǎn)了一條新聞就會不斷被推送相關(guān)內(nèi)容的新聞。這實(shí)際上剝奪了用戶的選擇權(quán)[21]。處于被動地位的公眾由于他們有限的信息承受和接收能力,無法正確處理算法“黑箱”,不能自主把控?cái)?shù)據(jù)信息所形成的算法決策,法律面前人人平等的原則將被消解[22]。GDPR首次提出算法的可解釋性,但如何向用戶解釋算法仍亟待落實(shí)。算法的監(jiān)管對象不應(yīng)是算法本身,而是算法如何運(yùn)用。智能算法決策本質(zhì)上是用過去預(yù)測未來,而過去的歧視和偏見可能會在智能算法中固化并在未來得以強(qiáng)化,形成“自我實(shí)現(xiàn)的歧視性反饋循環(huán)”[23]。智能傳播平臺需要構(gòu)建倫理規(guī)則,強(qiáng)調(diào)社會責(zé)任。在設(shè)計(jì)算法時,應(yīng)結(jié)合倫理、法律上的考慮,不斷探索既可以保護(hù)隱私、短期內(nèi)又能夠提供個性化服務(wù)的技術(shù)出路,在重視個性化推薦技術(shù)精準(zhǔn)傳播效應(yīng)的同時,需關(guān)注對個性化推薦技術(shù)的科學(xué)解釋和通俗性普及,通過程序設(shè)計(jì)來保障公平的實(shí)現(xiàn),并借助于技術(shù)程序的正當(dāng)性來強(qiáng)化智能決策系統(tǒng)的透明性、可審查性和可解釋性。而在研發(fā)出可靠計(jì)算機(jī)輔助工具進(jìn)行數(shù)據(jù)處理之前,尚需有效地利用人工篩選方法[24]。

(四)數(shù)據(jù)流動與融合中輸出匹配合規(guī)能力

1.實(shí)現(xiàn)可攜帶權(quán)兼顧第三人隱私權(quán)

個人數(shù)據(jù)可能同時關(guān)聯(lián)其他第三人的個人數(shù)據(jù),如數(shù)據(jù)主體針對通訊錄、通話記錄、聊天記錄、往來郵件、轉(zhuǎn)賬記錄等關(guān)系鏈數(shù)據(jù)行使可攜帶權(quán)時,可能對第三人的數(shù)據(jù)權(quán)利帶來侵害,因?yàn)榈谌藷o從得知其個人數(shù)據(jù)被傳播企業(yè)提交給了新的數(shù)據(jù)控制者,從而沒有機(jī)會行使數(shù)據(jù)權(quán)利。平臺要注意的一個突出問題是,不能對他人的權(quán)利產(chǎn)生負(fù)面影響。第29條工作組《關(guān)于數(shù)據(jù)可攜帶權(quán)的指南》規(guī)定,僅僅在行使數(shù)據(jù)可攜帶權(quán)的數(shù)據(jù)主體本人對所轉(zhuǎn)移的涉及第三人的個人數(shù)據(jù)進(jìn)行唯一的控制下, 才允許由另一控制者純粹為數(shù)據(jù)主體個人和家庭需求進(jìn)行處理[25]。那么,接收數(shù)據(jù)的控制者是不能基于自身利益去處理相關(guān)第三人數(shù)據(jù),尤其不能對第三人進(jìn)行用戶畫像或開展?fàn)I銷活動等。為避免對第三人的侵權(quán)風(fēng)險,該指南還規(guī)定數(shù)據(jù)輸出方和接受方都應(yīng)設(shè)置相應(yīng)的技術(shù),確保由數(shù)據(jù)主體選擇可發(fā)送、接收和須排除的第三人數(shù)據(jù)。

2.對合作者的合規(guī)管理及責(zé)任劃分

智能傳播平臺出于業(yè)務(wù)或技術(shù)需要必須進(jìn)行數(shù)據(jù)合作,就必須對上、下游平臺進(jìn)行控制、評估和審計(jì)等數(shù)據(jù)合規(guī)管理。智能傳播平臺在與其他數(shù)據(jù)處理者合作時,要審慎選擇第三方數(shù)據(jù)處理者,選擇能夠保證采取足夠適當(dāng)?shù)募夹g(shù)和組織措施的處理者,并能控制其數(shù)據(jù)處理行為以及次級處理者鏈條。要依角色確定責(zé)任。對內(nèi)部、外部參與各類數(shù)據(jù)處理活動的當(dāng)事人及其角色進(jìn)行梳理、評估和劃分,區(qū)隔作為控制者與處理者各自的職責(zé)及相應(yīng)的義務(wù)。數(shù)據(jù)處理者的權(quán)利和義務(wù)由其與控制者之間的數(shù)據(jù)處理協(xié)議約定,處理者只能按照控制者的書面指示處理個人數(shù)據(jù)、協(xié)助控制者履行其因應(yīng)數(shù)據(jù)主體權(quán)利請求的義務(wù)以及GDPR下的特定義務(wù)。GDPR明確了數(shù)據(jù)處理協(xié)議內(nèi)容的強(qiáng)制性要求。平臺應(yīng)明確相關(guān)情形下的責(zé)任分擔(dān),還要定期對第三方進(jìn)行審計(jì),盡量識別和避免因事實(shí)上的數(shù)據(jù)合作而導(dǎo)致的責(zé)任。

3.數(shù)據(jù)融合行為的嚴(yán)格限制

數(shù)據(jù)的價值并不僅限于特定的用途,它可以為了同一目的而被多次使用,也可以用于其他目的[26]。為了提高數(shù)據(jù)的使用效率和價值密度,智能傳播平臺還可能會以協(xié)作的方式與其他服務(wù)商實(shí)現(xiàn)數(shù)據(jù)共享。尤其是隨著融合傳播的興起,開放平臺成為跨產(chǎn)業(yè)、跨區(qū)域、跨市場融合的傳播產(chǎn)業(yè)發(fā)展趨勢?；诖髷?shù)據(jù)的算法分發(fā)已經(jīng)成為主流的信息傳播模式,媒介的核心優(yōu)勢在于對新聞內(nèi)容的采集與整合,在于通過算法分發(fā)所帶來的精準(zhǔn)傳播和衍生應(yīng)用,通過新聞內(nèi)容對受眾進(jìn)行引流和導(dǎo)入,再利用基于用戶數(shù)據(jù)的衍生服務(wù)提高傳播效率,獲得長尾效益,這才是新聞移動生產(chǎn)可持續(xù)的運(yùn)營模式和價值所在[27]。以場景、細(xì)分和垂直、個性化服務(wù)為特征是web3.0場景媒體時代的特點(diǎn)。這個時代就是對內(nèi)容、用戶價值進(jìn)行利用和拓展,要對價值進(jìn)行深度開掘[28]。智能傳播平臺立足于媒體大數(shù)據(jù)平臺,以大數(shù)據(jù)智能分析工具作為技術(shù)支撐,將媒體旗下媒體資源融合共享使用,實(shí)現(xiàn)“一次采集、多元加工、多次發(fā)布”的智能生產(chǎn)和傳播[18]。在多屏場景中,用戶多屏間動態(tài)切換,以個人的賬號體系使數(shù)據(jù)在各個場景維度中形成相關(guān)性。比如,天天快報(bào)沒有單獨(dú)注冊選項(xiàng),授權(quán)微信和QQ登陸兩種方式,通過挖掘用戶在社交媒體中產(chǎn)生的大數(shù)據(jù)進(jìn)行用戶畫像,來匹配推送個性化新聞。今日頭條的用戶可使用微博、微信、QQ、人人網(wǎng)的社交賬號注冊,后臺系統(tǒng)會抓取用戶社交賬號上的數(shù)據(jù)以及用戶的手機(jī)機(jī)型等信息,為用戶建立DNA興趣圖譜。

但GDPR關(guān)于“處理合法性”的第6條規(guī)定,若出于收集個人數(shù)據(jù)以外的其他目的處理數(shù)據(jù),控制者需要考慮多種因素,確保該目的與初始目的相容,否則不可處理個人數(shù)據(jù)。這一規(guī)定使智能傳播平臺無法自由擴(kuò)展用戶數(shù)據(jù)的使用范圍,但如果所收集的信息只用于它的基本用途,而不能被多次分析與使用,就會逐漸變成沉默數(shù)據(jù)[7]。為了在遵守處理合法性與充分利用數(shù)據(jù)之間求得平衡,智能傳播平臺在數(shù)據(jù)融合中,要注意區(qū)分注冊用戶、非注冊用戶和被動用戶(訪問設(shè)置智能傳播平臺Cookies的第三方網(wǎng)站的用戶)。注冊用戶的全部數(shù)據(jù)可能會被用于平臺的任何服務(wù);非注冊用戶的數(shù)據(jù)可能會被用于平臺的其他服務(wù),如個性化搜索結(jié)果;被動用戶的數(shù)據(jù),如通過設(shè)置在第三方網(wǎng)站的Cookies收集的數(shù)據(jù),可能會被平臺用于產(chǎn)品改進(jìn)、個性化廣告展示和數(shù)據(jù)分析。用戶無法分清自己所享用的服務(wù)中的哪一類數(shù)據(jù)被處理,也無法辨別處理目的。

智能傳播平臺需要明確數(shù)據(jù)融合的目的、方法及融合的程度,并且應(yīng)當(dāng)開發(fā)新工具讓用戶對個人數(shù)據(jù)擁有更多的控制權(quán)。根據(jù)不同融合目的,原則上分為兩類處理方式:針對有處理合法性的融合目的,應(yīng)當(dāng)遵守“自設(shè)計(jì)開始的個人數(shù)據(jù)保護(hù)”原則。如提供簡單的opt-out機(jī)制,保存期限應(yīng)當(dāng)限定于特定目的。針對無處理合法性的數(shù)據(jù)融合目的,應(yīng)當(dāng)獲得用戶的明確同意且限定于融合目的對應(yīng)的處理范圍。同時給用戶提供控制措施,例如,為注冊用戶提供具體的設(shè)置,為非注冊用戶和被動用戶提供明確同意以及對Cookie的改進(jìn)控制等。為特殊目的而進(jìn)行的數(shù)據(jù)融合行為,應(yīng)得到用戶的明確同意;除安全目的以外,應(yīng)限制對被動用戶數(shù)據(jù)的融合行為;簡化注冊用戶和非注冊用戶的退出機(jī)制(opt-out);明確個人數(shù)據(jù)的保留期限,特別是在用戶作出刪除特定內(nèi)容、取消訂閱特定服務(wù)、刪除賬戶等行為時的保留期限。

智能傳播平臺與第三方合作者進(jìn)行匹配數(shù)據(jù)交易時也要輸出匹配的合規(guī)能力。在GDPR以“同意為中心”的合規(guī)體系下,數(shù)據(jù)融合中,需要設(shè)置數(shù)據(jù)“入口”和“出口”的合規(guī)流程設(shè)計(jì)。一方面,對融合來的數(shù)據(jù)要進(jìn)行合法性來源的審查,后臺數(shù)據(jù)關(guān)聯(lián)應(yīng)避免共享簡化,不能事先利用“一攬子”協(xié)議將用戶所有相關(guān)授權(quán)窮盡,應(yīng)分項(xiàng)明示,由用戶手動設(shè)置。不論第三方是否采取了同樣的隱私保護(hù)政策,與之進(jìn)行匹配數(shù)據(jù)交易,應(yīng)符合用戶自愿原則,經(jīng)其同意方可操作。另一方面,對供應(yīng)商的資質(zhì)與數(shù)據(jù)脫敏進(jìn)行評估。也可以跟第三方簽訂保密協(xié)議或者對特定數(shù)據(jù)做去標(biāo)識化處理。

(五)體現(xiàn)對內(nèi)嚴(yán)格對外友好的數(shù)據(jù)監(jiān)管態(tài)度

對數(shù)據(jù)監(jiān)管的態(tài)度也是智能傳播平臺降低合規(guī)風(fēng)險的一個方面。數(shù)據(jù)監(jiān)管主體是多元的,既有外部監(jiān)管,也有企業(yè)內(nèi)部監(jiān)管。

1.風(fēng)險防控體系與產(chǎn)品和服務(wù)同步設(shè)計(jì)

智能傳播平臺合規(guī)的方向是可知、可控、可示、可溯、可預(yù)。

數(shù)據(jù)合規(guī)風(fēng)險防控措施必須與個人信息處理程序同步規(guī)劃并同步上線。首要的是從個人數(shù)據(jù)的收集、存儲、應(yīng)用和流通四個環(huán)節(jié)構(gòu)建數(shù)據(jù)地圖,從而作數(shù)據(jù)清單、數(shù)據(jù)追蹤、授權(quán)和使用的一致性檢測、數(shù)據(jù)使用場景梳理。一是建立隱私數(shù)據(jù)圖譜,給數(shù)據(jù)打上標(biāo)簽,分級、分類,梳理數(shù)據(jù)及其存儲位置。二是構(gòu)建數(shù)據(jù)運(yùn)用圖譜,在數(shù)據(jù)未來的使用中要能自動歸集并實(shí)時自動化監(jiān)控,對于數(shù)據(jù)使用者、數(shù)據(jù)應(yīng)用場景、有無充分保護(hù)等通過數(shù)據(jù)運(yùn)用圖譜清晰可見可控。三是構(gòu)建數(shù)據(jù)流動圖譜,使數(shù)據(jù)開放給平臺或轉(zhuǎn)移給第三方時清晰可溯,使數(shù)據(jù)流動各個節(jié)點(diǎn)的風(fēng)險可預(yù)警。這樣才能從傳播產(chǎn)品或服務(wù)的設(shè)計(jì)著手,建立覆蓋數(shù)據(jù)全生命周期的隱私保護(hù)體系,考慮數(shù)據(jù)處理的性質(zhì)、范圍、場景、目的以及對自然人權(quán)利不同程度的風(fēng)險,采取適當(dāng)?shù)募夹g(shù)和組織措施。規(guī)范數(shù)據(jù)處理過程中的基礎(chǔ)設(shè)施、數(shù)據(jù)管理和用戶交互行為,確保個人數(shù)據(jù)系統(tǒng)的透明性、完整性、保密性、可用性、可干預(yù)性、不可聯(lián)結(jié)性。還應(yīng)關(guān)注GDPR的克減條款、例外情況、可豁免義務(wù)、對數(shù)據(jù)主體權(quán)利的限制等,為平臺合規(guī)管理增加余地。

2.建立科學(xué)的數(shù)據(jù)保護(hù)影響評估模型

針對高風(fēng)險的數(shù)據(jù)處理行為發(fā)布數(shù)據(jù)保護(hù)影響評估(DPIA)報(bào)告是促進(jìn)平臺企業(yè)自證合規(guī)、配合監(jiān)管的有效工具,目的在于督促企業(yè)主動識別風(fēng)險和最大限度降低風(fēng)險。智能傳播平臺應(yīng)建立科學(xué)的DPIA模型,明確評估的內(nèi)容、方法和標(biāo)準(zhǔn),在收集和處理前系統(tǒng)地分析特定項(xiàng)目對隱私的影響,從而對數(shù)據(jù)風(fēng)險早期預(yù)防、實(shí)時感知、即時反饋和動態(tài)監(jiān)控。若DPIA表明存在較高風(fēng)險,應(yīng)事先征求監(jiān)管機(jī)構(gòu)的意見,并根據(jù)法律、標(biāo)準(zhǔn),結(jié)合平臺數(shù)據(jù)流進(jìn)行調(diào)整,采取與風(fēng)險相稱的技術(shù)或組織措施消除潛在問題,例如,決定不收集或存儲特定類型的信息;設(shè)計(jì)為實(shí)現(xiàn)數(shù)據(jù)使用目的必需的最小保留期限,只保留具有較高價值密度、與用戶個性化傳播服務(wù)有較強(qiáng)關(guān)聯(lián)的必要信息,并安全銷毀不必保留的信息;采用加密等安全措施傳輸和存儲個人敏感信息;匿名化處理;確保用戶充分了解其特殊數(shù)據(jù)使用情況等。

3.做好痕跡審計(jì)證據(jù)管理

GDPR第5(2)條規(guī)定了問責(zé)原則,要求數(shù)據(jù)控制者必須始終能夠證明個人數(shù)據(jù)是以向數(shù)據(jù)主體透明的方式處理的。智能傳播平臺要以可見的形式合規(guī)保存數(shù)據(jù)處理活動的書面(包括電子)記錄,以便于痕跡審計(jì)。記錄數(shù)據(jù)處理活動,要建立全面、準(zhǔn)確、完整地反映平臺運(yùn)營狀況的數(shù)據(jù)地圖,建立數(shù)據(jù)血緣關(guān)系的數(shù)據(jù)檔案,描述數(shù)據(jù)獲取途徑、處理手段、流動路徑、存儲位置、用戶對數(shù)據(jù)權(quán)利的請求等動態(tài)變化;要記載數(shù)據(jù)全生命周期每一環(huán)節(jié)的狀態(tài),為風(fēng)險評估提供事實(shí)依據(jù)。書面記錄作為留痕審計(jì)的重要證據(jù),在監(jiān)管機(jī)構(gòu)問責(zé)時可展示平臺數(shù)據(jù)處理行為的合規(guī)性以完成舉證義務(wù)。而且,智能傳播平臺自我規(guī)制,遵守由國際組織、行業(yè)協(xié)會等擬定的行為規(guī)則,向認(rèn)證機(jī)構(gòu)申請國際標(biāo)準(zhǔn)的合格評定時也可將記錄作為重要資料。

4.及時有效地處理數(shù)據(jù)安全事故

智能傳播平臺因面向的用戶眾多,且具有較強(qiáng)的公開性和互動性,要做好內(nèi)部數(shù)據(jù)泄露應(yīng)急處理預(yù)案,包括在事故發(fā)生時須采取的行動、檢查事項(xiàng)清單和后續(xù)措施等。并且,發(fā)生安全事故時,除了立即啟動應(yīng)急措施,還應(yīng)第一時間以有效的方式告知當(dāng)事人。確實(shí)技術(shù)不可行,應(yīng)采取合理方式有效地進(jìn)行公開警示。同時,要在規(guī)定時間內(nèi)向監(jiān)管部門報(bào)告。

5.積極配合監(jiān)管機(jī)構(gòu)的審查

GDPR高額的行政罰款案例使涉及個人數(shù)據(jù)相關(guān)業(yè)務(wù)的經(jīng)營組織感到風(fēng)險重重。其實(shí),最高罰金僅僅在最嚴(yán)重的違法行為下適用。如果違法行為不會對數(shù)據(jù)主體的權(quán)利構(gòu)成重大風(fēng)險,可以用警告、申誡、要求改正、要求更正或刪除個人數(shù)據(jù)等取代罰款。第29條工作組《行政罰款的適用和設(shè)置指南》明確指出,在具體案件中,監(jiān)管機(jī)構(gòu)有責(zé)任采取審慎平衡的方法,選擇“有效的、恰當(dāng)?shù)?、有說服力的”措施[29]。同時,監(jiān)管機(jī)構(gòu)在評估是否應(yīng)當(dāng)適用罰款及確定罰款金額時,應(yīng)考慮的因素中就包括數(shù)據(jù)控制者或數(shù)據(jù)處理者為了減輕數(shù)據(jù)主體損失而采取的所有行動、與監(jiān)管機(jī)構(gòu)的合作程度、監(jiān)管機(jī)構(gòu)得知違法行為的方式等。因此,一旦發(fā)生用戶個人數(shù)據(jù)保護(hù)相關(guān)的事件,智能傳播平臺與監(jiān)管機(jī)構(gòu)保持良好密切的溝通,有助于避免更為嚴(yán)厲的處罰。

注釋:

①目前尚無中國企業(yè)違反GDPR而受處罰的案例。

②數(shù)據(jù)主體向比利時數(shù)據(jù)保護(hù)局投訴,舉報(bào)市長濫用房地產(chǎn)交易咨詢事項(xiàng)中建筑師所提供的個人電子郵箱向其發(fā)送競選信息進(jìn)行拉票。2019年5月28日,比利時數(shù)據(jù)保護(hù)局裁定比利時市市長使用數(shù)據(jù)主體個人電子郵箱地址并發(fā)送競選信息的行為,已經(jīng)超出數(shù)據(jù)主體提交個人郵箱地址的目的,違反了GDPR目的限制原則,并作出了處罰決定。參見比利時數(shù)據(jù)保護(hù)局官方網(wǎng)站https://www.gegevensbeschermingsautoriteit. be/nieuws/de-gegevensbeschermingsautoriteit-legteen-sanctie-op-het-kader-van-een-verkiezingscampagne。

③出租車公司Taxa雖然在合法保留客戶的姓名和地址兩年后予以刪除,但在隨后三年的時間里違法保留了900多萬名客戶的電話號碼。2019年5月,丹麥數(shù)據(jù)保護(hù)機(jī)構(gòu)認(rèn)為Taxa沒有遵守GDPR的最小范圍原則,對Taxa處以120萬克朗的罰金。參見丹麥數(shù)據(jù)保護(hù)機(jī)構(gòu)官方網(wǎng)站:https://www.datatilsynet.dk/tilsyn-ogafgoerelser/afgoerelser/2019/mar/tilsyn-med-taxa-4x35sbehandling-af-personoplysninger/。2019年5月,立陶宛數(shù)據(jù)保護(hù)機(jī)構(gòu)認(rèn)為MisterTango提供支付服務(wù)時,超出必要限度讀取并收集用戶的個人信息,與GDPR的最小范圍原則不符。參見立陶宛數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)官方網(wǎng)站https://www.ada.lt/go.php/lit/Imones-atsakomybes-neisvengs--lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenu-apsaugos-reglamento-pazeidimus-/1。

④西甲聯(lián)賽所采用的一款應(yīng)用程序盡管獲得了用戶使用麥克風(fēng)和GPS的許可,但它并未告知用戶收集數(shù)據(jù)的目的。2019年6月,西班牙數(shù)據(jù)保護(hù)局認(rèn)為用戶的同意不夠具體,西甲聯(lián)賽沒有獲得用戶關(guān)于數(shù)據(jù)收集和使用的有效同意,違反了GDPR第7條。參見西班牙當(dāng)?shù)孛襟w報(bào)道https://www.eldiario.es/tecnologia/Agencia-Proteccion-Datos-Liga-microfono_0_908859408.html。

⑤2018年7月,MisterTango公司用戶的個人信息以及9000張網(wǎng)絡(luò)支付交易截圖被非法披露在互聯(lián)網(wǎng)上,公司未在數(shù)據(jù)泄露事件發(fā)生72小時內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告,違反了GDPR的規(guī)定。2019年5月16日,立陶宛數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)因MisterTango公司不恰當(dāng)處理數(shù)據(jù)、泄露個人信息以及未向監(jiān)管機(jī)構(gòu)報(bào)告數(shù)據(jù)泄露事件對其進(jìn)行處罰。參見立陶宛數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)官方網(wǎng)站https://www.ada.lt/go.php/lit/Imones-atsakomybesneisvengs-lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenuapsaugos-reglamento-pazeidimus-/1。

⑥2019年1月,法國數(shù)據(jù)保護(hù)機(jī)構(gòu)以違反GDPR的同意規(guī)則為由,處罰Google 5000萬歐元。法國數(shù)據(jù)保護(hù)機(jī)構(gòu)主張Google收集個人數(shù)據(jù)時征得用戶的同意既不“具體”也不“明確”,GDPR所要求的同意只有當(dāng)用戶針對諸多特定目的分別給予認(rèn)可(而不是“一攬子”同意)時才是“具體的”,并且只有當(dāng)用戶做出清晰的確認(rèn)動作才是“明確的”。參見法國數(shù)據(jù)保護(hù)機(jī)構(gòu)官方網(wǎng)站https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc。

⑦Google案中,Google的主要違法行為是未向用戶提供透明和清晰的處理個人數(shù)據(jù)的方式。法國數(shù)據(jù)保護(hù)機(jī)構(gòu)表示,Google的用戶無法完全理解該公司如何使用數(shù)據(jù),因?yàn)槠渑兜男畔⑦^于“籠統(tǒng)和含糊”,并分散在許多不同頁面和文件中。參見法國數(shù)據(jù)保護(hù)機(jī)構(gòu)官方網(wǎng)站https://www.cnil.fr/en/cnils-restrictedcommittee-imposes-financial-penalty-50-million-euros-against-google-llc。

⑧一家波蘭公司出于商業(yè)目的處理自公共來源獲得的涉及600萬人的個人信息。但該公司僅對“已掌握電子郵箱”的數(shù)據(jù)主體通過電子郵件履行了GDPR規(guī)定的信息告知義務(wù)。對其余數(shù)據(jù)主體,該公司稱因成本過高而未告知正在進(jìn)行的數(shù)據(jù)處理活動,只在其官方網(wǎng)站上展示了相關(guān)信息,以此完成告知。經(jīng)查明,該公司已掌握所有涉案數(shù)據(jù)主體的電子郵箱地址和電話號碼。2019年3月,波蘭數(shù)據(jù)保護(hù)機(jī)構(gòu)裁定,該公司所述的“成本過高”只是其不履行法定義務(wù)的借口,公司應(yīng)當(dāng)通過這些郵箱地址等聯(lián)系方式對所有數(shù)據(jù)主體履行信息告知義務(wù)。數(shù)據(jù)主體無法獲知與個人信息相關(guān)的數(shù)據(jù)處理活動,也就無法提出反對處理權(quán)、更正或刪除權(quán),事實(shí)上剝奪了他們對個人信息保護(hù)的權(quán)利和自由,這是非常嚴(yán)重的違法行為,并作出了處罰。參見波蘭數(shù)據(jù)保護(hù)機(jī)構(gòu)官方網(wǎng)站https://uodo.gov.pl/decyzje/ZSPR.421.3.2018。

⑨德國聊天社交平臺Knuddels.de網(wǎng)站于2018年7月受到黑客襲擊,導(dǎo)致約330000名用戶的電子郵箱地址和密碼泄露。德國數(shù)據(jù)保護(hù)機(jī)構(gòu)調(diào)查發(fā)現(xiàn),該平臺以純文本形式存儲用戶密碼,沒有采取任何加密措施,違反了GDPR第32條第1款規(guī)定的數(shù)據(jù)安全義務(wù),即數(shù)據(jù)控制者及處理者應(yīng)考慮現(xiàn)有技術(shù)、執(zhí)行成本、處理的本質(zhì)、范圍、背景及目的與對自然人權(quán)利及自由所存在的諸多且嚴(yán)重的風(fēng)險,采取適當(dāng)?shù)募夹g(shù)及組織措施,以確保合理應(yīng)對風(fēng)險的安全水平,尤其需考慮個人數(shù)據(jù)的化名化及加密。因此對Knuddels.de平臺處以罰款。參見德國數(shù)據(jù)保護(hù)機(jī)構(gòu)官方網(wǎng)站https://www.baden-wuerttemberg.datenschutz.de/lfdi-badenwuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/。

⑩Google案中,法國數(shù)據(jù)保護(hù)機(jī)構(gòu)認(rèn)為Google的個性化廣告行為未獲得用戶的有效同意而具有合法根據(jù)。參見https://www.cnil.fr/en/cnils-restricted-committee-imposesfinancial-penalty-50-million-euros-against-google-llc。