文/程舟叶子 华为技术有限公司法务 国际隐私专家协会CIPP/E证书
本文由作者向无讼阅读独家供稿,转载请注明作者和来源
根据欧盟《一般个人数据保护法》(以下简称“GDPR”),数据主体的同意是进行个人数据处理、以及个人数据跨境转移的合法基础之一,很多企业因此认为获取最终用户的同意是最简便的进行个人数据处理或者个人数据跨境转移的方式——例如:只要提供一个充分全面的隐私政策,用户点击“我同意”,就能够方便地将欧盟用户的个人数据传递到中国的服务器进行处理,而不需要BCR或者签署欧盟标准数据转移协议等更复杂或昂贵的机制。但实际上,获得符合GDPR要求的“同意”,并非那么简单,GDPR设定了非常高的标准——可能国内所有互联网企业的做法,都不符合要求——例如中国互联网巨头常用的预先勾选同意、要求用户针对不同的数据处理活动给出一揽子同意、将数据处理活动作为用户使用其服务的前提条件、隐私政策冗长晦涩、网站上隐私政策极不明显、隐私相关内容过于分散、默认设置同意收集用户个人数据等都会导致同意无效。在GDPR具有域外效力且最高罚金可达2000万欧元或全球营收4%中较高者,以及中国互联网企业已经做大容易吸引监管机构注意的背景下,正确了解GDPR的要求并相应调整企业获取用户同意时的实践,对于中国企业来说非常重要。
GDPR中对于敏感数据处理的同意、以及儿童同意也有专门要求,本文不讨论这两种情况,而仅讨论一般个人数据处理活动中,GDPR对同意的要求。从GDPR第4条对同意的定义来看,同意必须是自由给出的、特定的、知情的、以清晰的声明或者肯定的行为表明数据主体对于处理其个人数据的明确意愿。下文将结合GDPR文本、欧盟二十九条工作组《第15/2011号意見书:“同意”的定义》(以下简称“二十九条工作组意见”)、以及欧盟的一些重大案例,对这几个要求逐一分析。
一、自由给出
数据主体在给出同意时,是否不存欺诈、威胁或胁迫而享有真正的选择自由,是否能够自由地拒绝和撤回其同意而不受到任何不利后果,是识别其同意是否“自由给出”的标准。
双方地位天然的不平等容易被认为构成胁迫而导致同意无效——例如:国家政府与个人、雇佣关系、医患关系——但并非只要是此种关系下获得的同意就必然无效。检验的原则就是“同意可能导致的后果实际上是否削弱了当事人做出选择的自由”。
如果将诸多不同的数据处理活动捆在一起,要求数据主体就这些不同的活动统一地给出同意或者不同意,而不允许消费者针对每一项不同的活动分别同意。也可能导致同意无效。除非有相反证据证明,这些同意的确是自由给出的。例如:在使用微信时,不同的活动可能需要使用用户的位置数据、联系人信息、设备信息、银行卡号等,应该针对具体的活动分别获取用户同意,而不是笼统地要求用户同意微信使用其位置数据、联系人信息等。
在消费者场景下,也存在看似消费者同意,但实际消费者“别无选择”的情况,这也可能导致同意违反“自由给出”而无效。例如在GDPR第7条规定,评估同意是否是“自由给出”时,最主要的考虑因素是:合同的履行(包括提供服务),而该个人数据处理活动对于合同的履行又并非是必须的。例如:手机开机时会有一个隐私声明,如果不同意这个隐私声明,手机就无法使用。而隐私声明中包含了诸多允许该手机设备商处理手机用户个人数据的情况(如获取IMSI、IMEI号,手机联系人信息、手机安装的应用信息等)。但该个人数据处理活动对于设备商向该用户提供基本的手机功能并非是必须的。此种情况下,要证明消费者是“自由给出”同意,存在困难——消费者可以辩称其“不得不同意”不合理的个人数据处理,因为否则其将无法使用已经付费购买的手机,为避免同意无效而导致个人数据处理行为违法,建议将手机可以开机使用的基本功能和需要使用个人数据的附加功能区分开,后者并非是开机使用所必须的,从开机隐私声明中抽离,在手机运行相应附加功能的时候单独提示。
二、特定的
数据主体同意是“特定的”的前提,是其同意是基于对于其数据处理活动特定目的的清晰说明,如果对于数据处理的目的含糊其词“为了改善我们的服务”,极有可能不符合“特定性”要求而被认为无效。正如二十九条工作组指出:“不准确指明个人数据处理目的的笼统同意无效。”
在谷歌隐私政策案中,谷歌称其“收集用户主动提供的信息以及从用户使用其服务中获取的信息”并且“从一项服务中获取的信息可能与从其他谷歌服务中获取的信息结合”,目的是“提供、保持、保护和改进它们,开发新的(数据),保护谷歌及其用户”,这些数据也被用来提供定制化服务“给你更相关的搜索结果和广告”。而法国数据保护机构CNIL认为以上目的说明不能够使用户了解未来他们的个人数据会被如何使用。并且即使用户能够预料到他的个人数据将为了当前的服务而被使用,但是他完全不清楚他的数据未来可能被那些在收集数据发生时还不存的服务使用。上述目的似乎于谷歌未来可能决定开展的活动有关,因此这些目的不“特定”、“清晰”。
三、知情的
即数据主体对于数据处理活动充分了解,这就要求就数据处理活动对数据主体作出充分的说明。GDPR对于此种说明的内容和形式都有要求。
内容方面,上文已经提到的数据处理的目的是对数据主体告知的重要内容之一,除此之外,GDPR还要求至少告知数据控制者的身份。同时,个人数据处理活动的公平和透明性原则,也要求对数据主体提供充分和清晰的说明,该原则下对信息的要求更多(如:是否有义务提供数据及不提供的后果、用户画像活动及用该活动的后果等),在此不赘述。
形式方面,GDPR要求:“如果数据主体的同意是以书面声明的方式作出,而该声明同时还包括了其他事项,则在获取数据主体同意时,应该将数据处理活动与其他事项清晰的区分开,以易读的、容易访问的形式、使用清晰和简明的语言……”。
以面向数据主体的隐私声明为例,其与其他协议(如用户协议)应该是独立的,或者如果将隐私相关内容作为用户协议的一部分,那么隐私部分应该作为一个或多个独立章节清晰地独立于其他部分,而不是散落在协议的各处。例如百度网页中的《使用百度前必读》,就包括了隐私和其他内容,隐私部分内容专门列在“隐私保护声明”部分。
隐私声明还应该是“易读的、容易访问的形式、使用清晰和简明的语言”。过于晦涩冗长的隐私保护协议可能导致同意无效,而数据主体不容易识别的隐私声明,也可能构成同意无效——例如百度网页中的《使用百度前必读》标识,虽有说明和提醒的内容,但该字却放在了网页的最下方,不仅字体明显较小,而且还夹放在“◎2014Baidu”与“京ICP证030173号”中间,且字体为灰色,用户难以识别并加以注意。虽然在中国COOKIE第一案中,二审法院判决百度履行了告知义务。但结合GDPR的同意要求,笔者认为百度是存在极大的GDPR违法风险的。
此外,二十九条工作组还指出,必须直接向当事人提供信息,仅仅让当事人知道某处有可用的信息是不够的。也就是说,仅仅给出一个可供访问“隐私声明”的URL地址是不够的,还必须以显眼、清晰地直接呈现内容。对与网站来说,通过分层分级的方式来履行告知义务是比较妥当的——这也是多数互联网企业的普遍做法。
信息过于分散也可能影响同意的有效性。在谷歌隐私政策案中,法国CNIL认为谷歌对用户的隐私告知过于分散、通过多种媒介传递——谷歌综合应用统一的隐私政策、FAQ、常见问题解答、针对部分特殊服务的隐私政策向用户传递其隐私实践——这种分散的信息传递方式强迫用户必须阅读大量的、所有资料才能够对谷歌如何处理其数据有充分的了解,信息的分散性降低了信息的可读性。笔者认为,统一的隐私政策和特殊服务的隐私政策应该足够全面,能够覆盖所有的隐私问题,而FAQ和常见问题解答,仅仅是一个快速寻找答案的途径,不能够把部分隐私问题仅放到这个部分解答。这样能够避免传递给用户的信息过于分散,同时也保证用户能够快速寻找到自己关心的信息。
四、以清晰的声明或者肯定的行为表明
GDPR前言(32)条指出:“(数据主体同意)可以通过,书面声明——包括电子方式、或口头声明的方式给出。可以是在访问因特网时在选择框中打钩、在信息社会服务时选择技术设置、或其他在该情形下清晰表明数据主体接受对其个人数据处理提议的声明或行为。沉默、事先勾选的选择框、或不作为,不构成同意。”
按照这一标准,中国许多网站收集COOKIES的做法都构成违法。因为目前大多数中国网站都是在隐私声明中说明网站使用cookies的情况,允许用户通过浏览器设置等方式拒绝COOKIES(OPT-OUT),极少有网站会在用户访问网站时醒目提示COOKIES政策,并给予用户是否允许使用COOKIES的选择。
二十九条工作组也曾举例说明不作为不能构成有效同意:网络游戏网站上有一个告示,通过链接可以打开阅读(而参加游戏并不以阅读告示为前提),而该告示中称,玩家使用该网站并向其提供资料,即表示玩家已经同意该网站处理其个人数据并同意接收网站及第三方发送的广告。二十九条工作组认为,登录并参与游戏并不等于同意网站为网络游戏以外的目的处理玩家的个人资料,不构成当事人对其个人数据用于商业目的的明确同意。
网站、APP等常见的处理用户个人数据的产品需要检查其默认设置,如果默认勾选用户同意个人数据处理行为,用户必须手动修改设置才能避免处理,则可能违反GDPR导致用户同意无效。早在2012年,德国数据保护机构就对谷歌地图默认分享用户位置信息的做法表达过此种观点,该案中用户可以通过苹果商店下载谷歌地图,应用成功下载后,谷歌地图在其启动页面中提示用户接受其服务条款和隐私权政策,并警告用户,将与谷歌共享他们的位置信息。谷歌告知用户:“共享用户位置信息是为了帮助我们改善谷歌,包括交通状况及其他服务。匿名的位置信息将被谷歌的定位服务器收集并传送给谷歌,并可以存储在您的设备中”。用户在苹果上安装新版谷歌地图时,与谷歌共享位置信息的选项会在默认情况下开启。数据保护机构官员表示:“一个公司打算获取个人信息时,必须事先征得用户同意,因此,我认定谷歌目前的行为是有悖于欧洲数据保护法的,即使该公司现在提供一个退出选项也无法回避这一事实。”
实习编辑/王林