【前言】2016年,威斯汀研究中心(the Westin Research Center)發表了一系列文章,分析了對歐盟通用數據保護條例的十大運營影響的分析。現在,隨著2018年5月25日,GDPR實施的最後期限即將到來,IAPP將發佈一個系列,以展示我們的成員在預期的GDPR實現中所做的常見的實際組織反應。以下是專家認為的最有效的十項應對GDPR的行動方案:
1) 進行數據清點和映射
2)為數據處理和跨境轉移建立合法的基礎
3)建立和維護一個數據治理系統,包括設立負責人
4) 進行數據保護影響評估,以及設計和默認數據保護
5) 準備、進行數據保存,記錄保存的政策和系統
6) 滿足信息透明度要求和履行通信義務
7) 配置系統,並進行適當的處理以滿足數據主體的權利
8) 時刻為數據洩漏通知做準備
9) 一個完善的供應商管理(處理者)協議
10) 建立與數據保護部門溝通的系統和渠道
本文是這個系列的第二部分,主要討論企業為實現GDPR的要求而做出的努力,即企業需要"合法的基礎"來證明處理個人數據是合理的。
數據處理的合法基礎
(Lawful bases for processing)
一、數據處理的合法性要求
與1995年數據保護指令類似,根據歐盟通用數據保護條例,只有存在"合法基礎",公司才能處理數據主體的個人數據。第五條規定個人資料應當依法進行處理,第六條規定符合法律規定的的六個不同法律依據:
(1) 數據主體同意其個人數據為一個或多個特定目的而被處理。
(2) 處理是為履行數據主體參與合同的必要行為,或處理是因數據主體在簽訂合同前的請求而採取的措施。
(3)處理是為履行控制者所服從的法律義務之必要。
(4)處理是為了保護數據主體或另一個自然人的切身利益之必要。
(5)處理是為了執行公共利益領域的人物或行使控制著既定的公務職權。
(6)為了控制人或第三方所追求的合法利益,處理是必要的。除非這種利益與保護個人數據的數據主體利益或基本權利和自由相沖突,特別是在數據主體是兒童的情況下。該項不適用於政府當局在履行其職責是進行的處理。
儘管GDPR第6條將處理的合法性限制在"至少一個"情況滿足的條件下,但企業不能指望單一數據處理的目的有多個法律基礎。第29條中工作小組關於同意的指導意見表明,"作為一般規則,單一目的的數據處理不能基於多個法律基礎。"
公司需要在收集時確定數據處理的法律基礎,根據第13條(1)(3)項的規定,在收集數據的同時,必須向數據主體提供處理的目的和法律依據。
二、這在實踐中意味著什麼
我們對知名數據保護專員的採訪表明,數據處理對合同的履行、控制者遵守法律義務是至關重要的。例如,在線零售商為完成訂單而處理消費者的地址(合同的履行),或金融機構為遵守反洗錢法處理用戶的數據(遵守法律義務),顯而易見,上述數據處理是基於法律基礎進行的。
更常見但也更困難的是,基於數據主體的同意而進行數據處理;或為了控制者或第三方的合法利益而進行處理,但利益與數據主體的隱私利益相沖突的除外。工作小組第29條就是關於上述兩種情況的例子。
合法使用用戶同意的例子,包括連鎖酒店對已預訂的客戶提供在線報價;或者有線電視要求用戶同意使用他們的觀看習慣,以便向他們推送個性化的內容。為了控制者或第三方合法權益而處理的例子,包括計算機商店僅使用客戶購買時提供的聯繫信息為客戶直接提供類似產品的常規郵件銷售,同時提供易於下單的在線選項。
最不常見的情況是,為了保護數據主體、另一個自然人的重要利益,或者為了履行公共利益,或控制者行使官方職權而執行的任務需要進行數據處理。為保護數據主體的重要利益而處理數據的例子可能是在人道主義災難之後為了找到他們而處理數據。典型的為履行公共利益而處理數據的例子是,稅務機關收集和處理個人的納稅申報表以建立和核實要支付的稅款數額。立法法案說明第46條指出,一些處理"可能"符合公共利益和數據主體的重要利益,例如為監測流行病而進行的處理。
GDPR的第9條規定了"特殊個人數據的處理"並對這些數據的處理設立了更有限的合法基礎。除非符合第9(2)條中規定的10個例外情況之一,否則任何"揭示種族或民族起源、政治觀點、宗教或哲學信仰或貿易聯盟成員身份"的數據,以及"處理遺傳數據、生物特徵數據,以確定自然人、有關自然人的性生活或性取向的健康或數據的數據"都是被禁止處理的。
重要的是,處理"特殊類別數據"的公司不能基於控制者或第三人的利益處理這些數據。但是,可以使用限制性的同意書。第9條第(2)項第(1)款允許以"明確同意"為基礎對這些數據進行處理,這需要"統一的明確申明"。在處理"常規"個人數據時,則需要更高要求。工作小組組建議,由數據主體簽署書面同意時證明處理合法基礎的方法之一。
三、同意和合法利益
(一)同意
很多企業開始查明他們處理數據是否需要數據主體同意,以便於確定處理的法律基礎。雖然《通用數據保護條例》對同意做出了詳細規定以求減少企業為控制者或第三人利益處理數據的情況,但許多數據處理除此以外再無法律基礎。《通用數據保護條例》第4條(11)項規定,
數據主體的"同意"是指任何自由、具體、知情和毫不含糊地表示數據主體意願的行為,通過聲明或明確的肯定行動表示同意處理與其有關的 個人數據。首先,識別哪些處理還未徵求同意或同意未被記錄的關鍵是進行數據清點和映射。其次,公司應確定需徵得同意的數據處理的範圍,並識別哪些處理雖徵得了同意但應該停止。必須在5月25日的最後期限前根據現有的數據建立數據庫,否則企業不能在得到數據主體同意前使用這些數據。
明確地說,同意是六種數據處理的法律基礎中的最具爭議性的。IAPP與TrustArc在2017年進行的一項研究顯示,11項合規風險中用戶同意排名第三,在針對美國中調查中排名第二。許多企業都依賴於"我同意"按鈕,都是通過"我同意"按鈕進行個人數據的收集、傳輸和處理。《通用數據保護條例》立法草案說明第32、42、43條給了一些例子,說明什麼是"自由地給予,具體,知情和明確的"同意,並明確警告"默認、預先勾選的框或不提示"不符合條件。
"書面陳述,包括電子方式或口頭陳述"是符合條件的。《通用數據保護條例》還建議,"訪問網站時勾選框"或"為獲得信息服務選擇默認設置"將被視為數據主體表明接受處理。
第7條規定了有效同意的附加條件。企業要基於主體同意進行數據處理,必須要證明事實上數據主體給出了明確同意。這就需要一個系統根據正在處理的數據類型來記錄數據主體給出的明確同意。
書面同意申明如果附加在其他文件裡,必須"以清晰明瞭、通俗易懂的方式呈現"。也就是說,同意申明不能被埋沒在精美的印刷中,不能使用晦澀難懂的法律術語,也不能與其他重要的合同條款相混淆。數據主體還享有在任何時候撤回同意的權利,並且在提供同意之前企業必須告知數據主體其享有這一權利。撤回同意必須像給出同意一樣輕而易舉。最後,有效的同意必須是"自由的給與";特別審查主要是看對於不需要數據處理就能實行的合同,企業是否會在數據主體同意的條件下才履行合同、提供服務。
此外,為了確保同意是自由做出的,基於同意進行數據處理的公司必須考慮自身和數據主體之間力量的不平衡。工作小組提示,"任何對數據主體施加不適當的壓力或影響的因素……這些因素妨礙了數據主體對其自由意志的引用,將使……同意無效。" 例如銀行要求客戶同意將其支付細節用於市場營銷目的,如果不同意則拒絕提供銀行服務或增加費用,這將會為數據主體帶來不適當的壓力。《通用數據保護條例》並沒有絕對禁止企業提供附帶處理同意的服務,但立法案說明第43條規定在這種情況下提供的同意無效。工作小組提示"有效的情況少之又少"。
企業除了要避免做出《通用數據保護條例》所禁止的行為外,還必須履行一系列義務。在基於主體同意處理數據時,維護數據主體的權利。第20條第(1)項第(1)款保證數據主體有權訪問基於同意進行處理的自己的任何數據。立法法案說明第63條補充道,應該"方便且定期地"提供訪問,以使數據主體能夠驗證處理的合法性。第20條還保障數據主體有權以結構化、通用和機器可讀的格式接受其提供給控制者的與其有關的個人數據,控制者在設計數據儲存和分類工具時應充分考慮。立法法案說明第68條規定,基於同意或根據合同進行的數據處理應保障數據主體的數據可移植性權利,儘管它不要求所有的控制者設計出相互可互操作的格式。
第17條保證數據主體有權要求控制者無不當延誤刪除與其有關的不準確的個人數據。當數據主體撤回同意時,刪除權尤為重要。因此,基於主體同意進行數據處理的控制者,應當建立一個可刪除系統,以便在數據主體撤銷同意的情況下消除其個人數據。
具體運營問題領域包括:原以同意為數據處理基礎的僱傭協議,但因為僱主和僱員之間權力的不平衡而內在的損害了同意自由性;任何基於數據主體的同意進行的消費數據處理;通過預先勾選框或網頁捆綁獲得同意的服務;以及任何基於多種用途進行的處理。在GDPR生效前獲得的主體同意不一定能在2018年5月25日之後繼續有效;立法法案說明第171條表明,在GDPR生效前獲得的同意只有在符合更嚴格的標準時才有效。
(二)合法利益
與1995年的數據保護指令一樣,GDPR允許公司基於控制者或第三人的合法利益進行數據處理,但提出了一個關鍵性提示:控制者或第三人的合法利益不能與"數據主體的利益或基本權利和自由"的利益相沖突。立法法案說明第47條給出了幾個基於合法利益進行數據處理的例子,包括數據主體是數據控制者的客戶或服務對象。然而,在所有 情況下都需要"仔細評估",又稱為"平衡測試"。 這個過程包括兩步分析:首先,公司必須提出合法的利益;這個過程包括兩步:首先,公司必須提出合法的利益;其次,為了促進這種利益而進行的處理必須能通過控制者的合法利益和數據主體的隱私權之間的平衡測試。
工作小組在對合法利益的指導中指出, "只要控制者能夠按照數據保護和其他合法方式追求利益,任何利益都可以被認為是合法的。其次,公司必須通過測試確定其利益是否被那些需要保護的數據主體的利益或基本權利和自由更重要。這個測試不是簡單的"非此即彼"的命題;這是一個複雜的評估,必須考慮到四個因素:控制者的合法利益;對數據主體的影響;兩者之間的暫時平衡;以及控制者為防止對數據主體產生不利影響而採取的額外保障措施。
作為數據處理的合法依據,合法權益(如同意)會觸發複雜的合規性考慮。根據GDPR第1 3條第(1)(4)項和第14條第(2)(2)項,企業應明確識別數據主體的合法利益。重要的是,根據GDPR第18條(1)(4)項,根據法律基礎進行數據處理的公司必須建立一種機制,來限制對不信任平衡測試的數據主體的數據處理。GDPR第21條第(1)項和立法草案說明第69條都保證了數據的主體根據合法利益反對數據處理的權利。
最終,為了對特定事實的平衡測試水平進行測定,公司不得不回顧監管部門的執法行動歷史。與此同時,他們可以基於委員會認可的合法利益和工作小組指導意見第29條而進行數據處理。2014年工作小組關於合法利益的指導,雖然根據1995年指令發出,但仍然可以提供一些有用的例子,說明如何在不同的情況下適用這個測試:
四、在工作區域
建立全公司內部員工聯繫數據庫,包括所有員工的姓名、業務地址、電話號碼和電子郵件地址,使員工能夠聯繫到他們的同事。只要採取"適當的措施",是符合合法利益要求的,如員工代表的充分協商和有效的安全政策制度等。
遵守一項外國法律義務,例如美國2002年的《薩班斯-奧克斯利法案》要求的告密計劃,符合法律的利益。第6(c)條的"法律義務"不包括 非歐盟法律義務。如果這些項目包括適當的保障措施,履行外國法律義務可以成為數據處理的合法基礎。
相比之下,在沒有額外保障員工隱私利益的措施下,監視員工網頁瀏覽記錄、電子郵件信息或電話使用,特別是附帶視頻的,將很難通過平衡性測試。僱傭的性質對這種數據處理一直至關重要的。
儘管僱主的合法利益是維持禁菸規定,但一家公司使用隱藏攝像頭來識別違反規定的員工和訪客,將不能通過平衡性測試。因為有別的方法來達到目的,而不需要侵犯個人隱私權利。
五、處理消費者的個人資料
公司有合法利益去收集客戶的偏好信息,以便"更好地個性化他們的報價,並最終提供更好滿足顧客需求和需求的產品和服務"。 有些營銷可以根據這種利益進行,比如物理或帶有退訂選項的電子郵件推銷。然而,根據工作組的說法,"大量關於(客戶)來自不同來源的數據"用於構建"客戶個性和偏好的複雜信息",很可能是"對客戶隱私的重大侵犯",將威脅到數據主體的利益和權利。
工作小組特別詳細地討論了一個場景:披薩連鎖店和客戶之間虛假互動。該公司解釋說,這家餐廳根據其增加銷售量的合法權益,可以直接將優惠券寄給提供過地址客戶,只要它提供了一個方便的退訂渠道。然而,如果該公司將客戶信息的處理擴大到包括顧客數年的購買記錄,以及她在連鎖公司的所有購買記錄,通過商店網站上放置的插件追蹤她的瀏覽歷史記錄,以及她移動設備上的位置數據,那麼平衡測試的結果將會從公司轉向個人。
同樣,互聯網公司提供各種在線服務包括搜索引擎,視頻分享,以及社交網絡,它採用了一項隱私政策,出於提供最佳服務的正當利益需求,通過不同渠道收集個人信息,這項政策很可能會讓該公司不能通過平衡測試。
考慮到在收集時必須確定控制者合法利益,所以改變處理用途是不合法的。立法草案說明第69條,控制者有義務通過平衡測試。根據GDPR第40條,管制員應諮詢他們的行業協會或類似的行業團體,因為他們有權制定行為準則,在特定情況下定義控制者的合法利益。
有效的是,工作小組確定了一系列措施,這些措施可能有助於"確保……處理可以基於控制器的合法利益",包括:
(1)一種可行的、可訪問的機制,以確保數據主體能無條件退出處理;
(2) 嚴格限制收集的數據數量;
(3)在使用後立即刪除數據(例如,應用程序掃描用戶的聯繫人,僅僅是為了確定哪些人已經同意了應用程序對其信息的處理);
(4)使用匿名化技術v
(5)整合數據;
(6)增強隱私保護技術、設計隱私條款和數據保護影響評估;
(7)技術和組織保障措施,確保數據不能用於對個人作出決策或行動;
(8)數據可移植性權利和其他措施;
(9)數據匿名化和加密。
六、結論
應對《通用數據保護條例》的第一步是採用有效的數據映射和清點策略。一旦公司映射了個人數據處理,它就應該仔細記錄每個處理目的的合法基礎。在GDPR下允許的6個合法基礎中,同意和合法權益不是最常用的,但卻是最不確定性的因素。然而,公司可以採取一些預先措施來減少處理風險。
需要重新審查GDPR生效前的數據處理方式以確保之前的同意有效。如有必要應得到主體新的同意。如果發現存在"特殊類別"的處理,公司必須徵求"明確的"同意。在GDPR下,在所有基於委託的處理中,公司應該確保有退出機制。
基於公司的合法權益而進行處理,應審查並記錄平衡測試。法律基礎的事實性突出了良好記錄的重要性。根據工作組的指導方針,應評估數據使用和隱私政策以便有機會增加"平衡"機制。
作者∣李·馬西森(LeeMatheson),是美國俄亥俄州立大學莫里茨法學院的一名應屆畢業生,他曾是俄亥俄州刑法期刊 (Ohio State Journal of CriminalLaw)的一員。李在六年級參加完模擬審訊比賽後,就對法律很感興趣。作為一名在校生,李在注意到他瀏覽器裡的橫幅廣告的那一刻,就意識到自己將從事數據隱私保護領域。他在丹尼森大學獲得了政治學學士學位。作為一名俄亥俄州的法律系學生,李通過暑期在國土安全隱私部門的實習接觸到不同的隱私保護的實踐。李是一家專門小律所的職員,他是丹尼斯·赫希和達科塔·盧塞德教授的研究助理。在法律實踐之外,李喜歡打高爾夫球,他是棋盤遊戲的狂熱愛好者。
翻譯∣陳德志 律師、孫清 律師助理
閱讀更多 百律 的文章
