作为必定会载入史册的一年,2020年不但深刻地改变了每个人的生活,而且重塑了世界格局。如果说2018年是全球数据治理元年的话,那么2020年就是全球数据治理的变革之年。在立法领域,中国相继出台了《数据安全法》以及《个人信息保护法》草案;美国加州通过了《加州隐私权法案》、加拿大发布了《2020数据宪章实施法》草案;在监管执法层面,欧盟在Schrems II 案件判决后,发布了针对国际数据传输的建议草案及《欧盟标准合同条款》草案;英国信息专员办公室对万豪集团和英国航空的数据泄漏事件最终分别处以1840万英镑和2000万的罚款。
展望2021年,在立法和执法领域可能发生的重大进展也十分值得期待:中国、加拿大以及其他国家的相关数据隐私立法草案可能将在完善后最终出台,欧盟有关数据跨境传输的相关规定可能将迎来进一步更新。
一、中国大事件
大事件1:《个人信息保护法(草案)》
2020年10月21日,全国人大常委会发布了《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法》)。作为中国首部全面系统地就个人信息保护领域所制定的法律,《个人信息保护法》旨在保护个人信息权益、规范个人信息处理活动、保障个人信息依法有序自由流动,以及促进个人信息合理利用。以下为《个人信息保护法》中值得重点关注的几项内容:
(1)关键定义
在《个人信息保护法》中个人信息被定义为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。这与《网络安全法》和欧盟《通用数据保护条例》(“GDPR”)下对个人信息的定义基本一致。而GDPR中类似个人敏感信息的概念定义更关注数据的类别而非信息泄露的危害程度。《个人信息保护法》中提到的个人信息处理者的概念与GDPR中的数据控制者有相似之处。
(2)域外效力
《个人信息保护法》不仅适用于在中国境内处理个人信息活动的组织,其同样适用于在境外处理个人信息的活动并为该法律的域外效力进行了适用情景的限制。《个人信息保护法》的域外效力与GDPR同样高度相似,这确保了中国政府可以对在中国境外针对中国市场的活动进行执法。此外,《个人信息保护法》对于境外信息处理者在中国设立专门机构或指定代表处理个人信息保护相关事务的要求也与GDPR的要求类似。
(3)个人信息跨境传输
《个人信息保护法》要求个人信息处理者在跨境传输个人信息时必须得到信息主体的单独同意,同时告知境外接收方的身份、联系方式等事项。另外,第五十四条规定个人信息处理者在个人信息跨境传输前应进行风险评估并至少保存评估报告3年。此外,《个人信息保护法》规定个人信息处理者应选择以下机制进行个人信息跨境传输:1)安全评估(适用于关键信息基础设施运营者以及处理个人信息达到国家网信部门规定数量的处理者);2)个人信息保护认证;3)与境外接收方签订合同;4)法律规定的其它条件。
(4)个人信息处理的法律基础
不同于《网络安全法》仅将同意作为唯一的收集和使用个人信息的法律基础,《个人信息保护法》提供了更多的法律基础。而对于个人敏感信息,《个人信息保护法》要求处理个人敏感信息需要明确目的以及必要。若处理14岁以下未成年人信息则需要监护人的同意。
大事件2:《民法典》
《中华人民共和国民法典)(以下简称《民法典》)于2021年1月1日生效。《民法典》系统整合了中国长期实践形成的民事法律规范,全面规定了自然人和法人在民事中所享有的权益,为国家治理体系以及社会秩序提供支撑和保障。其中人格权编第六章专门规定了涉及隐私权和个人信息保护的相关内容。
《民法典》中明确定义隐私、个人信息以及个人信息的处理等重要概念, 同时也规定了个人信息处理的原则和条件,自然人的权益,以及个人信息处理者使用和保护个人信息的义务。
《民法典》提到个人信息中的私密信息适用有关隐私权的规定,其它则适用有关个人信息保护的规定。隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。而个人信息则是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
《民法典》规定,处理个人信息应当遵循合法、正当、必要原则,并且应征得自然人的同意。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。此外,《民法典》明确指出个人信息处理者应当公开信息处理的规则,并明示处理信息的目的、方式和范围。个人信息处理者不得泄露、篡改、或未经自然人同意向他人提供其收集、存储的个人信息。并且,个人信息处理者应采取必要措施确保个人信息的安全。最后,国家机关、政府职能部门对在履行职责中知悉的自然人隐私和个人信息也应予以保密。
自然人可以依法向个人信息处理者查阅或者复制其个人信息。若信息有误,自然人有权提出异议并请求及时采取更正等必要措施。此外,自然人如发现个人信息处理者违反法律法规或者双方的约定处理其个人信息,则有权请求个人信息处理者及时删除。
大事件3:《数据安全法(草案)》
2020年7月2日,全国人大常委会发布了《数据安全法(草案)》(以下简称《数据安全法》)。《数据安全法》的发布标志着中国在数据安全保护领域的进步,然而许多条款还未得到清晰的解读。《数据安全法》着重强调了对于重要数据的监管,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全利益造成的危害程度,建立数据分级分类保护的制度。
《数据安全法》适用于在中国境内开展的数据活动,同时也强调境外组织个人开展数据活动,损害国家安全,公共利益或者公民、组织合法权益的也会被追究责任。《数据安全法》下的“数据”是指任何以电子或者非电子形式对信息的记录,而数据活动是指对数据的收集、存储、加工、使用、提供、交易、公开等行为。
根据《数据安全法》的规定,地方和中央政府都将参与到不同地区、部门以及行业重要数据保护目录以及具体实施方案的制订工作中。国家将建立集中统一的数据安全风险评估、报告、信息共享、检测预警和安全应急处置机制。此外,国家也会对影响或者可能影响国家安全的数据活动进行国家安全审查。《数据安全法》同样提出了若其它国家对中国采取与数据和数据开发利用技术等有关投资贸易方面采取歧视性的措施,中国可根据情况采取相对应的措施。
而对于开展数据活动的组织,《数据安全法》要求健全数据安全管理制度,开展数据安全教育,采取相应的技术措施和其它必要措施。而对于重要数据的处理者,《数据安全法》则要求其定期开展风险评估,设立数据安全负责人,限制重要数据的传输等等。
另外,《数据安全法》规定执法机构以维护国家安全和调查案件目的收集数据应按照国家有关规定,经过严格的批准手续依法进行,有关个人应当予以配合。而境外执法机构需要调取存储境内数据的,有关组织和个人必须向主管机关报告获得批准后才可以提供。
二、美国大事件
大事件4:《加州隐私权法案》
2020年11月3日,美国加利福尼亚州投票通过了《加州隐私权利法案》(“CPRA”)。这部法案在《加州消费者隐私法案》(“CCPA”)的基础上,将进一步赋予加州居民一些新的权利。CPRA将于2023年1月1日生效。以下为CPRA值得关注的几点内容:
(1)未来出台法规以进一步细化CPRA的规定
CPRA在CCPA的内容上进行了多处修改,但是 CPRA的许多细节需要通过法规加以澄清和定义。例如,建立约束更正权的规则,建立针对全面选择退出偏好标志及其他选择退出机制的技术要求等。
(2)成立加州隐私保护机构
CPRA还将成立一个新的机构——加州隐私保护机构(California Privacy Protection Agency,CPPA)来执行该法案。
(3)与CCPA的不同点
a)敏感个人信息
CPRA创造了一项新的敏感个人信息类别,它包含了精准地理位置信息,消费者的通信内容和健康信息。消费者可以限制对于除必要服务和必需产品外敏感个人信息的商业使用。值得注意的是,对于敏感个人信息的规定不适用于公开信息或者非用于分析消费者特点而收集或处理的敏感个人信息。
b)为跨语境行为广告而共享个人信息
CPRA针对用于跨语境行为广告的个人信息共享施加了披露和选择退出的要求。跨语境行为广告是指“基于消费者的个人信息而针对特定消费者的广告,该个人信息是通过消费者的各项商业活动、个性化网站、应用或服务而进行收集的,不同于消费者通过其他商业、个性化网站、应用或服务而有意进行的交互行为”。
c)承包商
CPRA将承包商定义为除了企业,服务提供者以及第三方以外的另一种受CPRA约束的实体。承包商与服务提供者的义务相似,并且都受到类似的合同限制。但是承包商1)必需证明其理解并且将会遵守合同限制;2)没有明确的义务代表企业处理个人信息。未来将要制定的相关法规将进一步明确“承包商”与“服务提供者”之间的不同点。
d)“暗纹模式”(dark pattern)
CPRA还对“暗纹模式”做出了相关规定。根据CPRA,“通过使用暗纹模式获得的协议不构成同意”。法案将暗纹模式定义为“一个被设计或操控的用户界面,其实质影响是颠覆或损害用户的自主权、决策或选择(未来将制定的法规会做出进一步定义的)”。这个定义并不明确,可能会在之后的规则制定过程中引发重大争论。
大事件5:美国政府针对中国应用发布禁令
特朗普总统于2020年8月6日签署行政命令禁止与TikTok和微信进行交易,禁止任何美国人或实体,或就美国管辖的任何财产与字节跳动及腾讯进行相关的交易。根据该行政命令,将被禁止的交易范围由美国商务部具体确定。美国商务部则在2020年9月18日发布通知以确定该等行政命令下相关被禁止交易范围。针对微信的禁止原计划于2020年9月20日生效,而针对TikTok的相关禁止规定原计划分为两个阶段,首批针对相关交易的禁止于9月20日生效,其余的相关禁止规定于11月12日后生效。
此份禁令原计划禁止以下交易:
(1)通过美国的在线移动应用程序商店发布或维护微信或TikTok移动应用程序、其组成代码或应用程序更新的任何服务;
(2)通过微信移动应用程序提供的任何用于在美国境内转账或处理付款的服务;
(3)在美国境内提供任何互联网托管服务,以支持移动应用程序的功能或优化;
(4)在美国境内提供任何内容分发网络服务,以支持移动应用程序的运行或优化;
(5)在美国境内直接承包或分包的互联网传输或交换服务,以实现移动应用程序的功能或优化;
(6)在美国境内开发或可访问的软件或服务的功能中,使用上述移动应用程序的代码、功能或服务。
目前针对TikTok和微信的禁令都已被联邦地区法官叫停,美国司法部已提出上诉。而在2021年1月5日,特朗普总统又签署了一项类似行政命令,禁止任何美国人或实体与开发或控制8款应用软件的中国公司进行交易,其中包括支付宝,微信支付等。
大事件6: 美国联邦贸易委员会发起对9家社交媒体公司的调查
2020年12月14日,美国联邦贸易委员会(“FTC”)命令9家社交媒体和视频流公司提供有关于如何收集,使用和展示个人信息,广告和用户参与行为,以及这些服务如何影响儿童和青少年的有关数据。FTC称这一命令是行使《联邦贸易委员会法案》6(b)款所赋予的权力,该法案允许其进行执法之外的广泛研究。收到命令的9家公司包括Amazon、字节跳动、Discord、Facebook、Reddit、Snap、Twitter、WhatsApp、和Youtube。这些公司需要在收到命令日期起45日内提供关于以下问题的回复 。
(1)社交媒体和视频流服务如何收集、使用、追踪、评估或者获取个人信息及地理位置信息;
(2)公司如何决定向消费者展示哪些广告和其它内容;
(3)公司是否对个人信息进行算法或数据分析;
(4)公司如何评估,提升以及研究用户参与;
(5)公司的服务如何影响儿童和青少年。
为回答上述问题,FTC要求每家公司提供包括用户数量,活跃用户数量,商业和广告策略,以及财务方面的详细数据。FTC强调此次调查并非针对某一案件,而是为了解有关社交媒体对个人信息的影响。FTC方面认为,如今社交媒体和视频流服务已经深入人们的生活,但关于平台的商业模式、算法、数据收集和使用的关键问题都没有得到回答。为此,这项研究将会为FTC需要采取的下一步措施指出方向。
三、欧盟大事件
大事件7:Schrems II案之后的数据传输
2020年11月,欧洲数据保护委员会(“EDPB”)针对Schrems II的裁决发布了两份关于欧盟至非欧盟国家数据跨境传输的建议草案(以下简称《建议草案》)以及《欧盟标准合同条款(草案)》(以下简称《SCC草案》)。
在《建议草案》中,EDPB为需要从欧盟向第三国跨境传输个人数据的机构提出了六个步骤,其中包括:
(1)数据提供方应通过记录和梳理以了解掌握它们的数据传输情况;
(2)数据提供方应明确数据传输所使用的传输机制;
(3)如果数据提供方使用GDPR第46条所规定的传输机制(比如标准合同条款),数据提供方应评估该机制是否在第三国提供了与欧盟“实质等同”的数据保护水平;
(4)如果在上述第3步的评估中发现GDPR第46条的传输机制无效,数据提供方应与数据接收方合作,采取补充措施以确保向第三国的传输的数据可以获得与欧盟 “实质等同”的数据保护水平;
(5)数据提供方应采取相关流程步骤确保有效补充措施的执行;
(6)数据提供方与数据接收方合作以按照适当的时间间隔重新评估接收数据的第三国的情况变化。
《SCC草案》内容涉及新的法律责任,赔偿条款,适用法律和执行等问题。其中,根据GDPR中数据传输的情形和接收方,该草案列出了适用于1)数据控制者至数据控制者的传输;2)数据控制者至数据处理者的传输;3)数据处理者至数据处理者的传输;4)数据处理者至数据控制者的传输的几种情况。《SCC草案》的最终版本预计将会在2021年初发布。
大事件8:《欧盟数字服务法》
2020年12月15日,欧盟委员会发布了《数字服务单一市场条例》提案,通常被称为《数字服务法》(“DSA提案”)。发布该提案时,委员会指出,其目标是保护消费者及其在网络上的基本权利,建立在线服务的问责制度框架,并促进单一市场的创新、增长和竞争力。同一天,委员会还发布了《数字市场法》(“DMA”)的提案,该提案将对充当“指定看门人”的在线服务创设新的义务和限制。
DSA提案将就四类不同的在线服务,包括中介,托管,在线平台和“超大”在线平台,根据其作用、规模和影响,创设新的义务。
(1)中介服务的义务
DSA在很大程度上重申了2000/31/EC《欧盟电子商务指令》规定的针对中介服务(即,快速存取服务、单纯连线和托管服务)的责任安全港。此外,中介服务提供商将需要遵守成员国关于删除非法内容以及提供服务特定用户相关信息的司法和行政命令。
(2)托管服务的义务
托管服务基本上需要在两个方面采取行动(除了遵守中介服务的义务之外)。首先,他们将需要建立一种机制,用户通过该机制可将服务中涉嫌的非法内容通知他们。其次,他们需要在删除内容时通知用户,且必须向用户说明做出该决定的理由。
(3)在线平台的义务
DSA提案对“在线平台”规定的义务更多——根据DSA,在线平台即“经服务接收方请求,存储和向公众分发信息”的托管服务。这些义务包括设立内部投诉回应程序,针对平台广告的透明度采取措施等。
(4)“超大”平台的义务
DSA提案对“超大在线平台”(即在欧盟境内拥有超过4500万月均活跃用户的平台)保留了最为严格的义务。包括非法内容风险评估,年度独立审核等。
大事件9:《欧盟数据治理法》
2020年11月25日,欧盟委员会发布了《数据治理法案》(Data Governance Act)的提案。这项提案根据2月发布的《欧盟数据战略》,旨在促进欧盟以及各行业间的数据交换。欧盟委员会表示在2021年将会发布更详细的关于欧洲数据的提案,完善相关法规以促进公司间及公司与政府间的数据共享。以下是对《数据治理法》要点的总结:
(1)公共部门数据再使用的条件
《数据治理法案》第二章添加了公共部门对商业或统计机密,知识产权及个人数据保护的数据进行再使用的条件。此外,若公共部门同意或者拒绝数据再使用,公共部门必须确保其决定是非歧视性的,适当的,客观公正的,并且将采取决定的条件标准公诸于众。
(2)数据共享服务提供者的义务
《数据治理法案》第三章针对以下中间服务提供者建立起一套通知和合规体系,要求这些数据共享数据服务提供者:
a)通知欧盟成员国相关机构其提供该类服务的目的;
b)若服务者未在欧盟境内设立,需在一欧盟成员国任命法律代表;
c)不可使用以其它目的收集的数据,并且仅能以优化该服务为目的使用元数据;
d)需要将提供数据共享服务与其余服务分离,并为其设立单独的法人机构;
e)设置适当的数据安全保护机制;
f)以数据主体的利益最大化为目的,对数据主体负忠慎义务。
而成员国应成立机构以监督服务提供者的遵守情况并负责执法。
(3)提出“数据利他主义”的概念
《数据治理法案》中引入了“数据利他主义”的概念,指个人或企业,出于公益目的(例如科学研究或者公益服务等),自愿免费提供数据以供再利用。《数据治理法案》倡议成立名为“数据利他机构”的促进数据利他主义的注册和监督机构。
(4)成立欧洲数据创新委员会
《数据治理法案》第六章要求欧盟委员会成立欧洲数据创新委员会机构。该机构将会要求确保法案在成员国间实施的一贯性,为跨行业的数据分享提供支持,并且促进国家间有关机构的合作。
(5)国际传输的限制
《数据治理法案》第八章罗列了对于非个人信息传输和访问,且传输和访问将会引起欧盟法律及成员国法律冲突情况的限制。其重点关注非成员国国家政府机构要求法案管辖机构提供数据的情况,为这种情况下的数据传输设立了一系列的条件限制。
大事件10:《欧盟数据战略》
欧盟委员会于2020年2月19日公布了《欧盟数据战略》。《欧盟数据战略》是在个人数据急剧增长的背景下,为了赋予公民根据非个人数据洞察出更好决策的权利,以构建出以欧盟为主要领导下的完善的数据保护法律体系,达到更好利用数据效益的目标而提出的报告。
在报告的开篇,欧盟委员会讨论了当前数据保护所面临的困境与机遇,包括数据量的不断增长与技术变革,以及数据对经济和社会的重要性。《欧盟数据战略》回顾了欧盟委员会自2014年来已经开展的工作,包括通过GDPR ,《关于非个人数据自由流通的规定》(The Regulation on the Free Flow of Non-personal Data),《开放数据指令》(The Open Data Directive),以及开展数字外交等。报告强调欧盟未来应发挥数据的潜力满足个体的需求,为经济和社会创造价值。而为实现这个目标则需要有更好的数据访问和使用方式,比如欧盟数据空间这一概念,将会为欧盟企业提供单一市场的可能。同时,报告也指出了欧盟现在面临了几个问题,包括没有足够数据供创新型再利用,数据获取和使用市场力量的不平衡,数据互操作性和质量,数据治理等问题。而为解决这些问题,实现真正数据单一市场的愿景,欧盟提出了以下几项战略:
(1)建立数据获取和访问的跨部门治理框架;
(2)加大数据领域的投资,增强欧洲在数据托管、处理、使用和兼容等方面的能力和基础;
(3)赋予个人权利,加大对技术和中小企业的投资;
(4)战略部门和公共利益领域的欧洲共同数据空间。