(一)关于数据处理的说明信息不易于获取
(二)关于数据处理的说明信息不足够清晰、易懂
根据GDPR的要求,对于数据处理的说明信息,应当结合数据处理的具体步骤或阶段,通过清晰易懂的方式作出。本案中,CNIL认为谷歌实行了“大量侵入性(massiveandintrusive)”的数据处理行为。而用户并不能通过其说明充分了解谷歌的数据处理行为带来的后果,也无法衡量对其私人生活的入侵程度。
具体而言,CNIL认为谷歌的数据处理行为具有如下特点:
1.收集数据过于宽泛:既收集用户使用手机过程中产生的数据,也收集用户使用谷歌服务时产生的数据;
2.收集各种种类的数据信息:其中既包括用户提供的数据,也包含用户行为中产生的数据等。而这些数据中可能含有敏感信息5(例如地理位置、浏览记录等);
3.数据处理复杂:谷歌对于所收集的数据进行多种组合和分析处理,经处理的数据可能更加精确地反映用户的私人生活。
(三)关于数据处理的说明信息不足够全面、充分
GDPR中详细罗列了收集个人数据时应当向个人数据主体提供的信息6,其中包括个人数据的存储期限。本案中,CNIL认为,谷歌未能明确数据储存的期限7,因而违反了第13条的要求。
具体而言,CNIL发现,谷歌对于用户数据存储期限的确定共有四种方式:
1.存储至用户删除信息;
2.存储至用户注销谷歌账户;
3.延时存储;
4.因特定原因长期存储。
CNIL认为,对于后两种方式,Google仅泛泛地解释了“延长存储”或“长期储存”,而未具体说明的存储期限以及确定存储期限的标准,而这类信息是GDPR第13条第(2)款项下必须向个人数据主体提供的信息,因此认为该信息过分扩大了Google收集用户信息的权利。
在透明度的方面,YouTube会在电子邮件的通知中,提供更详细的资讯,像是创作者的内容违法了哪一项政策,也会在YouTube平台中新增违反规定的通知。
而各式各样的透明信息的披露,不仅可以提高用户操作的效率,而且也可以减少潜在的纠纷。
(一)用户作出同意前未能充分知晓数据收集、处理情况
(二)用户同意并非针对具体的数据处理行为
知情应当是同意的前提,而我国广大互联网用户对于信息被收集应当知情的意识有待提升。各大电商App一般需要用户注册,用户注册时将会出现繁长的用户注册协议和隐私条款。针对用户的个人信息采集问题应当以清晰明确的方式规定于隐私条款之中,然而许多商家对于公民个人信息采集的提示却分布在主页、用户注册协议和隐私协议中,虽然商家对用户的可能存在的风险予以了提示,但用户由于查找难度等问题实际上难以对自己即将被采集的信息了解。此外,即使用户事实上了解自己可能存在的风险,但商家在用户注册时处于极其优势的地位(一旦不同意用户将无法使用该软件),因此用户除了同意以外别无他法,知情与否似乎变得无关紧要,因此必须对这种情况予以规制。
应当把知情同意原则进一步区分为“严格性的知情同意”和“一般性的知情同意”12,严格知情同意应当遵循“选择进入+详细告知+逐项同意”的进路,“一般性的知情同意”可以简化同意标准,适用“选择退出+同意告知+一揽子同意”的标准。对于涉及人格尊严且泄露或不当使用危害较大的信息时,应当适用严格的知情同意;而对于关涉人格尊严但泄露或不当使用危害较小的个人信息以及不涉及人格尊严的个人信息,可以适用一般同意的原则。对于需要严格知情同意的事项应当采用更加有效的方式使用户知悉,如在用户注册时采用弹窗的汇总的形式,让用户逐条阅读同意;而对于一般性的条款可以采用“形式同意、事后救济”的方式。针对事后发生的纠纷,可以适用格式条款的一般规定:当数据采集者过分扩大自己的权限或限制被采集者的权利时,认定格式条款无效;发生纠纷时,有两种以上解释的,应当做出对格式条款订立者采取不利的解释。
四、侵犯个人信息罚款金额的认定标准
(一)Google案罚款金额的考量因素
在本案中,CNIL突破了2000万欧元的最高固定罚款额,综合考虑如下因素13,作出了5000万欧元的罚款决定:
1.行为的严重性:谷歌所违反的透明度和信息义务是GDPR下取得有效同意的基础,而有效同意是数据处理的合法依据(之一),其重要性不言而喻,因此CNIL认为,谷歌实施的行为是对GDPR的严重违反;
(二)《个人信息保护法(草案)》的完善
我国《个人信息保护法(草案)》中第也规定了类似的处罚标准14:违反本法规定处理个人信息,或者处理个人信息未按照固定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下的罚款;对直接负责的主管人员和其他直接责任人员…情节严重的,并处五千万元以下或者上一年度营业额百分之五以下罚款…。这一规定对违规处理个人信息的处罚予以了说明,但问题就在于“违法本法的规定”的表述过于模糊,罚款的数额又很大,容易过分地扩大执法机关和司法机关的自由裁量权,并且,“情节严重”也没有任何具体的标准。此外,并没有指出“或者”的标准。何种情况下并处五千万元以下的罚款,何种情况按照上年度营业额百分之五以下进行处罚应当有明确的界定,否则就可能使企业对罚款的具体情况丧失明确的预期。
因此,建议对《个人信息保护法(草案)》第六十二条进行部分修改。将违法该法处理个人信息分为“个人一般信息”和“个人敏感信息”。规定对信息处理者进行实质处罚的最低标准,此外,应该对情节严重进行进一步的划分,如可参照《刑法》对“侵犯著作权罪”中情节严重的规定15,以侵犯用户信息的数量来对其进行界定。一般而言,侵权数量达一般侵权数量的五倍以上可以认为是情节严重。(例如可以规定,违规处理用户个人一般信息100万条以上的、违规处理用户个人敏感信息20万条以上的,应当…;违规处理用户个人一般信息500万条以上的、违规处理用户个人敏感信息100万条以上的属于本条中规定的情节严重的情形)。
五、外延
社会生产方式的变革使数据的流通变得越发重要,新时代的数据已经成为流动的黄金。在此背景下,用户的数据隐私权更应受到重视。总体来说,我国《个人信息保护法(草案)》对于大型互联网平台提升数字透明度以及保护公民个人信息而言是大有裨益的,但其仍需明确化。例如,对有效同意、“形式知情”以及多层面规制的具体情形予以列举,对尚未表示明晰的概念予以更加清楚的界定。
此外,对于数据流通的保护应当依靠多合力汇集完成。其中数据保护机构的监管是重要的一个方面,因此各国数据保护机构应当尽快建立对于大型互联网公司采集用户数据的主动审查模式。此外,用户应当切实加强对自己数据的保护意识。近期,Facebook集体诉讼案、TikTok集体诉讼案都给我们了新的启发:面对庞大的互联网公司,集体诉讼模式或许是用户更好的选择。最后,互联网企业应当加强自身自律,牢牢地铭记“知情同意”的数据采集理念。
文中备注:
[2]参见GDPR第三章第一节第12条之规定。
[3]参见GDPR第三章第一节第12条、第三章第二节第13条之规定。
[5]根据GDPR,种族或民族、政治观点、工会成员身份以及经处理可识别特定个人的生物识别数据都属于个人敏感信息,而Google收集的数据经过交叉识别可能能够识别公民个人信息。此外,GDPR说明,仅在特别情况下对用户敏感数据的处理才被允许。
[6]参见GDPR第十三条第一款、第十三条第二款之规定。
[7]参见以上脚注4。
[9]GDPR第六条认为,数据主体同意他或她的个人数据为一个或多个特定目的而处理且处理应当是为履行数据主体参与合同之必要。此处需要着重注意两个方面:一是目的的特定性,而笼统的目的不在此范围内;二是Google处理数据应当是出于服务之必要,否则即失去了合理性。
[10]国内某些电商平台设置的条款中,也有并不合理的或者是难以理解的部分。发生纠纷时,应当按照格式条款的规定,对提供格式条款的一方做不利解释。此时,“强制”的同意应当被认定为不同意。
[11]参照以上脚注8、脚注9之解释。
[12]杨丽珍.“告知后同意”:《民法典》第1219条第1款的解释论展开,《西北大学学报》2020年第6期,第51-57页;王雪乔:“论欧盟GDPR中个人数据保护与“同意”细分”,《政法论丛》2019年第4期,第136-146页。
[13]参照以上脚注4。
[14]参照《个人信息保护法(草案)》第六十二条。
[15]参照《中华人民共和国刑法典》第二百七十一条的规定。
本文作者:
陈波
合伙人
(实习生侯涵斌对本文亦有贡献。)
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。