欧盟一般数据保护条例(GDPR)和加州消费者隐私法案(CCPA)是欧美两大经济体所出台的两部具有代表意义的个人数据保护方面的法规,代表欧美监管机关对于个人数据保护两种不同的管控取向。
本文选取了“个人数据或信息的类型与范围界定”、“法律的管辖范围”、“数据跨境传输管控”、“儿童数据的保护”、“数据主体的反对权和被遗忘权”等关键概念,对GDPR和CCPA的部分要点进行比较分析。
1. “个人数据”或“个人信息”的范围界定
1.1 GDPR对个人数据的定义——侧重用抽象概念定义,实践中存在很大解释空间
除了对少数“特殊种类个人数据”(如宗教信仰、种族、工会成员信息、健康状况等)进行了零星列举以外,《欧盟一般个人数据保护条例》(GDPR)主要用抽象概念对其所管辖的“个人数据”的范围进行界定。
根据《欧盟一般个人数据保护条例》(GDPR)第4条第1款的规定,“个人数据”指与已经识别(identified)或可被识别(identifiable)的自然人(“数据主体”)相关的任何信息。
其中,“可被识别的自然人”,指通过姓名、识别号码、位置数据、在线身份识别码等标识符,或通过针对该自然人的身体、生理、遗传、心理、经济、文化或社会身份等特定相关的一个或多个要素,能够直接或间接地被识别出的个人[1]。
判断自然人是否可被识别,应考虑数据控制者或另外一人可能合理使用到的所有方式(all the means reasonably likely to be used)。判断何种方式为“可能合理使用到”,应考虑所有客观因素:例如当前现有的技术、技术的发展、识别所需的成本和时间等[2]。
由于实践中交易双方处理的数据类型非常复杂且在不断演进更迭,交易双方仅根据GDPR的定义或监管机构的指引,很难判断特定类型数据是否属于GDPR管辖的“个人数据”,导致实践中对于“个人数据”这一概念的解释弹性空间极大。例如:通讯网络和设备中(例如核心网存储设备)存储或传输的IMSI、IMEI、ISDN等识别号码,虽也可与其它信息结合间接地识别到特定个人,但识别的过程复杂,需利用一定技术手段,并投入较多时间和成本。
这些成本及投入何时是“合理的”,何时是“不合理的”?对于广大交易双方而言很难判定,导致数据的控制者(譬如电信运营商)经常与数据处理者(如通讯设备和运维供应商)之间时常就上述IMSI、IMEI号等数据是否受GDPR管辖这一问题无法达成一致,进而无法在前述DPA《数据处理协议》、SCC《数据跨境转移协议》时就条款与附件达成一致,甚至导致主合同交易因此被中止。
GDPR及其相关解释至今未给出完整的穷尽式列举,即便是第29工作组对“个人数据”的概念进行了解释,但也并未采取列举式的定义[3]。
1.2 CCPA对个人信息的定义——抽象定义与实例列举两种方式结合
相比GDPR而言,《加州消费者隐私法案》(CCPA)第1798.145节对消费者“个人信息”进行了更为具体的规定,用“定义+不完全列举”的方式明确了哪些个人信息受CCPA的管辖。在GDPR的基础上,CCPA所列举的”个人信息”的范围更加广泛:
(1) 与GDPR关注“特定个人”的信息不同,CCPA将“特定家庭的信息”也纳入管辖范围;
(2) 与GDPR强调数据对“特定个人”的指向性不同,按照CCPA规定:如果一些信息可以直接指向”设备”,那么这些信息也受CCPA的管辖。
(3) 在CCPA的列举部分,针对个人信息的大类,将一些GDPR适用过程中易产生争议的数据类型明确列举进CCPA的管辖范围。如“音频、视觉、热、嗅觉或类似信息”、“包括意图或实际购买商品或服务的记录、消费历史记录或消费趋势”等等。[4]
(4) 在CCPA的列举部分,针对个人信息的小类进行了更加细致的列举式说明:例如CCPA对生物信息的内涵做了如下说明:“包括个体的DNA……虹膜、视网膜、……静脉图案成像、录音图像……面部印记、声纹、以及包含识别信息的击键模式、节奏、步态模式或节奏”等等。
1.3 小结
针对个人数据或个人信息的界定,与GDPR以抽象概念定义模式相比,CCPA结合抽象定义与不完全列举两种方式,一方面通过抽象定义对个人信息的管辖范围划定边界,另一方面通过具体列举为企业提供了相对明确的判定指引,以试图一定程度上避免交易双方对“个人数据”范围达不成一致的情况,也可以针对诸如面部识别、声纹识别、虹膜识别等新技术领域出现的存在标识属性的个人信息进行更加明确的界定。
当然,CCPA这种列举式定义优劣参半,可能出现“挂一漏万”的情况,需不断根据随着技术发展而新产生的数据类型进行修订。
2. 管辖权原则:GDPR规定复杂覆盖面广,CCPA规定简练聚焦重点
2.1.1 GDPR的管辖权原则——属地+属人+保护性管辖,逻辑复杂,范围广泛
按照传统的定义,GDPR的管辖原则为 “属地管辖”+“属人管辖”+“保护性管辖”的结合。
(1) 属地管辖:GDPR管辖任何发生在欧盟境内的数据处理行为;
(2) 属人管辖:数据控制者和处理者的经营场所(establishment)在欧盟境内,不论该数据处理的行为发生在境内或境外,该数据控制者或处理者及其欧盟境内的营业场所都将受到GDPR的约束——前提是该数据控制者或处理者与欧盟境内的营业场所之间存在“不可摆脱的联系”(inextricable link)。依据第29工作组(WP 29)的观点和欧盟法院判例,“财务上的联系、提供免费网络服务以换取用户会员费或用户订阅、利用用户数据盈利”,都可被认定存在‘不可摆脱的联系’。”[5]
(3) 保护性管辖:无论数据控制者和处理者是否在欧盟境内有实体机构,也不论数据处理行为是否发生在欧盟境内,只要向欧盟数据主体提供产品或服务(无论该产品或服务是否需要支付对价)[6]或监控其行为[7],或只要处理或持有居住在欧盟的数据主体的数据的所有企业,都受GDPR的管辖。
(4) 根据国际公法管辖:比如设立于欧盟以外的欧盟国家使馆或领事馆。
2.1.2 EDPB对GDPR管辖原则的解释
上述关于管辖的规定较为复杂,且很多概念界定不明确,EDPB颁布了更加简明快捷的管辖判定标准[8]:即第3条第1款规定的“经营场所”(establishment)标准,及第3条第2款规定的“目标指向”(targeting)标准。适用“经营场所”标准需要确定:
(1)企业在欧盟是否有经营场所;
(2)数据处理活动是否是该“经营场所”之下的活动场景。(如美国企业要求美国本土员工安装的信息安全监控软件,如果在员工短期赴欧期间仍然监控其个人数据,则该监控行为属于企业在美国境内经营场所活动场景下的行为,不受欧盟GDPR的管控)。而且,GDPR第3条第1款意味着对于在欧盟境内设立的企业组织机构(establishment),只要其业务场景中包括对个人数据的处理活动,即使实际的数据处理活动不在欧盟境内发生,该数据处理活动也应当遵守GDPR。
“目标指向”(targeting)标准,则是适用于设立在欧盟境外的控制者和处理者,首先确定处理的是否是欧盟境内数据主体的个人数据,其次处理活动是否涉及向欧盟境内的数据主体提供商品或服务(可根据商品服务是否使用欧盟语言货币,或是否有专门向欧盟用户营销的意图等因素判定);或对欧盟境内数据主体的行为进行了监控(指网上跟踪记录、用户画像、分析个人偏好行为模式等行为)。
2.2 CCPA的管辖权原则——从风险影响程度和范围出发,聚焦重点,逻辑简明
与GDPR相比,CCPA的管辖原则非常简练,CCPA主要管辖如下实体:
(1)处理加州居民的个人信息的实体,且
(2)该实体以营利为目的并满足以下一个或多个条件[9]:
(a) 年度总收入超过2,500万美元;
(b) 每年独自或与他人联合,为商业目的购买、出售、分享不少于50,000个消费者、家庭或设备的个人信息;
(c) 有不少于50%的年收入来自于出售消费者个人信息;或
(d) 是处理个人信息的服务供应商。
其中,“加州消费者”的定义参照加州税法的规定。该法规定“居民”包括“以非临时目的居住在加州境内的自然人”以及“以临时目的居住在加州境外的加州居民”。[10]
与GDPR不同的是,CCPA明文指出了不受CCPA管辖的情况——即如果企业的商业行为每个方面完全在加州以外进行,则不受CCPA的管辖。
这里的“商业行为每个方面”,包括“消费者所在地”、“个人信息出售行为发生地”等方面。我们应针对这些方面对个案综合判断企业是否落入加州CCPA管辖。
2.3 小结
相比而言,GDPR的管辖较广泛,管辖逻辑复杂,只要与欧盟、欧盟居民、向欧盟输出产品服务或监控欧盟个人等因素相关,即大概率落入GDPR管辖范围。
相反,CCPA管辖逻辑简明,聚焦于管辖“以营利目的处理个人信息的企业”,为被管辖实体设置了“年收入金额门槛”和“消费者、家庭和设备数量门槛”,注重对于风险影响程度和范围较大的实体进行管辖,执法的针对性就更强。
3. 数据跨境传输管控:GDPR环环相扣严格限制,CCPA无明确规定
3.1 GDPR对跨境传输的授权与限制——五道“关口”
GDPR对数据跨境传输到欧盟境外的情况规定了较为严格的条件。从立法价值取向上,通过以下“五步走”的方式[11],GDPR就为数据流出欧洲经济区(EEA)设置了层层关口,且GDPR给出的部分解决方案至今仍在试水阶段,具体如下:
(1)第一关,数据输入者所在国是否被列入“充分性认定白名单”:
指欧盟一般数据保护条例(GDPR)第45条所规定的,由欧盟委员会以“实施法案”方式确定的数据跨境传输“白名单”。
一旦欧盟以外的某国家或地区(也包括国际组织或行业)进入该“白名单”,就意味着欧盟境内的个人数据可以更加自由地传输到该国家或地区(国际组织或行业),而不再受GDPR中诸如数据跨境传输协议、BCR认证等严格条件的限制。
“充分性认定”的门槛和标准比较高,且欧盟方面在判定、审查、修改、撤销等程序中自由裁量权十分大,目前全球范围内也仅有瑞士、以色列、日本等少数国家获得了欧盟“充分性认定”。
(2)第二关,若所在国未进入上述“充分性认定白名单”,则判断是否提供适当协议、行为准则为跨境传输提供保障:
若缺少上述“充分性认定”,控制者或者处理者当且仅当其提供了适当的保障时,可以将个人数据传输给第三国及国际组织。
这种“适当的保障”可以通过以下几种方式提供:
(a)在公共机构或团体之间有法律约束力和执行力的文件;
(b)由欧盟委员会通过的标准数据保护条款(即《欧盟数据跨境转移协议模板(SCC)》所设定的条款,内容一般不可变更);
(c)由监管机构通过、并由欧盟委员会批准的数据传输方和接收方之间签订的特定标准数据保护协议(即“Ad-hoc data protection clauses”,与上述“SCC标准模板”相互区分。但截至2018年尚未有欧盟成员国的数据保护监管机构批准这类协议);
(d)代表不同种类的控制者和处理者的协会和其它机构可以制定行为准则(Code of Conduct),以满足不同处理部门的特定需求,但截至2018年底,未见欧盟监管机构批准这类准则。
(e)由数据保护监管机构认可的证书(Certification Mechanism)。
(3)第三关,若不满足上述(1)、(2)两项,则判断企业集团内部是否建立起有约束力的公司规则(BCR)并被监管机构批准:
各国主管监管机构可以批准某个企业集团内部制定了有约束力的公司规则(BCR),详细规定企业集团内部数据传输、对内对外的法律效力、数据保护原则的适用等要求。
针对数据跨境转移,BCR是较为推荐的模式,目前已采用BCR的跨国企业,包括德意志电信(Deutsche Telecom)、摩托罗拉(Motorola)、西门子(Siemens)等等。
这是种跨国数据转移的长效保障机制,通过BCR认证后,企业就无需再集团内部前述大量的《数据跨境转移协议(SCC)》,当然,BCR的认证流程非常严格,涉及到对跨国企业数据跨境处理的类型、方式、目的、数据传输的目的地、所涉及的数据主体、企业合规架构、投诉举报和监督流程进行全方位摸查,并且即使通过BCR认证,企业也需密切与监管机构沟通,汇报任何情况变化。
(4)第四关,若不满足上述的(1)、(2)、(3)中任意一项,那么向第三国或国际组织传输个人数据仅能在满足如下条件时才能发生:
包括数据主体明知缺少上述保障却仍然同意跨境传输;为履行数据主体和控制者之间的合同的目的而传输;跨境传输对于履行其他人之间的合同是必要的;当数据主体客观上或法律上不能做出同意时,该传输对于保护数据主体或他人的重要利益是必要的;或者向第三国或国际组织的传输不是重复的、仅与少数的数据主体相关、且为了实现控制者追求的令人信服的合法利益、且该利益不与数据主体的权利和自由相互冲突、目的是必要的,等等。
(5)第五关,上述第(4)条判断标准的前提是,必须要通过“必要性测试”和“偶然性判定”:
根据欧盟数据保护委员会(EDPB)对于跨境传输的解释,上述第(4)条中提到的跨境传输的合法性基础的适用,前提条件一般都是要通过比较繁琐的“必要性测试”以确定该数据跨境传输的必要性,并确定这些数据的跨境传输是偶发的而并不是常态化的,这样才能适用上述第(4)条中的跨境传输的合法条件。
然而实践中,真正能够通过“必要性测试”和“偶然性判定”的跨境传输凤毛麟角,这也体现出了GDPR及其执法机构对于跨境传输采取严格限制的立场。
3.2 CCPA对于跨境传输管控的态度——留白与放任
因为美国的互联网乃至整个信息产业领先于全球,因而从价值取向上更加鼓励数据的跨境流动,跨境流动越自由,美方在数据资产控制和利用方面就越主动。
欧盟互联网和信息产业发展相对美国较为滞后,因此与GDPR为数据跨境流动设置层层关口相比,CCPA并未对数据跨境流动设置限制。
因此,中国企业在欧洲开展货物、服务、技术贸易的过程中,更应留意关于跨境传输的各项严格要求,严格履行GDPR关于数据跨境传输协议、跨境安全传输措施、BCR认证、“必要性测试”和“利益平衡测试”(LIA)等义务,避免因跨境传输不当遭受欧盟的严厉处罚。
4. 儿童个人信息处理
因互联网用户中,不满16周岁的未成年人占有相当比例,因而在这里也对两部法案对于儿童个人信息处理的特殊规定进行初步对比:
4.1 GDPR的规定——严格保护
GDPR对于儿童个人信息的处理采取严格保护的态度,未满16周岁儿童的个人信息,原则上只有获得监护人的授权才可以被处理。
第8条:直接向儿童提供信息社会服务的,只有对16周岁以上儿童的个人数据处理合法。儿童未满16周岁时,处理在征得监护人同意或授权的范围内合法。成员国可通过法律对上述年龄进行调整,但不得低于13岁。考虑现有技术,控制者应当做出合理努力证明此情况下已取得监护人同意或授权。
4.2 CCPA的规定——分情况讨论的“退出权”(Opt-Out)
CCPA第1798.120条(c)将儿童的权利分成13周岁以下和13-16周岁两种情况讨论:
(1) 若儿童未满13周岁,则只有在其父母或者监护人授权的情况下,企业才能向第三方出售该儿童的个人信息;
(2) 若儿童满13周岁但未满16周岁,则只要儿童自己明确授权,企业就可向第三方出售该儿童的个人信息。
4.3 小结
欧盟GDPR倾向于默认13到16周岁儿童对个人信息的处理行为不具备完全认知能力,因而需要监护人的授权,企业方能处理其个人信息。
而CCPA倾向默认为13到16周岁的儿童具备一定的行为能力,即其作为消费者有权授权他人处理自己的个人数据。
5. 数据主体反对数据处理的权利
5.1 GDPR:数据的处理以数据主体“同意”为原则,数据主体有“撤回同意权”,并且对敏感数据的处理及直接营销、用户画像的行为拥有反对权,偏重于保护用户的数据
GDPR将“同意”规定为最重要的数据处理合法基础的前提下,做出了如下规定保护数据主体:
(1)数据主体的“撤回同意权”:GDPR第7条第3款:数据主体有权随时撤回同意。同意的撤回不应影响在撤回前基于同意做出的数据处理合法性。
(2)敏感数据处理的反对权:GDPR说明条款第69条:数据主体应有权利反对特殊情形的个人数据(即宗教、种族、工会成员等敏感数据)的处理,应当由控制者来证明控制者不可抗拒的合法利益与数据主体的利益或者基本自由或权利产生冲突。
(3)直接营销及用户画像的反对权:GDPR说明条款第70条:当以直接营销为目的处理个人数据时,数据主体应有权在任何时间反对免费的处理,包括与该直接营销有关的用户数据画像。
(4)对“行使公务”的反对权:GDPR第21条第1款:数据主体有权反对控制者为了执行公共利益领域的任务,或行使控制者既定的公务职权之必要,对其个人数据进行的处理,包括根据这些条款进行的用户数据画像。除非控制者能够证明其合法利益高于数据主体的利益、权利和自由,或者法定请求权的确立、行使和抗辩有强有力的法律依据。
5.2 CCPA:数据的处理以“通知数据主体”为原则,数据主体的主动授权和同意时常并非必须,数据主体仅有“选择退出权”(Opt-Out),偏重于促进数据的流动和高效商用:
与GDPR不同,CCPA并未将用户的“同意”作为数据处理最重要的合法基础,而是仅仅规定了企业在出售个人信息之前有义务“通知”数据主体,同时,在一定条件下,用户有权自愿选择退出数据处理进程:
(1)“自愿退出权”:CCPA第1798.120条,向第三方出售个人信息的企业应当通知消费者该信息可能会被出售,并且消费者有权从个人信息被出售的情境中自愿退出。
(2)“自愿退出链接”:CCPA第1798.135条,在企业的互联网主页上提供标题为“不要向互联网网页出售我的个人信息”的明确而明显的链接,该网页促使消费者或消费者授权的人能够自觉不出售消费者的个人信息。
5.3 小结
从法案内容上看,GDPR规定个人数据的处理“原则上禁止,有合法授权时允许,且个人有权反对或撤回授权”;而CCPA则是“原则上允许,有条件禁止”。GDPR是基于监管者的立场,以保护基本人权为出发点,强调有关责任主体主动规范数据处理的行为;而CCPA更偏向于消费者的立场,侧重规范数据的商业化利用。
6. 被遗忘权:CCPA的被遗忘权更难被实现
6.1 GDPR关于被遗忘权的规定——原则与例外
(1)原则:GDPR说明条款(recital)第65条:数据主体应有权修改其个人数据,以及当保留个人数据违背了本条例或者控制者应当遵守的成员国法律时享有被遗忘权,应当有权删除其个人数据,并且在个人数据处理时对于其收集时的目的已不必要时、数据主体撤销其同意或者反对处理时、或者处理其数据违反本条例规定时,有权要求数据不再被处理。
(2)例外:被遗忘权在如下情形下可能无法行使:例如为了行使言论和信息自由权,遵守法律义务,在公共健康领域执行有公共利益的任务或行使控制者被授予的官方权力,为公共利益、科学或者历史研究目的、数据统计目的,或者为了法律辩护需要时。
此外,被遗忘权在如下情形下也可能无法行使:GDPR说明条款第47-48条考虑到基于数据主体与控制者之间的关系而产生的合理预期,若数据主体的基本权利和自由与控制者的合法利益不相冲突的前提之下,在如下情形中,数据主体难以行使被遗忘权:为了防止欺诈而对个人数据进行严格处理;企业集团为了内部管理的目的在企业集团内部进行个人数据传输;公共机构、计算机应急反应小组(CERTs)、计算机安全事件响应小组(CSIRTs)、电子通信网络和服务提供者为了确保网络和信息安全、提高信息系统抵抗能力、规避意外事件而进行紧急个人数据处理。
6.2 CCPA关于被遗忘权的规定——原则与例外
与GDPR一样,CCPA也赋予了数据主体“被遗忘权”,但不同的是,CCPA对于被遗忘权的执行设置了更为确定的例外情形,具体包括:
- 该信息对于完成数据主体请求的交易,或对于履行协议来说是必要的;
- 该信息对于侦察安全事件来说是必要的;
- 该信息对于防止欺诈、欺骗或不法行为来说是必要的;
- 该信息对于鉴定或修复错误来说是必要的;
- 该信息对于促进言论自由来说是必要的;
- 该信息对于公共利益的科学性、历史性或统计性的研究来说是必要的;
- 如果该信息对某个公司的内部使用(且该使用被消费者合理地期待)来说是必要的;
- 该信息以与搜集目的相匹配的形式被内部利用;
6.3 小结
CCPA为数据主体“被遗忘权”的行使设置了诸多障碍,虽然GDPR也设置了类似障碍,但想要运用这些障碍的门槛较高(例如:需确保“数据主体的基本权利和自由与控制者的合法利益不相冲突”,这就要求企业要开展“利益平衡测试”来证明两种利益不互相冲突)。这也体现了CCPA促进数据自由流动和便捷交易的价值取向。
7. 其他不同点
GDPR和CCPA在其它规定上也存在诸多细节不同,但基本逻辑大体一致,例如数据处理的原则、数据处理的记录保存条件、数据保护官(DPO)与数据保护负责人的设定、处罚的机制、生效时间等,在此不做赘述。
CCPA对于GDPR中部分内容的存废,既与立法者的价值取向有关,也与CCPA在整个美国隐私保护法律体系中的定位和作用相关。
美国隐私相关立法中,既有《隐私法案》(The Privacy Act)进行总括性规制,也有诸如公平信用报告法案(Fair Credit Reporting Act),家庭教育权及隐私法案(Family Education Rights and Privacy Act),有线通讯政策法(Cable Communication Policy Act),儿童在线隐私保护法案(Children’s Online Privacy Protection Act),视频隐私保护法案(Video Privacy Protection Act),司机隐私保护法案(Driver’s Privacy Protection Act)等较为分散的立法规定。
《加州消费者隐私法案》为美国一个州层面的立法,且从立法背景上仅为美国隐私立法的一环,因而应将CCPA置于美国整体隐私立法体系中去解释和适用,与GDPR作为统一立法的作用和地位相区分。
参考资料及补充说明:
[1].关于“间接地识别到个人”的判定:参考欧盟法院Case 582/14 – Patrick Breyer v Germany,19 October 2016;
[2]. 《一般数据保护条例评述及实务指引》,京东法律研究院著,法律出版社,2018年5月第1版;
[3]. Opinion 4/2007 on the concept of personal data, Adopted on 20th June, Article 29 Data Protection Working Party;
[4].《国内外看CCPA与GDPR的对比》,360法律研究院,http://wangluozhili.blogchina.com/698050101.html,最后访问日期:2019年5月17日17:58;
[5]. 张建文、张哲:《个人信息保护法域外效力研究——以欧盟<一般数据保护条例>为视角》,载《重庆邮电大学学报》(社会科学版)2017年第2期;
[6]. GDPR说明条款第23条,判断是否向欧盟境内数据主体提供商品和服务时,判断依据包括使用一个或多个欧盟成员国的通用语言或货币用于订购用其他语言标识的产品或服务,或者提到了欧盟的用户及客户;
[7]. GDPR说明条款第24条,“监控”指数据主体是否在网络上被跟踪记录,或后续潜在地使用个人数据处理技术,包括对数据主体进行用户画像,做出决策,或对其个人偏好、行为或态度做出分析或预测。
[8]. 欧盟数据保护委员会(EDPB)颁布的《关于GDPR适用地域范围的解释指南》;
[9]. 《2018加利福尼亚州消费者隐私法案》第1798.140条;
[10]. 崔丽莎,《GDPR与<2018加州消费者隐私法案>对比及对我国个人信息保护立法的启迪》,搜狐法律观察,http://www.jinciwei.cn/d269561.html,最后访问日期:2019年5月17日17:55
[11]. 参见GDPR正文第45、46、47、48、49条。