2018年5月25日欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)的生效标志着全球数据管理新纪元的到来,曾引发全球广泛关注。日前,一家律所(Mishcon De Reya)披露了英国信息监管机构向加拿大政治数据公司(Aggregate IQ,以下简称AIQ)发出的首张GDPR执行通知。要求AIQ在限期内作出整改,否则将面临2000万欧元或全球营业额4%的巨额罚款。虽然英国信息专员办公室(Information Commissioner’s Office, 以下简称ICO)此前已经依据旧的数据保护法案对Facebook等公司作出了处罚决定,但AIQ案作为GDPR生效后首例发出执行通知的案件(据说GDPR生效后,ICO每天都要收到近500个针对资料侵犯的电话投诉),无疑值得业界重点研读。日前,AIQ已提出了申诉请求。
一、案件事实
对AIQ的执行通知是作为ICO数据分析调查进展报告的附件,在2018年7月11日已作出。[①] 该调查报告显示:
1. 2017年初,一些媒体报道称,剑桥分析”(Cambridge Analytica,以下简称CA)在欧盟公投期间为Leave.EU活动工作,提供支持选民微观目标的数据服务。
2. 2017年3月,信息专员宣布,ICO将开始审查在有关政治活动中使用数据分析所产生的潜在风险的证据。ICO调查的一个关键因素是CA与 SCL Elections Ltd、Aggregate IQ之间的联系和可能被滥用的数据,以及针对Facebook用户投放脱欧广告的行为。AIQ从英国众多政治机构处获得了英国国民的个人信息数据,在2016年6月23日的英国脱欧公投投票前,AIQ代表脱欧游说组织VOTE Leave对Facebook上的电子邮件地址投放了218个广告,针对潜在投票人进行了有针对性的脱欧广告投放,以影响其在脱欧公投上的态度和投票决定。所有这些Facebook广告的付款均由AIQ支付,2016年4月15日至2016年6月23日期间约为200万美元(约150万英镑)ICO及其网络安全专家在1,439个电子邮件地址中确定了397个由AIQ通过GitLab公开发布的与英国有关的电子邮件地址和名称。此信息已于2017年3月20日和2017年4月27日备份到AIQ的服务器。此外,AIQ被指与CA有关,有信息数据从CA流向AIQ,而CA正是之前Facebook数据隐私丑闻的中心。
3. 2018年5月31日,AIQ向信息专员承认其仍然拥有英国公民的个人信息。这些信息被存储在一个代码库中,此前一直受到第三方未经授权的访问。
4. 2018年7月6日,ICO向AIQ发出执行通知,责令其在30天内停止处理从英国政治组织或其他方面获得的英国或欧盟公民的任何个人数据,用于数据分析,政治竞选或任何其他广告目的。
5. AIQ提出申诉,否认之前被指与CA间存在的关系,完全符合法律法规的要求,并未进行任何非法收集处理公民个人数据的行为,AIQ未曾从CA不正当获取的Facebook数据或数据库,也从未有过访问权限。
目前,该项调查仍在进行当中,将进一步深入调查信息数据的流向和具体的运作,下一阶段的调查报告将在十月底发布。
二、ICO的认定理由及争议问题
1. AIQ 符合GDPR关于数据控制者的定义
Article 4
(7)“控制者”是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式,以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定。
2. AIQ对数据主体的监控行为发生在欧盟内部,符合GDPR适用范围
Article 3
2. 本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:
(a) 发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或
(b) 是对数据主体发生在欧盟内的行为进行监控的。
3. AIQ的相关行为违反了GDPR第五条第一款a-c项中关于个人信息处理的原则
Article 5:
1. 个人数据应:
(a) 以合法、公正、透明的方式处理与数据主体有关的(“合法性、公平性和透明性”);
(b) 为特定的、明确的、合法的目的收集,并且不符合以上目的不得以一定的方式进行进一步的处理;为公共利益、科学,或历史研究目的,或统计目的而进一步处理,按照第89条第(1)款,不应被视为不符合初始目的(“目的限制”);
(c) 充分、相关以及以该个人数据处理目的之必要为限度进行处理(“数据最小化”);
4. AIQ非法收集信息并对Facebook潜在投票者投放脱欧广告、继续保留和持有公民个人信息的行为,不符合GDPR第六条第一款中关于信息处理的合法性要求
Article 6:
1. 只有在适用以下至少一条的情况下,处理视为合法:
(a)数据主体同意他或她的个人数据为一个或多个特定目而处理;
(b)处理是为履行数据主体参与的合同之必要,亦或处理是因数据主体在签订合同前的请求而采取的措施;
(c)处理是为履行控制者所服从的法律义务之必要;
(d)处理是为了保护数据主体或另一个自然人的切身利益之必要;
(e)处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;
(f)处理是控制者或者第三方为了追求合法利益的之必要,但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外,尤其是数据主体为儿童的情形下。
5. AIQ未履行GDPR第14条第一款和第二款中向数据主体即英国公民提供信息的义务,并且不存在第五款中适用的例外情形
Article14
1. 当个人信息并非从数据主体处获得时,控制者应当向数据主体提供如下信息;
(a)控制者的身份和详细联系方式,适当时还要提供代表人;
(b)适当时提供数据保护局的详细联系方式;
(c)个人信息处理的目的以及处理的法律基础;
(d)相关个人数据的种类;
(e)个人数据接收方或者接受方的种类;
(f)在适当的情况下,应当提供控制者意图将个人数据向第三国或者国家组织进行传输的事实、委员会是否就此问题做出过充分决议、第46、47条或者第49条第1款第二项提及情形的相关信息。此外,还包括所采取的保护个人信息的合理安全措施以及获取复印件的方式。
2. 除了第一款提到的信息,控制者在获取个人数据时,出于证实处理过程的公正和透明的需要,在必要的情况下,应当向数据主体提供如下信息:
(a)个人数据的储存阶段,在无法提供的情形下,应当提供阶段划分的决定标准;
(b)鉴于第6条第1款(f)项的处理过程,控制者或者第三方追求的立法利益;
(c)有资格处理数据主体权利要求的,能够获取、修正、删除个人信息或者管制数据权利的控制者的信息;
(d)根据第6条第1款(a)项或者第9条第2款(a)项所进行的在不触犯法律的前提下,处理过程信息、任意取消满意度的相关信息;
(e)向监督机构提起申诉的权利;
(f)个人数据获取的来源,在合适的情况下,提供是否是通过公共方式获取的信息;
(g)自动的决策机制,包括第22条第1款以及第4款提到的分析过程所涉及的逻辑程序以及对数据主体的处理过程的重要意义和设想结果。
5. 第1款至第4款在以下情形不得适用:
(a)数据主体已经获得这些信息;
(b)这些信息的提供是不可能的,尤其是根据第89条第1款规定或者本条第1 款提及的义务规定,出于公共利益、科学或者历史调查和统计调查的目的所进行的不均衡的努力。在这些情况下,控制者应当采取合适的措施去保护数据主体的权利和自由以及法律利益(包括公开信息的措施);
(c)控制者应当根据联盟或者成员国法律所规定的获取或者披露个人信息的规定,采取合适的措施来保护数据主体的法律利益;
(d)根据联盟或者成员国法律以及保密法规定的职业保密制度,个人数据必须保密。
6. 适用GDPR时的溯及力问题
这些数据是AIQ在2018年5月25日GDPR生效和DPA2018生效之前所收集的,是否可以依据后生效的法规对其作出执行通知?
一般情况下,GDPR不具有溯及力,但是在本案中,ICO认为考虑到AIQ在新法规生效之后,继续保留和处理公民的个人数据(‘continued retention and processing’ of data),相当于非法的状态一直在持续,因此新生效的GDPR应该适用于本案。
7. 欧盟域外管辖的问题
根据GDPR,欧盟可进行域外管辖,即虽然AIQ是加拿大的公司,但由于其是对欧盟内部公民进行信息监控,基于保护性管辖,仍可对其作出处罚。如果AIQ确实违法并受到罚款,在执行方面可能会产生新的问题,即域外的执法须与他国政府机构合作,届时是否能和加拿大政府达成合作、执行是否能顺利进行仍是未知数。
三、评价及影响
本案意义重大,虽然ICO此前依据数据信息保护的旧法案对一些公司做出了处罚决定,但AIQ是第一个依据GDPR新法案被认定违规而收到执行通知的公司,这也是ICO首次使用GDPR第三条中欧盟域外效力条款来对抗设立在欧盟以外的组织。因AIQ已提出了申诉,此案件正在进一步调查、审理中,具体如何判罚尚无定论。但是可以预见,作为GDPR第一案,ICO希望AIQ案会产生较大的警示和示范效应以“杀一儆百”,展现GDPR对个人信息数据的高保护标准和对处罚措施的执行力度,促使GDPR被广泛遵守。
欧盟一直以来十分重视对公民个人信息安全的保护,GDPR被称为“史上最严格的数据保护法案”,其对公民个人信息的保护和监管规定了较高的保护程度和保护标准。如信息“控制者”和“处理者”的概念是要依据欧盟及其成员国内部的法律来进行认定;GDPR适用的地域范围广泛,并不局限于欧盟内部成员国,只要是针对欧盟内的主体进行数据收集整理或监控,GDPR即可适用。
自GDPR生效以来,关于非法收集个人信息数据方面的投诉不断,AIQ案也为我们敲响了警钟。虽然GDPR合规会投入较多的人力、物力和财力,但相较于违反GDPR带来的巨额罚款、严重声誉影响甚至丧失市场等过高的违规成本,合理的做法仍是事先预防,我国业务范围涉及欧盟成员国领土及其公民的企业应及时了解规则、进行GDPR合规审查,查找运营中的漏洞并尽快进行修复完善,可采取的具体措施包括完善数据收集处理方式、避免数据泄漏、制定数据保护计划、及时进行风险评估、任命数据保护官,确保数据在每个数据周期中的安全。对于在GDPR生效之前非法收集处理的数据,应当及时进行处置、整改、删除,如果在GDPR生效之后继续保留和处理这些非法获取的数据,GDPR仍会适用,面临较大的处罚风险。
我国2017年6月1日施行的《中华人民共和国网络安全法》,2018年5月1日实施的《信息安全技术个人信息安全规范》,从国家标准层面强调了对个人信息的保护,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。《信息安全技术个人信息安全规范》与GDPR的规定有相似之处,但在某些领域根据中国的实践作出了更为明确具体甚至更严格的规定,因此企业在合规时应注意两者的区别对比,采取更高的标准。
大数据时代背景下,加强个人信息保护趋势对企业进行经济活动提出的更高要求。企业应自觉遵守规范,主动承担其社会责任,对收集、使用、分享个人信息及时进行合规审查,提高自身数据安全能力,充分尊重和保护个人隐私和信息安全,共同营造良好的网络安全环境。
[①]Investigation into the use of data analytics in political campaigns,available at https://ico.org.uk/media/action-weve-taken/2259371/investigation-into-data-analytics-for-political-purposes-update.pdf
文章来源:武大国经济法评,作者范睿,发布此信息的目的在于传播更多信息,如有侵权请联系删除。
