标签归档:GDPR

ENISA报告《数据假名化:先进技术与使用案例》执行摘要

执行摘要

假名化是一种既定的、被接受的数据保护措施,在《通用数据保护条例》(GDPR)通过后,它得到了更多的关注,在该条例中,它被特别定义,并多次作为一种保障措施被提及。

ENISA在之前的工作中对该领域进行了探索,探讨了数据假名化的概念和范围,同时提出了一些基本的技术方法和实例来实现实践中的假名化。在这份新的报告中,ENISA通过讨论先进的假名化技术,以及来自医疗和网络安全等特定领域的具体使用案例,对过去的工作进行了补充。特别是,报告在基本假名化技术的基础上,研究了更复杂场景的高级解决方案,这些解决方案可以基于非对称加密、环签名和组假名、链式模式、基于多个标识符的假名、具有知识证明的假名和安全的多方计算。然后,它将这些技术中的一些技术应用于医疗领域,讨论不同实例中可能的假名化方案,同时也探讨了数据保管模式的可能应用。最后,研究了基本的假名化技术在常见的网络安全用例中的应用,如遥测和信誉系统的使用。

根据报告提供的分析,为所有相关利益方提供以下基本结论和建议。

继续阅读

后Schrems II时代,SCC模式下数据跨境的“蜀道”

噫吁嚱,危乎高哉!蜀道之难,难于上青天!

——李白(唐),《蜀道难》

各国法律中对数据的本地化与跨境的规定是最能影响企业跨国经营策略的内容之一。无论是外企根据中国《网络安全法》《个人信息保护法(草案)》中的本地化与跨境制度进行合规,或是中国企业使用欧盟《通用数据保护条例》(“GDPR”)中“数据跨境工具箱”,都会对企业的IT架构与经营模式造成深远的影响。

一、后Schrems II时代的标准合同条款

在GDPR的诸多跨境合规方案中,中国企业普遍采用签署标准合同条款(“SCC”)的方式确保从欧洲向中国跨境传输合法合规。但是,SCC的效力在2020年7月欧盟法院“Schrems II”案判决后受到了挑战,一时间让包括中国在内的大多数国家从欧洲向本国传输数据面临巨大的不确定性。

“Schrems II”案更为直接的后果是导致美国与欧盟之间的“隐私盾”协议失效,严重影响美国企业从欧洲获取数据。以至于美国司法部、商务部以及国家情报总监办公室在2020年9月共同发布白皮书,试图说明美国现行法律中有关情报机构获取数据的隐私保障措施。

SCC因为标准条款的简单易用、成本低廉,所以为中国企业所青睐。甚至有企业为实现公司内部的数据跨境传输,会让中国总部与欧洲子(分)公司签署多份SCC,虽然增加了合同管理的难度,但除此之外很难找到更好的解决方案。

二、SCC的具体场景

SCC因为标准条款的简单易用、成本低廉,所以为中国企业所青睐。甚至有企业为实现公司内部的数据跨境传输,中国总部与欧洲子(分)公司之间签署多份SCC。

中国企业使用SCC,一个场景是用于企业内部数据跨境传输,将欧洲子公司、分公司、合资公司收集的数据传输中国。虽然GDPR为企业内部的数据跨境传输设置了“有约束力的公司规则”(Binding Corporate Rules)机制,但这一机制成本较高,且需要通过欧洲当地数据保护机关认证,目前尚没有中国企业采用此种方式进行跨境数据传输。因此企业内部通常会使用SCC来确保数据跨境传输的合法性。

中国企业使用SCC的另一场景,是在与欧洲企业合作的过程中,因为可能涉及欧洲境内居民个人信息,所以欧洲企业要求与中国企业签署SCC。

相较于第一个场景仅涉及企业内部数据传输,第二个场景下中国企业使用SCC所面临的合规压力更为迫切,我们已经遇到有欧洲企业要求与之签署SCC的中国企业说明中国有关部门获取企业的情况,作为“Schrems II”案后确保SCC效力的合规措施。

三、答复逻辑与素材

GDPR在数据跨境领域的一个基本逻辑是数据接受国的数据保护水平应当与欧盟大致相同,因此如果国家(地区、行业)能够取得充分性认定,则可以与欧盟之间自由地传输数据,如日本、智利、以色列等国。但包括美国、英国、中国、俄罗斯等绝大多数国家难以通过充分性认定,所以才会选择SCC作为替代方案,但新机制又要求企业对数据接收国立法、司法水平进行评估,实在是有些勉为其难。

“Schrems II”案的关键在于政府部门从企业获取欧洲居民数据的能力,这种能力不仅停留在法律条文的纸面,也体现于法律条文的实践,以及是否有相应的程序能够阻却政府违法获取数据。根据欧盟数据保护委员会(“EDPB”)新发布的标准,中国几乎不可能通过充分性认定,也难以被认定可以达到与欧盟基本同等程度的保护程度。

但是根据我们的经验,中国企业在面临欧洲合作方(数据提供方)问询时,仍然可以准备一些可供答复的素材,不至于向欧洲监管部门或合作伙伴交付“白卷”。以下是我们总结的可以在进行答复时的法条及依据:

1.国家情报法

在政府部门获取数据领域,最为欧美所关切的是《国家情报法》第七条:

任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。

国家对支持、协助和配合国家情报工作的个人和组织给予保护。

为此,在2019年2月18日外交部记者会上,发言人耿爽就《国家情报法》第七条给出了“标准答案”:

第一,美方有关说法是对中国有关法律的错误和片面解读。中国《国家情报法》不仅规定了组织和公民依法支持、协助和配合国家情报工作的义务,同时也规定了国家情报工作应当依法进行、尊重和保障人权、维护个人和组织合法权益的义务。同时,中国其它法律对于保障公民和组织的合法权益,包括数据安全和隐私权利等,也作了许多规定。这些规定都适用于国家情报工作。美方对此应全面、客观理解,而不应断章取义,片面、错误解读。

第二,以立法形式维护国家安全,要求组织和个人配合国家情报工作是国际通行做法,美国、英国、加拿大、澳大利亚、新西兰等“五眼联盟”国家以及法国、德国等西方国家均有类似规定。

第三,中国政府一贯要求中国企业在外国开展业务时要严格遵守当地法律法规,这一立场不会改变。中国一贯坚持相互尊重主权、平等互利等国际法基本原则,中国宪法和相关法律对此均有体现。基于这一原则,中国一向明确反对别国绕过正常合作渠道,单方面适用其国内法,强迫企业和个人向其提供位于中国境内的数据、信息、情报等做法;同样,中国没有也不会要求企业或个人以违反当地法律的方式、通过安装“后门”等形式为中国政府采集或提供位于外国境内的数据、信息和情报。

第四,美方及其个别盟友在此问题上搞双重标准,混淆视听,实质是为打压中国企业的正当发展权利和利益编织借口,是以政治手段干预经济行为,是虚伪的、不道德、不公平的霸凌行径。

https://www.fmprc.gov.cn/web/wjdt_674879/fyrbt_674889/t1638751.shtml

2.《网络安全法》

《网络安全法》中也存在企业协助政府有关部门的条款:

第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

但另一方面,《网络安全法》也规定了政府部门获取数据的限制:

第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

3.《密码法》

在EDPB发布的指南中,将加密视为一种有效的补充措施。比如数据虽然存储在欧洲境外的第三国,但数据经过可靠地加密,密钥由欧洲境内掌握,那么就可以被视为一种有效的补充措施。但是,这样的加密措施可能会在中国遇到《密码法》的挑战。

根据《密码法》,除非是大众消费类产品所采用的商用密码,否则需要根据商用密码进出口许可程序提交商用秘密的技术说明。如果密码进口需要向中国密码管理部门提交审批,这样的操作可能很难得到欧盟的认可,但我们仍可根据《密码法》第三十一条第二款主张密码的安全性:

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

4.其他文件与渠道

在2020年9月,中国外交部发布《全球数据安全倡议》也从侧面说明中国政府并不要求本国企业将数据存储在中国境内,也不会要求企业调取位于他国的数据:

……

——各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内。

——各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据。

——各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全。

……

另外一个可供参考的信息是苹果公司发布的透明度报告。根据统计,在2019年7月至12月期间,中国政府、法院等机构共781次向苹果公司要求提供数据,同期英国568次、美国5271次、日本1245次向苹果公司索要数据,中国索取数据的次数并未有明显异常。

四、可以开始的前瞻性思考

尽管目前为止中国企业还不是欧洲数据监管机构的关注重点。欧洲数据监管机构因为执法力量有限,所以更关注本国企业与美国互联网巨头在欧洲的经营。但是随着美国拜登政府就职在即,欧美政治、经济关系趋于缓和,让中国企业可能成为欧洲数据保护机构下一轮监管重点。

2020年12月,荷兰消费者与市场管理局(ACM)发布公告表示,对智能手机支付市场发起反垄断调查,并且已经调研了几家主要大型科技公司,除了苹果、亚马逊、Facebook和谷歌等西方企业外,蚂蚁集团和腾讯也成为被调查对象。这或许会成为欧盟执法机关关注中国企业在欧经营的起点。

随着EDPB开始推动SCC的改革,开始征求意见,并且SCC在中欧数据传输中呈现出“一夫当关”的状态。那么中国企业需要密切留意这位“当关之夫”,即欧盟在SCC适用方面的动态,并且着重关注执法趋势,充分评估可能对自己业务的影响。我们推荐在欧洲经营的企业可以从以下角度着手:

  1. 面对欧盟数据跨境监管的压力,尤其是对数据接收方所在国法律环境的苛责,单一企业很难全面论证数据接收国的法律与执法环境,且同一行业、同一产业链的企业可能都会面临同样的问题,因此企业应当向行业协会、商会、上级主管部门进行呼吁,联合应对来自欧洲的评估要求。
  2. 联邦学习等“可用不可见”隐私计算技术、加密技术的探索与使用,可以将个人数据转化为非个人数据,从而实现有效降低数据跨境的风险。
  3. 此外,面临欧洲数据跨境规则的升级,数据跨境的成本也被抬高,甚至企业可能因为无法通过评估而无法向中国回传数据,故企业可能需要考虑重新调整自己的IT架构,减少数据从欧洲向中国回传的数量,增加欧洲子公司、分公司或合作伙伴处理数据的决定权。

EDPB关于GDPR下同意的指引:示例

2020年5月4日,EDPB(European Data Protection Board)发布Guidelines 05/2020 on consent under Regulation 2016/679,对2018年WP29的文件进行了更新。此次更新重点关注“饼干墙”(Cookie Walls)和第16个案例(关于滑动与同意)。

本文仅就案例部分及相应的标题进行了翻译。

来源: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en

3.有效同意的要素

3.1 自由给予

例1:一个用于照片编辑的移动应用要求用户激活GPS定位功能,以使用其服务。该应用程序还告诉用户,它将使用收集到的数据进行行为广告宣传。无论是GPS定位还是在线行为广告,都不是提供照片编辑服务所必需的,也超出了提供核心服务的范围。由于用户在没有同意这些目的的情况下不能使用该应用,因此不能认为该同意是自由给予的。

3.1.1 权力的不平衡

例2:一个地方市政当局正在计划进行道路维修工程。由于道路工程可能会在很长一段时间内影响交通,该市政当局提供机会让市民订阅一个电子邮件列表,以接收关于工程进度和预期延误的最新信息。市政府明确表示,市民没有参与的义务,并要求同意将电子邮件地址用于此目的。不同意的市民不会错过市政府的任何核心服务或行使任何权利,因此,他们可以自由地给予或拒绝同意使用数据。有关道路工程的所有信息也将在市政府网站上公布。

例3:一个拥有土地的个人需要从其所在的地方市政府和所在的省政府获得某些许可证。这两个公共机构在发放许可证时要求提供相同的信息,但没有访问对方的数据库。因此,两者要求的信息是一样的,土地所有者向两个公共机构发送她的详细信息。市政府和省厅要求她同意合并档案,以避免重复的程序和通信。两家公共机构都保证,这是她的选择,如果她决定不同意合并她的资料,许可申请仍将单独处理。土地所有权人可以自由选择同意合并档案的机关进行合并。

例4:某公立学校要求学生同意在印刷的学生杂志上使用他们的照片。在这种情况下,只要学生不会被拒绝接受教育或服务,并可以拒绝使用这些照片,而不会对学生造成任何损害,那么在这种情况下的同意将是一种真正的选择。

例5:一个摄制组要在办公室的某个区域进行拍摄。雇主要求所有坐在该区域的员工同意被拍摄,因为他们可能会出现在视频的背景中。不愿意被拍摄的员工不会受到任何处罚,而是在拍摄期间,在大楼其他地方给他们安排同等的办公桌。

3.1.2 条件性

例6:某银行要求客户同意允许第三方使用其付款资料进行直销。这种处理活动不是履行与客户的合同和提供普通银行账户服务所必需的。如果客户拒绝同意这一处理目的,将导致银行拒绝提供银行服务、关闭银行账户,或视情况增加费用,则不能随意给予同意。

例6a: 一个网站提供商设置了一个脚本,除了要求接受cookie以及关于设置了哪些cookie和数据处理目的的信息外,其他内容将被屏蔽。如果不点击 “接受cookies “按钮,就无法访问内容。由于没有向数据主体提供真正的选择,因此不能自由给予其同意。这并不构成有效的同意,因为服务的提供有赖于数据主体点击 “接受cookies “按钮。接受cookie “按钮。它没有呈现真正的选择。

3.1.3 颗粒度

例7:在同一个同意请求中,零售商要求客户同意使用他们的数据通过电子邮件向他们发送营销信息,并与集团内的其他公司分享他们的信息。这种同意是不细化的,因为这两个不同的目的没有单独的同意,因此该同意是无效的。在这种情况下,需要征得特定的同意才能将联系信息发送给商业合作伙伴。该特定同意将被视为对每个合作伙伴有效(另见第3.3.1节),在收集数据主体同意时,其身份已被提供给数据主体,只要是为了同一目的(在本例中:营销目的)而发送给他们的,该特定同意将被视为有效。

3.1.4 危害性

例8:在下载一个生活方式手机APP时,APP会要求用户同意访问手机的加速度计(accelerometer)。这对于APP的工作来说并不是必要的,但对于希望了解用户的运动和活动水平的控制者来说是很有用的。当用户后来撤销了这一同意后,她发现这个应用现在只能在有限的范围内发挥作用。这是GDPR立法理由第42段中的一个损害的例,这意味着从未有效地获得同意(因此,控制者需要删除所有以这种方式收集的用户运动的个人数据)。

例9:数据主体订阅时尚零售商的简讯以获得折扣。零售商要求数据主体同意收集更多关于购物喜好的资料,以便根据其购物记录或自愿填写的问卷,为其提供切合其喜好的优惠。当数据主体其后撤回同意时,他或她会再次收到非个人化的折扣。这并不构成损害,因为这只是损失了数据主体允许的刺激措施。

例10:某时尚杂志在正式上市前,向读者提供购买新的彩妆产品的机会。这些产品很快就会上市销售,但该杂志的读者可以获得这些产品的独家预览。为了享受这一福利,人们必须提供自己的邮寄地址,并同意订阅该杂志的邮寄名单,才能享受到这一福利。邮寄地址是邮寄的必要条件,邮件列表是用来发送化妆品或T恤衫等商品的商业优惠,一年四季都有。公司解释说,邮寄名单上的数据仅用于杂志社自己发送商品和纸质广告,不得与任何其他机构共享。如果读者因此而不愿意透露自己的地址,也不会有任何损害,因为无论如何都可以得到产品。

3.2 具体的

例11:某有线电视网络在用户同意的基础上收集用户的个人数据,根据用户的观看习惯,向他们提供他们可能感兴趣的新电影的个人建议。一段时间后,电视网络决定让第三方根据用户的收视习惯发送(或显示)有针对性的广告。鉴于这种新的目的,需要新的同意。

3.3 告知

3.3.2 如何提供信息

例12:X公司是一家控制者,它收到投诉,称数据主体不清楚他们被要求同意使用数据的目的是什么。该公司认为有必要核实同意请求中的信息是否为数据主体所理解。X公司会组织特定类别客户的自愿测试小组,在向这些测试对象展示其同意信息的更新,然后再对外使用。测试小组的选择尊重独立性原则,并根据确保测试结果具有代表性、无偏见的标准进行选择。小组收到调查问卷,并指出他们对信息的理解,以及他们将如何对这些信息进行打分,以了解相关信息。控制者继续测试,直到小组表示可以理解的信息为止。X起草了一份测试报告,并将其保存下来,以备日后参考。这个例显示了X可能的一种方式,说明数据主体在同意X进行个人数据处理之前,已经收到了明确的信息。

例13:某公司在同意的基础上进行数据处理。该公司使用包含同意请求的分层隐私通知。该公司披露了控制者的所有基本细节和所设想的数据处理活动。然而,该公司没有在通知的第一层信息中说明如何联系到他们的数据保护官。为了具有GDPR第6条要求的法律依据,该控制者获得了有效的 “知情 “同意,即使根据 GDPR 第13(1)(b)条或第14(1)(b)条,数据保护官员的联系方式没有被告知数据主体(在第一信息层),该控制者也获得了有效的 “知情 “同意。

3.4 明确表示意愿

例14:在安装软件时,应用程序要求数据主体同意使用非匿名的崩溃报告来改进软件。在请求同意的同时,会有一个提供必要信息的分层隐私通知。通过主动勾选注明 “我同意”的可选框,用户能够有效地执行 “明确的肯定行为”来同意处理。
例15:只要提供明确的信息,并清楚地表明该动作表示同意某项具体请求(例如,如果你向左划动此条,则表示你同意将信息X用于Y目的,重复该动作以确认),在屏幕上划动该条,在智能摄像头前挥手,顺时针转动智能手机,或以数字八的动作表示同意,都可以成为选项。控制者必须能够证明同意是通过这种方式获得的,而且数据主体必须能够像给予同意一样容易撤回同意。

例16:根据GDOR立法理由第32段,滚动或浏览网页或类似的用户活动等行动在任何情况下都不符合明确和肯定行动的要求:这类行动可能难以与用户的其他活动或互动区分开来,因此也不可能确定已获得明确的同意。此外,在这种情况下,很难为用户提供一种像给予同意一样容易的方式来撤销同意。

4. 获得明确同意

例17:数据控制者也可以通过提供一个包含 “是 “和 “否 “复选框的明确同意屏幕,从网站访问者那里获得明确的同意,条件是文字上清楚地表明同意,例如 “我在此同意处理我的数据”,而不是 “我很清楚我的数据将被处理”。不言而喻,知情同意的条件以及获得有效同意的其他条件都应该得到满足。

例18:某整形美容诊所征求患者的明确同意,将病历转给专家,专家对患者的病情提出第二种意见。该病历是一个数字文件。鉴于有关信息的特殊性,诊所要求数据主体的电子签名,以获得有效的明确同意,并能够证明已获得明确同意。

例19:一家名为假日航空公司的航空公司为因残疾等原因不能在无人协助的情况下旅行的旅客提供协助旅行服务。一位顾客预订了从阿姆斯特丹飞往布达佩斯的航班,并要求提供旅行辅助服务,以便能够登机。假日航空公司要求她提供有关其健康状况的信息,以便为她安排适当的服务(因此,有多种可能性,例如,在到达登机口处有轮椅,或有助理陪同她从A到B的旅行)。假日航空要求该客户的明确同意处理其健康数据,以安排所需的旅行协助。在同意的基础上处理的数据应该是所要求的服务所必需的。此外,飞往布达佩斯的航班仍然可以在没有旅行协助的情况下使用。请注意,由于这些数据是提供所要求的服务所必需的,因此GDPR第7条第4款不适用。

例20:一家成功的公司专门为户外运动提供定制滑雪和滑雪板护目镜以及其他类型的定制眼镜。该公司的想法是,人们可以在不戴眼镜的情况下佩戴这些眼镜。该公司在一个中心点接受订单,并从整个欧盟各地的单一地点交付产品。为了能够为近视的客户提供定制化的产品,该控制者要求同意使用客户的眼睛状况信息。顾客在网上下单时提供了必要的健康数据,如顾客的处方数据等。如果没有这些数据,就无法提供所要求的定制眼镜。该公司还提供了一系列具有标准化矫正值的护目镜。不希望共享健康数据的客户可以选择标准版的产品。因此,根据第9条的规定,需要得到明确的同意,可视为自由同意。

5.额外的有效同意条件

5.1 证明同意例

21:某医院设立了一个名为X项目的科学研究计划,为此需要真实患者的牙科记录。参与者通过打电话给自愿同意列入可能为此目的而接触的候选人名单的病人招募。控制者在使用其牙科记录时,会征得数据主体的明确同意。同意是在电话中通过记录资料当事人的口头声明来获得的,在此声明中,资料当事人确认同意将其资料用于X项目的目的。

5.2 撤回同意

例22:某音乐节通过在线票务代理销售门票。在每次在线售票时,都需要征得客户的同意,以便将联系信息用于营销目的。为了表示同意,客户可以选择 “否 “或 “是”。控制者会告知客户,他们可以撤销同意。要做到这一点,他们可以在工作日上午8点至下午5点之间免费联系呼叫中心。本例中的控制者不符合GDPR第7(3)条的规定。在这种情况下,撤销同意需要在营业时间内拨打电话,这比通过在线票务供应商24小时开放的在线票务供应商的鼠标点击同意要麻烦得多。

7.GDPR中特别关注的领域

7.1.4 儿童的同意和父母的责任

例23:某在线游戏平台想确保未成年用户只有在父母或监护人同意的情况下才会订阅其服务。控制者按照以下步骤进行操作。第一步:要求用户说明他们是否已满16岁(或其他年龄)。如果用户说明他们未满相应的年龄:第二步:服务告知孩子,在向孩子提供服务前,需要父母或监护人同意或授权处理。用户被要求透露父母或监护人的电子邮件地址。第三步:服务方联系家长或监护人,通过电子邮件取得家长或监护人的同意进行处理,并采取合理的步骤确认该成人有父母的责任。第四步:如果有投诉,平台会采取额外步骤核实用户的年龄。如果平台已经满足了其他同意要求,平台可以通过这些步骤来遵守GDPR第8条的附加标准。

法律设计——新思维或新名词

——徒法不能以自行

《孟子·离娄》

一、法律力不从心时

2011年曾发生过一起引起举国关注的事件,广州一名2岁女童“小悦悦”在阴雨天黑夜独自跑出家门百米外后,先后被两辆汽车撞伤倒地,最初路过的18名行人未及时施救,惟第19名路人陈贤妹救起小悦悦,随后被送往医院急救。记得当时凤凰卫视采访法学家江平,询问关于“小悦悦”事件的立法建议。出乎意料的是,这位法学界的泰斗并没有在立法、执法层面提出太多意见,而是建议增加公共场合的摄像头。如果不是摄像头记录下路人令人发指的冷漠,一个被碾压的儿童或许根本不会激起如此大的波澜,以至于每个看到视频的人都需要将自己置于视频中,拷问一下自己的良心与选择。更不用提摄像头对于寻找肇事者的作用,以及对所有违法行为的威慑。从那时开始,我也也意识到一个摄像头可能比若干部法律加起来都更加有用。

继续阅读