胡友杰

【摘 要】歐盟的隱私保護(hù)法律《一般信息保護(hù)條例（GDPR）》于2018年5月25日開始生效，在經(jīng)濟(jì)全球化的今天，受到影響的不僅僅的是所在歐盟境內(nèi)的公司。很多業(yè)內(nèi)人士認(rèn)為GDPR只是樹立了一個(gè)簡單的框架，并未告訴大家實(shí)際該如何去做。但其實(shí)在大家很少關(guān)注到的前言部分中，隱藏著一些具體的要求，卻容易被大家忽視。

【關(guān)鍵詞】GDPR；隱私保護(hù)；個(gè)人信息保護(hù)

一、GDPR現(xiàn)狀

2018年是個(gè)人信息保護(hù)在國內(nèi)大火的一年，即便是不關(guān)注信息安全的圈外人士，想必也在5月左右頻繁地收到過各大網(wǎng)站及軟件發(fā)過來的“隱私政策更新”的郵件，看到過Facebook多次因隱私問題而上新聞，以及傳播過那個(gè)“騰訊退出歐洲市場”的傳說。這一切都是因?yàn)镚DPR，歐盟的個(gè)人信息保護(hù)條例，這個(gè)號稱史上最嚴(yán)、范圍最廣、罰款最狠的法律，于2018年5月25日開始生效。

雖說GDPR的管轄范圍只是在歐盟境內(nèi)，針對歐洲公民，但在經(jīng)濟(jì)全球化的現(xiàn)在，跨國企業(yè)比比皆是，大家多多少少都有業(yè)務(wù)涉及到歐盟，最高到2000萬歐元或全球營業(yè)額的4%（兩者取其最大值）的罰款也令管理者們不寒而栗，因此加強(qiáng)企業(yè)個(gè)人信息保護(hù)建設(shè)，達(dá)到GDPR合規(guī)，成了眾多企業(yè)自GDPR 16年定稿后的重中之重。

而用戶知情權(quán)是數(shù)據(jù)主體最為基本的權(quán)利，如何實(shí)現(xiàn)此權(quán)利是企業(yè)最初遇到的問題。在GDPR的正文條款中只規(guī)定了“需要實(shí)現(xiàn)知情權(quán)”這一要求，而具體的做法，其實(shí)隱藏在前言部分的“Recitals”條款當(dāng)中。

二、用戶知情權(quán)的具體要求

首先請看第32條：Consent should be given by a clear affirmative act establishing a freely given， specific， informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her， such as by a written statement， including by electronic means， or an oral statement. This could include ticking a box when visiting an internet website， choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence， pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes， consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means， the request must be clear， concise and not unnecessarily disruptive to the use of the service for whi

該條的核心意思是：（1）在取得用戶同意收集個(gè)人信息的勾選框中，不得預(yù)先勾選，預(yù)先勾選不構(gòu)成同意；（2）針對不同目的的信息收集，需要分別取得用戶的同意。對國內(nèi)的很多企業(yè)來說，在注冊時(shí)預(yù)先把“我同意XXXX”給勾上、以及所有的收集放到一個(gè)按鈕中，是目前來說比較常見的一種做法，而這在GDPR的管轄下已經(jīng)行不通了。同時(shí)，GDPR也要求企業(yè)不得“要脅”用戶，即不得以用戶不同意收集個(gè)人信息為由禁止用戶使用產(chǎn)品。企業(yè)的產(chǎn)品研發(fā)部門往往希望擁有更多的個(gè)人數(shù)據(jù)，以方便了解用戶需求，有針對性地改善和推送產(chǎn)品。那么在不允許預(yù)先勾選和強(qiáng)制同意的情形下，如何引導(dǎo)用戶同意產(chǎn)品的收集請求，將成為企業(yè)的一大研究課題。

在征得用戶同意的這一方面，企業(yè)若為了多收集情況，在隱私協(xié)議中語焉不詳，含糊其詞，試圖蒙混過關(guān)以誘得用戶的同意，那么也是觸犯了GDPR的相關(guān)規(guī)定的。在Recitals的第58條中，特別地對于通知用戶的說話方式做出了特別要求。

第58條的原文如下：The principle of transparency requires that any information addressed to the public or to the data subject be concise， easily accessible and easy to understand， and that clear and plain language and， additionally， where appropriate， visualisation be used. Such information could be provided in electronic form， for example， when addressed to the public， through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether， by whom and for what purpose personal data relating to him or her are being collected， such as in the case of online advertising. Given that children merit specific protection， any information and communication， where processing is addressed to a child， should be in such a clear and plain language that the child can easily understand.

這一條要求企業(yè)在收集數(shù)據(jù)前征得用戶同意時(shí)，所使用的語言必須清晰明了，易于用戶理解，是對透明原則的進(jìn)一步闡述。值得注意的是，歐美文化中一向較為注重對于兒童的保護(hù)，GDPR也不例外，在正文條款中就已經(jīng)對為兒童提供服務(wù)的情形，需要監(jiān)護(hù)人同意做出了規(guī)定。而在這一條中，歐盟更是單獨(dú)點(diǎn)出，鑒于兒童需要特別地保護(hù)，任何涉及處理兒童的信息和通信，都應(yīng)采用兒童可以輕易理解的清晰明確的語言。說法是否能令兒童可以輕易理解，相比上文的“清晰明了”是更明顯的、更可判斷的，這也使得歐盟的相關(guān)的監(jiān)管機(jī)構(gòu)、或是其他有心的舉報(bào)者是否會在這一點(diǎn)上抓到產(chǎn)品的痛腳，就成了業(yè)務(wù)涉及兒童的公司不得不去擔(dān)心的一個(gè)問題。

我們再來看看第70條：Where personal data are processed for the purposes of direct marketing， the data subject should have the right to object to such processing， including profiling to the extent that it is related to such direct marketing， whether with regard to initial or further processing， at any time and free of charge. That right should be explicitly brought to the attention of the data subject and presented clearly and separately from any other information.

想必有不少公司收集用戶使用產(chǎn)品的信息，是用于針對性地推送其它產(chǎn)品或是打廣告——這些毫無疑問都是用于“direct marketing”的這一個(gè)目的。而GDPR在這一條上是明確地指出，用戶對于這一行為有拒絕的權(quán)利，即拒絕企業(yè)收集用戶行為信息并用于任何直接或間接的營銷。同時(shí)GDPR還要求企業(yè)將此類用于營銷的收集行為特別地、清晰明確地提醒用戶注意，并與其他任何信息區(qū)分開來。這意味了企業(yè)將營銷目的的收集巧妙地?fù)交煊谄渌康漠?dāng)中一起獲得用戶同意的這種做法已不在可行。

那么，企業(yè)偷偷地收集處理，并抹消其痕跡，這樣是否可行呢？可見第82條：In order to demonstrate compliance with this Regulation， the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records， on request， available to it， so that it might serve for monitoring those processing operations.

GDPR要求每一位控制者和處理者，必須要留下數(shù)據(jù)處理的記錄，并隨時(shí)響應(yīng)監(jiān)管機(jī)構(gòu)的要求向其提供。

三、結(jié)束語

很多人覺得GDPR的99條條款只做了一個(gè)空洞的規(guī)定，只限制了做什么，并未指導(dǎo)大家如何去做。畢竟它只是一個(gè)法律，并非一個(gè)指導(dǎo)性的規(guī)范標(biāo)準(zhǔn)。但其實(shí)在很多人沒有關(guān)注到的正文之前的173條Recitals中，歐盟還是留下了很多細(xì)節(jié)性的說明和具體的指導(dǎo)性的做法。本文以用戶知情權(quán)為基礎(chǔ)，選取了其中的三條稍做解讀，希望能加深企業(yè)實(shí)現(xiàn)用戶知情權(quán)的理解。

【參考文獻(xiàn)】

[1]《General Data Protection Regulation》