本号一日内可能发布多篇文章,但只有一篇能被推送给所有用户,欢迎标星⭐本号,避免错过数据合规新鲜资讯~
本文介绍了欧盟以同意为主要合法基础的局限性,对于我国也同样适用,更何况我们还没有合法利益(ligitimate interest)。
实践中,由于适用其他合法性基础的沟通成本过高,导致本来平行的多个合法性基础中,同意被迫渐渐变成了唯一选项。
加拿大、新加坡等国对于其他合法性基础适用范围的拓宽,也思路值得我们借鉴、学习。
文章比较长,但确实梳理得不错。
01
引言
现代生活已经越来越离不开数字信息,我们的工作和生活现在很大程度上都依赖于数字互动。因此,获取和使用数据,特别是个人数据,成为数字经济和社会的关键要素和驱动力。这也让我们面临一个重要的转折点,那就是如何合法处理个人数据,这对于我们依赖数据、由人工智能驱动的数字产品和服务至关重要。是时候重新考虑“同意”作为合法性基础的地位了,并考虑一些更适合各种必要数据处理情境的替代方案。其中最突出的替代方案是“合法利益”和“合同必要性”这两种合法性基础,在许多司法管辖区都能找到对应的概念。比如在新加坡,他们对数据保护框架的修订就包括了合法利益的豁免。
这篇文章主要基于欧盟《通用数据保护条例》(GDPR)和几部欧盟数字法律的经验,主张我们不应该过度依赖同意作为法律依据,而应该转而探索其他法律依据,比如合同必要性和合法利益。文章认为,为了确保数字经济和社会的活力与成功,GDPR风格的同意并不总是适用于日益增多的数据处理场景,因为在这些场景中,同意可能是不充分、无效或不切实际的。
这篇文章的目标是为其他司法管辖区的法律和政策制定者提供一个案例研究,帮助他们更新数字立法框架,包括与隐私和数据保护相关的法规。
本文第一部分概述了欧盟框架的最新变化及其带来的挑战,并探讨了基于同意模式的局限性,以及这种模式对个人数据的有效和有益使用,以及人工智能应用的开发和部署的影响。它提出了平衡数字经济中所有利益相关者权利的建议,以及如何提供有意义的隐私保护。
本文第二部分以韩国正在考虑的变化作为一个案例研究。对于那些在修订自己的数字立法时寻求欧盟灵感的司法管辖区来说,重要的是要谨慎行事,并从欧盟出现的挑战中学习,这些挑战是由于这些重叠的数字法律和它们赋予同意作为处理数据的法律依据的过大作用所导致的。
02
欧盟数字战略下的立法发展
为了推动数据驱动的数字工具和服务的巨大经济潜力,欧洲委员会在2020年发布了一项数字战略。该战略设想为个人创造一个安全和可信的数字空间,为企业创造一个公平的竞争环境,以促进欧盟的创新、增长和竞争力。紧接着,为了实施这一战略,欧洲迅速推出了一系列重大的立法举措:
03
在欧盟,同意需求激增。
GDPR明确规定,在欧盟内数据的自由流动不能因数据保护原因被禁止或限制,并且个人数据的保护不能置于欧盟保护的其他基本权利之上。GDPR立法者认识到技术对经济和社会变革的性质,并在其序言中规定“个人数据的处理应该旨在服务于人类”。因此,GDPR除了是一部数据保护法外,也可以被视为委员会数字战略包的早期部分,旨在“加强数据经济”。
根据GDPR,要合法处理个人数据,受其约束的组织必须能够依赖以下六个合法性基础之一:
• 个人同意(individual consent)
• 合同必要性(contractual necessity),
• 法律义务(legal obligation),
• 保护至关重要的利益(the protection of vital interest),
• 公共利益(public interest)
• 合法利益(legitimate interest)。
这六个法律依据允许组织选择最适合其特定处理活动合法性基础。重要的是,GDPR下没有“优先”的合法性基础;它们彼此处于平等地位。然而,选择合法性基础需要谨慎,因为它们的适用取决于数据处理的场景,并且可能引发不同的个人权利。
尽管处理数据的合法性基础之间是平等的,且GDPR的双重目标是保护数据并实现数字化转型,但越来越多的数据保护机构(DPAs),包括欧洲数据保护委员会(EDPB)和欧洲数据保护监察机构(EDPS),却越来越忽视这一双重目标,将个人数据保护置于其他基本权利之上,没有努力在竞争利益或权益之间取得平衡,并优先选择同意作为处理的合法性基础。
这种趋势在一些新近颁布的数字立法中也有所反映,甚至欧洲法院(CJEU)似乎也在倾向于优先考虑同意——这可能是基于这样的认知:同意是个人在数字经济中对其数据行使控制的最有效机制。
A. 在欧盟司法和监管决策中,对同意以外的法律依据的接受度逐渐降低
与现有或即将到来的数字立法中同意条款的激增相平行,我们看到通过监管机构的解释,以及在一定程度上CJEU的解释,GDPR下的其他合法性基础正在缩小,特别是关于合法利益和合同必要性的条款。这导致了合法处理数据的选项减少,以及在欧盟运营的组织面临的法律不确定性。一些近期的例子包括:
i. 德国联邦反垄断局案
在Meta诉德国联邦反垄断局案中,CJEU通过解释GDPR第6条第1款的法律依据,确立了在线社交网络运营商合法处理第三方数据的要求,涉及个性化广告。法院在回答德国法院提出的问题时,将其分析和判断限定在第三方数据上,没有触及与第一方数据相关的问题。CJEU对合同必要性合法性基础采取了严格和字面的认定路径,声称其必须是“客观上不可或缺”的核心合同目的,并且没有其他可行或侵入性较小的替代方案。这与GDPR的要求有所不同,GDPR仅要求处理是“履行合同所必需的”。为了证明满足CJEU设定的门槛,组织必须有效地展示如果不进行处理,就无法提供他们的服务。CJEU发现,尽管个性化对用户有用,但他们不同意个性化广告是提供社交媒体网络的核心。这种解释有效地缩小了合同必要性的使用,忽视了完整的商业模型的性质,即提供社交媒体服务而不收取货币费用,以换取广告收入。这对于现代数据驱动的组织来说是一个令人关注的问题,因为个性化和定向广告构成了他们业务的关键部分,因为这似乎要求他们在无法获得同意的情况下免费提供服务或选择收费。
CJEU总法律顾问同样鼓励对合同必要性合法性基础进行严格解释,以确保组织不会“规避”需要同意。这种解释忽视了GDPR下六个法律依据地位相等、它们之间没有等级制度的根本原则。实际上,EDPB在他们关于GDPR下合法利益合法性基础的最新草案指导中特别确认了这一点,并澄清说,合法利益没有详尽或有限的清单,因此可能有广泛的利益符合条件。
ii. EDPB对Meta的决定
在德国联邦反垄断局案之前,2022年12月,爱尔兰数据保护委员会根据EDPB的具有约束力的决定,对Meta Ireland做出了决定,指出Meta不能依赖合同必要性(第6条第1款(b)项)作为处理用户数据以进行个性化广告的法律依据。EDPB指出,要依赖合同必要性合法性基础,组织必须确保处理是“客观上必要”的以履行合同。客观必要性应包括对整个服务的特定目标、目的或目标的评估,包括合理的数据主体是否会预期处理。EDPB在该案中得出结论,个性化广告并非履行合同所客观必需,合理的用户不会预期他们的个人数据被用于个性化广告。
EDPB的决定没有考虑具体案例,而是进行了抽象的论证。它没有考虑具体的合同,根据当时的商业模式,合同是提供对某些内容的访问而不收取货币费用,并由个性化广告支持。
值得注意的是,爱尔兰DPA在其最初的草案决定中得出结论,合同必要性原则上可以作为Meta服务的适当合法性基础。根据爱尔兰DPC的解释,个性化和个性化广告可以构成Meta和Instagram用户之间合同的核心部分。个性化广告是Instagram服务的区别因素之一,普通用户合理预期会有这样的功能。然而,爱尔兰DPC提出的位置和分析被欧洲数据保护委员会推翻。2023年10月,EDPB进一步确定Meta也不能依赖GDPR第6条第1款(f)项下的合法利益法律依据。这些决定导致对GDPR中列出的法律依据进行了更为限制性的解释,使得同意成为处理个人数据以进行个性化广告的唯一有效法律依据。
iii. 数据安全和网络安全措施中的同意
对同意的增加关注也影响了数字经济运作的基本方面,如强大的网络安全措施或防止欺诈。所有组织都必须保护其运营、用户、员工、客户和合作伙伴免受网络风险、未经授权的访问和其他犯罪活动的侵害。保障数据安全最有效的手段之一,是通过在平台生态系统中结合和交叉使用信息,这极大地有助于识别和预防复杂的网络威胁。然而,DMA特别将此类数据处理实践置于用户同意的约束之下,这为主动安全措施带来了挑战。
同样,德国联邦反垄断局也认为:“在没有特定原因的情况下,包括出于安全目的,普遍和不加选择地保留和处理数据,也是不允许的,除非给用户选择权”。然而,试图将扫描网络安全风险或欺诈活动的能力缩小到已经存在初步关注(或“原因”)的情况下,可能会严重限制组织采取预防措施的能力。如果实际上建议要求不良行为者同意检测措施,关键的安全工作可能会受到破坏。
04
同意的局限性
将同意纳入GDPR合法性基础之一反映了我们生活在一个重视个人选择的社会。在更广泛的社会中,同意构成了许多关键法律服务的基础,如合同、婚姻或房地产交易中的同意。在GDPR下,同意是个人单方面授予或撤回控制者使用其个人数据的权限的方法。在适当情况下同意或拒绝的能力赋予了个人对其个人数据的自主权和控制权。为了使个人真正获得对其个人数据的自主权,他们授予或保留同意的决定应该是知情和自愿的,并且应该有能力在任何时候撤回先前给出的同意,而不会受到不利影响。确实,当个人被要求在特定个别情况下同意时,同意可能是合法和有用的。然而,现代数据处理操作的复杂性对作为首选合法性基础的可靠知情个人同意提出了质疑,原因包括:
• 同意不具备可扩展性:在现代世界中,个人对每个预定义目的做出单一选择已经过时。
• 对个人负担过重:个人必须阅读和消化大量且复杂的信息,以做出能够保护其权利和利益的知情选择,这给他们带来了不相称的负担。
• 对第三方产生负面影响:某些处理活动可能对个人之外产生重大影响,不应受单一个人决策的制约。
B. 对个人而言的不成比例的负担
为了在GDPR下提供有效的同意,个人必须获得所有处理操作及其目的的基本信息。因此,同意表格变得极其具有挑战性,因为现代处理现实的复杂性。即使是设计得最好的同意表格,也必须以GDPR第42条序言所要求的“易于理解和易于访问的形式,使用清晰和简单的语言”来反映所有处理操作和处理的个人数据类型,这使得它们不必要地变得冗长。
此外,一天中向个人展示的同意表格数量之多,使得不可能在不将它们简化为仅仅是勾选框练习的情况下满足所有要求。研究人员发现,一个人每年需要76个工作日来阅读他们遇到的所有隐私政策。
正如Richards和Hartzog所说,“我们过度使用同意这一工具,以至于它已经严重受损”。 欧洲委员会在其“Cookie承诺倡议”中承认了同意疲劳的挑战。委员会提出了几项承诺原则,试图在仍然赋予消费者做出知情选择的能力的同时,限制一些同意请求。该倡议最终未能在简化目标与现有的电子隐私指令和GDPR严格的法律框架之间达成和解。
C. 个人同意决定对第三方的负面影响:数据安全和欺诈预防
数字产品和服务经常进行交互,涉及交换影响多个用户的数据。同样,一个人在平台上的行为可能会影响到许多其他个体。同意的概念基于个人行使选择的理念,但在数字环境中,它不可避免地触及到第三方的权利,无论是平台还是其他用户。
这一点在欺诈预防和网络安全措施的背景下变得非常明确。如前所述,DMA第5条第2款有可能使网络安全和欺诈预防措施受到同意的约束。同样,如上所述,德国联邦反垄断局已建议,一般预防措施也应受到同意的约束。
在这两种情况下,这最终意味着需要恶意行为者的同意来处理旨在检测其恶意活动的数据。然而,显然,甚至在法律上要求,组织必须保护自己及其商业伙伴或最终用户免受安全入侵、未经授权的访问、欺诈和网络攻击的侵害。要求事先同意可能会干扰数字服务的正常运行,并对第三方产生负面影响。GDPR第49条序言明确指出,为了网络和信息安全的处理是数据控制者的合法利益。一些处理决定不应“完全受一方变幻莫测的自由意志的支配”。
05
在GDPR下,合法利益
和合同必要性的作用
对同意的明显偏好与对GDPR其他合法性基础的更为保守的解释相伴而生,这导致市场上对它们的使用犹豫不决。这与GDPR提供多个合法性基础且不偏好其中一个的事实直接冲突。对其他依据的过度限制性解释可能导致组织试图依赖同意,即使在依赖合法利益或合同必要性更为合适的情况下也是如此。
这可能导致组织考虑完全不进行,包括在涉及对个人风险很小或没有风险的创新数据使用案例中。例如,在COVID-19大流行期间,私人组织对于他们是否可以依赖公共利益或合法利益来进行与大流行相关的数据分析和研究以应对大流行感到不明确。
虽然欧洲法院最近确认商业利益确实可以被视为GDPR第6条第1款(f)项中的“合法”利益是一个重要的里程碑,但对于在欧洲用于训练AI的合法利益法律依据的适用性仍然存在不确定性。这已经成为欧洲数据保护当局多次咨询的主题。
A. 合同必要性
GDPR提供的合同必要性合法性基础允许组织为履行合同或在个人请求签订合同之前采取步骤而处理个人数据。然而,EDPB和CJEU对合同必要性合法性基础进行了严格限制性解释,为其使用设定了很高的门槛。然而,合同必要性法律依据可能对组织和个人都有益。
合同必要性作为合法基础的关键特点和好处
合同必要性法律依据增强了数字自主权
使用合同必要性的一个主要论点是它增强了数字自主权。合同能够赋予个人选择他们想要分享的数据以换取服务的能力。例如,个人可能会与组织签订合同,以便免费获得他们的在线服务,否则这些服务将需要用户付费。赋予用户签订真正合同的能力,使个人能够就其数据的使用达成互利的合同协议,增强了数字自主权。
合同必要性合法性基础确保了个人的清晰度
合同必要性合法性基础的本质要求存在一个在实质上清晰并包含基本目标的合同。当组织依赖这一合法性基础时,它需要在合同中定义其处理的范围,而合同又受到健全的国内合同法的管辖。这为个人提供了关于组织活动的清晰度以及关于其权利的法律确定性。
合同必要性合法性基础在更广泛的合同法框架内提供保护
此外,现有的国内法律已经提供了促进实质性合同自主权的保护。合同法解决了透明度、信息不对称、权力不平衡和不公平条款使用等问题。这些保护措施有助于确保合同代表了各方之间真实和平衡的协议。特别是EDPB设定的高门槛限制了这一法律依据在数字经济背景下的实用性。
B. 合法利益
一些关于合法利益合法性基础的保留意见往往没有认识到,这一法律依据实际上伴随着强有力的问责和风险评估义务,为个人提供了真正的保护。
合法利益作为合法性基础的关键特点和好处
合法利益合法性基础依赖于组织强有力的问责制
GDPR是基于问责的法律,要求组织将数据隐私法律要求转化为基于风险的具体、可验证和可执行的行动和控制措施。这与组织展示这些行动和控制措施的存在和有效性的能力相辅相成,无论是内部还是外部。GDPR下的合法利益合法性基础依赖于问责原则。为了依赖它,组织必须进行平衡测试,评估与处理操作相关的潜在风险和竞争的个人利益、权利和自由,并定义减轻风险的措施。此外,组织必须记录这些评估,并能够展示结果。
合法利益法律依据反映了风险为本的方法,这对组织和个人都有益
GDPR的风险为本方法是合法利益法律依据的固有特性。组织只有在处理对声明的合法利益是必要的,并且不会对个人造成伤害风险时,才能依赖这一法律依据。它要求组织进行必要的风险评估,定义缓解措施,对员工进行风险和缓解措施的培训,监控缓解措施的持续有效性,识别潜在的合规差距,修复它们,并不断提高保护水平。合法利益评估可以成为整体风险评估实践的一部分。
合法利益合法性基础是情境性的,依赖于逐案评估
合法利益评估与特定情境中的处理活动相关联。因此,其结果并非一成不变,可能会根据处理活动的性质、对个人造成伤害的可能性和严重性、组织实施的缓解措施以及个人合理的预期而有所不同。因此,重要的是不要在未进行特定案例的风险分析的情况下,预先假定某些类型的个人数据和数据处理活动本质上不适用合法利益合法性基础。
06
同意之外:从同意转移并
增强使用其他合法性基础
全球范围内,人们也认识到了同意的局限性和适应数字环境现实的必要性。
b.在美国,联邦贸易委员会的代表对通知和选择模型的同意的有效性表示了一些怀疑。
c.新加坡修正了其数据保护框架(Personal Data Protection (Amendment) Act 2020)引入了更广泛的豁免,以获得一般要求的同意,包括处理是在组织的合法利益之内的情况。
在新加坡的合法利益例外下,组织现在能够在不获得同意的情况下处理个人数据,只要它在他们的合法利益之内,并且他们进行对个人不利影响的平衡测试。修正后的数据保护法还引入了业务改进例外,即组织在改进服务、开发新产品、进行分析或个性化时不需要获得同意。修正案还引入了“视为同意”的概念,在某些情况下,个人可以被“视为”已经给予同意。如果个人事先被通知处理情况,他们可以被视为同意进一步处理,这种情况下,组织将必须进行平衡测试,以确保对个人没有不利影响,并确保他们的通知和退出期限是足够的。此外,当组织共享个人数据,这是合理必要的,以缔结或执行组织之间的合同时,个人可以被认为已经同意处理个人数据。
d. 加拿大也提出了修正其数据保护框架(Bill C-27)的提议,在消费者隐私保护法草案中引入了许多不同的豁免,以便收集、使用或披露个人信息时无需同意。这些豁免之一与GDPR下处理的合法利益基础类似:草案法律的第18条规定,组织可以在未经同意的情况下收集或使用个人信息。这是可能的,在收集或使用是为了商业活动,并且一个理性的一般人会期望这种收集或使用用于该活动,并且个人信息不是收集或使用以影响个人的行为或决策为目的的情况下。
07
重新思考欧盟数字战略:
走向更平衡的方式
欧盟最近的数字战略,虽然旨在推动数据经济,但由于过度依赖同意作为数据处理的合法性基础,带来了挑战。
尽管同意是表达个人自主权的基石之一,但其广泛的应用常常导致“同意疲劳”,因为个人面临过多和复杂的请求,这削弱了他们做出知情决定的能力。这些局限性不仅使用户自主权承压,还降低了数字生态系统的效率。
-对个人的负担:知情同意所需的信息复杂性和数量给个人带来了不成比例的负担,导致同意疲劳和潜在的非知情决定。
相比之下,结合强有力的问责制和风险评估的合法利益,提供了一种更灵活和平衡的方法。它允许组织在确保个人保护的同时,出于超出最初收集点的目的处理数据,通过透明度、反对权和基于情境的风险方法来确保个人保护。
像英国、美国、新加坡和加拿大这样的司法管辖区的经验,突显了全球从严格依赖同意转向更平衡的方法的趋势,认识到合法利益和合同必要性在实现负责任数据处理中的价值。
这种不断演变的格局为韩国在实施其个人信息保护法(PIPA)修正案时提供了宝贵的教训。虽然向更大程度地依赖合同必要性的转变是积极的,但对于PIPC来说,提供关于其应用的明确指导方针至关重要,特别是在目标广告和生物识别数据收集等领域。
08
韩国的发展:
可以从欧洲学到什么教训?
在韩国,个人信息的处理主要由个人信息保护法(PIPA)及其实施条例——PIPA执行令来管理。以前,企业主要依赖于获取同意作为处理个人数据的法律依据,而不是其他依据,如合同必要性或数据控制者的合法利益。这种依赖主要是由于需要证明这些替代法律依据所要求的必要性所带来的负担。
然而,随着PIPA在2024年3月15日生效的最新修正案,同意可能不再作为数据处理的主要法律依据,因为企业不再需要在合同环境中证明处理个人数据的“不可避免的必要性”。修正后的第15条第1款第4项现在允许在以下情况下进行处理:(i)执行数据主体和数据控制者之间的合同所必需的;或(ii)在订立此类合同过程中应数据主体的请求采取措施。
例如,(i)当在线购物平台从客户那里收到产品订单并处理个人数据,如客户的地址、联系方式和支付信息,以履行合同——包括处理支付、送货和售后服务。(ii)当一家公司在建立雇佣合同之前收集和处理求职者的个人信息,如简历、毕业证书和学术成绩单。
同时,去年通过了PIPA执行令的修正案,该修正案于2024年9月15日生效。这些修正案最值得注意的部分是将PIPA下有效同意的要求更接近GDPR的同意方案,取消了之前强制同意和可选同意之间的区别,从而倾向于“自由意志同意”的方法。
在PIPA执行令修正之前,企业需要分别获得“可选”同意和“强制”同意。然而,“强制同意”意味着数据主体必须提供同意,这与“在自由意志下给予的同意”的概念本质上是冲突的。认识到这一概念冲突,个人信息保护委员会(PIPC)正在从处理个人数据的“强制与可选”同意制度中转变,并试图使其他法律依据更广泛地可用。在GDPR下,处理个人数据的法律依据——如同意、合同必要性和合法利益——都被认为具有同等地位。
虽然韩国之前的制度强调同意,但这些变化为在其他法律依据下处理数据开辟了新途径,可能会减少对同意的依赖。
在某些方面,以前允许服务提供商以提供服务的必要性为由要求同意的强制同意——现在必须在合同必要性或合法利益下得到证明。当应用于定向广告时,PIPC传统上认为这种类型的广告不应受强制同意的约束(即,服务提供商不能强迫用户同意接收定向广告)。随着强制同意机制的取消,可能会出现关于定向广告现在是否可以依赖合同必要性或合法利益的问题。
数字服务正以前所未有的速度发展,许多提供商现在分析用户活动以完善他们的服务并引入新功能。特别是,越来越多的数字服务依赖于分析个性化广告来传递与个人偏好相符的内容,这成为服务本身的一个核心方面。没有个性广告,用户更有可能只遇到最受欢迎的内容,可能会错过与他们兴趣更紧密相关的内容,这些内容否则可能会被忽略。本质上,用户享受的免费服务是由广告商资助的。当企业能够使用从用户那里收集的个人数据提供相关且有兴趣的个性化广告时,提供免费服务是可能的。正如任何其他双边合同一样,在用户和服务提供商之间建立了公平的价值交换。
除了个性化广告之外,还有一些情况,仅凭可选同意可能不切实际。在韩国各地的大型公寓综合体中,为居民注册访问社区设施通常需要收集个人信息。仅使用访问密钥会带来安全风险,因为它们可以被借用,可能允许未经授权的个人进入限制区域。为了解决这个问题,收集生物识别数据以确保安全访问可能变得至关重要。这些情况曾经通过强制同意来管理,现在可能属于合同必要性或合法利益。然而,对于这种转变的明确指导仍然有限,为企业创造了一些不确定性。
正如在德国联邦反垄断局案中,CJEU严格解释了合同必要性和Facebook的合法利益,韩国的个人信息保护委员会(PIPC)也可能采取限制性方法,拒绝合同必要性适用于使用第三方数据进行个性化广告。许多企业的未来发展,其核心商业模式依赖于个性化和个性化广告,取决于PIPC如何解释这个问题。
此外,从“强制与可选”同意制度的转变可能会为企业带来解释上的挑战,特别是在特定场景中。例如,在修正案之前,无论委托是否用于营销目的,数据的海外转移以委托处理为目的都不需要同意。然而,在修正后的框架下,当转移旨在用于与营销相关的委托时,这种豁免是否仍然适用?修正案之后,似乎只有被认为对合同义务至关重要的海外委托处理才免于同意要求。然而,这取决于“合同必要性”在海外数据转移背景下的解释。鉴于PIPA修正案的历史背景和既定的行业实践,依赖可选同意将个人数据委托给海外实体以传递营销信息似乎不切实际。因此,PIPA执行令的最新修正可能会在商业运营的未预见领域引起关注。
鉴于这些变化,修正后的PIPA框架反映了向更灵活环境的重大转变。通过扩大合同必要性和合法利益的适用性,韩国的数据保护制度允许采取一种细致入微的方法,既支持创新又保护用户权利。由于世界数字经济高度依赖个人数据以提供个性化体验,根据这些合法性基础处理数据的能力对于维持服务的相关性和在快速发展的数字经济中的竞争力至关重要。展望未来,平衡应用这些新标准——辅以持续的监管指导——对于确保数据驱动的服务能够继续繁荣而不损害隐私和用户自主权的基本原则至关重要。
建议
在韩国PIPA修正案的背景下,我们提出以下建议:
1. 全球司法管辖区应谨慎复制欧盟框架下确立的数据保护概念和政策。尽管欧盟被认为是拥有最全面的数据保护框架之一,但其对数字经济的明显局限性和负面影响应该被仔细检查,并进行全面考虑。
2. PIPC应澄清他们将维持当前关于强制与可选同意的同意实践。这种方法已被证明对企业来说是可行的。
3. 进一步鼓励PIPC探索放宽替代法律依据的可能性,以促进合理的数据处理活动,如合法利益或合同必要性。在评估替代法律依据时,监管机构必须采取全面的方法,考虑到:
(i) 某些处理活动发生的更广泛背景,包括服务提供商和用户之间的合同关系经济现实;
(ii) 某些数据对于提供服务的基本性质,而不是试图采取形式主义的方法。
附录
欧盟立法中同意要求的激增
以下是一些近期立法发展的概览:
数字市场法案(DMA)
• 第5条第2款 数据组合和融合数据 - 禁止在守门人服务中组合数据和融合个人数据,除非最终用户已经给予符合GDPR要求的同意。
DMA在GDPR第6条下有其他三个法律依据,即(i)遵守法律义务,(ii)保护数据主体或其他自然人的重要利益,或(iii)为公共利益执行任务所必需,但明确排除了合法利益或合同必要性。
数字服务法案(DSA)
• 第26条第3款 在线平台广告 - 提供在线平台的服务提供商不得基于使用GDPR下特殊类别的个人数据进行的画像,向服务接收者展示广告。
• 第68条序言 - 与广告有关的要求不影响GDPR相关条款的适用,特别是处理个人数据用于目标广告之前需要获得数据主体同意。
数字治理法案(DGA)
• 第5条第6款 重复使用条件 - 如果由于缺乏安全的处理环境而不允许数据重复使用,并且如果没有GDPR下传输数据的法律依据,公共部门机构应尽最大努力协助潜在重复使用者寻求可能受到此类重复使用影响的数据主体的同意。
• 第25条 欧洲数据利他主义同意书 - 委员会可以开发一个欧洲数据利他主义同意书,以促进基于数据利他主义的数据收集,该同意书应允许在成员国之间收集同意。在提供个人数据的情况下,欧洲数据利他主义同意书应确保数据主体能够根据GDPR给予和撤回对特定数据处理的同意。
• 序言第54条 - 通常情况下,数据利他主义将依赖于数据主体根据GDPR第6条第1款(a)项和第9条第2款(a)项的同意,并符合GDPR第7条的合法同意要求。
电子隐私指令和提议的电子隐私条例(EPR)以取代电子隐私指令
电子隐私指令和EDPB关于电子隐私指令第5条第3款技术范围的指南
• 电子隐私指令主要要求在涉及存储或访问用户设备上信息的情况下获得个人同意。例如,在以下情况下需要同意:cookies和类似技术、直接营销通讯、位置数据等。
然而,最近通过的EDPB关于电子隐私指令第5条第3款的解释指南显著扩大了“获取访问”、“存储信息”和“终端设备”的概念范围,结果将几乎没有或根本没有互联网通信超出需要个人同意的范围。
提议的电子隐私条例——以取代电子隐私指令
• 第6条 允许处理电子通信数据——电子通信服务提供商可以处理电子通信数据:
• 第6条第2款(c)项 元数据——如果最终用户为一个或多个特定目的给予同意,前提是所涉及的目的不能通过处理匿名信息来实现。
• 第6条第3款(a)和(b)项 内容——如果所有最终用户为一个或多个特定目的给予同意,并且(a)相关服务不能在不处理此类内容的情况下实现,或(b)不能通过处理匿名信息来实现,并且提供商已经咨询了监管机构。
• 第8条第1款(b)项 保护存储在最终用户终端设备中和与最终用户终端设备相关的信息——禁止使用终端设备的处理和存储能力以及从最终用户的终端设备收集信息,除非(b)最终用户予以同意。
• 第10条 提供信息和隐私设置选项——(1)投放市场的允许电子通信的软件应提供防止第三方在最终用户的终端设备上存储信息或处理已经存储在该设备上的信息的选项。(2)在安装过程中,软件应通知最终用户有关隐私设置选项,并要求最终用户同意一个设置才能继续安装。
• 第15条 公开可用目录——公开可用目录的提供商应获得最终用户的同意,以将他们的个人数据包含在目录中(…)。
• 第16条 不请求的通信——自然人或法人可以使用电子通信服务向已给予他们同意的自然人最终用户发送直接营销通信。
修订的支付服务指令(PSD2)
• 第64条 同意和撤回同意——要求付款人对执行交易给予明确同意,该同意可以在支付服务提供商收到之前随时撤回。
