Loading
2018-07-24 11:28:00
上回說到GDPR的基本情況及其與我國企業間的重要關系,然而不論是討論整個行業的生態進步還是單個企業的戰略發展,GDPR意義的實現最終要落腳于GDPR的具體制度。
本文將以GDPR體系下的基本原則和主體權利為基礎,以新時代的用戶“同意”要求為重點,對GDPR的重要制度進行系統化的講解。
二.GDPR的兩大基石
——基本原則與主體權利
(一)GDPR基本原則
(二)主體權利
不難看出,GDPR雖以分散列舉的模式規定了數據處理的基本原則以及數據主體的權利(具體種類見上圖),但實質上,二者之間并非相互獨立、割裂,而是彼此呼應、支持的。GDPR的基本原則貫穿于立法全文,直接體現了GDPR的價值追求與規制方向,而主體權利則在前者基礎上構筑起更為具體、可操作的制度,為數據主體維護自身權益提供了更直接的手段。
應當注意的是,對GDPR的了解絕不只是紙上談兵。我國互聯網巨頭騰訊公司在最近修訂的國際版隱私政策中便直接反映了GDPR基本原則與主體權利的要求:
從本章的規定中可以看出隱私政策的修改應對GDPR的痕跡十分明顯。從形式上看,本章專列了“信息處理的法律基礎”一章,專門就自身所確定的信息與GDPR的規制要求做出明確的對應。從內容上看,本章將所收集的數據范圍、目的以及必要性都做出了清晰的講解,反映了GDPR合法、合理、透明原則,目的限定原則的要求,切實保障了用戶的知情權。
隱私政策中“您的權利”一章中更是直接以列舉的方式體現了GDPR所規定的糾正權、反對權、可攜帶權等內容。同時,具體的權利實現方法也被告知給用戶,從而從實踐層面推進用戶權利的實現。
二. GDPR時代下的用戶“同意”
自互聯網行業發展伊始,用戶的“同意”便是企業機構取得用戶數據處理權限的最常用而直接的方式,我國《網絡安全法》更是以用戶同意作為唯一明文規定的數據處理合法性基礎。但在過去的實踐中,用戶同意不僅未表現用戶真實意思,反而成為了企業非法處理數據的保護傘。針對此現狀,GDPR第4條與第7條要求有效的用戶同意必須滿足以下條件:
(一)用戶“同意”應由其自由做出—-給予用戶真正的選擇權
保障用戶的自主選擇必須突破企業“take-it-or-leave-it”模式的限制,具體包括:
①用戶必須有權拒絕“同意”而不受到額外的損害
此要求直接杜絕了企業以不提供或限制提供服務相威脅,迫使企業非自愿地表示“同意”企業的數據處理。但此項要求并未否認企業為表示同意的用戶提供一定額外福利的做法。因此企業在設計這種差異待遇時,應謹慎把握“損害”與“額外福利”的界限。
②“同意”不得與其他條件相捆綁
用戶對特定數據處理的“同意”應被給予單獨的許可選項。但若將數據處理的“同意”條款與其他條款(包括不同類型的數據處理)相捆綁,則變相地剝奪了用戶自由選擇的權利。
(二)從內容上看,用戶“同意”應當是具體的、知情的
出于透明性原則與知情權的要求,一方面,用戶“同意”的內容必須覆蓋數據控制者的身份、數據處理目的、處理范圍、告知撤銷權等重要內容。另一方面,有效的“同意”必須是簡明易懂的,含糊不清、難以理解的表述將使該“同意”內容無效化。
值得注意的是,用戶 “同意”范圍并不會隨著數據處理活動的變化而自動擴張。因此,數據控制者應當就處理活動新增的部分及時地與用戶進行更新確認,否則將構成對“同意”要求的違背。
(三)從方式上看,用戶“同意”應當是明確不含糊的
用戶的“同意”與否與相應的內容都應當是十分清楚的,具體有以下兩個要求:
①在用戶“同意”必須以明確同意的方式完成
為了杜絕模糊空間的存在,“我已瀏覽全文并知悉雙方權利義務情況,并同意此項協議”這種模式將被禁止。相對的,用戶應以更加明確、針對性地方式表示“同意”。
②用戶“同意”應以肯定性操作完成,選擇退出的模式不得適用
基于GDPR對用戶“同意”的要求,那些基于用戶的疏忽、慣性而設置的選擇退出模式都是不被接受的,例如用戶單純的沉默、系統預先的勾選。相反,用戶應以主動、明確的肯定性方式完成“同意”,例如采用書面聲明、網頁勾選(未被預勾選)等。
綜上,基于GDPR的規定,以下常見情形將被評價為無效的“同意”。
四、結語
知之愈明,則行之愈篤。為應對GDPR的挑戰,企業進行具體內部建設的前提是對GDPR的重要制度的準確理解。而GDPR所確立的基本原則、主體權利與“同意”條件是其中實體規范的主要內容,企業應當予以足夠的重視。
注:感謝實習生黃宇哲為這篇文章做的支持工作。