Loading
2018-07-24 11:28:00
上回說(shuō)到GDPR的基本情況及其與我國(guó)企業(yè)間的重要關(guān)系,然而不論是討論整個(gè)行業(yè)的生態(tài)進(jìn)步還是單個(gè)企業(yè)的戰(zhàn)略發(fā)展,GDPR意義的實(shí)現(xiàn)最終要落腳于GDPR的具體制度。
本文將以GDPR體系下的基本原則和主體權(quán)利為基礎(chǔ),以新時(shí)代的用戶“同意”要求為重點(diǎn),對(duì)GDPR的重要制度進(jìn)行系統(tǒng)化的講解。
二.GDPR的兩大基石
——基本原則與主體權(quán)利
(一)GDPR基本原則
(二)主體權(quán)利
不難看出,GDPR雖以分散列舉的模式規(guī)定了數(shù)據(jù)處理的基本原則以及數(shù)據(jù)主體的權(quán)利(具體種類見(jiàn)上圖),但實(shí)質(zhì)上,二者之間并非相互獨(dú)立、割裂,而是彼此呼應(yīng)、支持的。GDPR的基本原則貫穿于立法全文,直接體現(xiàn)了GDPR的價(jià)值追求與規(guī)制方向,而主體權(quán)利則在前者基礎(chǔ)上構(gòu)筑起更為具體、可操作的制度,為數(shù)據(jù)主體維護(hù)自身權(quán)益提供了更直接的手段。
應(yīng)當(dāng)注意的是,對(duì)GDPR的了解絕不只是紙上談兵。我國(guó)互聯(lián)網(wǎng)巨頭騰訊公司在最近修訂的國(guó)際版隱私政策中便直接反映了GDPR基本原則與主體權(quán)利的要求:
從本章的規(guī)定中可以看出隱私政策的修改應(yīng)對(duì)GDPR的痕跡十分明顯。從形式上看,本章專列了“信息處理的法律基礎(chǔ)”一章,專門就自身所確定的信息與GDPR的規(guī)制要求做出明確的對(duì)應(yīng)。從內(nèi)容上看,本章將所收集的數(shù)據(jù)范圍、目的以及必要性都做出了清晰的講解,反映了GDPR合法、合理、透明原則,目的限定原則的要求,切實(shí)保障了用戶的知情權(quán)。
隱私政策中“您的權(quán)利”一章中更是直接以列舉的方式體現(xiàn)了GDPR所規(guī)定的糾正權(quán)、反對(duì)權(quán)、可攜帶權(quán)等內(nèi)容。同時(shí),具體的權(quán)利實(shí)現(xiàn)方法也被告知給用戶,從而從實(shí)踐層面推進(jìn)用戶權(quán)利的實(shí)現(xiàn)。
二. GDPR時(shí)代下的用戶“同意”
自互聯(lián)網(wǎng)行業(yè)發(fā)展伊始,用戶的“同意”便是企業(yè)機(jī)構(gòu)取得用戶數(shù)據(jù)處理權(quán)限的最常用而直接的方式,我國(guó)《網(wǎng)絡(luò)安全法》更是以用戶同意作為唯一明文規(guī)定的數(shù)據(jù)處理合法性基礎(chǔ)。但在過(guò)去的實(shí)踐中,用戶同意不僅未表現(xiàn)用戶真實(shí)意思,反而成為了企業(yè)非法處理數(shù)據(jù)的保護(hù)傘。針對(duì)此現(xiàn)狀,GDPR第4條與第7條要求有效的用戶同意必須滿足以下條件:
(一)用戶“同意”應(yīng)由其自由做出—-給予用戶真正的選擇權(quán)
保障用戶的自主選擇必須突破企業(yè)“take-it-or-leave-it”模式的限制,具體包括:
①用戶必須有權(quán)拒絕“同意”而不受到額外的損害
此要求直接杜絕了企業(yè)以不提供或限制提供服務(wù)相威脅,迫使企業(yè)非自愿地表示“同意”企業(yè)的數(shù)據(jù)處理。但此項(xiàng)要求并未否認(rèn)企業(yè)為表示同意的用戶提供一定額外福利的做法。因此企業(yè)在設(shè)計(jì)這種差異待遇時(shí),應(yīng)謹(jǐn)慎把握“損害”與“額外福利”的界限。
②“同意”不得與其他條件相捆綁
用戶對(duì)特定數(shù)據(jù)處理的“同意”應(yīng)被給予單獨(dú)的許可選項(xiàng)。但若將數(shù)據(jù)處理的“同意”條款與其他條款(包括不同類型的數(shù)據(jù)處理)相捆綁,則變相地剝奪了用戶自由選擇的權(quán)利。
(二)從內(nèi)容上看,用戶“同意”應(yīng)當(dāng)是具體的、知情的
出于透明性原則與知情權(quán)的要求,一方面,用戶“同意”的內(nèi)容必須覆蓋數(shù)據(jù)控制者的身份、數(shù)據(jù)處理目的、處理范圍、告知撤銷權(quán)等重要內(nèi)容。另一方面,有效的“同意”必須是簡(jiǎn)明易懂的,含糊不清、難以理解的表述將使該“同意”內(nèi)容無(wú)效化。
值得注意的是,用戶 “同意”范圍并不會(huì)隨著數(shù)據(jù)處理活動(dòng)的變化而自動(dòng)擴(kuò)張。因此,數(shù)據(jù)控制者應(yīng)當(dāng)就處理活動(dòng)新增的部分及時(shí)地與用戶進(jìn)行更新確認(rèn),否則將構(gòu)成對(duì)“同意”要求的違背。
(三)從方式上看,用戶“同意”應(yīng)當(dāng)是明確不含糊的
用戶的“同意”與否與相應(yīng)的內(nèi)容都應(yīng)當(dāng)是十分清楚的,具體有以下兩個(gè)要求:
①在用戶“同意”必須以明確同意的方式完成
為了杜絕模糊空間的存在,“我已瀏覽全文并知悉雙方權(quán)利義務(wù)情況,并同意此項(xiàng)協(xié)議”這種模式將被禁止。相對(duì)的,用戶應(yīng)以更加明確、針對(duì)性地方式表示“同意”。
②用戶“同意”應(yīng)以肯定性操作完成,選擇退出的模式不得適用
基于GDPR對(duì)用戶“同意”的要求,那些基于用戶的疏忽、慣性而設(shè)置的選擇退出模式都是不被接受的,例如用戶單純的沉默、系統(tǒng)預(yù)先的勾選。相反,用戶應(yīng)以主動(dòng)、明確的肯定性方式完成“同意”,例如采用書面聲明、網(wǎng)頁(yè)勾選(未被預(yù)勾選)等。
綜上,基于GDPR的規(guī)定,以下常見(jiàn)情形將被評(píng)價(jià)為無(wú)效的“同意”。
四、結(jié)語(yǔ)
知之愈明,則行之愈篤。為應(yīng)對(duì)GDPR的挑戰(zhàn),企業(yè)進(jìn)行具體內(nèi)部建設(shè)的前提是對(duì)GDPR的重要制度的準(zhǔn)確理解。而GDPR所確立的基本原則、主體權(quán)利與“同意”條件是其中實(shí)體規(guī)范的主要內(nèi)容,企業(yè)應(yīng)當(dāng)予以足夠的重視。
注:感謝實(shí)習(xí)生黃宇哲為這篇文章做的支持工作。