迷霧中的新航向:2018年資料保護政策趨勢展望
引言
為深度、全面展現2018政策重點與全貌,變革與走向,我們完成了——“迷霧中的新航向:2018年資料保護政策觀察”。本年度報告共分為三篇,由公號陸續推送:
| 1 |
|
| 2 |
|
| 3 |
2019年資料保護政策趨勢展望(本篇)本篇帶來資料保護政策總體走向分析,特別是歐盟未來的立法重點——e-Privacy Regulation以及美國聯邦及州層面隱私立法趨勢。此外還特別對區塊鏈、人臉識別新技術應用相關的資料政策趨勢進行了展望。 |
2019年資料保護政策趨勢展望
一、 歐美總體政策趨勢
在全球資料保護法律政策中,歐美仍將扮演引領性角色。
(一) 歐盟 “e-Privacy Regulation”或帶來更嚴格規制
在GDPR之後,歐盟未來的資料保護立法重點無疑在《隱私與電子通訊條例》(Regulation on Privacy and Electronic Communications,又稱 “e-Privacy Regulation”, e-PR)。2017 年1 月10 日,歐盟委員會公佈了e-PR草案,旨在規範電子通訊服務並保護與使用者終端裝置相關的個人資訊。e-PR將取代當前的《電子隱私指令》(e-Privacy Directive,簡稱“e-PD”),實現更嚴格更全面的電子通訊資料保護,也將作為GDPR的特別法與之並行,在電子通訊資料方面對GDPR進行具體化和補充[1]。
一方面,e-PR與GDPR存在一致性。兩者在關於隱私和資料的相關定義、技術和組織安全標準、罰則等方面均保持了一致。 另一方面,兩者也存在一定的區別。 GDPR是為了體現《歐洲人權憲章》第八條保護個人資料方面的目標;而e-PR則是落實《憲章》第七條:“每個人在其私人和家庭生活、家庭和通訊方面都有權受到尊重”。也有分析認為,在適用性方面,由於e-PR覆蓋面廣泛且規則更嚴格,特別是其關於資料處理的合法情形更加限縮,某種程度上將取代GDPR。
e-PR將適用於線上通訊服務、使用線上跟蹤技術或從事電子直接營銷的企業,包括即時通訊、VoIP 等OTT 服務商,如WhatsApp、Facebook Messenger、Skype 等;保護範圍不僅包括通訊內容,還涉及時間、地點、來源等標記通訊內容的元資料。e-PR的前身e-PD經常被稱為cookie指令,但其實,e-PD 和e-PR不僅僅是關於cookie資訊留存和訪問的規定,它還涉及電子通訊和保密權、隱私資料保護等資料安全的其他方面。
e-PR原計劃於2018年5月25日生效,但目前訊息稱其生效時間將推遲到2019年,不論如何,e-PR生效實施將對電子通訊行業的資料處理活動帶來重大影響。
(二) 美國聯邦與地方隱私立法的互補
雖然在近二十年裡,美國聯邦層級的隱私立法並未有實質性推進,[2]但在Facebook資料洩露事件後,建立美國聯邦層面的統一隱私立法似乎已經成為了新的共識。[3]但同時,考慮到 美國各州差異巨大,能在聯邦層面達成共識的隱私立法不會過於詳實 ,具體的執法細則應根據各州的具體情況進行規定,制度規範也不會像GDPR那般嚴苛,而是更加註重消費者保護的實際效果和促進企業發展、技術創新之間的平衡。
與美國聯邦隱私立法的緩慢程序情形相比,美國部分州和城市的隱私立法呈現出不同景象。
全美各州都制定了資料洩露通知法,在今年爆發大規模資料洩露事件的影響下,美國各州進一步完善資料洩露通知法。很多州立法中引入了向受資料洩露影響的個人提供免費信用監測服務的規定。例如特拉華州要求公司在特定情況下向受資料洩露影響的個人提供一年的免費信用監測服務。[4]
資料洩露制度最早起源於加州2002年《資料洩露通知法案》,這一制度有兩個主要功能。其一,為企業保護敏感資料提供動力,因為公開披露的資料安全事件會損害企業聲譽並觸發昂貴的補救活動。其二,通知資料洩露的個人,使其能夠迅速做出反應,以減少潛在的損害。[5] 但是在資料洩露事件多發的背景下,《資料洩露通知法》所發揮的實際作用仍有待實踐檢驗。 公司對《資料洩露通知法》的遵守意識和程度並不盡如人意。特別是對於資源較少的小公司,令其承擔證明安全程式合理或在資料洩露的情況下提供免費的信用監測的義務並不現實。此外,由於資料洩露的規模不斷擴大,欺詐手段的不斷演化升級,資料洩露通知制度對於預防減少欺詐的作用,關聯度已越來越弱。
而在資料洩露通知等傳統立法領域之外,部分州將目光轉向了新興業務領域的資料安全問題。2018年9月28日,加州通過《資訊隱私:連線裝置法案》(SB-327 Information privacy: connected devices)。該法案旨在管理物聯網裝置,是美國首部關於“物聯網”隱私的州立法。該法案規定,任何與網際網路相連的“智慧”裝置的製造商都必須確保該裝置具有“合理”的安全功能,“保護裝置和其中包含的任何資訊不受未經授權的訪問、破壞、使用、修改或披露”。
除了州立法外,為了應對與智慧城市大資料相關的隱私問題,城市隱私保護法律法規在美國興起,成為繼聯邦和州隱私立法之後的第三個層次的隱私保護的制度來源,其主要覆蓋對警方使用資料的規制,如西雅圖市議會修訂監視條例,以避免公共生活中存在普遍和持續的監視。紐約市也建立了類似法規,並同步探索針對智慧城市使用感測器技術的指導原則。[6]這些靈活的地方立法,成為美國隱私立法的先行者,為未來聯邦層面的隱私立法起到了經驗積累作用。
二、 新興技術業務隱私保護爭議與政策趨勢
(一) 面部識別技術隱私與資料保護政策趨勢
2018年,面部識別技術發展迅猛,在安防、管理、金融、消費、社交、娛樂等多個領域得到應用。然而,面部識別技術大規模、多領域的全面應用,帶來的不僅是安全有序的社會環境、高效便捷的服務體驗,同時也造成了對隱私保護、資料安全的擔憂。
面部識別技術已經產生了一些引人注目的訴訟案件。2018年12月29日,谷歌面部識別訴訟案落下帷幕,法院支援被告谷歌公司的抗辯,以原告不存在實際損害為由駁回起訴。[7] 在該案中,原告Weiss是谷歌照片(Google photos)的使用者,但另一原告Rivera不是谷歌使用者,法院判定谷歌公司儲存和收集面部模板的行為均未造成損害,不滿足美國憲法第三條(Article III)的起訴原則(the standing doctrine),即原告沒有證明自己遭受了“事實上的傷害”。儘管在訴訟中,谷歌並未敗訴,但為了避免面部識別技術可能帶來的潛在風險,谷歌宣佈了包含結合隱私設計原則等在內的人工智慧原則[8],並提出在解決重要的技術和政策問題之前,主動推遲提供通用的面部識別API功能。[9]
消費者知情同意問題是面部識別技術應用的另一爭議點。2018年4月6日,電子隱私資訊中心(EPIC)等組織向美國聯邦貿易委員會(FTC)申訴,指控Facebook的面部識別功能缺乏有效的隱私保護措施,違反了FTC 2011年的同意令(DOCKET NO. C-4365),該同意令要求Facebook在釋出超越使用者隱私偏好的更新之前應獲得使用者肯定性的明確同意。投訴針對Facebook在2018年初生效的功能更新,即在未經人像主體或上傳照片的人同意的情況下,定期掃描使用者釋出的照片進行面部匹配和標籤。EPIC強調,這種自動的、欺騙性的、不必要的個人身份識別破壞了使用者的隱私,目前此案尚在調查中。
除了消費者知情同意問題,面部識別的資料準確性也引發爭議。2018年4月,英國《獨立報》報道稱,資料顯示,英國大都會警察使用的面部識別系統在98%的案例中會出現匹配錯誤;2018年7月,在美國公民自由聯盟(ACLU)的實驗中,亞馬遜面部識別誤判28名國會議員為罪犯,遭到15萬人聯名抗議;[10]2018年11月29日,美國七名眾議院民主黨人針對面部識別技術的準確性向亞馬遜提出問題,指出其給有色人種帶來過重負擔,並可能扼殺美國人在公共場合行使《第一修正案》權利的意願。因為人們可能出於被面部識別的恐懼,而不願積極參加抗議活動或宗教活動[11]。
同時,面部識別技術往往與龐大的個人資料庫相聯絡,因此其帶來的更深刻的問題是公共空間的匿名性悖論。在公共活動中一張臉的單個影象可以通過查閱資料庫被快速識別,而如果該資料庫與其他資料庫相連,則可能連結到無盡的個人資訊。政府執法部門可以利用該技術持續、實時、大規模監測民眾言行舉止,商家可以利用該技術記錄甚至分享消費者的購物情況及喜好。 在公共空間內,公民原來匿名環境中的安寧與自由以及隱私的基本期待被徹底顛覆。
暴露在外的面部就像一扇門,而面部識別技術則可能是開啟潘多拉魔盒的萬能鑰匙,未經主人同意就開門索取門內個人相關資訊的行為,顯然存在道德倫理上的問題。
為此,2018年7月,微軟總裁 Bradford L. Smith公開發表題為《面部識別技術:公共管制和公司責任的需要》的文章,建議美國國會展開研究並監督該技術的使用,科技公司應主動承擔道德責任,微軟公司會通過多種途徑確保這項技術以人為中心的方式發展。12月6日,Smith再次發表文章——《面部識別:是採取行動的時候了》,[12]總結了半年來的相關研究進展,提出該技術面臨偏見和歧視、侵犯隱私和民主自由的風險,分享了微軟應對面部識別技術應用問題的六項原則——公平、透明度、問責制、不歧視、通知和同意、合法監督,並在17號發表的微軟報告中具體闡釋了這六項原則。[13] 我們看到,在明確的人臉識別法律規範之前,科技公司和研究機構已主動通過自律方式積極提出建議方案。
(二) 區塊鏈的隱私和政策保護趨勢
與人臉識別技術更依賴於科技倫理來引導相比,區塊鏈技術則面臨現實的合規性問題。
儘管區塊鏈技術將有利於提升人們對個人資料的控制權,但區塊鏈去中心化的資料處理模式卻導致其與傳統中心化正規化的GDPR難以相容。
面對區塊鏈應用帶來的資料保護合規問題,法國資料保護機構CNIL在2018年9月釋出了區塊鏈GDPR指南,作出了首次官方迴應。[14]
第一,對於如何界定區塊鏈中的資料控制者和資料處理者的問題,CNIL認為在以下情況下,區塊鏈的參與者可以作為資料控制者:其一,參與者是自然人並且處理行為與專業性或商業性活動有關;其二,參與者是在區塊鏈中登記個人資料的法人。而當一組實體決定對區塊鏈進行處理操作以達到共同目的時,應由參與者對資料控制者的職責做出共同決定,即通過建立或指定一個合法人員作為資料控制者。否則,所有參與者將可能被視為聯合控制者。
第二,對於如何在區塊鏈上履行最小化原則,以儘可能減少對資料主體的風險,CNIL認為,首先應當在事前仔細評估是否需要使用區塊鏈。如果必須使用區塊鏈,則應該優先考慮受許可管理的區塊鏈。其次,在使用區塊鏈時要仔細選擇資料的註冊格式。其三,在處理目的合理且當評估證明剩餘風險可以接受時,可以使用沒有金鑰的雜湊函式儲存資料,或者在沒有金鑰的情況下以明文形式儲存資料。
第三,對於如何確保有效行使GDPR規定的資料權利,CNIL認為,首先,資訊權、訪問權和可攜帶性在區塊鏈中是可以實現的。其次,對於在區塊鏈中難以實現的擦除權,可以採取與風險最小化類似的方法,選擇適當的加密方法來儲存資料,從而更接近於實現權利的目的。其三,擦除儲存在區塊鏈之外的資料和能夠驗證的元素,消除允許訪問區塊鏈上記錄的證據,使資料獲取變得困難甚至無法檢索。
第四,對於區塊鏈的安全性問題,CNIL認為對於許可區塊鏈,可以根據參與者利益的潛在分歧或趨同,對最小數量的礦工進行評估,以確保控制鏈上不存在超過50%權力的聯盟;應制定技術和組織程式以限制潛在演算法失敗對交易安全性的影響;還應記錄用於建立交易和開發軟體變更的操作,並制定技術和組織程式,以確保計劃許可權與實際應用之間的一致性。如果區塊鏈不是公開的,應特別注意為確保區塊鏈的機密性而採取的措施。[15]
儘管CNIL最近釋出的指南確實提供了一些允許區塊鏈在GDPR下存在的解決方案,但它卻為這些解決方案在實踐中如何運作提出了更多問題。
例如,業內專家指出:將一些區塊鏈使用者歸類為資料控制者在概念上是有道理的,因為它符合GDPR的原則,但這可能很難在實踐中落實。再者, CNIL的指導可能適用於私有區塊鏈服務,但卻不適用於公共區塊鏈 。私有區塊鏈服務的所有使用者可以同意單一行為準則,而公共區塊鏈卻難以形成行為準則。同時,從技術角度來看,CNIL指南中的一些建議可能並不完全可行。雖然從本質上講,如果刪除使用者訪問區塊鏈的私鑰,則意味著在私有區塊鏈上進行了擦除。但是,銷燬私鑰是否等同於擦除,在實踐中仍是一個懸而未決的問題。[16]
在區塊鏈的使用應符合GDPR規則的問題上,除了CNIL的指導外,民間的諮詢機構也給出了相關意見。其中比較有代表性的是諮詢機構“Tech GDPR”強調的區塊鏈隱私保護需要遵循“設計隱私”理念。其闡述了這一概念所包含的七個重要原則,這些原則已被GDPR所確立,因而其已經成為必選項而不是任選項。這些原則包括:1.採取事前、預防措施;2.將隱私作為預設設定;3.將隱私融入設計;4.隱私保護和功能性兼顧;5.通過端到端的防護實現資料全生命週期的保護;6.實踐可見性與透明度,保持開放;7.尊重使用者隱私,以使用者為中心。[17]
總體看,不論是人臉識別技術,還是區塊鏈技術,都體現了現有資料法規難以適用的落差。解決的思路可以從兩端出發,一是科技行業主動自律,正如谷歌、微軟積極提出人臉識別技術及其他AI技術的使用原則,以“科技向善”的理念進行自我約束,明確技術不能突破的底線;二是立法與監管也需要不斷創新,以創造性提出解決方案。從區塊鏈資料保護規範來看,如果僅是從傳統規制思路出發,僅能能覆蓋一部分割槽塊鏈應用,而不能解決全部問題,這將會帶來規制的市場扭曲現象。
三、2019年資料保護政策關鍵詞趨勢
在資料保護政策年度觀察報告的結尾,我們選取了七個政策關鍵詞來統領展望未來資料保護政策的主要走向。
(一) 資料主權
隨著美歐相繼提出cloud法案、《電子證據跨境條例》,跨境調取電子資料證據將進一步點燃資料主權之爭。
一方面我們應認識到該問題形成的必然性:在資料化、雲化的背景下,越來越多的刑事調查取證涉及到跨境資料調取問題(據歐盟調查報告現實,超過一半以上的刑事調查將涉及到跨國電子證據調取),而傳統的雙邊司法協助條約/協定(MLAT/MLAA)的冗長低效已難以與現實需求相符合,傳統司法協作機制正面臨著前所未有的挑戰。迴避這一挑戰無助於走出現實困境。
另一方面,從美歐跨境電子證據制度改革看,雖然其制度嘗試還遠未成熟,但已顯露出基本共性——充分考慮提升跨境電子證據資料調取效率的同時,通過程式和實體機制的設計,來兼顧調取國、資料儲存國和資訊服務提供商的基本利益平衡。
正視問題並以務實態度參與跨境資料調取制度的國際規則建設,將有助於未來資料主權問題的真正落地。
(二) 資料跨境流動
如果說“資料主權”這一概念主要統領執法領域之間的國際協助機制改革帶來的資料問題,那麼“資料跨境流動”則更多描述商業語境下的數字貿易問題。2018年,無論是歐盟主導的白名單認證——“充分性”認定機制,還是美國推進的APEC隱私框架下的CBPRs機制,兩者均取得了重大積極進展。可見,隨著經濟全球化與數字化深入發展,資料跨境流動在國際貿易中愈發頻繁,建立有序的資料跨境自由流動機制在國際上已有了越來越多的共識和積極踐行者。
(三) 資料保護合規
儘管歐盟數字競爭力面臨巨大質疑和壓力,但這並不妨礙歐盟在資料保護領域持續輸送制度影響力。GDPR落地執行,以及歐盟個人資料保護國際公約(108公約)和充分性保護白名單認定程式的推進,均在不斷放大歐盟在資料保護領域的國際話語權。
2019年度伊始,法國資料保護機構CNIL完成了GDPR生效後第一案,對谷歌實施違規處罰。這其中一個容易被忽略的事實是: GDPR生效後,谷歌因為更強的合規能力,其歐盟線上廣告市場份額實際是上升的[18]。而從更巨集觀和長遠視角看,消費支出的增長以及從實體店到線上商務的持續轉變,數字廣告仍有著巨大的發展空間,不論是消費品巨頭,還是小商家廣告商,線上平臺廣告仍然是其聯絡客戶的重要工具。
因此,在未來,不論是規避處罰風險,還是在其中贏得競爭優勢,“資料保護合規”將成為包括網際網路、金融、航空、醫療等行業在內的,所有涉及個人資料處理領域的重要關切。
(四) 資料洩露
大規模資料洩露仍然是全球個人資料保護共同面臨的難點問題。傳統的“資料洩露通知”機制已暴露出其侷限性。由於資料洩露的規模不斷擴大,欺詐手段的演化升級,資料洩露通知制度對於預防減少欺詐的作用、關聯度已越來越弱。資料洩露通知機制亟待得到優化和改良。基於此,美國提出“信用監測服務”,即在特定情況下,要求公司向受資料洩露影響的個人提供免費信用監測服務,以更好地預防相關風險。同時,通過發展網路與資料安全保險市場等市場化手段來減輕資料洩露可能帶來的損害也是一種可行的方法。最後,通過技術的手段來解決負面問題,也將是重要路徑方向,包括將演算法應用於資料(Algorithm-to-the-data)以及隱私保護計算(Privacy-preserving computation)等技術方式都將會在資料安全方面發揮重要角色。未來,關於資料洩露的救濟機制將會在公、私領域下得到進一步的探索推進。
(五) 資料濫用
Facebook醜聞令各界關注到資料濫用問題的嚴重性,大型平臺也開始紛紛縮緊其平臺數據開放政策,以減少其資料被第三方濫用的風險,這一定程度上代表了平臺從開放到收緊的階段性趨勢。
這表明,在促進資料創新和保證資料安全兩個觀察維度下,對於個人資料的開放利用會得出不同的結果。從允許資料開發、激發業務創新方面,資料開放的尺度應當越大越好,而從安全和防止濫用的角度看,結論則可能完全相反。因此,解決資料濫用問題的出路不是一刀切的切斷資料共享,更為關鍵的是要採用法律、管理、技術等手段增強資料使用中的安全控制,這仍有待於未來的持續探索。
(六) 資料權屬
在法律上,關於資料權屬仍沒有明確定論,但基於該問題的研究卻已取得很多進展。企業間的資料分享和再利用不僅大量存在,而且在未來還將持續增長。目前,對於“非個人的和計算機生成的匿名化資料”,歐盟提出了創設“資料生產者權利”的設想,即資料生產者權利可以是排他性的財產權,資料生產者有權分配或許可他人使用其資料,並獨立於其與第三方之間的合同關係,這或許是一個可參考的解決方案。關於資料權屬的進一步明細化,將會助力物聯網、智慧城市、以及工業網際網路等資料處理生態的繁榮。
(七) 資料共享
資料共享是發展資料經濟的重要著力點。歐盟預測,其資料市場價值在2020年將超過1060億歐元,增長前景可期。但這有賴於建立更為完善的資料共享政策環境,以促進數字領域的無縫銜接,通過規模效應實現基於資料的新產品和新服務的大發展。
歐盟在提出GDPR的同時,對促進資料共享政策仍投入巨大精力,可以預測,在歐盟政策引領下,資料共享政策環境框架在未來仍然將會得到持續完善,包括在明確資料權屬的前提下,通過推廣許可協議做法,明確資料共享各方的資料安全責任,並配合相關審計、技術手段來增強資料共享中的安全可信水平。
主筆 | 王融 騰訊研究院資深專家
寫作團隊 | 餘春芳 助理研究員;朱家豪 助理研究員;郭雅菲 助理研究員
[1] Proposal for a Regulation on Privacy and Electronic Communications, https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications
[2] Rubinstein, Ira, Privacy Localism (September 15, 2018). NYU School of Law, Public Law Research Paper No. 18-18. Available at SSRN: https://ssrn.com/abstract=3124697 or http://dx.doi.org/10.2139/ssrn.3124697.
[3] Thune Leads Hearing Examining Safeguards for Consumer Data Privacy, https://www.thune.senate.gov/public/index.cfm/2018/9/thune-leads-hearing-examining-safeguards-for-consumer-data-privacy.
[4]Data Security Breaches, https://attorneygeneral.delaware.gov/fraud/cpu/securitybreachnotification/.
[5] Richard J. Sullivan, Jesse Leigh Maniff, Data Breach Notification Laws. This article is on the bank’s website at www. KansasCityFed.org.
[6] Rubinstein, Ira, Privacy Localism (September 15, 2018). NYU School of Law, Public Law Research Paper No. 18-18. Available at SSRN: https://ssrn.com/abstract=3124697 or http://dx.doi.org/10.2139/ssrn.3124697.
[7] Lindabeth Rivera,Joseph Weiss v. Google. Inc. No. 16 C 02714(2018).
[8] AI at Google: our principles,https://www.blog.google/technology/ai/ai-principles/
[9] https://www.blog.google/around-the-globe/google-asia/ai-social-good-asia-pacific/
[10] Amazon’s Face Recognition Falsely Matched 28 Members of Congress With Mugshots,https://www.aclu.org/blog/privacy-technology/surveillance-technologies/amazons-face-recognition-falsely- matched-28.
[11] House Democrats Worry Amazon’s Facial Recognition Tool Might Be Racially Biased,https://www.buzzfeednews.com/article/daveyalba/house-democrats-send-another-letter-to-amazon-ceo-jeff.
[12] Facial recognition: It’s time for action, https://blogs.microsoft.com/on-the-issues/2018/12/06/facial-recognition-its-time-for-action/.
[13] SIX PRINCIPLES FOR DEVELOPING AND DEPLOYING FACIAL RECOGNITION TECHNOLOGY,https://1gew6o3qn6vx9kp3s42ge0y1-wpengine.netdna-ssl.com/wp-content/uploads/prod/sites/5/2018/12/MSFT-Principles-on-Facial-Recognition.pdf.
[14]https://iapp.org/news/a/cnil-publishes-blockchain-guidance-for-gdpr-compliance/.
[15] https://www.cnil.fr/sites/default/files/atoms/files/blockchain.pdf.
[16]https://www.law.com/legaltechnews/2018/10/05/frances-regulatory-guidance-on-gdpr-blockchain-leaves -more-questions-than-answers/.
[17]https://dataconomy.com/2019/01/a-primer-to-gdpr-blockchain-and-the-seven-foundational-principles-of- privacy-by-design/.
[18]https://www.wsj.com/articles/eus-strict-new-privacy-law-is-sending-more-ad-money-to-google-1527759001?ns=prod/accounts-wsj
宣告:本文來自騰訊研究院,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。