|
【案例】
欧盟最高法院判决谷歌不必在全球范围执行“被遗忘权” 腾讯网络法专报 腾讯研究院发布2019年9月网络法专报 《腾讯网络法专报》汇集每月全球互联网法律政策新动态,涉及范围有网络安全、人工智能、数字产业、GDRP等各方面,旨在从法律政策角度,为新兴技术带来的社会问题进行专业解读。2019年9月《腾讯网络法专报》聚焦平台治理、知识产权与不正当竞争、公共数据开放、数据保护和自动驾驶五个热点区域,具体呈现为 《公共数据开放与自动驾驶篇》、 《知识产权与不正当竞争和数据保护篇》和《数据保护与平台治理篇》。 本文为Part3《数据保护与平台治理篇》全文,2019年9月《腾讯网络法专报》全部内容已于近期发布,敬请关注腾讯研究院公众号。
// 数据保护 // 国际互联网协会发布物联网隐私政策建议,呼吁加强多利益相关方协同参与的治理模式 关键词:物联网、隐私与安全挑战、多利益相关方协同参与、通过设计保护隐私 物联网(Internet of Things,IoT)的发展,将数字技术进一步地整合进了我们的生活和环境。据StrategyAnalytics统计,截至2018年底全球联网设备数量达到220亿,预计到2030年将达到500亿。[1]更进一步,物联网与人工智能的结合,将创造更加智能的交互方式。总之,物联网的社会和经济影响将是显著的,从可穿戴设备到车联网、智能家居再到万物互联,联网设备将融入我们生活的方方面面。物联网的便利性和无处不在将带来巨大的好处,但这也意味着信息收集从线上世界转移到线下世界,我们的身体和私人空间成为信息收集的来源。在这样的背景下,物联网尤其是消费物联网相关的隐私问题,成为各界关注的重点。9月19日,国际互联网协会(InternetSociety)发布了物联网隐私报告“Policy Brief: IoT Privacy forPolicymakers”,其中剖析了物联网给个人隐私保护带来的风险和挑战,并为政策制定者、IoT服务提供者和其他利益相关方提出了具体的行动建议。[2] 物联网的发展,将网络连接和计算能力延伸到了计算机以外的物体、传感器和日常物品,使得这些设备可以在较少人类干预的情况下生成、交换和消耗数据。如今,物联网呈现出规模化(联网设备数量持续增多)、亲密性(可穿戴设备和植入人体的设备等)、无处不在、始终联网、智能化等发展趋势,这可能冲击个人隐私保护,使得个人可以被更容易地识别、追踪、画像和影响。物联网对个人隐私保护的挑战主要体现在五个方面:第一,物联网跨越了不同部门和不同法域的监管界限。一方面,隐私立法倾向于按领域划分,例如医疗隐私、金融隐私、学生隐私等等,物联网设备和服务很难划入其中。另一方面,不同国家和地区可能针对物联网设备和服务制定不同的隐私立法,当数据收集和处理发生在不同法域时,将面临不同的监管。第二,物联网增加了用户知情同意的难度。当物联网被部署在家里、零售商店、公共场所时,获得设备所有者以外的人的知情同意几乎是不可能的。IoT设备提供给用户的交互界面既没有展示,也没有提供数据和功能控制选项。此外,人们可能意识不到IoT设备的存在,也没有能力退出被动的数据收集。第三,可穿戴设备、智能家居等物联网应用模糊了私人空间和公共空间的边界。第四,物联网设备的监测和记录能力往往是不透明的、隐秘的,不易被察觉。物联网设备和手表、音箱、电视等司空见惯的事物没什么区别,所以人们很难知道设备是不是在收集、处理数据。第五,物联网挑战了隐私保护的透明度原则。例如,与网站、APP等不同的是,IoT设备和服务可能无法向用户展示其隐私政策,可能也不能很好地告知用户其在收集数据。 为了更好地应对这些挑战,加强物联网相关的个人隐私保护,国际互联网协会提出了四个方面的建议:第一,加强用户对IoT设备和服务的有意义控制,并加强物联网数据管理。具体包括:明确服务提供者的责任,包括收集个人数据应获得用户的知情同意、提升透明度、安全存储数据等;在IoT设备和服务中推行开放标准和互操作性;鼓励数据最小化的做法。第二,提升用户数据收集使用的透明度。例如以用户易于理解的方式向用户通知IoT设备的能力和数据收集情况,为用户设置有效的同意和选择退出功能,提高隐私政策的明确性,在数据生命周期全过程提升透明度,确保隐私和安全在产品生命周期全过程得到保护等。第三,隐私立法和政策跟上技术发展步伐。具体包括:审查、完善既有的隐私、数据保护和消费者保护法律;完善隐私、数据保护法律和政策的适应性和适用范围;加强对隐私研究者的法律保护,确保他们不会因为调查隐私问题而招致法律风险;确保物联网的广泛应用不会加剧歧视和不公平做法;在IoT开发过程中引入隐私影响评估(privacy impact assessment)等。第四,加强多利益相关方的参与。解决IoT相关的风险和挑战,离不开政府、社会公众、行业、学界、社会组织、技术人员的共同参与,应在社会层面开展广泛对话,提高消费者的话语权,注意保护弱势群体。 总体而言,物联网与云计算、人工智能等新兴技术的结合,将在很多程度上变革我们的经济和社会。技术带来了巨大的机遇,但也伴随着风险。人们需要采取适当的措施来确保物联网的好处远远超过其隐私、安全等风险。这需要政府、制造商、消费者等所有利益相关方的通力合作,确保以负责任的、可持续的方式发展物联网技术。国外已在推动物联网隐私与安全立法,需要考虑IoT设备和服务的特征,采取灵活合理的监管机制,例如即使在欧盟的GDPR中,用户的知情同意也并非服务商收集、处理用户个人信息的唯一合法依据,所以物联网隐私政策也不应囿于知情同意,而是考虑技术特性,在特定情况下从事前许可向事中、事后的数据保护义务转变。此外,随着消费者数据隐私意识的觉醒,例如在一项调查中77%的消费者表示物联网的隐私保护能力和安全性是其作出购买决定时考虑的重要因素,IoT制造商在开发、构建IoT时必须考虑用户隐私和数据安全问题,践行“通过设计保护隐私(privacybydesign)”的理念,加强用户对数据的控制。
YouTube因违法收集儿童个人信息被罚创纪录的1.7亿美元,FTC将COPPA规则的改革提上日程 关键词:COPPA、COPPA规则、通知和家长同意 9月4日,谷歌(Google)及其子公司YouTube同意支付1.7亿美元,以了结美国联邦贸易委员会(FTC)和纽约州总检察长(New York Attorney General)针对YouTube视频分享服务未经儿童父母的同意违法收集儿童个人信息发起的指控。根据和解协议,对于被指控违反《COPPA规则》的行为,谷歌需要向FTC支付1.36亿美元,向纽约州支付3400万美元。1.36亿美元是美国国会在1988年制定COPPA(《儿童在线隐私保护法》)以来,FCT作出的最大数额的罚款。[3] 根据FTC和纽约州总检察长的指控,YouTube在未事先通知儿童父母并获得其同意的情况下,通过用来在互联网上追踪用户的持续的标识符,从针对儿童的YouTube频道(channels)的观看者处收集个人信息。[4]YouTube通过使用标识符即cookie来向这些频道的观看者投放定向广告,由此获得了数百万美元的收入。然而,根据FTC制定的《COPPA规则》,在从不满13周岁的儿童收集个人信息前,面向儿童的(child-directed)的网站和在线服务必须将其信息收集处理做法告知儿童父母并获得其同意。这一规定适用于利用持续的标识符来追踪用户的互联网浏览习惯以便于投放定向广告的情形。当广告网络(advertising networks)等第三方实际知道其从面向儿童的网站和在线服务的用户直接收集个人信息时,也需要受到COPPA的约束。 YouTube平台允许谷歌账号持有人,包括大型商业主体,创建频道来展示其内容。频道主可以允许YouTube来投放广告,广告收入在双方之间分成。因此,对于COPPA是否适用于YouTube这一核心问题,YouTube主张其是一个面向一般用户的网站,所以不应适用COPPA。但FTC认为,虽然YouTube整体不适用COPPA,但是YouTube平台上的单个频道,例如玩具公司运营的频道,是面向儿童的,因此这些频道必须遵守COPPA。而且YouTube知道其平台上存在大量面向儿童的频道,且将自己宣传为儿童的最佳线上目的地。尽管如此,YouTube依然在这些频道上投放定向广告。这已经违背了COPPA的规定。 除了高额的罚款,和解协议还要求谷歌和YouTube开发、部署、维持一套可以让频道主识别面向儿童的内容的系统,以便于YouTube可以确保其遵守COPPA的规定。此外,谷歌和YouTube还必须告知频道主其面向儿童的内容需要遵守《COPPA规则》规定的义务,并向负责与频道主打交道的同事提供年度的COPPA合规培训。和解协议还禁止谷歌和YouTube再次违反《COPPA规则》,要求其在从儿童收集个人信息之前,必须获得儿童父母的可验证的同意。[5] 今年以来,在线视频分享服务中的儿童隐私保护,成为FTC执法的重点。今年2月,Musicaly.ly(即现在的抖音国际版TikTok)就FTC指控其非法收集儿童个人信息(理由是TikTok知道其平台上存在大量儿童用户,却没有征得儿童父母的同意),与FTC达成和解,同意支付570万美元给FTC以了结此案。除了罚款,和解协议还要求TikTok的运营者遵守COPPA的规定,移除13岁以下儿童发布的所有视频。YouTube案和TikTok案的罚款数额都是创纪录的,FTC希望以此警示所有面向儿童的在线服务和网站,不要把COPPA当儿戏。 随着移动终端和移动互联网的发展普及,儿童网民人数持续增多,且其首次触网年龄呈低龄化发展趋势。在此背景下,除了加强执法外,FTC也开始审查《COPPA规则》的有效性,因为现在流行的社交媒体、物联网、教育科技等新技术、新模式已经深刻改变了媒体和市场环境。今年7月,FTC就2000年制定的、2013年修订的《COPPA规则》向社会公众征求意见,涉及的内容包括:《COPPA规则》的有效性,是否需要对《COPPA规则》作出修订,通知和家长同意的要求、可验证的家长同意的例外、安全港条款等主要规定,以及2013年的修订案是否对互联网行业发展产生了不利影响。10月7日,FTC举办了主题为“COPPA规则的未来”的研讨会,进一步探讨《COPPA规则》的改革。 当然,对于新的网络环境下COPPA规则的适用,美国各界并非没有争议,对于网络服务商而言,在满足COPPA的信息收集要求的前提下提供儿童满意的产品和服务是不小的挑战,而一些立法者和消费者保护组织则强调要严格适用COPPA规则,加强儿童个人信息保护。COPPA规则的未来走向取决于FCT如何平衡美国国内的不同声音,作出符合各方预期的政策选择。虽然未来的走向暂难预测,但美国在儿童个人信息保护上的多年实践表明,合理有效的制度不仅需要考虑制度的实施成本、制度的落地可能性、社会生活现实等众多因素,还需要在实践中探索多种解决方案,而非仅仅将保护儿童个人信息的希望寄托于将理想化的家长同意和控制予以泛化适用,因为这可能带来出乎立法者预料的意外后果。
// 平台治理 // 欧盟最高法院判决谷歌不必在全球范围执行“被遗忘权” 关键词:欧盟最高法院、谷歌、被遗忘权、GDPR
9月24日,欧盟最高法院针对谷歌公司诉法国国家信息与自由委员会(CNIL)案(C-507/17),作出了支持谷歌的裁决,“现行欧盟法没有对搜索引擎服务商施加一项义务,要求其在欧盟范围之外执行被遗忘权”。该起案件的经过是:2014年欧盟最高法院裁定,在满足法律规定的条件下,谷歌必须遵从“删除部分搜索结果(即以欧盟自然人的姓名为关键词的搜索结果)”的要求,这就是所谓的“被遗忘权”决定;2015年CNIL要求谷歌在全球范围内执行被遗忘权,但谷歌公司仅同意在欧盟成员国范围内执行这一要求;2016年CNIL以谷歌未能履行上述义务违反《数据保护指令(Data Protection Directive)》(现已被GDPR所取代)为由,判罚了谷歌10万欧元,而后者随即就CNIL的罚款行为提出上诉。[6]实际上,早在今年1月份,欧盟最高法院就曾表示不支持在全球范围内实施被遗忘权,因为那样会打破隐私保护和公众获取信息权利之间的平衡。此外,在同时判决的另一个相似的案件(C-136/17)中,欧盟法院给出了类似的判决。 何为本案提及的被遗忘权(Right to BeForgotten)?通俗地讲就是公民有权要求网络服务商删除和自身有关的信息,从而被网络遗忘的权利。被遗忘权肇始于1995年的《欧洲数据保护指令》(Directive 95/46/EC)第12条以及第14条的规定,当存在数据不准确、不完整的情况,或者数据主体有合法事由时,数据主体可以要求数据控制者删除有关数据。2014年,欧盟最高法院在审理的Google诉AEPD、冈萨雷斯案中,通过对《数据保护指令》进行扩张解释的方式将被遗忘权正式确立为一项民事权利。2018年5月,《欧盟通用数据保护条例》(GDPR)正式生效,第17条对被遗忘权做了详尽的说明。当存在“个人数据于实现其被收集或处理的相关目的不再必要”(即被擦除的信息必须“不准确,不充分,不相关或不再相关,或与这些目的相关但已经过时”[7])等六种情形时,数据控制者有责任及时删除其个人数据。与此同时规定了被遗忘权适用的例外情形,“数据主体行使被遗忘权的例外情形,如数据控制者执行或者为执行基于公共利益的某项任务,或者基于被官方授权而履行某项任务,欧盟或成员国的法律要求进行处理数据,以及为科学或历史研究目的或统计目的处理数据等。” 本案涉及到的核心争议是欧盟法项下的被遗忘权是否能够适用于其他非欧盟国家,欧盟法院的此次裁决显然给出了否定答案。实际上,被遗忘权的适用与否之所以能够引起巨大的争议,是因为其直接关涉到公众获取网络信息的权利,进而涉及到公权力机关对于公民的言论自由的干涉。被遗忘权适用范围的过分扩张容易导致公民言论自由范围的限缩。根据谷歌关于擦除URL的统计数据,“被遗忘权”的请求具有明显的本地化倾向,由于不同地区对隐私的态度不同,当地法律和媒体规范会影响要求擦除的URL。[8]然而,有质疑声音认为,仅仅在欧盟范围内适用被遗忘权实际上起不到数据主体保护个人隐私的作用,因为人们完全可以通过多种方式“翻墙”到欧盟之外的网域轻松地获得被屏蔽的信息。 除欧盟之外,美国加州于2013年10月通过了加州参议院第568号法案(俗称“橡皮擦”法案),要求Facebook等社交媒体巨头允许未成年人删掉过去的不良上网记录。2015年7月,俄罗斯通过了一项法律,允许公民从俄罗斯搜索引擎中删除“违反了俄罗斯法律,或者涉及虚假或已经过时信息”的链接。土耳其于2016年10月建立了自己的类似欧盟被遗忘权的法律。[9]在我国,2014年的“任某与百度公司被遗忘权案”被视为我国“被遗忘权”第一案。该案的一、二审法院裁判都认为“被遗忘权是欧盟法院通过判决正式确立的概念,我国现行法律中并无对‘被遗忘权’的法律规定,亦无‘被遗忘权’的权利类型”。
参考文献
[1]http://www.199it.com/archives/880602.html [2]https://www.internetsociety.org/policybriefs/iot-privacy-for-policymakers/ [3]https://www.ftc.gov/news-events/press-releases/2019/09/google-youtube-will-pay-record-170-million-alleged-violations [4]https://www.ftc.gov/system/files/documents/cases/youtube_complaint.pdf [5]https://www.ftc.gov/system/files/documents/cases/172_3083_youtube_coppa_consent_order.pdf [6]https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-09/cp190112en.pdf [7]https://elie.net/static/files/three-years-of-the-right-to-be-forgotten/three-years-of-the-right-to-be-forgotten-paper.pdf [8]https://elie.net/static/files/three-years-of-the-right-to-be-forgotten/three-years-of-the-right-to-be-forgotten-paper.pdf [9]https://elie.net/static/files/three-years-of-the-right-to-be-forgotten/three-years-of-the-right-to-be-forgotten-paper.pdf 原文链接:https://mp.weixin.qq.com/s/5zhdTYrGpiztnwQDfuHKjg 编辑:陈茗
| 
楼主: 刘海明
楼主
