在对“画像”进行界定的基础上,草案对画像活动予以了严格规范:
第一,画像活动必须具有法定依据或者获得用户明确同意因为法定授权情形仅仅是少数情况,而取得用户明确同意在产业界来看又难以操作,这意味着该规定将使得大数据分析活动变得非常困难。
这将很大程度上改变当前大数据产业状况。因为即使在数据保护严格的欧盟,依据1995年指令,数据控制者对其掌握的用户数据进行挖掘、分析,并不需要得到用户的同意。而按照新规,不论所涉及数据是否敏感,都需要法定依据或者用户的同意。
此外,如果对个人的经济状况、位置、健康、个人偏好、可信赖度,信赖度或行为模式等进行分析画像,则应当在画像之前首先开展隐私影响评估。新规对隐私影响评估做出了一整套程序安排。
第二、对于画像活动,用户必须是在充分知情下做出同意授权大数据分析的大多数场景要想满足合规性要求,则必须取得用户的同意。而草案对于获取用户同意规定了详细的要件。用户应当得到充分完整的相关信息,包括对用户进行画像所使用的全部具体信息,画像所服务的目的,基于数据分析所采取的评估措施,数据分析可能预见产生的后果,以及用户如何选择拒绝画像。
除非该数据分析是服务于历史、统计或者科学研究目的的情况下,数据必须予以保留。
第三、数据画像,应当优先对数据进行匿名化处理新规要求,开展数据画像,应当首先对数据进行匿名化处理。匿名化的标准是,在符合比例原则的前提下,投入相同比例的时间、成本努力也无法恢复身份属性。如果数据画像在业务实践中无法实现匿名化,那么则应当使用假名(化名)。关于假名和真实身份之间的对应关系的信息应当被隔离单独保存,以提升安全保障。
第四、特定数据的分析活动完全被禁止即无论是否取得用户同意,特定的数据分析活动完全被禁止,此类数据分析活动包括三类:
一是数据分析的结果可能导致对个人的歧视,这些歧视建立在对个人种族、民族、政治立场、宗教信仰、商业团体资格、性取向、性别等因素上,或者达到同此类歧视相同的效果。
二是数据分析的结果能够识别儿童。
三是数据分析是自动化的,并且导致的评价结果将对数据主体产生法律上的效果或者对数据主体产生重大的影响。
四、新规能否重建数据保护新秩序?
尽管自上世纪70年代起,全球范围内掀起了个人数据保护的立法风潮,但在信息通信技术与业务的强大冲击之下,个人数据保护已经到了名存实亡的危险边缘。个人数据保护法所确立的用户“知情同意”原则被戏称为互联网最大谎言,利用业务协议,超出业务目的和范围,一揽子取得用户关于个人数据使用授权成为业界普遍做法。利用数据分析画像,对个人进行精准化营销,似乎成为产业不可阻挡的发展趋势。
在这一时代背景下,是让技术改变隐私、个人自由等基本价值观念,任其一路狂奔,还是让法律将技术锁定在特定的发展轨道上,坚守基本权利保护?显然,欧盟选择了后者。
有观点认为:欧盟之所以坚持数据保护的高标准,是因为欧盟互联网产业发展落后。诚然,这是不可否认的现实,但并不是欧盟数据保护改革的全部背景。欧盟数据保护新规可以看作是欧盟对信息通信技术的深刻反思,在保护公民基本权利这一理念的指引之下,其对公民的数据权利、企业义务、保护机制进行了全方位的革新与完善。
推动高标准的法律制度,会增加产业的合规成本,也有可能对技术业务创新带来抑制作用,但欧盟同时认为,严格的数据保护,更高的安全保障标准和用户信任水平,也将有利于欧盟在数字经济中塑造竞争优势。
欧盟新规将直接适用于欧盟28个成员国,覆盖全球第一经济总量地区。此外,欧盟新规对适用范围的大大延展,也将对全球产生直接深远影响,新规能否像1995年指令,对全球产生示范效应,重建大数据时代下数据保护新秩序,我们拭目以待。
五、对我国企业的相关影响及合规清单
对于我国企业来说,不论是航空、金融等传统行业内涉及欧盟居民数据收集与处理的企业,还是互联网领域通过设立商业实体或跨境提供服务的企业,以及相关的IT厂商,都需要对如何满足新规要求,提前做好准备。合规清单至少应包括以下内容: