A.1 欧盟的数据保护法规
在大数据和人工智能时代,人们对于用户隐私和数据安全的关注非常普遍。随着越来越多的数据泄露和隐私侵害事件的发生[54],数据保护受到的社会关注和公众支持也在不断增加。由欧盟于2016年发布并于2018年实施的《通用数据保护条例》(GDPR)是目前最全面、应用最广泛的隐私保护法规。GDPR的颁布是为了保护居住在欧盟境内的人能够免受用户隐私及数据安全漏洞的侵害,这被认为是近20年来欧盟用户隐私法规的最大一次改动[331-333]。
GDPR在2016年取代了之前的数据保护指令(Data Protection Directive,DPD)95/46/EC[331-333]。欧盟给予各成员国两年时间,以确保GDPR在每一个成员国都能得到完全实施。GDPR于2018年5月25日正式生效。
GDPR一共包含99个条款(Article),分为11章,还包括173条引注(Recital)。GDPR各章的概述如下:
·第一章描述了一般规定,包括4个条款(条款1~条款4)。
·第二章概述了数据保护原则,包括7个条款(条款5~条款11)。
·第三章界定了数据主体的权利,包括12个条款(条款12~条款23),这12个条款又分为5个小节。
·第四章界定了数据控制方和处理方的权利和义务,包括20个条款(条款24~条款43),这20个条款又分为5个小节。
·第五章界定了向第三国或国际组织转移个人数据的法规,包括7个条款(条款44~条款50)。
·第六章界定了独立监察机关的角色,包括9个条款(条款51~条款59),这9个条款又分为2个小节。
·第七章界定了关于合作和一致性的原则,包括17个条款(条款60~条款76),这17个条款又分为3个小节。
·第八章定义了补救措施、责任和惩罚措施,包括8个条款(条款77~条款84)。
·第九章界定了与特定处理情况有关的规定,包括7个条款(条款85~条款91)。
·第十章界定了委托行为和实现行为,包括2个条款(条款92~条款93)。
·第十一章界定了委托行为和实现行为,包括6个条款(条款94~条款99)。GDPR的官方文件及更多细节信息可以在网站[336]上找到。
A.1.1 GDPR中的术语
GDPR的第4个条款明确规定了GDPR使用的术语。我们在这里列举一些最重要的术语。
·个人数据(Personal data):与已识别或可识别的自然人(数据主体)有关的任何信息,如数据主体的物理、生理、基因、心理、经济、文化或社会身份信息。
·处理(Processing):在个人数据或一组个人数据上执行的任何操作或任何一组操作,不论是否通过自动化手段,如收集、记录、组织、结构化、存储、变更或更改、检索、咨询、使用、通过传输来披露、传播或以其他方式提供、排列或组合、约束、消除或销毁。
·跨域处理(Cross-border processing):在多于一个欧盟成员国的地区中发生的个人数据处理行为。
·剖析(Profiling):任何形式的个人数据的自动化处理,包括使用个人数据以评估与自然人有关的某些个人方面。
·假名化(Pseudonymisation):处理个人数据的一种方式,即在不使用额外信息的情况下,个人数据不再归于某一特定的数据主体。额外信息被分别保存,并通过技术和组织手段确保个人数据不再归因于某一已识别或可识别的自然人。
·控制方(Controller):决定处理个人数据的目的和方法的自然人或法人、公共机构、代理或其他组织、与其他方联合决定。
·处理方(Processor):代表控制方处理个人数据的自然人或法人、公共机构、代理或其他组织。
·数据主体同意(Consent of the data subject):任何数据主体以声明或明确的肯定性行为,就有关他或她的个人数据的处理作出任何自由、具体、知情和明确的声明,表示同意处理他或她的个人数据。
·个人数据外泄(Personal data breach):违反安全规定,导致意外或非法损毁、丢失、更改、未经授权的披露或者获取已传输、存储或以其他方式处理的个人数据。
A.1.2 GDPR重点条款
GDPR在数据处理方面实施了严格的隐私保护规定,这里列举一些重要的条款。
1.重点一:适用范围扩大(GDPR条款3)
适用地域范围的扩大,也称为治外法权适用性(extraterritorial applicability)的扩大,是GDPR相对于DPD 95/46/EC的主要变化之一。具体来说,GDPR适用于以下情况[10,336,337]:
·由在欧盟成立的机构处理个人数据,不论该数据处理是否在欧盟内进行。
·由属于欧盟的某个组织处理数据主体的个人数据,且该组织并不是在欧盟成立的。其中,该数据处理涉及向这些在欧盟的数据主体提供的商品或服务,或对于这些数据主体在欧盟的行为进行监察。
·由不在欧盟成立的组织处理欧盟内的数据主体的个人数据,该处理涉及监察该数据主体在欧盟内的行为。
·由不在欧盟成立的组织处理个人数据,但由于国际公法而适用欧盟成员国法律的国家。
2.重点二:与个人数据处理相关的基本原则(GDPR条款5)
GDPR提供了处理个人数据的七项基本原则[333,335,336,338,339]。
(1)合法、公平及透明原则。就数据主体而言,个人数据应该以合法、公平及透明的方式处理。透明意味着有关个人数据处理的任何信息和沟通必须是容易进入且便于理解的,在这个方面,需要使用清楚明确的说明语言。这个原则确保了数据主体能够收到控制方的身份信息及个人数据的处理目的信息。
(2)目的限制原则。个人数据的收集,应是为特定、明确及合法的目的,而非与该目的[1]不相容的方式作进一步处理。
(3)数据最小化原则。个人数据应该是充足、相关的,并且只限于与处理它们的目的有关的必要数据。
(4)精确度原则。个人数据应该是准确的,并且在必要时保持最新。考虑到处理目的,必须采取一切合理步骤以确保不准确的个人数据被删除或纠正,而不会造成任何延迟。
(5)存储限制。个人数据的保存形式应允许识别数据主体的时间不超过处理个人数据所需的时间。
(6)完整性和机密性。个人数据应以能保证合适的安全性的方式处理,包括使用适当的技术或组织手段,防止未经授权或非法的处理以及意外的丢失、毁坏或破坏。
(7)责任性原则。控制方应该负责、并能证明遵守以上六条数据保护原则(1)-(6)。
3.重点三:数据主体的权利(GDPR条款13~条款22)
GDPR定义了数据主体的八项权利[333,335,336,338]。
(1)知情权。知情权包括数据主体有提供“公平信息处理”的义务,通常是通过隐私通知。它强调了在使用个人数据时对于透明性的需要。
(2)访问权。数据主体有权要求查阅其个人数据,并有权询问收集该数据的公司如何使用这些数据。如有需要,公司必须免费提供一份电子形式的个人数据副本。
(3)整改权。如个人数据不准确或不完整,数据主体有权要求更正。
(4)删除权(即遗忘权)。若没有正当理由继续处理个人数据,数据主体有权要求删除或除去个人数据。
(5)限制处理权。数据主体可要求不将其数据用于处理。它们的数据记录可以保留,但不得使用。
(6)数据转移权。数据主体有权将其数据从一个服务提供商转移至另一服务提供商。这个过程必须以常用且机器可读的方式进行。
(7)反对权。数据主体有权停止其数据的处理以作直接行销之用。此规则没有例外,任何处理必须在收到请求后立即停止。此外,这项权利必须在任何通信开始前向数据主体说明。
(8)与自动决策和分析有关的权利。当决策基于自动处理且对数据主体产生法律效果或类似的重大影响时,数据主体有权不受该决策的约束。
4.重点四:设计和默认的数据保护(GDPR条款25)
在GDPR下,控制方一般有义务执行技术及组织措施(如假名化和数据最小化),以表明它在处理过程中已考虑并整合了数据保护。控制方应采取适当的技术及组织措施,确保在默认的情况下,只处理每一特定目标所需的个人数据。
5.重点五:违规通报(GDPR条款33)
GDPR要求所有组织向相关监管机关报告某些类型的数据泄露,在某些情况下,还要向受影响的个人报告。在GDPR中,如果数据泄露可能“导致个人权利和自由受到威胁”,所有成员国都必须发出违规通报。这必须在第一次发现漏洞后72小时内完成,数据处理方也被要求在第一次发现数据泄露后“不应有不当延误”地通知它们的用户和控制方。
6.重点六:违反GDPR的行政处罚(GDPR条款83)
在GDPR中,对违反某些重要规定的罚款最高可达2000万欧元,或全球年营业额的4%,以较高者为准。违反其他规定的罚款最高可达1000万欧元,或全球年营业额的2%,以较高者为准。GDPR的罚款远高于欧洲现行法律的罚款(例如,根据现行英国法律,罚款最高可达55万英镑[340])。
最高罚款针对最严重的违规行为(例如,未经足够数量的用户同意便进行数据处理或违反“隐私设计”理念)。罚款方法是分级的,例如一家公司可能被处以全年营业额2%的罚款,因其记录不规范(参照GDPR条款28),且没有通知监管机关及数据主体有关违规行为,或没有进行影响评估。需要注意的是,这些规定同时适用于控制方和处理方,基于云计算的数据处理也不能免于GDPR的执行。
A.1.3 GDPR的影响
GDPR让用户、承包商和员工对于自己的数据拥有了更多的权力,而收集和使用这些数据的组织则没有那么大的权力。在GDPR下,组织必须确保数据主体可以人为干涉自主决策的进行,以及获取自动决策的解释并提出质疑。GDPR造成的影响是深远的。总体而言,GDPR非常有利于个人数据拥有者。已经实施的新规允许用户发现谁拥有他们的数据、为什么拥有这些数据、数据存储在哪里以及谁正在访问和使用这些数据[341]。
1.GDPR产生的积极影响[341]
(1)提高网络安全。虽然GDPR对用户隐私和数据安全有直接影响,但它也鼓励组织开发和改进网络安全措施,降低任何潜在的数据泄露风险。
(2)数据保护标准化。GDPR确保一旦一个组织遵守GDPR的规定,它便可以在欧盟内自由地运作,而无须分别适应每个成员国的数据保护法规。
(3)品牌安全。如果一个组织能够成为遵守GDPR的可信的参与方,它可以更好地与客户建立长期互信互利的关系。
2.GDPR产生的消极影响[341]
(1)未遵守惩罚。不遵守GDPR面临的后果是极其严重的,它鼓励组织付出更多的努力,认真考虑它们在欧盟内的数据保护责任。
(2)合规代价。大多数从任命一名数据保护干事开始,负责确保内部决策的更新和执行任何的必要措施。
(3)过度监管。在表单中添加双重选择(opting-in),可以为现代客户提供一个持续的、可以用来表达同意加入的消息。这种机制给用户提供了一种持续存在的、可以选择的加入方式。用户可以在完全确定自己的兴趣之后再选择加入。这样一来,这种机制可能会导致一些用户会推迟自己选择加入的时间。
GDPR对人工智能产业的影响是深远的。对于构建机器学习模型,我们目前正面临数据孤岛问题的挑战,但是在许多情况下,我们还可能会被禁止去收集和传输用于处理的数据[1]。换言之,GDPR使得数据收集变得更为困难。对于与消费者有直接法律效应的数据处理的人工智能应用,例如信贷申请和职场监控,GDPR将会限制人工智能在这些方面的使用。例如,根据GDPR的第22条和第71条,普通企业一般需要耗费大量时间,才可能得到所有用户明确的同意并记录下来[342]。