欧洲数据保护委员会发布《GDPR域外适用指南》 ｜ 腾讯网络法专报 腾讯研究院发布2019年10-11月网络法专报 作者|朱开鑫 腾讯研究院博士后 张誉馨 腾讯研究院法律研究中心助理研究员 《腾讯网络法专报》汇集每月全球互联网法律政策新动态，涉及范围有网络安全、人工智能、数字产业、GDRP等各方面，旨在从法律政策角度，为新兴技术带来的社会问题进行专业解读。2019年10-11月《腾讯网络法专报》涉及知识产权保护、平台责任、未成年人保护、人工智能、隐私保护、数据治理、虚拟财产等主题，具体呈现为Part1《人工智能与平台责任篇》、Part2《隐私保护》等。 本文为精选Part2《隐私保护篇》，2019年10-11月《腾讯网络法专报》全部内容将于近期发布，敬请关注腾讯研究院公众号。 //隐私保护// 欧洲数据保护委员会发布《GDPR域外适用指南》，确保GDPR适用范围认定的统一关键词：数据保护、GDPR、EDPB、法律适用、营业地、目标指向 11月12日，欧洲数据保护委员会（European Data Protection Board, “EDPB”）针对《一般数据保护条例》（GDPR）第三条进行统一解释，并发布了GDPR地域适用的最终指南。GDPR现行第三条规定的适用范围相较95/46/EC指令，有了重大变化，其主要依据两个标准对该法适用的地域范围进行界定：一个是，第3条第（1）款规定的“营业地”（“establishment”）标准；另一个是，第3条第（2）款规定的“目标指向”（“targeting”）标准。只要符合前述两标准之一的数据控制者或数据处理者，便需要遵循 GDPR的相关规定从事业务行为。第3条第（1）款，即“营业地”标准规定，“本条例适用于控制者或处理者设立在欧盟境内的营业地进行的数据处理行为，而不管其处理行为是否发生在欧盟境内”。对此，EDPB指出，该条款的具体适用需从以下三个方面加以评估考量。第一，如何对该条款中的“营业地”进行认定。本款内容所称的营业地是指，在欧盟境内通过稳定的安排，有效且真实开展活动的营业地（“establishment implies the effective and real exercise of activities through stable arrangements”），而其法律形式为何（例如子公司，分支机构，办公室等）在所不问。第二，上述条款内容所称的“在欧盟境内的营业地进行的数据处理行为”，不需以该营业地直接进行数据处理为必要条件，只要该处理行为隶属于“该欧盟境内营业地的营业范围”即可。即欧盟之外的企业，若其在欧盟境内的某营业地在欧盟从事了营收活动，且该营收活动与该企业在欧盟境外进行的个人数据处理活动 “紧密关联”，则该处理活动便属于GDPR的规制范围。第三，在确定数据处理行为是否隶属于欧盟内营业地的营业活动范围时，不需考虑数据处理的地理位置因素。GDPR第3条第（2)款，即“目标指向”标准规定，“本条例适用于由未在欧盟设立的控制方或处理方处理在欧盟内的数据主体的个人数据，如果处理活动涉及：(a)向欧盟境内的数据主体提供产品或服务，不论数据主体是否需要支付费用。或（b）对数据主体在欧盟境内的行为进行监控”。对此，EDPB指出该标准是否适用的关键取决于数据处理行为的性质，并对此提出双重验证方法：首先，确定数据处理行为是否涉及到欧盟境内公民的个人数据；其次，确定数据处理行为是否与企业提供的产品或服务有关，或与其监测数据主体在欧盟的行为有关。EDPB认为，就与产品、服务提供有关的数据处理活动而言，针对的是有目的性的、而非偶然的针对欧盟公民的服务活动，且无论这种服务是否有偿。另外，针对未在欧盟境内设立营业地，但符合第3条（2）款规定要求的企业，需要在欧盟境内指定一名代表人，本指南也对GDPR第27条中关于该代表的指定程序及其责任和义务做出了明确阐释。[1] EDPB《GDPR域外效力指南》的发布，明确了“营业地”标准和“目标指向”标准的具体适用要求，并明确列举了司法实践中可能出现的各种情况，确保了GDPR适用范围认定的统一。该指南的出台对全球跨国企业来说至关重要，特别是那些在欧盟境内设置营业地，以及业务行为涉及到在欧盟域内的产品和服务的企业，他们需要在该指南出台后进一步对其业务行为或数据处理活动进行评估，以明确自身是否处于GDPR的管辖范围之内。印度《2018年个人数据保护法案》（the 2018 Personal Data Protection Bill）的第二条，也规定了域外效力范围，其第（2）款规定：“法案也应适用于不在印度境内的数据受托人或者数据处理者处理个人数据的情形，但前提是此类处理——（a）与在印度进行的业务有关，或者与向印度境内的数据主体（data principals）提供商品或者服务的系统性活动有关，或者（b）与对印度境内数据主体的画像活动有关。”[2]除此之外，巴西《通用数据保护法》中第3条规定，该法适用的数据处理活动，不论其法律营业地总部所在国或数据所在国是在何处，但需要符合下列条件：一是处理操作是在巴西境内进行；二是以提供货物或服务为目的的处理活动，或者处理位于巴境内的个人数据；三是所处理的个人数据在巴西境内收集。[3]相比之下，印度草案的域外适用范围与GDPR的规定更为相似，而巴西法案的适用范围更偏向于地域管辖。当下我国正在紧锣密鼓地推进《个人信息保护法》和《数据安全法》的立法工作，如何更加科学的设置域外效力的规则条款，需要在科学借鉴上述各国立法的基础上，对公民隐私的保护、企业数据业务的发展以及国家数据安全的维护等方面进行综合平衡和思考。 欧洲数据保护委员会就在线服务领域的个人数据处理行为发布新指南 关键词：个人数据、数据保护、数据处理、数据收集 10月8日，欧洲数据保护委员会（EDPB）举行第十四次全体会议，就《通用数据保护条例》（GDPR）第6条第（1）款（b）项内容的适用问题提供了指南意见（Guidelines 2/2019 on theprocessing of personal data under Article 6(1)(b) GDPR in the context of theprovision of online services to data subjects），以确保对此款内容在实践中的正确适用。GDPR第6条第（1）款（b）规定，处理应至少符合下列条件之一方属合法：（b）处理是为了履行数据主体作为一方当事人的合同所必需，或在订立合同前应数据主体的要求采取措施所必需。针对该条，上述指南意见主要包括三个部分，第一部分是该指南的背景介绍；第二部分是对GDPR第6（1）（b）条的具体分析，主要包括法条适用范围分析、“必要性”分析、合同终止情形的分析；第三部分是对该条款在“服务改进”、“欺诈预防”、“在线行为广告”等特定情况下的适用性进行的讨论。 EDPB在指南中指出，“在线服务”是指任何与信息有关的社会服务，即通过电子方式并应服务接受者的请求，在一定范围内提供的任何有偿服务，包括社交媒体、电子商务以及在线广告等接收方不直接付费的在线服务领域。EDPB指出GDPR第6（1）（b）条中所提及的“必要性”，主要判定依据是《欧盟基本权利宪章》第7条、第8条对隐私和个人数据保护的规定。如果在能实现同一目标的前提下，企业与数据主体签订在线合同并不需要进行数据处理，或者还有其他可替代的选项，则说明数据处理并不是“必需的”，即第6条第1款（b）的适用情形不包括“有用但客观上没有必要”的数据处理。[4] 此外，EDPB建议数据控制者通过考虑以下问题来评估第6（1）（b）条的适用性：1.其向数据主体所提供的服务是什么性质？服务的主要特征是什么？2.签订合同的确切理由是什么（即其实质和基本目的为何）？3.合同的基本要素是什么？4.合同双方的共同看法和期望是什么？5.如何将服务或广告推广给数据主体？6.普通用户是否会对服务产生合理期望，是否会考虑服务的性质，是否会进行预期的数据处理以履行他们所签订的合同？EDPB还指出，如果数据控制者依据第6条第（1）款（b）项来处理数据，在合同终止后出于法律目的保留记录，则应在处理开始时将其确定为合同内容。[5]此外，EDPB还讨论了第6条第1款（b）项在特定情况下的适用性。EDPB认为针对某些特定情况，例如服务改进，预防欺诈，在线行为广告和内容个性化等，其是否可以适用该条款需根据具体情况具体分析，如果无法适用，也可以适用第6条第一款规定的其他合法基础。 与GDPR第6（1）（b）条的规定极为相似，巴西《通用数据保护法》中第7条第V款规定：“应数据主体的要求，当履行以该数据主体为一方当事人的协议或者与该协议相关的初步程序为必需时”可处理个人数据。[6]印度《2018年个人数据保护法案》（the 2018 Personal DataProtection Bill）虽未作此类规定，但其第12（3）条规定，在提供任何商品或服务，或关乎它们的质量，履行任何合同或享有任何合法权利或诉求时，数据受托人不得以同意处理任何非必要的个人数据为条件；第（5）款规定，如果数据主体撤回同意（即同意处理该数据主体为当事方履行合同所必需的任何个人数据），则由这种数据撤回所产生的一切法律后果均应由数据主体承担。[7]可以看出，印度主要从适用限制角度规定了合同情形下个人数据处理的合法性。目前，我国对于个人数据的收集、使用仅以同意为基础，并未明确规定合同作为数据处理的合法性基础以及对其的适用限制，GDPR上述规定对我国的借鉴意义，仍有待进一步思考。 欧盟法院认定Cookie设置需经用户同意，不包括“被动”、“推定”同意关键词：Cookie、个人数据、数据保护、网络追踪器、欧盟法院10月1日，欧盟法院针对德国消费者组织联合会（The German Federation of Consumer Organisations）诉Planet49GmbH公司一案作出裁决，明确了欧盟范围内“Cookie问题”的相关适用准则。该案件基本事实为，2013年9月24日，Planet49公司在www.dein-macbook.de网站上开展了一项彩票抽奖活动，在需要输入用户姓名和地址的区域下方出现了两段带有复选框的解释性提示。其中第二个提示已被预先勾选，预示参与者将同意Planet49为其设备设置用于投放针对性广告的Cookie。2013年，德国消费者组织联合会向德国法院就Cookie设置的合法性向德国法院提起诉讼。2017年，德国最高法院请求欧盟法院就本案中欧盟有关保护电子通信隐私的法律进行解释。基于相关法律规定，德国联邦法院向欧盟法院提交的问题主要包括：（1）该网站通过预先选中的复选框（用户必须取消选择以拒绝其同意）的方式为用户设置Cookies，从而存储或获取已存储在用户终端设备中的信息，这是否构成欧盟相关法律中的“有效同意”；（2）本案中储存或访问的信息是否可以定义为个人数据；（3）网站就Cookie利用情况需要向用户说明的信息范围，是否包括Cookies操作的持续时间以及第三方是否可以访问Cookies这两个方面。[8]针对第一个问题，首先，欧盟法院解释了本案主要涉及法条——旧法95/46指令（即“欧盟数据保护条例”）和新法2016/679条例（即“通用数据保护条例”，GDPR）均可适用的合理性；其次，法院认为根据2002/58指令（“隐私和电子通信指令”）第5(3)条，被告公司应确保只有根据95/46指令向用户提供了明确且全面的信息，并在取得其同意的情况下，才能在用户终端设备中存储或获取已存储的信息。而95/46指令第2(h)条将“数据主体同意”定义为“用户用于表达其意愿的任何自由、具体和知情的指示，表明同意与其个人数据有关的处理活动。”基于该法条，欧盟法院认为，只有数据主体采取积极行为给予同意才能满足这一要求。法官进一步提出，这样的解释同样适用于2016/679条例。基于以上分析，欧盟法院最后认为，网站通过预先勾选的复选框，促使用户点击按钮选择参与公司营销活动的事实，不能支持用户已经就网站设置Cookies给予同意的结论，即Planet49公司设置Cookies的行为不具合法性。针对第二个问题，欧盟法院认为，本案中设置Cookies的行为主要针对用户个人信息，如果被设置Cookie的用户上网，其个人身份将与Cookie储存的数据连接起来，即这些数据对于个人来说具有身份上的可识别性，所以设置Cookie的行为等同于处理个人数据的行为。除此之外，欧盟法院还指出，2002/58指令第5(3)条提到的“储存信息”和“获取已储存的信息”，虽然没有特指个人数据。但根据2002/58指令序言第24条，该指令旨在避免隐藏的标识符号和其他类似设备在用户不知情的情况下进入其终端设备的风险，换言之，该条款旨在保护用户私人领域免受侵扰，而不管该侵扰对象是否涉及个人数据。针对第三个问题，网站向用户提供的信息范围如何，即是否需要包含Cookies操作的持续时间以及第三方是否可以访问Cookies这两个方面的信息。欧盟法院指出，根据2002/58指令第5(3)条中提出的“明确且全面”的要求，网站向用户提供的相关信息必须是清晰且详细的，以此确保用户能够了解Cookie的相关用途，且能够通过这些信息来判断其给出同意后可能发生的结果，从而确保用户对自己所作出的同意决定具有充分的知情权。[9]基于以上分析，欧盟法院认为，向用户提供的信息中应包含Cookies操作的持续时间以及第三方是否可以访问Cookies这两个信息。欧盟法院的裁决对辖区内网站运营者设置或使用Cookie的行为给予了明确的指导。从全球范围来看，各国对于Cookie设置和数据收集行为的规制标准仍存在较大差别。美国《加州消费者隐私保护法2018》虽然将Cookie信息纳入个人信息保护范畴，但对于Cookie信息的获取和利用采纳的是“Opt-Out”的模式，用户只有选择退出，才可不被企业追踪上网日志信息，否则将默认允许企业追踪Cookies信息。美国加州对于Cookie的设置采用“选择退出”机制，这与GDPR采纳的“Opt-In”规则明显不同。2019年11月8日，西班牙数据保护局（AEPD）发布了《Cookie使用指南》，明确指出网络服务商使用Cookie时需获得用户的明确同意以及Cookie信息的收集使用目的。目前，我国尚未出台针对Cookie的具体适用规则，现行《网络安全法》第76条也未将Cookie信息明确列为个人信息的范畴。但《信息安全技术个人信息安全规范》附录A则将包括网站浏览记录、软件使用记录、点击记录在内的可由Cookie收集的个人上网数据列为个人信息。可以预见的是，我国未来出台的“个人信息保护法”会对Cookie信息的收集和利用行为进行规定，如何在用户隐私、个人信息保护和促进数据利用、数字经济发展之间保持科学的平衡，值得我们不断思考。 加州消费者隐私法案修正案通过，建立更为完善的消费者隐私保护机制 关键词：数据保护、消费者隐私、信息披露、公平对待权 10月10日，加利福尼亚州总检察长Xavier Becerra公布了《2018年加州消费者隐私法案》（The California Consumer Privacy Act of 2018，以下简称CCPA）的配套实施细则草案，州长Newsom于次日签署了一系列CCPA的修正案。CCPA将在2020年1月1日正式生效，该法案不仅为消费者提供了知悉、访问、删除、拒绝提供自身数据等多项权益，也建立了更为完善的消费者隐私保护机制。该法案的出台，彰显了加州政府促进数字经济发展、加强用户隐私保护的重要决心，将对美国企业乃至在加州开展业务的外国企业产生重要影响。 10月11日通过法案内容对CCPA中的部分规定进行了修改和解释，其主要包括以下几点：一、新的豁免：主要包括雇员豁免、B2B交易豁免、商业保留豁免，以及对联邦《公平信用报告法》中现有豁免范围的扩大。二、消费者要求信息披露的方法：修正法案1564对1798.130条进行修改，阐明了企业允许消费者提交行使其CCPA权利之请求的义务，以及消费者要求信息披露的方法。三、扩展了“个人信息”的定义：加入了生物特征数据、税务识别号、护照号、军用识别号以及政府颁发的其他唯一识别号。四、澄清了CCPA中有关“公开可用信息”的含义：将“公开可用”的定义简化为可以从联邦、州或地方政府记录中合法获得的信息。五、数据经纪人注册：AB 1202提出，总检察长需在其网站上创建一个可公开获取的数据经纪人（有意收集个人信息并将其出售给第三方的公司）注册表。[10] 值得注意的是，虽然于2018年5月25日正式实施的欧盟《通用数据保护条例》（GDPR）与CCPA均关注数据保护，但在整体的立法理念和具体的规则内容上均存在一定区别。相对于GDPR更偏向于“数据权利保护”的立法模式，CCPA则更偏向于消费者保护的实际效果，以及与数据的自由流通、技术创新、促进企业发展之间的平衡。在获得消费者同意方面，GDPR选择了“opt-in”模式，而CCPA选择了“opt-out”模式。在个人数据的范围界定方面，GDPR与CCPA均建立了以“识别”为核心的个人信息体系，但GDPR侧重于对个人数据进行抽象广泛的定义，而CCPA对个人数据定义不仅予以合理限定，并且进行了不完全列举。 在数据主体的权利体系方面，GDPR主要包括数据访问权、纠正权、被遗忘权、限制处理权、数据可携权、拒绝权、自主决定权。CCPA则主要包括信息访问权、删除权、选择退出权、选择加入权以及公平对待权。相对于GDPR规定的权利限制，在信息访问权方面，CCPA规定企业可以核实消费者所提出的请求；在选择加入权方面，CCPA规定了关于年龄的权利限制；在公平对待权方面，CCPA规定了财务激励计划。除此之外，CCPA在受保护的数据类型方面，对“集合信息”、“去身份数据”、“政府公开数据”、“联邦立法已经覆盖的信息”、“雇员信息”、“车辆信息”以及“所有权信息”进行了排除。在受规制的营业地方面，CCPA对“非盈利机构”、“提供数据服务的企业”以及“未达到适用门槛的中小企业”进行了排除。 加州总检察长办公室将于12月初举行有关实施细则草案的一系列公开听证会，征求各界的反馈意见。[11]随着CCPA生效日期的来临，相关企业需要高度关注此项立法给自身带来的合规风险，并采取积极的应对策略。CCPA的出台无疑会加大对加州消费者隐私权益的保护力度，但如何在确保用户隐私利益的前提下，最大程度的激励数字经济的发展仍有待观察。GDPR与CCPA的出台，掀起了全球数据保护、个人信息保护立法的热潮，除美欧等发达国家以外，发展中国家也纷纷加快了相关领域的立法进程。据悉，2019年11月8日，肯尼亚总统签署了本国的《数据保护法》；2019年12月4日，印度内阁也批准了《个人数据保护法案》。 参考资料 [1]https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en/ [2]https://iclg.com/practice-areas/data-protection-laws-and-regulations/india [3]http://www.loc.gov/law/foreign-news/article/brazil-personal-data-protection-law-enacted/ [4]https://www.technologylawdispatch.com/2019/10/privacy-data-protection/edpb-issues-guidelines-on-the-contractual-lawful-basis-for-processing-for-online-services/ [5]https://www.clarip.com/blog/edpb-contractual-necessity-guidance/ [6]https://www2.deloitte.com/br/en/pages/risk/articles/lgpd.html [7]https://www.pwc.in/assets/pdfs/consulting/cyber-security/the-personal-data-protection-bill-2018.pdf [8]https://globalcompliancenews.com/eu-court-justice-european-union-rules-cookie-consent-20191011/ [9]https://www.bloomberg.com/news/articles/2019-10-01/online-users-must-actively-consent-to-cookies-eu-court-rules [10]https://www.loeb.com/en/insights/publications/2019/08/ccpa-an-amendments-progress-report-and-tracker [11]https://www.gibsondunn.com/california-consumer-privacy-act-2019-final-amendments-signed/ --END-- 腾讯网络法专报编委会 腾讯网络法专报总编辑：司晓 执行主编：张钦坤责任编辑：曹建峰 朱开鑫田小军编委会：蔡雄山杜晓宇 王融 柳雁军 彭宏洁 巴洁如 温博欣乔婷婷 扫描上方??二维码，填写问卷，订阅网络法专报