连载 | 欧盟数据保护新规来势汹汹—中国智能硬件商如何见招拆招?(二)
连载 | 欧盟数据保护新规来势汹汹—中国智能硬件商如何见招拆招?(二)
李律师漫话GDPR
自上次与李律师讨论了GDPR问题后,王总便安排公司人员成立了专门团队来处理GDPR相关事宜,并打算根据GDPR的要求改进内部数据管理制度。随着GDPR正式生效,各方关注进一步升温。王总还注意到,小米生态链中的智能照明企业Yeelight甚至因GDPR方面原因暂停了欧洲地区的部分服务,以进行软件升级工作,使得王总心里不禁一阵冷颤。考虑到GDPR规定颇为复杂,理解和诠释难度较大,王总于是再次拜访李律师,进行了更深入的探讨。
(一)什么是“个人数据”
GDPR的核心宗旨是保护“个人数据”。那什么是“个人数据”呢?根据GDPR中的定义,“个人数据”指的是已识别或可以识别的自然人(即“数据主体”)的信息,即可以通过这些信息直接或间接地识别出数据主体的身份。GDPR中举例的个人数据有姓名、身份证号、地点信息、在线身份标识,或有关该自然人的特定的物理、生理、遗传、心理、经济、文化或社会身份的因素。
王总公司主营的智能手环和体重计会收集用户的生日、性别、电话及其脉搏、血压、体重、血脂等数据;这些数据可能可以识别出用户的具体身份,因此属于GDPR所保护的“个人数据”。此外,王总的智能手环和体重计还通过第三方软件开发工具包(SDK)收集其他一些有关用户属性和使用行为的匿名统计信息。如果无法根据这些信息与使用智能硬件的具体用户信息匹配,即无法通过此类信息识别出具体的自然人,则此类匿名统计信息就不属于GDPR所定义的“个人数据”。
(二)你“处理”数据了吗
GDPR规制的是对个人数据的“处理”。根据GDPR中的定义,“处理”是指任何对个人数据所进行的操作,包括收集、记录、组织、构造、存储、调整、更改、调取、咨询、使用、披露、传播、或其他方式对他人公开等。由此可知,对个人数据的几乎任何操作都有可能被纳入“处理”范围。另一方面,如果个人数据仅保存在用户手机上而不会被上传到厂家的服务器上,且厂家未对该等数据进行任何操作,则不属于GDPR中所定义的个人数据“处理”。
(三)处理个人数据所需满足的法定前提条件
GDPR规定,如果厂商要处理个人数据,就必须满足几项法定前提条件中的至少一项。对于大多数中国智能硬件商而言,可以选择的最直接的一项法定条件就是个人数据的处理对于履行与数据主体的相关合同是必要的,或者是应数据主体的请求在签订合同前而进行的。王总公司的智能手环的一项功能是在云端记录用户的运动信息,供用户随时在各种智能终端(如手机)上调取并与好友分享,为实现该功能所需要的对用户个人数据的处理就符合上述条件。
处理个人数据的另一项可供选择的法定前提是取得所涉数据主体的同意,即数据主体同意就特定的目的对其个人数据进行处理。如果智能硬件商选择满足该项条件,应注意以下几点:
(1)关于数据主体的同意,最传统的证据是由其签署的书面文件,但如果用户通过网站或手机APP使用产品或服务,要求书面签署文件并不可行。在这种情况下,如何获取用户同意并保留相关记录呢?通常情况下,企业可以在相关界面弹跳出“同意数据处理”的窗口,要求用户选择是否同意,并记录用户的选择。值得一提的是,企业在这种情况下所保留的所有证据均为其与用户互动的电子记录,一项潜在挑战就是企业怎样证明如此保存下来的用户选择是真实且未经篡改的。第三方时间戳也许是企业为了增加其保留的用户同意记录的可信度而可以采用的一个方法。
(2)GDPR规定,向用户获取同意的请求必须是“可区分”且“易懂”的,否则用户的同意可能会被认定为不具有法律约束力。也就是说,如果企业以用户书面声明的方式获取其同意,且书面声明还涉及其他事项,那么用户的同意应与其他事项明确区分开,并且应当以一种容易理解的形式、使用清晰和直白的语言向用户予以说明。GDPR还规定,用户表示同意必须基于其个人的自由意志。在判断用户同意是否基于其自由意志时,应考虑是否要求用户同意处理与向其提供产品或服务所不必需的个人数据。就后面这点,王总知道有些国内同行的策略是尽可能地收集用户信息,无论是否与向其提供的产品或服务有关,王总现在暗自庆幸他没有采用同样的策略。
(3)GDPR允许用户随时撤回其同意,且规定用户撤回同意应当和作出同意在操作上一样简单。由此可见,基于用户同意的个人数据处理存在较高的不稳定性,企业应避免过于依赖于此法定前提。
除上述法定前提条件外,GDPR还给出了一些其他允许企业处理个人数据的法定前提条件,比如企业为履行其法定义务所必需、或对于保护数据主体或另一个自然人的核心利益所必需、或企业为了公共利益或基于官方授权而履行某项任务而进行的数据处理,等等。
(四)“特殊类型个人数据”的处理
GDPR对于某些特定的敏感个人数据(称为“特殊类型个人数据”)的处理作出了专门规定。特殊类型个人数据包括显示种族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、生物性识别数据,和有关个人健康、性生活或性取向的数据。GDPR规定,如果企业要处理特殊类型个人数据,则需要获得用户明确同意,且处理也仅限于为了用户明确同意的目的。
王总公司的智能手环和体重计会收集用户的睡眠时长、体重、体脂等数据,而该等数据很可能被认定为属于个人健康类的特殊类型个人数据。因此,对于该等数据的处理及其特定目的,王总公司需要获得用户的明确同意。
由于时间有限,王总不得不暂时结束与李律师的讨论。临别时李律师向王总建议,公司应对其收集的用户数据做一个梳理,明确收集每项数据的目的、对这些数据做了哪些处理,并判断处理相关数据是否为其向用户提供产品或服务所必需。如何调整和改进公司产品和内部机制,从而满足GDPR的要求?王总和同事们继续思考着这个问题。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。