GDPR数据处理基本原则及个人数据处理的相关规定

德国学者库勒(Christopher Kuner)认为,DPD主要包含如下六项原则。其一,合法原则。个人数据的处理需预先设定目的,并仅为此目的而处理数据。其二,终极原则。个人数据的收集需要有指定的、合法的、明示的目的,另行处理的,不能与该目的相悖,但在成员国提供适当保护的前提下,为历史、统计和学术目的所进行的进一步处理的情形除外。其三,透明原则。应当告知数据主体其个人数据的处理情况。其四,适当原则。个人数据的收集、处理应与指定的目的相适应,保护个人数据的充分性、相关性,不得过度收集、处理个人数据。其五,保密和安全原则。应当采取措施保证个人数据的保密性和安全性。其六,监控原则。数据保护监管机构应当监控数据的处理^[4]。与DPD相比,GDPR第二章“原则”虽然仅仅在第5条的标题中使用了“原则”这一表述(严格地说,这里规定的也只是“与个人数据处理相关的”原则,不是整个GDPR的基本原则),但从实质内容上看,这一章七个条文的内容基本上也涵盖了上述六大原则,而其中较有新意的部分是关于同意(Consent)的细致规定——或许,研究者可以使用“同意原则”的称谓,将其视为GDPR所确立的另一项基本原则。

GDPR第5条所明确的与个人数据处理相关的七项原则如下。其一,合法性、公平性、透明性(lawfulness,fairness,transparency)原则。应当以合法、公平、透明的方式处理与数据主体有关的个人数据。其二,目的限制(purpose limitation)原则。应当为特定的、明确的、合法的目的收集个人数据,且之后不得以不符合以上目的的方式对个人数据进行处理,但在收集后为GDPR第89条第1款所述之符合公共利益的存档目的、科学或历史研究目的或统计目的而进行的处理除外。其三,数据最小化(data minimization)原则。收集个人数据应与有关目的之间具备充分性、相关性,并且以该个人数据处理目的之必要为限度进行处理。其四,精准性(accuracy)原则。个人数据应当是准确的,且如有必要应始终处于最新状态;应采取所有合理措施来确保就其处理目的而言不准确的数据及时得以清除或更正。其五,存储限制(storage limitation)原则。在不超过个人数据处理目的之必要的期间内,可以以控制人能够对数据主体的身份进行识别的形式存储个人数据。若根据GDPR第89条第1款的规定,个人数据仅为了符合公共利益的存档目的、科学或历史研究目的或统计目的进行处理,则个人数据可以在更长期间内存储,但应采取GDPR所要求的适当的技术和组织措施来保障数据主体的权利和自由。其六,完整性和保密性(integrity and confidentiality)原则。应当以确保个人数据充分安全的方式处理,包括使用适当的技术或组织措施防止未经授权的或不合法的处理、意外遗失、灭失或损坏。其七,可问责性(accountability)原则。数据控制者有责任遵从以上六项原则,并对自己的遵从行为负有相应的证明责任。

同意作为个人数据收集和处理的前提,不少的欧盟法律文件原本都有所规定,但GDPR第7条和第8条(结合GDPR第4条上同意的定义即“数据主体依照其意思自愿做出的、特定的、知情的和毫不含糊的任何指示,通过声明或明确肯定的行为做出的指示,意味着其同意与他或她有关的个人数据被处理”)对于“同意的要件”进行得如此严格和详细的设定,则是之前没有的。

首先,同意应当是“自愿做出的、特定的、知情的和毫不含糊的”(freely given,specific,informed and unambiguous)。

数据主体的同意是“自愿做出的”,其内涵可以根据GDPR前言第42段^[5]的阐述从反面加以理解：“如果数据主体没有真实的或者自由的选择或者不能够不受损害地拒绝或者撤回同意,则同意不能被认为是自由给出的。”对此,第29条工作组也做过类似的表述：“只有当个人数据主体真正可以做出选择时,同意才有效。也就是说,不得存在欺诈、威胁或胁迫,或当事人的不同意实际上会导致任何严重的负面后果的情形。如果同意可能导致的后果实际上削弱了当事人做出选择的自由,则同意就不是自愿做出的。”检验同意是否系“自愿做出”的重要标准,就是“同意可能导致的后果实际上是否削弱了当事人做出选择的自由”。GDPR第7条第3款关于数据主体在做出同意前应当被告知有权随时撤回其同意的规定,也可以被认为是评判同意是否系“自愿做出”的一项标准。并且,根据GDPR第7条第4款的规定,当评估同意是否系“自愿做出”时,“还应在最大程度上考虑合同的履行(包括服务的提供)是否基于对履行合同不必要的个人数据的同意”。

数据主体的同意是“特定的”,指的是这种同意是基于处理者对数据处理活动特定目的的清晰说明而做出的,正如第29条工作组所指出的：“不准确指明个人数据处理目的的笼统同意无效。”

数据主体的同意是“知情的”,指的是数据主体对于数据处理活动充分了解,相应地,这需要建立在处理者就数据处理活动向数据主体做出的充分说明的基础之上,GDPR第13条和第14条以个人数据是否“从数据主体处获取”为界限分别对这种说明做了详细的要求,GDPR第12条则要求控制人“采取适当的措施,以简洁、透明、易于理解和获得的形式并使用清楚、直白的语言”提供GDPR第13条和第14条所述及的信息。GDPR前言第42段将这些要求简明扼要地表述为：“知情的”要求“数据主体至少应该能够意识到控制者的身份以及处理个人数据的目的。”此外,第29条工作组还指出,处理者必须直接向数据主体提供这些信息,仅仅让数据主体知道某处有可用的信息是不够的。(www.xing528.com)

数据主体的同意怎样称得上是“毫不含糊的”,GDPR第7条第2款规定得十分明白：“若数据主体将在一份同时也涉及其他事宜的书面声明中给予其同意,则在对于该同意的请求中,应使用清楚直白的语言,以易于理解和获得的形式并以可明确与其他事宜区分的方式提出请求。该声明中构成违反本法的任何部分均不具约束力。”GDPR前言第43段亦指出：“如果不允许针对不同的数据处理活动分别给出同意,则推定同意并非自愿做出,除非其在个案中是适当的,或者提供服务的合同的履行行为是独立于同意的(除非这种同意对合同的履行而言并非必须)。”换言之,如果处理者将若干种不同的数据处理活动捆绑在一起,要求数据主体就其统一做出同意或者不同意的表态,而没有让数据主体针对每一项数据活动分别表示同意,那么,通常情况下,即使数据主体统一做出了同意的表态,这种“同意”也被推定为无法构成GDPR上的同意。

其次,同意应当“通过声明或明确肯定的行为做出”(by a statement or by a clear affirmative action)。

国内有研究者将这里的“通过声明或明确肯定的行为做出”称为积极同意,与消极同意的概念相对。笔者认为,这组概念的差别大体相当于民法理论上明示与默示(或者作为与不作为)的差别,或许使用后面的两组概念能够更好地帮助人们理解GDPR的有关规定。GDPR前言第32段的阐述亦可表明此点：“同意……可以通过书面声明(包括通过电子方式)或口头声明给出。(同意)可以是在访问因特网时在选择框中打勾,在信息社会服务时选择技术设置,或者其他在该情形下清晰表明数据主体接受对其个人数据处理意向的声明或行为。由此,沉默、事先勾选的选择框或不作为不构成同意。”第29条工作组曾以下面的例子形象地说明默示或者不作为不能构成同意：网络游戏网站上有一个告示,通过链接可以打开阅读(参加游戏不以阅读告示为前提),而该告示中称,玩家使用该网站并向其提供资料,即表示玩家已经同意该网站处理其个人数据并同意接收网站及第三方发送的广告。第29条工作组认为,登录并参与游戏不等于同意网站为网络游戏以外的目的处理玩家的个人资料,不构成当事人对其个人数据用于商业目的的同意。国内另有研究者指出,在这种标准下,虽然GDPR并没有明确禁止“推定同意”模式(敏感数据处理、“特性分析”活动除外),但在实践中通过推定方式获得用户同意将很难被认为是有效合法的——当前实践中普遍存在的通过冗长晦涩的隐私政策来获取用户同意,或者让用户在签订业务协议时通过“打钩”方式做出一揽子授权的方式,将在欧盟失去合法性^[6]。

再次,16岁以下的未成年人的与信息社会服务相关的同意,应当由对其具备“父母责任”的主体(the holder of parental responsibility over the child,通常为未成年人的父母或监护人)做出或者授权其做出。

GDPR第8条第1款的这一规定,可以说是做出同意者与数据主体不完全一致的例外情况,不过,考虑到青少年对于网络的频繁使用,这种情况其实相当常见。GDPR的起草过程中,起草者将该年龄限制规定由原先的13岁(与几乎所有主流社交媒体服务限定的最小年龄相符)调至16岁时,曾引发争论。较有代表性的意见,如慈善机构“戴安娜奖”青年委员会向欧洲议会提交的抗议书所示：“13岁以上青少年早就习惯了使用社交媒体,如果突然更改年龄政策,只会迫使这些青少年对自己的真实年龄撒谎,以便他们继续使用社交媒体,而无需征求父母的同意。对于网络服务商来说,为孩子们提供适龄指导和工具,确保他们获得安全和保护隐私的网上体验将变得更为困难。”^[7]作为一种折中,在GDPR的正式文本中,GDPR第8条第1款同时允许欧盟成员国通过本国法律使13～16岁的未成年人可以自行做出同意。GDPR第8条第2款则要求数据控制者在“现有技术”的基础之上做出“合理的努力”,以核实具备“父母责任”的主体所做出的同意或授权。当然,这种同意或授权不能被认为是未成年人在限制行为能力状态下的意思表示的补全,以免与各成员国国内的民事立法相抵触,正因如此,GDPR第8条第3款规定：“(本条)第1款不应影响成员国的一般合同法律与未成年人有关的合同效力、构成或效果的规则。”另外,根据GDPR前言第38段,当直接提供给未成年人的服务系预防性或解困性服务(preventing or counseling service)时,具备“父母责任”的主体的同意也不是必须的。

尽管对于同意的认定非常重要,但也需要注意的是,同意并非数据处理合法性的唯一基础(而且要注意的是同意即使已做出也可以撤回)。GDPR第6条第1款规定了六种可以支持数据处理合法性的事由,除了第一种事由即“数据主体同意为一个或多个特定目的处理其个人数据”之外,另五种分别是：(1)处理对于履行数据主体为其中一方当事人的合同,或对于应数据主体的请求在签订合同前采取措施,是有必要的;(2)处理对于遵守控制者应履行的法定义务是有必要的;(3)处理对于保护数据主体或另一自然人的切身利益是有必要的;(4)处理对于执行符合公共利益的任务或在行使赋予控制者的职务权限中是有必要的;(5)处理对于控制者或第三方追求的正当利益是有必要的(除非该利益被数据主体的基本权利和自由压倒,而这种数据主体的基本权利和自由需要对个人数据进行保护——尤其是在数据主体为未成年人的情况下)。