并不简单的“个人数据”判断【APUS研究院|GDPR实战指南(七)】
在GDPR的合规实践中,最困扰我们的一个问题就是法规的标准不够明确,存在大量看似清晰但外延非常大的概念,而每一个概念的延伸都会导致合规方案设计的举棋不定乃至直接影响产品数据,我们相信这不仅仅是我们所面临的问题,也是同类型企业所共同面临的痛点,比如本文讨论的“个人数据”的边界问题。
根据GDPR定义,个人数据是指已识别到的或可被识别的自然人(“数据主体”)的所有信息。可被识别的自然人是指其能够被直接或间接通过识别要素得以识别的自然人,尤其是通过姓名、身份证号码、定位数据、在线身份等识别数据,或者通过该自然人的物理、生理、遗传、心理、经济、文化或社会身份的一项或多项要素予以识别。
为了简化表述,我们认为GDPR所保护的个人数据,是一种可以直接或间接识别自然人的数据。上述条文也列举了一些参考,但是“等”字表明这并非穷尽式列举,个人数据的外延会更广。
那什么是直接或间接地识别?一些设备信息,比如IMEI号,只能确认设备身份,是不是个人信息?进一步来讲,如果对数据进行去标识化,是否可以认为这样的数据不属于用户的个人数据?
在Breyer案中,欧盟法院就“动态IP地址”是否属于95年的个人数据保护指令(以下简称“指令”)所定义的个人数据进行了澄清。
这个案件的直接结果,是确认在指令的框架下,如果一个公司通过结合其存储的(动态)IP地址和互联网服务提供者掌握的其他数据,可以识别一个自然人,并且该等公司有途径可以访问互联网服务提供者掌握的前述其他数据,那么对于这个公司来说,这些动态IP地址就属于个人数据。但是比直接的判决结果更为重要的是,本案讨论了何为“间接识别”。
在这个案件中,CJEU认为评价数据是否可以识别到个人,并不能只看单个采集数据的主体是否具有识别个人的能力。举个例子,A公司搜集的数据1是不能直接识别用户,但是数据1与B公司存储的数据3结合起来是可以识别自然人的,并且A公司是具有“合理可能”的途径接触到B公司的数据3,那么对于A公司来说,数据1就是法律保护的个人数据。这就是题述的“Breyer逻辑”。
一个关于95年的个人数据保护指令的问题为什么对GDPR的合规有参考意义。原因很简单,GDPR并非欧洲第一部数据保护的法律性文件,在此之前,指令是全欧范围统一保护个人数据的主要规范。
在该指令中,个人数据的定义为:“个人数据”是指与已识别或可识别的自然人(“数据主体”)有关的任何信息; 可识别的人是指可直接或间接识别的自然人,尤其是通过身份证号码或具体到自然人的物理、生理、心理、经济、文化或社会身份的一个或多个因素。
可以看出,除了没有列举重点数据外,这个定义和目前GDPR的定义基本相同。因此,我们认为这个案例对GDPR合规具有非常强的参考意义。
这个案例主要讲的是,德国的政府机构通过网页提供在线的媒体服务,为了确定服务对象,网站服务器必须确定访客的IP地址,因此,当访客访问网页时,其IP地址及其他如访问时间等信息都会传输到网页的服务器,德国政府会记录并存储这些信息。
这里强调一下,CJEU在其判决意见中特别进行了辨别,“德国政府”在本案中搜集存储动态IP地址的行为并不是在行使公权力,而只是作为一个普通的在线媒体运营者,和Youtube,优酷都是一样的。为了防止混淆,我们给他起个名字叫“德国官媒”。
Breyer先生浏览了德国官媒的这些网页,但是和其他访客不同,他认为德国官媒对动态IP地址的采集违反了数据保护的法律规范,并把德国官媒告上法庭。
进入实质讨论前先讲几个概念,ISP是互联网(接入)服务提供商,我们可以理解成是德国的电信和联通。动态IP,就是你每上一次网,ISP(互联网(接入)服务提供商)就会给你提供一组数字,表示你在互联网世界的位置。
CJEU首先指出,和静态IP地址不同的是,动态IP地址本身是没有办法识别到一个用户的。运营网站的德国政府机构也没有办法通过自身掌握的信息识别一个具体的用户。但是如果结合Breyer先生的ISP存储的一些其他数据,德国政府机构就可以识别到Breyer。
根据之前对标准的说明,CJEU认为,尽管德国官媒无法仅通过动态IP地址识别到具体用户,但是如果德国官媒可以访问ISP存储的其他数据,结合这些数据就是可以识别到具体用户的。CJEU随后将讨论的焦点放在了德国官媒是不是拥有“合理且可能”的途径来访问ISP存储的这些数据。道理很简单,如果访问不了,或者访问需要花费庞大的人力和物力的话,CJEU也认为德国官媒拿手里这些动态IP地址没什么办法。
德国法律是明确禁止ISP向在线媒体服务提供者直接传输有助于识别到数据主体的数据的。既然法律都禁止了,那也就没什么“合理且可能”的途径了吧?但是CJEU说,德国法律还规定,在发生网络攻击的情况下,在线媒体服务提供者有权联系有执法权的机关(暂且认为是德国警察局吧),使得德国警察局可以向ISP索要与动态IP地址结合后可以识别到自然人的信息,以便德国警察局完成对具体的自然人的识别并进一步实施逮捕或其他措施。
因此,CJEU认为既然德国官媒可以在德国警察局和ISP的数据的协助下,用自己存储的动态地址识别到自然人,那么德国官媒就是拥有“合理且可能”的途径的。因此,对于德国官媒来说,他们存储的这些动态IP地址,应该被认为是指令框架下的个人数据。
尽管CJEU这样的观点引发了很大的争议,但至少我们对“个人数据”的概念,有了更明确的认识。那就是,因为GDPR框架下的“间接识别”,使得我们基本无法对某数据是不是个人数据进行一个静态的判断。
举个例子,比如说“穿红色衣服的人”本身并不能表示某一个具体的个人。但如果在某次活动上,只有一个穿红色衣服的参与者,且这个活动需要把参与者衣着的颜色和参与者身份联系在一起,那么“穿红色衣服的人”就变成了个人数据。
当然这只是一个极端的例子。考虑到匿名化数据的操作问题,我们认为欧盟可能不会对数据和个人身份的关联如此较真。但回到IMEI号是否属于个人数据的问题上,我们认为被认定的概率相当之大。因为按照Breyer案确定的标准,只要公司具有“合理且可能”的途径可以借助其他数据来用自己存储的数据确定用户身份,那么很大概率这些数据就属于个人数据。
在未获得用户明确许可的情况下,广告标识符(Advertising Identifier,下称“广告ID”)不得与个人身份信息或任何永久性设备标识符(例如:SSAID、MAC 地址、IMEI等)相关联。
这同时表明Google对这类信息也非常敏感。那另一个问题,Google的广告ID,是否是个人数据呢?这个答案就留给各位去思考。
我们把Breyer逻辑引入公司或者集团内部。很多人认为,只要将可以识别身份的信息从用户数据中剥离,那么剩下的数据就可以不受GDPR管辖任意使用。我们理解这样的想法是不严谨的。至少有三个问题需要确认:
第一点,被剥离的、可以识别用户身份的信息是否被彻底删除?如果没有,那最多算你对用户数据进行了假名化。研究GDPR的朋友们一定知道,假名化数据仍然属于个人数据。
第二点,从剩余数据中,是否真的无法推测出用户的身份?用个术语,是否实现了用户数据的“匿名化”。这样的判断基于公司的画像能力,也基于公司数据冗余的策略。
第三点,公司是否具有“合理且可能”的途径,借助其他数据或其他手段,通过剩余数据来识别推测出用户的身份?比如经过剥离,表明用户身份的数据和其他数据虽然存储在不同的部门或实体,但也有可能被认定为具有“合理且可能”的途径。
高度抽象是法律规则介入技术领域的一个必然产物,而GDPR也为此提出的解决方案,即合规认证(Certification)和行为准侧(Code of Conducts),也依赖于欧洲数据保护委员会(European Data Protection Board)和各地数据主管机构的进一步澄清。因此对于每一个需要进行GDPR合规的出海企业,仍需持续关注欧洲的执法实践和解读文件,在没有更进一步的明确规则和解读之前,我们建议在产品实践中对个人数据的界定可以借鉴Breyer逻辑进行谨慎判断,对于不能完全排除个人数据可能的数据类型应当在产品设计采取类比个人数据的同意方案。
APUS研究院|GDPR实战指南(一)写给出海的伙伴:GDPR,一个可以讨论的话题
APUS研究院|GDPR实战指南(二)“同意”,没那么简单
APUS研究院|GDPR实战指南(三)全球首例GDPR案件分析
APUS研究院|GDPR实战指南(四)浅谈企业GDPR合规中的项目管理
APUS研究院|GDPR实战指南(五)移动App的产品设计——启动页面和账号注册实例
APUS研究院|GDPR实战指南(六)Google的开源Consent解决方案解析
介绍:APUS研究院,致力于研究数据合规的前沿问题,持续跟进高新行业的合规热点和动态。
AD: 8月30日,猎云网2018年度“智慧+新服务”企业服务峰会落地上海!携手众多行业先锋领袖,共同探讨企业服务行业新风向。