【观天下事】李汶龙:欧美网络法年度述评2019(一)
B D A I L C
欢 迎 关 注
Gustav Klim
欧美网络法年度述评2019
文 / 英国爱丁堡大学法学院讲师 李汶龙
对欧美网络学术圈而言,2019年是值得期待的一年。新数据立法多大程度能够保障用户基本权利?严苛立法又会给科技产业带来怎样的波动?GDPR生效一周年之际,这些问题都初见分晓。
对于很多从业者而言,2019年是令人失望的一年。GDPR非但没有解决痼疾,还在滋生新的问题,执行起来困难重重。互联网无边无界,让域外执行成为了持久命题。经济发展与权利保障之间难求平衡,权力机关执法处处掣肘。法律的发力点与科技的支撑点存在错位,新科技不受旧制度制约。
法律之外,政治变动也让网络治理更加分裂。脱欧进程让刚刚达成的(法律)确定性重新化为泡影。未来英国的数据保护以及数据流动如何开展,答案扑朔迷离。
欧洲立法的进步只是很小的一步。在法律竞争融合、执法跨境合作,还有科技风险管控上,我们仍有很长的路要走。无论怎样,类似于GDPR的法律框架是保障用户基本权利的第一步。本述评所关注的,正是这部法律带来的可能性。
受刘擎老师启发,从今年开始撰写年度述评。刘老师的《西方思想史年度述评》关注思潮的发展;这一述评照猫画虎,围绕科技与法律展开。需要说明的是,本述评囊括的十大议题是围绕法律的进步展开,而非科技的发展。
本述评未采用“西方”这个概念,因为近年来网络治理进展多源于欧洲。西方其他诸国(包括美国在内)都在研习、效仿和纠偏。这一国际格局也影响到了学术讨论,2019年很多新文献都基于欧盟法的框架展开。称其为“欧美”也有失偏颇,因为述评的对象——新法律、新文献以及新主题——也多是来自于欧洲。受限于认知环境,本人对美国等其他国家法律的进展了解不够。即便如此,本人还是尝试融入一些国际视野,必要时展开对比分析。
冠以“网络法”,有必要对这一核心概念稍作解释。国内讨论的网络治理文献多是美国学者世纪之交的著述。彼时关于数据保护的讨论相对较少,学术争论主要围绕基础架构展开。此后20年,科技发展令人瞠目,学术讨论也开始转向:从基础架构转向更高层次的软件应用和数据处理,从北美的理论转向到欧洲的实证。本述评的内容有别于传统网络治理议题——例如域名管理、ICANN管辖权、网络中立等等——更多地着墨于基础架构之上,各类科技的应用和数据的处理。
述评的对象多为法律文献,较少涵盖社会学期刊。有必要说明的是,社会学者对科技发展问题的剖析有时更为准确精妙,值得法律同仁关注。(高质量的期刊如Big Data & Society,Information Communication and Society等)未来的述评也会更多地融入多学科的碰撞。
本人意识到自己很难成为一名称职的译者。文学素养的匮乏导致在很多关键概念的翻译上无法实现“信达雅”。鉴于生硬翻译可能造成的偏颇、疏忽和误解,本述评在关键概念上采取“少/不翻译”的策略,这样有利于读者找到原始的文献和语境。
希望这一述评能够为东西学术圈的交流和互动略尽绵薄之力,也能够为国内学习网络法的同学提供一些时新的视角。
第一部分 微观视角下的GDPR | ||
1. | 长臂GDPR:域外执行与理念传播 | |
2. | 五年之后的被遗忘权 | |
3. | 数据影响评估——GDPR的另一个面向 |
第二部分 宏观视角下的GDPR | ||
4. | 数据保护与市场竞争 | |
5. | 欧盟版权法的创新:链接税与平台侵权审查 |
第三部分 GDPR与新科技 | ||
6. | 人脸识别技术的合法性分析 | |
7. | AdTech产业的历史转折点 |
第四部分 GDPR与英国 | ||
8. | 脱欧之后的数据保护问题 | |
9. | 网络伤害:英国新网络治理模式 |
第五部分 GDPR与英国 | ||
10. | 平台与网络治理 |
欧美网络法年度述评2019(十之一):
长臂GDPR——域外执行与理念传播
GDPR是欧盟层面最新一部数据保护法,全称为General Data Protection Regulation (GDPR),在国内有时被译作《通用数据保护规定》。这部法律于2018年5月开始在全欧盟成员国范围内正式生效,距今已一年有余。
全球视野内,欧盟设立的数据保护标准要明显高于其他法域。因此,在欧洲开展业务的企业就要承担更高的合规成本。对于很多国内企业而言,他们最为关心的就是GDPR的适用性问题,尤其是域外执行 (extraterritoriality)。
由于互联网(线上)服务并不受地理疆域的限制,很多科技企业都跨境提供服务。根据GDPR第三条,不在欧盟设立机构的跨国企业也可能受到GDPR的调整。
关于这一条文的适用,刚刚成立的European Data Protection Board在今年11月采纳并发布了GDPR域外适用指南。[1] 与2018年11月公布的征求意见稿相比,最终版本没有太大的改动。 [2]
早在世纪之初,EDPB的前身Article 29 Working Party (A29WP)就曾发布过关于数据保护法全球适用的意见书。[3] A29WP认为,实现数据保护有赖于法律的域外执行。但是,意见书提出的措施主要在认知层面,强调他国对欧盟数据保护法适用性应该有充分了解。彼时对跨境适用的讨论也主要在国际公法层面展开。
EDPB的指南主要围绕三个核心概念展开诠释,并且提供了示例:
企业是否在欧盟设立了机构 (establishment)
企业是否为欧洲居民提供某种产品或服务 (注意这里不是公民或国民,所以身处欧盟境内的中国人也适用;法律条文使用的概念是data subject,泛指所有在欧盟境内使用数字产品或服务或因其他原因可以被识别的个人)
是否监测 (monitoring) 欧洲居民的行为(不限于线上)
考虑到很多国内外科技公司都进行个人数据的收集、分析和交易,上述条件很可能被满足。EDPB指南明确列举了若干种常见的商业模式和实践,包括精准广告 (Online Behavioural Advertising)、移动定位服务 (geolocation tracking service)、医疗/健康个性定制服务、视频监控、(使用cookie/fingerprinting等技术)实行线上追踪或监视等等。从事此类商业实践的企业,即便没有在欧盟设立机构,也需遵守欧盟法的要求。
对于执法机关而言,GDPR域外执行是一个棘手的难题。[4] 在“核心期刊”International Data Privacy Law上,伦敦国王学院研究生Benjamin Greze今年发表了一篇获奖论文,出色地分析了GDPR域外执行的难点。[5] 论文探究执法机关在执行层面上的权力界限,辅以现实示例。Greze提及了国际执法合作框架的有限性,包括国际数据保护和隐私专员会议ICDPPC于2017年通过的决议,修缮之后的Convention 108等等。考虑到理念和现实上的差距,作者认为应寻找其他的出路,例如强化 “欧盟代表”的法律责任(根据GDPR第27条的规定,未在欧洲设立机构但开展业务的企业需要设定一名代表),或对违规网站进行屏蔽。
域外执行之外,GDPR还以更为隐性的方式影响着全球数据保护的发展。Graham Greenleaf是关注全球进展的主要学者,他的著作Asian Data Privacy Laws(牛津出版社出版)想必很多业内人士都有所涉猎。这位来自澳洲南威尔士大学的教授在2019年发表了若干篇观察报告。[6] 他梳理了1973到2019年来数据隐私法的发展,发现每年平均有2.9个国家制定了数据保护法;截至到2019年4月,全世界共有134部法律出台。[7] 另一篇文章中,Greenleaf列举了全球范围内存在的132部数据隐私法(已经生效)以及27个国家正式公布的数据隐私法案(尚未公布)。[8] 很多晚近的法律都受到了GDPR的影响,包括在国际法层面的Convention 108。[9] Greenleaf还在文章中提到了几近待废的APEC数据保护框架。由于只有美国和日本的几家公司参与,这一环太平洋区域共识已经名存实亡。[10]
面对欧盟法的影响,美国学者开始对这一制度的普适性展开反思。荣获FPF年度大奖的美国学者Neil M. Richards和Woodrow Hartzog从美国本土的立场讨论了欧洲的影响以及美国的出路。[11] 隐私的概念因《哈佛法律评论》上的一篇文章为众人所知。[12]但是由于没有得到美国宪法的肯认和保障,隐私权的发展在数十年间处处掣肘。Richard和Hartzog观察到,美国国会在联邦立法上鲜有作为,导致各州纷纷仿效制定本土版的GDPR,最著名的例子是加州的California Consumer Privacy Act (CCPA),将在2020年初生效。[13] 两位作者认为,美国正在迎来隐私的“宪政时刻”(Constitutional Moment);欧洲的影响加之各州的立法运动正在带来结构性变革。两位作者对于效仿欧洲的运动持批判态度,这并不是因为欧洲框架不好,而是GDPR本身存在自己的局限。Richard/Hartzog一阵见血地指出,GDPR不能解决数字社会存在的所有问题,尤其是在数据处理之上还存在的滥用、压迫、权力失衡、市场扭曲以及民主危机。这些问题需要一个更为宏大的治理框架才能解决,而作者希望美国立法者不要将眼光局限于欧洲的进步。
向上滑动阅览
[1] EDPB, ‘Guidelines 3/2018 on the Territorial Scope of the GDPR (Article 3)’(Version 2.0, 12 November 2019)https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en.pdf. See commentaries such as Cynthia O’Donoghue and Daniel Millard, ‘EDPB Adopts Final Version of Guidelines on the Territorial Scope of the GDPR’ (Reed Smith, 19 November 2019) https://www.technologylawdispatch.com/2019/11/privacy-data-protection/edpb-adopts-final-version-of-guidelines-on-the-territorial-scope-of-the-gdpr/ and Cynthia O’Donoghue and John O'Brien, ‘EDPB Issues Much-awaited Guidance on GDPR’s Territorial Scope’(Reed Smith, 29 November 2018) https://www.technologylawdispatch.com/2018/11/privacy-data-protection/edpb-issues-much-awaited-guidance-on-gdprs-territorial-scope/
[2] EDPB, ‘Guidelines 3/2018 on the Territorial Scope of the GDPR(Article 3)’(Version for public consultation, 16 November 2018)https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf
[3] Article 29 Working Party, ‘Working Document on Determining the International Application of EU Data Protection Law to Personal Data Processing on the Internet by Non-EU based Web Sites’(WP56, 30 May 2002) https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2002/wp56_en.pdf
[4]关于域外执行这一主题早期的讨论详见Christopher Kuner, ‘The Internet and the Global Reach of EU Law’, LSE Law, Society and Economy Working Papers 4/2017 http://eprints.lse.ac.uk/73421/1/WPS2017-04_Kuner.pdf. Dan Jerker B. Svantesson, Solving the Internet Jurisdiction Puzzle (OUP 2017).Adèle Azzi, ‘The Challenges Faced by the Extraterritorial Scope of the General Data Protection Regulation’(2018) 9(2)JIPITEC 126-137 https://www.jipitec.eu/issues/jipitec-9-2-2018/4723. Graça Canto Moniz, ‘Finally: A Coherent Framework for the Extraterritorial Scope of EU Data Protection Law - the End of the Linguistic Conundrum of Article 3(2) of the GDPR’ (2018) 4(2) EU Law Journal 105-116 http://www.unio.cedu.direito.uminho.pt/Uploads/UNIO%204%20.%20Vol%201/Unio%204%20n.%202%20PT/Unio%204%20n.%202%20EN/Gra%C3%A7a%20Canto%20Moniz%20(2).pdf
[5] Benjamin Greze, ‘The Extra-Territorial Enforcement of the GDPR: A Genuine Issue and the Quest for Alternatives’ (2019) 9(2) International Data Privacy Law 109–128
[6] Graham Greenleaf, SSRN Author Page https://papers.ssrn.com/sol3/cf_dev/AbsByAuth.cfm?per_id=57970
[7] Graham Greenleaf, ‘Countries with Data Privacy Laws – By Year 1973-2019’(2019) https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3386510 See also Graham Greenleaf, ‘Global Data Privacy Laws 2019: 132 National Laws & Many Bills’(2019) 157 Privacy Laws & Business International Report 14-18
[8] Graham Greenleaf, ‘Global Tables of Data Privacy Laws and Bills’(January 2019, 6th edn) https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3380794
[9] Graham Greenleaf, ‘Renewing Convention 108: The CoE's “GDPR Lite” Initiatives’(2016) 142 Privacy Laws & Business International Report 14-17
[10] Graham Greenleaf, ‘Global Data Privacy Laws 2019: New Eras for International Standards’(2019) 157 Privacy Laws & Business International Report 19-20
[11] Woodrow Hartzog and Neil M. Richards, ‘Privacy's Constitutional Moment and the Limits of Data Protection’ (forthcoming 2020) 61 Boston College Law Review https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3441502
[12] Samuel D. Warren and Louis D. Brandeis, ‘The Right to Privacy’ (1890) 4(5) Harvard Law Review 193-220 https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf
[13] https://www.caprivacy.org/
欧美网络法年度述评2019(十之二):
五年之后的被遗忘权
GDPR中的若干权利当中,被遗忘权或许是最为人所知的一个。自2014年欧盟法院判决之后,关于被遗忘权的讨论就没有停息。2019年,各大“核心期刊”刊载了数篇相关的主题讨论。接续上文的主题,被遗忘权是现今数据保护域外执行最主要的试金石。[1]
关于这一权利的讨论最早可以追溯到2010年。彼时欧盟委员会刚提出制定GDPR的草案并希望对当时Data Protection Directive (DPD)第12条中的数据删除权做适当的延伸。与GDPR相比,DPD仅仅提到了“删除”这个概念,除此之外没有提供更多的语境。这一缺陷最终被GDPR第17条补足。
2014年是被遗忘权的转折点。GDPR当时仍在立法审议之中,欧盟法院率先做出判决认可了这样一种权利的存在。[2] 准确来说,这一判决确认了所谓的“断链权”(right to delist)。GDPR第17条要比这一权利复杂许多,广泛适用于媒体在内的各类机构。
2019年9月,欧盟法院的一纸判决又将这一讨论推向了高潮。五年前的判决认可了被遗忘权的存在以及谷歌的断链责任。但在多大程度上进行“遗忘”欧盟法院并没有明言。谷歌搜索引擎基于国别使用不同的域名,在执行判决时拒绝扩张到欧盟管辖范围外的域名。法国数据保护机关CNIL(全称为Commission Nationale de L’informatique et des Libertés)认为这一做法违反了欧盟数据保护法,要求谷歌在全球范围内断链。谷歌不服,双方最终诉至欧盟法院。法院认为谷歌没有必要再全球范围内进行断链处理。[3] 基于DPD第12、14(a)条以及GDPR第17(1)条,被遗忘权不是一个普适概念(其他法域未必认可),也不是一个绝对权利(需要跟其他的权利和利益平衡)。 需要说明的是,法院虽然强调了被遗忘权的界限,但没有排除在未来的案件中全球断链的可能性。根据法院的说法,欧盟成员国的法院或者数据保护机关可以根据国内法的标准确定断链的范围和措施。
谷歌公司年末还发布了一篇关于被遗忘权的学术文章,讨论了五年来这一权利的演进。[4] 文章对近320万个要求“被遗忘”的网站链接进行了分析。哪些国家的数据删除请求最多?权利主体的构成如何?不同产业对于“被遗忘”的需求有何区别?域外执行在多大程度上成为惯例?关于这些问题谷歌提供了详实的实证数据。
英国剑桥学者David Erdos在被遗忘权的主题上著述颇丰。肩挎数据保护与言论自由两大领域,Erdos的文章关注数字权利对言论表达的影响。值得一提的是,Erdos的新书——European Data Protection Regulation, Journalism, and Traditional Publishers: Balancing on a Tightrope? [5]——也于今年由牛津出版社出版。
最新一篇文章中,Erdos讨论了谷歌执行被遗忘权时存在的诸多争议。[6] 根据谷歌的合规政策,在断链前会通知相关网站,并公开提供关于URL的诸多细节。Erdos主张,不加斟酌地披露断链信息会泄露个人信息,且违背欧盟数据保护标准。在作者看来,谷歌唯有遵循目的限制、数据最小化原则,并且增设措施防止数据滥用,才能够真正实现合规。
Erdos与另一位剑桥学者Krzysztof Garstka合写的另一篇文章讨论了G20峰会制定的数据保护框架。[7] 跳出欧盟法的语境,两位作者探讨了被遗忘权的本质以及在其他法律框架内可能存在的踪迹。他们认为在国际法层面上可以寻找到被遗忘权的治理里路。除了中国、印度、阿拉伯以及美国外,其余15个G20峰会成员国都制定了数据保护法,赋予国民控制个人数据的权利(包括删除)。中国的信息保护立法正在酝酿当中,有望在2020年问世。
最后,“核心期刊”European Data Protection Review 在2019年几乎每一期都有关于被遗忘权的讨论。早稻田大学学者Frederike Zufall撰文讨论了被遗忘权在日本的发展以及与欧盟进路的异同。[8] 都灵大学学者Elena Corcione的文章分析了欧洲人权法院在被遗忘权与公共利益之间的权衡。与欧盟法院的判决不同,欧洲人权法院认为这一权利不应该在该案中僭越公众的知情权。[9]来自荷兰的两位女学者分别发表了关于欧盟法院新判决的述评。Claudia Quelle正面评价了AG Szpunar的意见书,认为这一进路是平衡的、明确的、可取的。[10] 基于最新案例法,Silvia De Conca讨论了被遗忘权与公众利益的平衡,但将重心放在公众知情权的特征与局限上。[11]
最后,EDPB还在2019年末出台了被遗忘权适用标准的指引。[12] 早在2014年首例被遗忘权判决出台之际,EDPB的前身Article 29 Working Party (A29WP)做出了类似的梳理。彼时GDPR尚未生效,法院主要是基于Data Protection Directive的规定发展出该权利的适用标准。EDPB成立时并没有对该意见书进行背书[13],而是在今年基于新法GDPR做出新的指引。在研究该权利多年的荷兰学者Jef Ausloos看来,指引并未引入新内容。如新指引导言提到的那样,EDPB讨论的语境仍然是断链权,虽然GDPR第17条广泛适用于所有的数据控制者。
向上滑动阅览
[1] 被遗忘权域外执行的早期评论见Brendan van Alsenoy and Marieke Koekkoek, ‘The Extra-Territorial Reach of the EU's “Right to Be Forgotten”’, CiTiP Working Paper 20/2015 https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2551838
[2] Case C-131/12 Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González ECLI:EU:C:2014:317 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62012CJ0131 关于被遗忘权的演进,可参见Miriam Everett and colleagues, ‘Extending the Long-arm of the Law: Extra-Territoriality and the GDPR’(Herbert Smith Freehills,) https://www.herbertsmithfreehills.com/file/24706/download?token=fQHhpppe
[3] Case C‑507/17 Google v. Commission nationale de l’informatique et des libertés (CNIL) ECLI:EU:C:2019:772, para 74. http://curia.europa.eu/juris/liste.jsf?language=en&num=C-507/17 See commentaries such as Olivier Proust and Alix Bertrand, ‘European Court Limits the Right to de-Referencing to the EU Territory’(Fieldfisher, 3 October 2019) https://privacylawblog.fieldfisher.com/2019/european-court-limits-the-right-to-de-referencing-to-the-eu-territory.Alex van der Wolk and Robert N. Famigletti, ‘Forget Me…or Not: Europe’s High Court Limits Territorial Reach of Right to Be Forgotten, But Not of GDPR’(Lexology, 2 October 2019) https://www.lexology.com/library/detail.aspx?g=0f81a649-2827-4b4a-9fdf-28eca4de02e6 and Dan Shefet, ‘Extraterritoriality, the Internet and the Right to be Forgotten’(ABA Journal, 10 October 2019) http://www.abajournal.com/voice/article/extraterritoriality-and-the-internet. Also see an earlier commentary on the AG opinion, Stephan Mulders and Burak Haylamaz, ‘The Territorial Scope of EU-privacy Law; Two Opinions from AG Szpunar’(Maastricht University Blog, 2 July 2019) https://www.maastrichtuniversity.nl/blog/2019/07/territorial-scope-eu-privacy-law-two-opinions-ag-szpunar
[4]Theo Bertram and others, ‘Five Years of the Right to Be Forgotten’ (2019) Proceedings of the Conference on Computer and Communications Security https://research.google/pubs/pub48483/
[5] David Erdos, European Data Protection Regulation, Journalism, and Traditional Publishers: Balancing on a Tightrope? (OUP 2019)
[6] David Erdos, ‘Disclosure, Exposure and the “Right to be Forgotten”after Google Spain: Interrogating Google Search’s Webmaster, End User and Lumen Notification Practices’(2019) https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3505921
[7] David Erdos and Krzysztof Garstka, ‘The “Right to be Forgotten” Online within G20 Statutory Data Protection Frameworks’, University of Cambridge Faculty of Law Research Paper No. 31/2019 https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3451269
[8] Frederike Zufall, ‘Challenging the EU's ‘Right to Be Forgotten’? Society's ‘Right to Know’ in Japan’(2019) 5(1) European Data Protection Law 17-25. Cf Fiona Brimblecombe and Gavin Phillipson, ‘Regaining Digital Privacy? The New “Right to be Forgotten” and Online Expression’(2018) 4 Canadian Journal of Comparative and Contemporary Law 1-66
[9] Elena Corcione,‘The Right to Be Forgotten, Between Web Archives and Search Engines: Further Steps at the European Court of Human Rights’9(2) European Data Protection Law 262 – 265 https://edpl.lexxion.eu/article/EDPL/2019/2/17
[10] Claudia Quelle,‘GC and Others v CNIL on the Responsibility of Search Engine Operators for Referring to Sensitive Data: The End of ‘Right to be Forgotten’ Balancing?’(2019) 9(3) European Data Protection Law 438 – 447
[11] Silvia De Conca, ‘GC et al v CNIL: Balancing the Right to Be Forgotten with the Freedom of Information, the Duties of a Search Engine Operator (C‑136/17 GC et al v CNIL)’(2019) European Data Protection Law 561-567
[12] EDPB, ‘Guidelines 5/2019 on the Criteria of the Right to be Forgotten in the Search Engines Cases under the GDPR (part 1)’ (EDPB Public Consultations, 11 December 2019) https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-52019-criteria-right-be-forgotten-search_en
[13] “Endorsement of GDPR WP29 Guidelines by the EDPB”(EDPB Endorsement, 25 May 2018) https://edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb_en
欧美网络法年度述评2019(十之三):
数据保护影响评估——GDPR的另一个面向
有人说GDPR是一个以数据权利为主的法律制度,这一判断并不完全正确。网络用户对数据的控制是欧盟数据保护法强化的重要面向,但GDPR也增设了完全有别于个人救济的治理措施——Data Protection Impact Assessment (DPIA)就是其中之一。[1] 这项制度创新或可追溯于21世纪初提出的Privacy by Design的理念[2],欧盟立法者在此基础上与 “数据保护”的概念和原则进行了融合创新。
与自力救济的数据权利相对应,DPIA是一个自上而下的治理机制。前者强调通俗易懂,能让用户自行平衡隐私与数据使用;后者更为全面,为系统性治理提供基础(无须个人提请)。根据GDPR第35条,满足条件的企业需对有关的风险和影响展开事先评估。这一制度尤其适用于那些尝试使用新科技的企业。
进入FPF大奖行列的另一篇文章讨论了这一新制度。来自科罗拉多大学法学院的Margot E. Kaminski与布鲁塞尔自由大学博士学者Gianclaudio Malgieri合作探讨了个人权利救济与DPIA的关系。[3] 作者认为,DPIA是连接这两大机制的桥梁,一方面为系统性治理提供基础,另一方面也能够为个人救济提供适当的保障。针对GDPR第35条设计上存在的缺陷,Kaminski/Malgieri提出了完善建议。他们认为一次性的、单维度的解释无济于事;DPIA应当可以用于提供多层次、多阶段以及多维度的算法解释。两位作者对早年间“算法解释权”(主要基于GDPR第22条)的争论持否定态度,认为这样一种个人权利过于狭窄。[4]
GDPR不仅会对私企产生影响,也适用于公共部门。2019年6月,由UCL学者Michael Veale带领的团队发布了一份详实的报告,讨论英国(不包括苏格兰和北爱尔兰)司法系统中算法的使用。[5] 报告尤其提到DPIA对于增强算法使用透明公开的重要性。由于政府信息公开制度在算法使用上往往有限,DPIA或许可以成为一种替代机制。报告建议数据保护评估结果应对公众开放。类似的观点可以在英国数据保护机关ICO的调查报告中找到(详见下文)。由于很多人工智能系统(诸如人脸识别)处理的数据具有较强的隐私敏感性,根据英国数据保护法的规定,需要在数据处理前开展影响评估。ICO认为警方有必要披露足够多的细节,尤其是在技术的适度使用问题上。
DPIA在实践当中已经逐渐开始发挥作用。曾供职荷兰数据保护机关的Sjoera Nas在EDPL撰文披露了微软公司Office ProPlus软件的影响评估报告。[6] 这份报告于今年2月份披露,由荷兰政府中央采购部门做出。报告披露微软在未经用户同意的情况下,对用户使用Word、Excel、PowerPoint以及Outlook等常用软件进行数据收集。微软隐私和法规事务副总顾问(前美国联邦贸易委员会专员)Julie Brill事后予以回应,称相关软件已经升级,并对数据收集的问题进行了修缮。[7]
前文提到,DPIA主要适用于企业或政府采纳使用新科技的情形。来自伦敦大学高等法律研究所的Nóra Ni Loideain和Rachel Adams专门讨论了人工智能语音助手的性别歧视问题。[8] 将智能助手设定为女性,在两位学者看来,会产生一种社会偏见或者伤害。在法律语境下,这可能构成欧盟反歧视法的间接歧视。两位女学者进而讨论了DPIA作为一种救济机制可能发挥的作用。她们认为影响评估机制应当超越数据隐私的范畴,广泛地评估科技产品各个面向的社会影响。除了数据保护法之外(圉于对个人数据处理和使用),其他部门法(诸如消费者保护法、反歧视法)以及企业社会责任、数据伦理都应协同实施。此外,作者强调了评估的中立性、客观性和有效性。她们建议评估机构应该独立于企业,以保障结果是基于事实作出的。
最后还有学者针对数据处理的不同阶段对DPIA开展讨论。来自莱顿大学的Bart Custers教授带领的团队一直关注数据分享和再利用这一面向。他们在EDPL最新发表的文章当中尝试发展了若干DPIA评价指标。
向上滑动阅览
[1] 关于DPIA的发展,牛津大学的学者Reuben Binns在早年间做了较为详尽的梳理Reuben Binns, ‘Data Protection Impact Assessments: A Meta-Regulatory Approach’ (2017) 7(1) International Data Privacy Law 22-35
[2] Ann Cavoukian, ‘Privacy by Design: The 7 Foundational Principles’ (2011) https://iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf See also Ann Cavoukian, ‘Privacy by Design: Leadership, Methods, and Results’, in Serge Gutwirth, Ronald Leenes and Paul de Hert (eds), European Data Protection: Coming of Age (Springer 2012)
[3] Margot E. Kaminski and Gianclaudio Malgieri, ‘Algorithmic Impact Assessments under the GDPR: Producing Multi-layered Explanations’(2019) University of Colorado Law Legal Studies Research Paper No. 19-28 https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3456224
[4] See, for instance, Sandra Wachter, Brent Mittelstadt and Luciano Floridi, ‘Why A Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation’ (2017) 7(2) International Data Privacy Law 76-99. Lilian Edwards and Michael Veale, ‘Slave to the Algorithm? Why A ‘Right to an Explanation’ is Probably Not the Remedy You are Looking for’ (2017) 16 Duke Law and Technology Review 18–84. Margot E. Kaminski, ‘The Right to Explanation, Explained’ (2018) University of Colorado Law Legal Studies Research Paper No. 18-24 https://ssrn.com/abstract=3196985. Sandra Wachter, Brent Mittelstadt and Chris Russell, ‘Counterfactual Explanations without Opening the Black Box: Automated Decisions and the GDPR' (2018) 31 Harvard Journal of Law & Technology 841-888. Isak Mendoza and Lee A. Bygrave, ‘The Right Not to be Subject to Automated Decisions Based on Profiling’, in Tatiana-Eleni Synodinou and colleagues (eds), EU Internet Law: Regulation and Enforcement (Springer 2017) 77-98. Gianclaudio Malgieri, ‘Automated Decision-making in the EU Member States: The Right to Explanation and Other ‘Suitable Safeguards’ in the National Legislations’ (2019) 35(5) Computer Law & Security Review
[5] Michael Veale and colleagues, ‘Algorithms in the Criminal Justice System’ (The Law Society of England and Wales, June 2019) https://www.lawsociety.org.uk/support-services/research-trends/documents/algorithm-use-in-the-criminal-justice-system-report/
[6] Sjoera Nas, ‘Data Protection Impact Assessment: Assessing the Risks of Using Microsoft Office ProPlus’ (2019) 5(1) European Data Protection Review 107-113
[7] Julie Brill, ‘Increasing Transparency and Customer Control Over Data’ (Microsoft Blog, 30 April 2019) https://blogs.microsoft.com/on-the-issues/2019/04/30/increasing-transparency-and-customer-control-over-data/
[8] Nóra Ni Loideain and Rachel Adams, ‘From Alexa to Siri and the GDPR: The Gendering of Virtual Personal Assistants and the Role of Data Protection Impact Assessments’(2019) Computer Law & Security Review https://www.sciencedirect.com/science/article/pii/S0267364919303772
[9] Bart Custers, Helena U Vrabec and Michael Friedewald, ‘Assessing the Legal and Ethical Impact of Data Reuse: Developing a Tool for Data Reuse Impact Assessments’(2019) 5(3) European Data Protection Review 317-337
欧美网络法年度述评2019(十之四):
数据保护与市场竞争
数据保护与市场竞争的融合问题在中国可能缺乏本土语境——信息立法正在酝酿当中——但在英美学术圈几近成为“显学”。
在欧盟,数据保护和竞争立法都可以追溯到上个世纪。两大法域在性质、形式和落实措施上都迥然不同。数据保护以权利为主,自下而上;竞争法以权力机关调查为主,自上而下。在理念上两部法律互有补足,这也为近年来法域竞合的探索提供了可能。关于欧盟三大法域——数据保护、消费者保护以及竞争法——在数字时代如何相互渗透,法域融合的理念如何形成,可以参考European Data Protection Supervisor (EDPS)于2014年出台的专题报告。[1]
欧盟数据保护法已经延伸到了市场竞争领域。举例而言,GDPR第20条赋予欧洲居民(不限于公民)数据可携带权(right to data portability),可以一定程度上促进跨系统,甚至跨国界的数据流动。GDPR之后,欧盟出台的几部新法律——诸如2019年4月通过的Digital Content Directive(《数字内容指令》)[2] 以及去年末生效的Free Flow of Non-Personal Data Regulation(《非个人数据的自由流动规定》)[3]——有望进一步促进由个人/体引导的数据流动。
至于竞争法分析是否应该考虑非市场因素(如隐私和数据保护灯),这一问题在近年来得到了热烈讨论。个人数据权利救济明显不足以提供充分保护,很多学者就此已经达成共识。权力机关因此应该更有作为,不应过度依赖自力救济。除了数据保护机关之外,竞争执法机关在近年来被寄予厚望;基于竞争原则的审查有可能实现数据保护的效果。
2019年关于这一主题的讨论源自德国。当年2月,德国联邦卡特尔办公室 (Bundeskartellamt) 做出的一项针对Facebook的裁定在欧洲引发了热议。[4] Bundeskartellamt认为Facebook处于市场支配地位,并构成了对市场权力的滥用 (exploitative abuse)。富有争议的是,这一裁定的根据并不是基于经济学分析,而是参考了数据保护的机理。调查发现,Facebook用户只有在同意数据收集和使用的前提下才能使用Facebook提供的服务。在未经用户的同意的情况,Facebook还擅自对数据进行整合,并且和用户的Facebook账号进行关联。Bundeskartellamt的主席Andreas Mundt要求Facebook进行整改,并提出了几点改革意见:(1) Facebook不能裹挟用户——在不同意数据收集和使用的情况下就不提供服务;(2) 数据的收集和使用原则上须经过用户自愿同意 (voluntary consent);在用户明确表示不同意的情况下,Facebook不得再进行数据收集或者聚合。
Facebook随后向杜塞尔多夫高等地区法院提出申请暂缓执行 (VI-Kart 2/19 (V)),同年8月26日得到该院准许。由于Bundeskartellamt已就此向德国联邦(最高)法院提出上诉,该案的审理仍在持续进行。[5] 竞争法博客 Chillin' Competition评论道,在竞争法分析中融入数据保护或者隐私的考量,目前仍存在诸多障碍。[6] 然而可以遇见的是,这一交叉领域的研究在未来几年仍将成为热门话题。
伦敦政治经济学院法学院教授Orla Lynskey在这一主题上毫无争议的领军人物。就在去年,Lynskey在其供职的International Data Privacy Law上组织过一场书面的专题讨论。[7] 今年她在Theoretical Inquiries in Law上发表的论文探索了欧盟数据保护法中是否存在竞争法机理的问题。[8]她认为,数据权力 (data power) 这一概念是多维的,不仅与市场权力有所交叉,同时对人格权也有诸多影响。欧盟数据保护法虽然没有明确表示对这种权力加以管控,但是可以得出结论(基于案例法分析),本质上数据保护法和隐私法也会考量注入企业规模和数据收集规模等因素。如同竞争法会对处于市场支配地位的企业施加诸多限制,数据保护法也可能对掌控数据权力的企业加以“特殊责任”。这一对数据保护法的重新发现是基于对案例法的精妙分析,也是对行为经济学理念的有力借鉴。Lynskey跨域思考在她2015年问世的著作The Foundations of EU Data Protection Law中就初现雏形。
今年秋季在布鲁塞尔召开的隐私专题年度研讨会 (Brussels Privacy Symposium) 组织了一场相关的讨论(由Lynskey主持)。[9] 会议邀请了来自欧美两大法域的学者,讨论了法域竞合的三大议题,值得读者细究。很多来自美国的与会者提到,美国联邦贸易委员会 (Federal Trade Commission, FTC) 也在近年来举行了多次听证会,内容围绕竞争与消费者隐私保护展开。在美国没有数据保护的概念,隐私权的保护也没有写入宪法,消费者保护法承担了主要的职责。
在政界,欧盟委员会的执行副主席Margrethe Vestager是竞争政策的引领者。就任现职之前,这位丹麦女政客曾担任欧盟竞争事务专员,主抓欧盟竞争法政策 (2014-2019)。Vestager十分关注数字市场的竞争问题,今年委托三位竞争法专家发布了专题报告Competition Policy for the Digital Era (《数字时代的竞争政策》)[10] 不同于传统经济法分析,报告更多地在宏观视角下对竞争法理展开重新审视。报告关注的核心议题是欧盟竞争政策如何进行修正和改革,才能促进创新并造福于消费者。这一报告涉及诸多数字时代的议题,包括平台治理、系统互通协作 (interoperability)、数据流动与适用、数据驱动创新等等,值得国内学者关注。
最后,曾任European Data Protection Supervisor的Giovanni Buttarelli不幸于今年夏天去世,享年62岁。这位意大利人在数据保护与竞争法融合的问题上曾做出卓著贡献。作为Buttarelli昔日的助手,Christian D'Cunha在IDPL上撰文纪念这位数据保护的先驱。[11]文章尤其提到了Buttarelli身前创设的Digital Clearinghouse,旨在增强不同法域执法机关之间的互通协作,更好的保障公民各项基本权利。[12]
向上滑动阅览
[1] European Data Protection Supervisor, ‘Privacy and Competitiveness in the Age of Big Data: The Interplay between Data Protection, Competition Law and Consumer Protection in the Digital Economy’ (EDPS Preliminary Opinion, 26 March 2014) https://edps.europa.eu/sites/edp/files/publication/14-03-26_competitition_law_big_data_en.pdf
[2] Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on Certain Aspects concerning Contracts for the Supply of Digital Content and Digital Services PE/26/2019/REV/1, OJ L 136, 22.5.2019, p. 1–27 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32019L0770
[3] Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a Framework for the Free Flow of Non-personal Data in the European Union PE/53/2018/REV/1, OJ L 303, 28.11.2018, p. 59–68 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32018R1807
[4] B6-22/16 https://www.bundeskartellamt.de/SharedDocs/Entscheidung/EN/Entscheidungen/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=5 See also ‘Bundeskartellamt Prohibits Facebook from Combining User Data from Different Sources’(Bundeskartellamt News, 7 February 2019) https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html
[5]Stefan Horn and David Klein, ‘Competition Law and Data Protection – Facebook’s Success before the Higher Regional Court Düsseldorf’ (Taylor Wessing, 2 September 2019) https://deutschland.taylorwessing.com/en/insight/competition-law-and-data-protection-facebooks-success-before-the-higher-regional-court-dusseldorf
[6] ‘The Suspension of the Bundeskartellamt’s Facebook Decision- Part I: What the Order Actually Says’(Chillin’Competition, 3 September 2019) https://chillingcompetition.com/2019/09/03/the-suspension-of-the-bundeskartellamts-facebook-decision-part-i-what-the-order-actually-says/
[7] Symposium on Data Protection and Competition Law, IDPL 8(3), August 2018 https://academic.oup.com/idpl/issue/8/3
[8] Orla Lynskey, 'Grappling with "Data Power": Normative Nudges from Data Protection and Privacy' (2019) 20(1) Theoretical Inquiries in Law 189-220
[9] ‘Exploring the Intersection of Data Protection and Competition Law’ (The 2019 Brussels Privacy Symposium, 19 November 2019, Vrije Universiteit Brussel)https://fpf.org/event/3rd-annual-brussels-privacy-symposium/
[10] Jacques Crémer, Yves-Alexandre de Montjoye, Heike Schweitzer, ‘Competition Policy for the Digital Era’ (Independent Report for European Commission, 5 May 2019) https://op.europa.eu/en/publication-detail/-/publication/21dc175c-7b76-11e9-9f05-01aa75ed71a1/language-en
[11] Christian D’Cunha, ‘In Memory of Giovanni Buttarelli’ (2019) 9(3) International Data Privacy Law 129-131 https://doi.org/10.1093/idpl/ipz020
[12] Big Data & Digital Clearinghouse https://edps.europa.eu/data-protection/our-work/subjects/big-data-digital-clearinghouse_en
欧美网络法年度述评2019(十之五):
欧盟版权法的创新——链接税和平台侵权审查
2019年4月17日,欧盟新版权法正式通过,将于2年过度期满后正式生效(2021年6月7日)。[1]
冠以“数字单一市场”(Digital Single Market)的名号,是因为版权法改革起源于欧盟《数字单一市场战略》(2015年出台)。《战略》中明确表示要减小成员国版权法之间的分歧,促进网络作品在欧盟范围内的自由流动和传播。同年年底,欧盟还专门出台的版权法改革的蓝图Towards a Modern, More European Copyright Framework,对新版权法规则有更明确的表述。[2]
版权改革出台随即引发争论,今年4月前后达到高潮。[3] 针对新法的出台,2019年在全欧洲范围内爆发了强烈的反对和抵制。例如欧洲数字权利组织EDRi发起的#SaveYourInternet(可译为“拯救你们的互联网”)最具影响力。[4] 来自于德国的欧洲议会成员Julia Reda也为此积极游走,最终未能阻止法案通过。[5]
新法中最富有争议的是关于“链接税” (link tax)的第15条(草案11条)以及第17条(草案13条)——强化平台审查的责任。
所谓链接税,本质上是新闻媒体出版权的延伸。新法规定从事新闻事业的媒体机构在出版后两年内有权要求内容整合平台、搜索引擎以及其他转载网络平台支付一定的费用。这样制度设计旨在帮助新闻事业在数字时代能够更好的转型,在签订许可协议时有更多的斡旋余地。个人转载或分享不受此限制,因为新闻出版权不适用于私人或者非商业用途的使用。
英国利兹大学副教授Kris Erickson提到[6],新版权法在很多人看来是针对美国企业(例如YouTube)的治理举动,但实际上对本土企业也会带来负面影响。法案使用的很多概念都较为模糊,增加了法律的不确定性。Erickson提到诸如best effort(“尽最大努力”)、snippets of information(“少量片段信息”)都在实践中较难定夺。该法案旨在解决版权人无法得到正当收益的烦恼,却又增加了平台治理的烦恼。类似地,Osborne Clarke的报告提到新法对于新闻生态的影响。[7] 资金雄厚的大平台可以承担额外的合规成本,但对于小型媒体而言,新法的落实可能意味着他们会失去来自网络平台或者搜索引擎的资金支持。
阿姆斯特丹大学的知产学者João Quintais指出,版权法演进到如今的地步是因为各大财团的积极游说。[8] 本质上,新版权法在私企利益和公共福祉之间倾向于前者,没有为网络用户的权益提供充分的保障。Quintais认为最终的版本与版权法设定的目标(促进法律一体化、增进法律确定性)背道而驰,启动司法程序进行纠偏成为了唯一的希望。2019年6月,波兰政府已就此向欧盟法院提起诉讼,主张新版权法违反波兰宪法以及欧盟基本权利公约。[9]
新版权法另一个争议焦点是平台责任的强化。第17条要求平台对用户生产的(侵权)内容进行审查,意味着很大程度上将它们移出安全港。安全港制度是欧盟电子商务法设立的平台责任的基石——原则上平台在不知情的情况下不对用户生产的非法内容负责。一定程度上,新版权法是对这一制度的背离。版权法与电子商务法的关系也成为了近来学术讨论的焦点。虽然前者的制定和生效不影响后者的效力,但平台的审查义务很可能让安全港名存实亡。值得议题的是,新版权法为小型平台——成立不足3年、年里利润不足一千万欧元——创设了例外,但是安全港原则对它们依旧适用(知情需删除)。来自英国赫特福德郡法学院的学者Felipe Romero Moreno将版权法的新责任称之为“Notice and Staydown原则”[10]——安全港原则是Notice and Takedown。欧洲人权法框架下,Moreno分析了新版权法的合宪性,认为新法诸多规定(例如网络内容自动识别和审查)都不符合欧洲人权法院设立的合法原则和必要原则。在作者看来,网络用户的若干基本权利——包括网络平台享有的权利和正当利益——也会受到不当影响。
新版权法采用了Directive的形式,需要国内法予以转化。自2019年6月开始,各成员国有两年的转化期间,短期来看欧洲版权格局扑朔迷离。由于英国正处于脱欧进程,新版权法是否以及多大程度上适用于这一国家尚不可知。[11]
向上滑动阅览
[1] Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on Copyright and Related Rights in the Digital Single Market and Amending Directives 96/9/EC and 2001/29/EC, PE/51/2019/REV/1, OJ L 130, 17.5.2019, p. 92–125 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32019L0790 See also Modernisation of the EU Copyright Rules https://ec.europa.eu/digital-single-market/en/modernisation-eu-copyright-rules
[2] European Commission, Towards a Modern, More European Copyright Framework, COM(2015) 626 final https://cdt.org/wp-content/uploads/2015/12/Communication-towards-modern-more-European-copyright-framework.pdf
[3] Chris Fox, ‘What is Article 13? The EU's Copyright Directive Explained’ (BBC News, 14 February 2019) https://www.bbc.co.uk/news/technology-47239600. ‘New Copyright Directive Published: How Will it Change the EU’s Copyright Framework?’(Osborne Clarke, 20 May 2019) https://www.osborneclarke.com/insights/new-copyright-directive-published-will-change-eus-copyright-framework/. From an American Perspective, see Cory Doctorow, ‘The European Copyright Directive: What Is It, and Why Has It Drawn More Controversy Than Any Other Directive In EU History?’(EFF, 19 March 2019) https://www.eff.org/deeplinks/2019/03/european-copyright-directive-what-it-and-why-has-it-drawn-more-controversy-any. Matt Reynolds, ‘What is Article 13? The EU's divisive new copyright plan explained’(WIRED, 24 May 2019) https://www.wired.co.uk/article/what-is-article-13-article-11-european-directive-on-copyright-explained-meme-ban
[4] https://saveyourinternet.eu/act/
[5] Julia Reda, ‘The Text of Article 13 and the EU Copyright Directive has Just Been Finalised’(Julia Reda’s Personal Blog, February 2019) https://juliareda.eu/2019/02/eu-copyright-final-text/
[6] Kris Erickson, ‘The EU Copyright Directive Creates New Legal Uncertainties’ (LSE Blog, 6 April 2019) https://blogs.lse.ac.uk/businessreview/2019/04/06/the-eu-copyright-directive-creates-new-legal-uncertainties/
[7] ‘New Copyright Directive Published: How Will it Change the EU’s Copyright Framework?’(Osborne Clarke, 20 May 2019) https://www.osborneclarke.com/insights/new-copyright-directive-published-will-change-eus-copyright-framework/
[8] João Quintais, ‘The New Copyright in the Digital Single Market Directive: A Critical Look’(2020 Forthcoming) European Intellectual Property Review https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3424770
[9] Natalia Mileszyk,‘The Copyright Directive Challenged in the CJEU by POLISH GOVERNMENT’(Communia Association, 1 June 2019) https://www.communia-association.org/2019/06/01/copyright-directive-challenged-cjeu-polish-government/
[10] Felipe Romero Moreno, ‘“Notice and Staydown” and Social Media: Amending Article 13 of the Proposed Directive on Copyright’ (2019) 33(2) International Review of Law, Computers & Technology 187-210 https://www.tandfonline.com/doi/full/10.1080/13600869.2018.1475906
[11] UK Intellectual Property Office, ‘Changes to Copyright Law after Brexit ’ (Guidance, 18 October 2019) https://www.gov.uk/guidance/changes-to-copyright-law-after-brexit
感谢作者授权
本文仅作学习交流之用
Gustav Klimt
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”