楊先德

GDPR實施以來，歐洲建立了專門的網站追蹤各國的執(zhí)法進度和執(zhí)法狀況

App作為安裝于智能手機、平板電腦或其他移動智能終端上的應用程序，是移動互聯(lián)時代用戶獲得移動互聯(lián)網服務的重要載體。對于用戶來說，App在提供便捷服務的同時，也在時刻收集、控制、處理用戶個人信息，進而可能對個人生活安寧、隱私、人身和財產安全造成風險。App使用滋生的這些風險是移動互聯(lián)時代個人信息安全風險的一部分。

在眾所周知的個人信息風險現實面前，歐盟及其成員國最早作出全面應對。應對的武器之一就是歐洲議會于2016年通過、2018年在歐盟成員國生效實施的《通用數據保護條例（General Data Protection Regulations）》（GDPR）。該條例為個人信息提供了十分周全的保護，對違法者給予十分嚴厲的處罰。可以說，歐盟的信息保護制度走在了世界前列。GDPR通過兩年多來，歐盟國家認真落實，執(zhí)法利劍所到之處，諸如谷歌、英國航公、H&M等跨國公司應聲倒下，淪為處罰對象，動輒上千萬、上億歐元的罰款讓這些公司為違法行為付出了沉重的代價，也領教了GDPR的威力。其中部分案件就是針對App運營者的處罰。

GDPR共計11章99條，包括通則、基本原則、數據主體的權利、數據控制者和處理者責任、向第三國或國際組織轉移數據、獨立監(jiān)管機構、合作與一致性、救濟、責任與處罰、特定情形下的數據處理規(guī)定、授權和實施、附則。該條例的適用范圍極為廣泛，任何收集、傳輸、保留或處理涉及歐盟所有成員國在內的個人信息的機構組織均受該條例的約束。條例明確了數據主體的權利，包括知情權、同意權、信息訪問權、修改信息權、限制處理權、攜帶轉移權、拒絕權以及廣受關注的用戶的“刪除權”即“被遺忘權”。被遺忘權是指用戶個人可以要求數據控制者刪除關于自己的數據記錄，不得再用于收集時信息所有者同意使用的目的等。條例還明確了數據控制者和處理者的責任，包括要采取必要的技術和組織措施維護數據安全，非經授權不得處理數據，處理數據要有記錄，符合條件的實體要設置專門的數據保護專員，等等。從上述內容看，歐盟數據主體的權利和控制、處理者的義務規(guī)定得都較為全面，基本形成了權利主導型的數據保護規(guī)則架構，以強化公民個人信息的自決權，從事先防范到全程處理跟蹤再到事后補救，數據主體都處于較為主動的位置，而數據的自由交換、交易較大程度受到限制，信息控制者、處理者的注意義務、合規(guī)風險較高。比如，在實踐中，如果數據收集者違反規(guī)定，在使用目的之外備份用戶數據都將面臨處罰。

無救濟則無權利。數據保護規(guī)則的有效性關鍵在于違法行為是否能夠得到及時的查處，權利受損者能否得到及時、充分的法律救濟。條例最為重要的內容之一是關于權利救濟和處罰的規(guī)定。條例規(guī)定，任何數據主體都有權向監(jiān)管機構、司法機構提起控告和訴訟，尋求權利救濟。任何自然人或法人都有權向司法機構提起針對監(jiān)管機構做出的與其相關的決定或訴訟。對于數據主體，其有權授權數據保護方面的公益組織代表其提出控告或訴訟。符合條件的代表公共利益的公益組織等也可以獨立于數據主體提起針對數據保護違法行為的控告或訴訟。任何遭遇侵權行為的人都有權向造成損害的數據控制者或數據處理者主張賠償，同時存在多個侵權者的，每一個侵權人都要對全部損失承擔賠償責任，以確保數據主體獲得有效的賠償。條例還賦予監(jiān)管機構處罰違法者的權力，針對不同的違法行為，設置了不同的行政罰款。如果違反了諸如兒童信息使用同意條款，設計或默認的數據保護措施條款，信息保護專員義務條款，設置數據認證、封存機制條款規(guī)定的義務的，對違法主體的行政罰金最高可達1000萬歐元或者其全球營業(yè)額的2%，以高者為準。如果違反了諸如數據處理的基本原則、用戶同意權、知情權等條款規(guī)定的義務，對違法主體的行政罰金最高可達2000萬歐元或者其全球營業(yè)額的4%，以高者為準。下面就結合GDPR的相關規(guī)定，介紹幾起規(guī)制和處罰App侵犯數據主體權利行為的案例。

西甲App違規(guī)收集數據遭遇處罰

按照GDPR第5條的規(guī)定，個人數據應該得到“合法、公平、透明地處理”，收集和處理數據應該及時告知并征求數據主體的同意，而且這種同意是可以撤銷的。如果違反這些規(guī)定則會面臨處罰。西甲聯(lián)賽一款足球App就因為違反該條規(guī)定，被監(jiān)管者依照GDPR規(guī)定處以25萬歐元的罰款。西甲這款在Android和IOS系統(tǒng)使用的App，提供比賽直播等服務，下載量達1000萬。監(jiān)管機構發(fā)現，這款App可以通過使用者的手機麥克風了解使用者是否使用電視或者其他類似設備觀看足球賽。西甲希望更多地通過更加昂貴的商業(yè)訂閱的方式進行直播，他們就通過手機麥克風記錄使用者觀看足球賽的習慣，來調整西甲的足球直播商業(yè)模式。監(jiān)管機構認為，西甲沒有充分告知用戶他們使用的西甲App在監(jiān)視用戶的消費習慣，它只是曾經簡單地詢問是否可以使用用戶的麥克風，但是沒有明確說明會重復性地（每一分鐘訪問一次的頻率）使用手機的聲音傳感器。而且西甲App在用戶撤銷同意權方面達到GDPR第7條的要求。因此認定，西甲違背了《通用數據保護條例》的相關規(guī)定，不當地收集了用戶的個人數據信息，并作出25萬歐元行政罰款的處罰。

英國母嬰服務公司Bounty Limited違規(guī)分享用戶信息遭遇處罰

英國在沒有脫歐之前已經將GDPR的相關規(guī)定轉化為國內法，即英國《2018年數據保護法》，因此英國執(zhí)行與歐盟成員國同樣的數據規(guī)則。為規(guī)范App的開發(fā)行為，英國監(jiān)管機構信息委員會辦公室（ICO）還頒布了《移動應用系統(tǒng)中的隱私政策》，即App開發(fā)者指南，為App的信息合規(guī)提供了更為全面細致的要求和指引。

英國信息委員會辦公室2019年處罰了英國一家母嬰服務公司（Bounty Limited），該公司違法與第三方分享了1400萬用戶的個人信息，通過其網站、公司App等途徑收集個人信息。但該公司也從事數據經紀業(yè)務，向多家第三方機構提供數據，供后者用于電子商務市場營銷。這些信息不僅包括孕婦信息，還包括嬰兒的性別和出生日期等信息。執(zhí)法者發(fā)現，對于線上注冊的用戶，該公司的隱私政策中告知了用戶該公司將要分享數據的部分第三方公司名稱，但是這些公司中并未包括實際上分享數據最多的幾家第三方公司。而對于線下途徑獲得的用戶信息，根本就沒有告知和征求同意分享信息的行為。因此，該公司違反了歐盟和英國的數據保護規(guī)定，被英國信息委員會辦公室科處40萬英鎊。

涉新冠疫情App的個人信息保護

歐洲國家監(jiān)管機構并不滿足于僅事后執(zhí)法來保障公民數據安全，更會在App的開發(fā)、運營等環(huán)節(jié)加強事先和使用中監(jiān)管。英國監(jiān)管機構對涉疫情App的監(jiān)管即為一例。2020年，為應對疫情，英國政府在蘋果和谷歌的支持下，開發(fā)了一款NHS Covid-19 App。該款App通過記錄用戶的位置、軌跡等尋找密切接觸者、追蹤疫情、提供預警。作為信息保護的監(jiān)管者，英國信息委員會辦公室較早地介入了由英國健康和社會服務部主導的App開發(fā)工作，就相關措施的透明、合法和公正性提出質詢和監(jiān)管意見。委員會的介入推動了該款App從以下四個方面提升了個人信息安全保障水平：一是提升App隱私政策告知透明度，確保用戶清楚使用該款App對其個人隱私和信息的影響，了解減少數據安全風險的措施，以及知曉如何行使他們的數據權利;二是確保用戶知曉App自動決策的過程，用戶有權與決策者對話，了解App背后的算法原理;三是確保用戶了解其個人信息如何以及何時會被匿名化處理，以及其信息將會與誰分享;四是提供更加明晰的數據的流動和安全措施。該委員會促進提升了App使用的自愿性，包括為公民使用二維碼進入某個場所提供選擇權，為疫情防控時期提供最大限度的隱私保護。

GDPR實施以來，歐洲建立了專門的網站追蹤各國的執(zhí)法進度和執(zhí)法狀況。應該說，通過嚴格執(zhí)法，真正地讓紙面上的法律成為維護公民數據安全的武器。

編輯：黃靈? yeshzhwu@foxmail.com