根據《一般數據保護規例》第 25 條,「以在設計階段納入私隱考量」 及「以預設私隱設定」實現的數據保護對亞洲(軟件)公司的影響

導言

根據《一般數據保護規例》(GDPR)第25條(「以在設計階段納入私隱考量」及「以預設私隱設定」實現數據保護)進行「以在設計階段納入私隱考量」及「以預設私隱設定」實現的數據保護,與問責制(GDPR第5條第2款)、被遺忘權(GDPR第17條)、數據可携帶權(GDPR第20條)及數據保護影響評估(GDPR第35條)一起構成GDPR帶來的其中一項根本性創新。

該條文規定管控者須「在決定處理方法時及進行處理時」採取適當的技術性及組織性措施,以符合數據保護法的要求及保障數據當事人的權利。此外,管控者有義務通過預先設置確保只處理滿足處理目的所需的數量的個人數據。

法律的具體要求

該條文在第1及2款訂明管控者必須符合的兩項基本規定。應該强調的是,這些要求對軟件開發人員和操作員都有同等的影響。不僅在編程中要考慮遵守數據保護的規定,在軟件的選擇上也要考慮遵守數據保護的規定。下面將對該條文的要求進行詳細說明。

「以在設計階段納入私隱考量」實現數據保護(GDPR第25條第1款)

第一項要求,即「以在設計階段納入私隱考量」實現數據保護,在第25條第1款中有所規定。該條文訂明:

「考慮到技術水平、實施成本及處理的性質、範圍、背景與目的,以及處理對自然人的權利和自由造成的不同可能性和嚴重程度的風險,管控者應在確定處理方式時和在處理當中,實施適當的技術性和組織性措施,例如假名化,且該等措施旨在有效地實施數據保護原則,如數據最少蒐集原則,並在處理中納入必要的保障措施,以符合本條文的規定並保護數據當事人的權利。」

此要求旨在確保遵守數據保護原則。這些都是歐洲數據保護法的基石,並構成了處理數據合法性的框架。「以在設計階段納入私隱考量」實現數據保護是GDPR基於風險的做法的產物,例如,根據GDPR第33條向監管當局通報個人數據泄露或根據GDPR第35條進行數據保護影響評估。誠然,管控者在選擇和部署適當的技術性和組織性措施方面有酌情權。然而,一方面這些措施必須符合最新的技術水平,另一方面也必須考慮到風險發生的可能性及對數據當事人的權利和自由影響的嚴重性。因此,必須始終事先檢查預期的措施
是否:

a). 實際達到其預期使用之目的,並且
b). 與要避免的風險成比例。

為何管控者被授予酌情權要取決於某些因素。該條文明確提到了一個例子,即為遵守數據最少蒐集原則而進行的假名化(GDPR第5條第1款c節)。這是對實務的參考:本條文的本意,不是只對數據當事人的較大數據集內的幾個個別特徵進行假名化,以致使整個措施不能達到所需的效果。例如,如果數據當事人住在一個小村莊,但仍然給出郵政編碼,並且此人有一個相當罕見的姓氏,那麽從地址文件中只假名化街道和門牌號是沒有什麽意義的。最後,人們可以毫不費力地推理出此人來。

另一方面,該條文亦保障管控者不會過度執行措施。例如,一家公司的內部訂購軟件,用於為只有幾個人數據的產品做廣告,不必提供全面而昂貴的「私隱儀錶盤」來讓員工自己執行所有功能。

「以預設私隱設定」實現數據保護(GDPR第25條第2款)

第二項要求,即「以預設私隱設定」實現數據保護,在GDPR第25條第2款中有所規定:

「管控者須實施適當的技術性及組織性的措施,以確保在「預設私隱設定」的情況下,只會處理每項特定處理目的所需的個人數據。該義務適用於蒐集的個人數據的數量、處理程度、存儲期限和可獲得性。尤其是,在「預設私隱設定」的環境下,該等措施應確保在沒有人為干預時,不特定的自然人不能獲取該等個人數據。」

第2款要求管控者採取預防措施。該軟件的配置方式必須使其在最初使用時在多方面已經是「數據保護友好型」。該款提出了數量、程度、儲存期、可接觸程度四個標準:

數量:

軟件應該蒐集處理所需的個人數據。換言之,這一要求基本上反映了GDPR第5條第1款c節中的數據最少蒐集原則。這一標準的一個很好的例子是應用程式中的授權。用作編輯圖像的應用程式不能不必要地接觸麥克風並在後臺錄製語音、接觸地址簿並掃描連絡人或接觸日曆及記錄約會。

程度:

「程度」的標準主要不是針對個人數據的數量,而是針對處理的深度或複雜性。我們鼓勵管控人重新考慮每個處理步驟並評估其必要性。具體地說,通常不應該連接或鏈接數據,例如用於個人資料分析。

儲存期:

個人數據的保存期是一個非常敏感的問題。一方面,管控者必須遵守及符合(特殊的)法定保留期。另一方面,數據蒐集最少和存儲限制的原則(GDPR第5條第1款c節)規定,一旦目的達到或其保留期届滿,必須删除個人數據。對於軟件來說,這意味著它必須預備按時刪除個人數據的可能性。這些可以是手動檢查和刪除的指示性設置(警示、推送通知、電子郵件通知),也可以是自行執行刪除的自動刪除過程。

可接觸程度:

第四項準則是「可接觸程度」,與獲取個人數據的方式有關。例如,設有個別用戶帳戶的軟件不應預設為用戶可以看到彼此的所有個人數據。或者例如,用於管理個人數據的軟件不應該允許管理員授權任何用戶成為進一步的管理員。

對亞洲公司的影響

「以在設計階段納入私隱考量」及「以預設私隱設定」實現數據保護的要求也影響到亞洲公司。下文解釋了原因,並說明亞洲公司必須注意的事項。

GDPR的地域範圍

GDPR不僅適用於設在歐盟的公司。每一家向歐盟消費者提供產品和服務的公司都必須遵守GDPR的數據保護要求。這是根據GDPR第3條第2款a節在地域範圍內作出的管理。

2019年11月12日,在起草了關於GDPR地域範圍的《指引3/2018》後大約一年,歐洲數據保護委員會(the European Data Protection Board:EDPB)對其進行了修改。在該等指引中,當局强調在歐盟沒有設立機構並不意味著一家公司就不需要遵守GDPR的數據保護要求。EDPB用各種例子來說明這一點,如下所示:

示例9:

一家在美國成立的初創企業,在歐盟沒有任何商業運作或設立機構,為遊客提供城市地圖應用程式。一旦客戶開始在他們訪問的城市使用該應用程式,該應用程式就會處理有關使用該應用程式的客戶(數據當事人)的位置的個人數據,以便為參觀、找餐館、酒吧和酒店提供有針對性的廣告。該應用程式可供遊客在紐約、舊金山、多倫多、巴黎和羅馬旅遊時使用。這家美國初創企業通過其城市地圖應用程式,專門針對歐盟(即巴黎和羅馬)的個人,在他們進入歐盟時為他們提供其服務。

這個例子表明,即使數據當事人是非歐盟居民,但GDPR也適用。

軟件和應用程式功能的評審及適配

既然GDPR的「治外法權」適用性已經明確,那麽問題就出現了,亞洲公司必須遵守什麽規定才能遵守數據保護的要求。這是因為也有來自亞洲公司的軟件產品和應用程式(以下簡稱軟件)在歐洲市場上使用。

根據數據保護原則,該等要求可以解釋如下:

合法、公平及透明(GDPR第5條第1款a節):

所有軟件必須能够符合GDPR第12條以下規定的對數據保護的要求。必須以清晰淺白的語言並以簡明、透明、易懂及易於接觸的形式告知數據當事人有關處理的信息。數據保護通知應可從任何頁面一點擊而獲得,而「鏈接」應清晰可見。

目的限制(GDPR第5條第1款b節):

軟件的編程必須使個人資料只用於預定目的。 特別是,系統方面的數據記錄分離將在此發揮特殊作用。 應該不可能鏈接個人數據來創建個性簡介。

數據最少蒐集(GDPR第5條第1款c節):

只有那些為實現目的所必需的個人數據才應從一開始就被收集。例如,一家公司用於計劃員工參加交易會的內部軟件(具有與ERP的接口)不僅不需要記錄主數據、工作時間和假期時間,而且也不需要記錄員工的工資數據或稅級。

準確性(GDPR第5條第1款d節):

在系統層面,個人數據的準確性可以通過多種方式得到保證。例如,如果客戶相關數據記錄首先在CRM中更新,則具有與CRM接口的軟件可以自動更新與客戶相關的數據記錄。或者,軟件可以為員工提供自助服務功能,允許他們自己維持對數據的更改。

儲存限制(GDPR第5條第1款e節):

如本文第2.2部分所述,軟件可以具有提醒注意相關刪除的期限和截止日期的功能,例如,通過警示或通知功能或自動電子郵件,或小彈出視窗及在使用該軟件時自動打開的視窗。

完整性及保密性(GDPR第5條第1款f節):

首先,軟件應該能夠配置數據保護友好的角色及權限概念,允許在適當的框架內進行存取,並且記錄所有的操作及流程。此外,軟件應僅使用加密的連接,如SSL加密。它還應該與兩個甚至多個層次的機制一起工作。例如,如果用戶想要在社交網絡中分享應用程式內有關其個人資料的內容,那麽就應該打開一個小視窗,要求進行額外的確認。

監管當局可能採取的行動

忽視當局要求「以在設計階段納入私隱考量」及「以預設私隱設定」實現數據保護可能會導致罰款。根據GDPR第83條第4款a節,違反GDPR第25條可被處以最高10,000,000歐元罰款,或如果為企業的,最高達前一會計年度全球年營業總額的2%,以較高者為準。然而,監管當局有更多的選擇,而不僅僅是罰款。例如,在GDPR第58條第2款f節規定的糾正權力範圍內,他們還可以對處理數據施加臨時或明確的限制,包括禁令。在最壞的情況下,這將意味著該軟件或應用程式可能不再在歐洲市場運作。

資訊科技合約法

希望購買新軟件的歐洲用戶將在他們的合約或招標中堅持遵守「以在設計階段納入私隱考量及以預設私隱設定實現數據保護」的原則。此類條款通常如下所示:

「軟件製造商有責任按照「數據最少蒐集」的原則提供服務,並在製作軟件時遵守「以在設計階段納入私隱考量實現數據保護」及「以預設私隱設定實現數據保護」的原則。在此背景下,軟件製造商尤其只會使用假名或匿名的數據來執行其「用戶行為評估」服務。」

如果亞洲軟件製造商在招標程序中不能證明符合這一原則,他們很可能僅僅因為這個原因就得退出歐洲機構和公司的軟件招標程序。在目前的資訊科技合約中,不遵守這些原則幾乎肯定會構成重大缺點,結果是軟件製造商必須補救該缺點(除非有時間限制)。如果由於軟件製造商的能力或意願而未能補救該缺點,用戶通常有權要求損害賠償及/或通過撤回或終止來結束該資訊科技合約。

結論

「以在設計階段納入私隱考量及以預設私隱設定實現數據保護」的原則是GDPR中為數不多的其中一個真正的「游戲規則改變者」;如果亞洲軟件製造商和軟件用戶想要繼續在歐洲或與歐洲人做生意,對他們而言,這恰恰會導致範式的轉變:不是(個人數據)越多就越好,而是(個人數據)越少就越好! 

Jurisdictions: 

德國達姆施塔特Notos Xperts GmbH公司 外部數據保護主任

Erdem Durmus 在達姆施塔特應用科學大學完成了資訊法(法律學士)專業的學習。他根據《一般數據 保護規例》第 20 條寫了關於數據可隨帶性權利的學士論文。之後,他還在達姆施塔特應用科學大學學習了「 全球許可權批出 」( 法律碩士 )。 他以非常好的平均成績完成了兩門課程的學習。他與弗勞恩霍夫安全資訊技術研究所合作,就符合《一般數據保護規例》的電子郵件删除問題撰寫了碩士論文。他還在專業期刊上撰寫了大量關於數據保護法的文章。

德國達姆施塔特Notos Xperts GmbH公司管理合夥人

Jens Engelhardt 作為一名高度專業化的律師(資訊科技法、版權和媒體法以及知識產權法的專家律師)在資訊科技及知識產權法律領域擔任了近20年的法律顧問。自 2019年起,Jens Engelhardt 先後入選數據安全及私隱法領域的「Deutschlands beste Anwälte」及「最佳律師」的選舉。通過 Notos Xperts GmbH,他可以擔任外部數據保護主任或數據保護顧問。他這樣做的目的是讓客戶能够專注於他們的核心業務。