姜一郎产品开发如何遵从GDPR“同意”原则?——“FIDZUP和TEEMO案”的启示-威科先行法律信息库
姜一郎作者丨高梁(高朋律师事务所)
本文为威科首发文章哦~
GDPR自2018年5月25日开始生效以来,有关GDPR执行相关的案例在逐渐增多,例如英国数据保护监管机构ICO(Information Commissioner Office)在GDPR生效后的3周内就收到超过1000起投诉。相比较于之前的欧盟数据保护法律,GDPR的内容更为庞杂与宽泛,例如对地域适用范围进行了扩展,增加数据主体的权利,完善了数据跨境传输机制,规定了欧盟监管机构内部的具体协调问题等,其中有些条款及其概念的内容较为抽象,给具体操作留下很大的解释空间。例如在GDPR第6条规定的处理合法性问题上,如何界定“处理乃数据主体作为合同主体履行合同之必要”?数据主体与数据控制者或处理者就必要性问题上很可能会产生不同的理解。而通过对具体的案例分析一方面可以帮助企业了解GDPR如何具体实施与适用,另一方面也能够帮助企业了解近期欧盟成员国监管机构有关GDPR的执法方向。
一、“FIDZUP和TEEMO案”背景与分析
1. 根据2018年7月18日官方网站公布的消息[1],法国数据保护监管机构(CNIL)发布公告,认为两家公司,即FIDZUP和TEEMO通过安装于手机移动应用中的SDK技术在未获取用户同意的情况下而向用户投放定向广告,违反了GDPR的有关规定。
FIDZUP和TEEMO两家公司使用SDK技术通过智能手机收取个人数据,并在手机上投放定向广告。SDK工具被植入至两家公司客户(即移动app运营商)的移动应用代码中,而该技术可以帮助其客户收集手机用户的数据,且不论该应用是否处于运行状态。
上述两家公司正是通过SDK工具帮助其客户抓取下游用户的地理定位数据(geolocation data),并使用该数据向其app用户投放定向广告,例如当SDK工具探知app用户的地理位置正处于某个实体商店附近,便会向该用户推送相关的定向广告。当用户下载FIDZUP和TEEMO两家公司的客户的app之时,用户的地理定位数据就已经被收集,而不论该app是否处于运行状态。
2. 上述两家公司通过其客户获取的下游用户同意的方式而对收集到的数据进行处理,但CNIL认为两家公司获取“同意”的方式并不符合GDPR的要求。
根据GDPR鉴于部分第32条的规定,“同意”应以“清楚、明确且自愿的方式(freely given, specific, informed and unambiguous)”提供。此外,根据GDPR鉴于部分第43条的规定,对于不同个人数据处理的目的应获取单独的同意,否则该同意不视为个人以自愿地方式提供。
对于两家公司而言,在其用户下载app之时,其并未取得用户的同意,在此时app用户的个人数据,例如地理定位和广告ID等已经被收集,因此,两家公司是在没有取得用户同意的情况下收取了客户的数据。此外,对于两家公司而言,其下游用户不可能在没有SDK工具嵌入的情况下下载其客户之app,所以app用户不能够下载其客户没有SDK工具嵌入的移动应用版本。因此当用户使用其客户app之时,会直接导致个人数据传输至这两家公司。CNIL认为这一行为不应视为用户是在自愿的方式下提供数据。最后,app用户在安装app之时被要求同意对其地理定位数据进行处理,而这仅有关app对其数据之使用而这不能构成对通过SDK工具而实现定向广告投放之目的的同意。因此此处的同意不能满足“具体明确”且“单独”之要求。
最后CNIL认为TEEMO公司保存用户个人数据的时间达13个月之久,该数据保留的期限不符合GDPR的要求。根据GDPR的规定,数据保留的期限应与数据处理的目的成比例。CNIL认为地理定位工具的使用对个人自由的侵犯尤其严重,因为其能够实时且永久性地追踪个人行为,因此地理定位数据保存地时间应严格地与处理目的成比例,而TEEMO公司对个人数据13个月的保存时间明显与处理目的不成比例。
有意思的是,在本次调查中,CNIL的调查对象为数据处理者,而非数据控制者,因为是由FIDZUP和TEEMO两家公司的客户获取用户数据,两家公司本身并不直接面对终端个人用户,当然GDPR的适用对象既包括数据控制者也包括数据处理者,不排除以后CNIL对FIDZUP和TEEMO两家公司的客户进行调查的可能性。
二、对中国企业的启示
1. 根据GDPR第3条第2款的规定,当一家在欧盟境外设立的企业对欧盟境内个人数据进行处理时,如果该处理行为涉及向欧盟境内提供商品或服务或对欧盟境内的个人行为进行监控时,则GDPR适用于该境外企业。因此GDPR明确规定了其域外适用效力。而这对于仅在中国境内设立且并未在欧盟境内有商业存在(例如设立分公司、子公司或销售代表处等)的企业而言,GDPR依然有可能对其直接适用,例如中国境内的一些健身app,其可以跟踪用户的地理定位,这就涉及对用户个人活动的监控,当该app的用户位于欧盟境内时,则GDPR很可能对其有直接的适用效力。
2. 而对于上述FIDZUP和TEEMO案带来的启示是,在产品开发过程中应注意“同意”的设计方式。“同意”依然是处理个人数据的最重要的方式,而处理个人数据之前应取得用户的同意,FIDZUP和TEEMO的客户app在下载之时,通过SDK工具就已经可以获取用户的个人数据,而用户下载之时FIDZUP和TEEMO并没有做出要求用户同意的设计,因此对用户数据的处理是在没有取得用户同意的条件下进行的。
根据GDPR的规定,“同意”应以“清楚、明确且自愿的方式(freely given, specific, informed and unambiguous)”提供。当数据控制者或处理者设计的同意的内容及目的与实际存在的数据处理的内容与目的不相吻合时,则数据保护监管机构很可能认定该同意不是以“明确且自愿的方式”提供。
此外,个人数据的保存时间应当与数据处理的目的成比例,如果企业希望长期保留用户的个人数据,应在隐私政策或其他有关文件中说明长期保留数据的充分理由及必要性。
注:
[1] 请参见:
作者简介
高梁
高朋律师事务所合伙人。 执业领域包括:反垄断、私募股权投资、公司并购、网络数据安全、商事与公司诉讼。
高律师毕业于中国人民大学法学院和德国萨尔大学欧洲学院,并分别获得法学硕士学位。高律师现为北京律师协会会员和德国反垄断法研究会会员。
在加入高朋律师事务所之前,高律师在一家国内知名律师事务所担任资深律师,在回国前,高律师曾在一家英资国际律师事务所欧洲办公室担任律师。
电子邮件:gaoliang@gaopenglaw.com
电话:(8610)5924 1188
威科先行? ? 法律信息库是荷兰威科集团(WoltersKluwer)为中国专业人士量身定制的在线法律信息库产品。该产品整合了威科全球与中国相关的中英文法律题材内容,搭载领先的智能信息技术平台,是集法律法规、案例、实务指南、国际条约于一体,高效检索、及时更新的法律信息解决方法。
点击二维码申请试用威科先行法律信息库