胡友杰

【摘 要】欧盟的隐私保护法律《一般信息保护条例（GDPR）》于2018年5月25日开始生效，在经济全球化的今天，受到影响的不仅仅的是所在欧盟境内的公司。很多业内人士认为GDPR只是树立了一个简单的框架，并未告诉大家实际该如何去做。但其实在大家很少关注到的前言部分中，隐藏着一些具体的要求，却容易被大家忽视。

【关键词】GDPR；隐私保护；个人信息保护

一、GDPR现状

2018年是个人信息保护在国内大火的一年，即便是不关注信息安全的圈外人士，想必也在5月左右频繁地收到过各大网站及软件发过来的“隐私政策更新”的邮件，看到过Facebook多次因隐私问题而上新闻，以及传播过那个“腾讯退出欧洲市场”的传说。这一切都是因为GDPR，欧盟的个人信息保护条例，这个号称史上最严、范围最广、罚款最狠的法律，于2018年5月25日开始生效。

虽说GDPR的管辖范围只是在欧盟境内，针对欧洲公民，但在经济全球化的现在，跨国企业比比皆是，大家多多少少都有业务涉及到欧盟，最高到2000万欧元或全球营业额的4%（两者取其最大值）的罚款也令管理者们不寒而栗，因此加强企业个人信息保护建设，达到GDPR合规，成了众多企业自GDPR 16年定稿后的重中之重。

而用户知情权是数据主体最为基本的权利，如何实现此权利是企业最初遇到的问题。在GDPR的正文条款中只规定了“需要实现知情权”这一要求，而具体的做法，其实隐藏在前言部分的“Recitals”条款当中。

二、用户知情权的具体要求

首先请看第32条：Consent should be given by a clear affirmative act establishing a freely given， specific， informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her， such as by a written statement， including by electronic means， or an oral statement. This could include ticking a box when visiting an internet website， choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence， pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes， consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means， the request must be clear， concise and not unnecessarily disruptive to the use of the service for whi

該条的核心意思是：（1）在取得用户同意收集个人信息的勾选框中，不得预先勾选，预先勾选不构成同意；（2）针对不同目的的信息收集，需要分别取得用户的同意。对国内的很多企业来说，在注册时预先把“我同意XXXX”给勾上、以及所有的收集放到一个按钮中，是目前来说比较常见的一种做法，而这在GDPR的管辖下已经行不通了。同时，GDPR也要求企业不得“要胁”用户，即不得以用户不同意收集个人信息为由禁止用户使用产品。企业的产品研发部门往往希望拥有更多的个人数据，以方便了解用户需求，有针对性地改善和推送产品。那么在不允许预先勾选和强制同意的情形下，如何引导用户同意产品的收集请求，将成为企业的一大研究课题。

在征得用户同意的这一方面，企业若为了多收集情况，在隐私协议中语焉不详，含糊其词，试图蒙混过关以诱得用户的同意，那么也是触犯了GDPR的相关规定的。在Recitals的第58条中，特别地对于通知用户的说话方式做出了特别要求。

第58条的原文如下：The principle of transparency requires that any information addressed to the public or to the data subject be concise， easily accessible and easy to understand， and that clear and plain language and， additionally， where appropriate， visualisation be used. Such information could be provided in electronic form， for example， when addressed to the public， through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether， by whom and for what purpose personal data relating to him or her are being collected， such as in the case of online advertising. Given that children merit specific protection， any information and communication， where processing is addressed to a child， should be in such a clear and plain language that the child can easily understand.

这一条要求企业在收集数据前征得用户同意时，所使用的语言必须清晰明了，易于用户理解，是对透明原则的进一步阐述。值得注意的是，欧美文化中一向较为注重对于儿童的保护，GDPR也不例外，在正文条款中就已经对为儿童提供服务的情形，需要监护人同意做出了规定。而在这一条中，欧盟更是单独点出，鉴于儿童需要特别地保护，任何涉及处理儿童的信息和通信，都应采用儿童可以轻易理解的清晰明确的语言。说法是否能令儿童可以轻易理解，相比上文的“清晰明了”是更明显的、更可判断的，这也使得欧盟的相关的监管机构、或是其他有心的举报者是否会在这一点上抓到产品的痛脚，就成了业务涉及儿童的公司不得不去担心的一个问题。

我们再来看看第70条：Where personal data are processed for the purposes of direct marketing， the data subject should have the right to object to such processing， including profiling to the extent that it is related to such direct marketing， whether with regard to initial or further processing， at any time and free of charge. That right should be explicitly brought to the attention of the data subject and presented clearly and separately from any other information.

想必有不少公司收集用戶使用产品的信息，是用于针对性地推送其它产品或是打广告——这些毫无疑问都是用于“direct marketing”的这一个目的。而GDPR在这一条上是明确地指出，用户对于这一行为有拒绝的权利，即拒绝企业收集用户行为信息并用于任何直接或间接的营销。同时GDPR还要求企业将此类用于营销的收集行为特别地、清晰明确地提醒用户注意，并与其他任何信息区分开来。这意味了企业将营销目的的收集巧妙地掺混于其他目的当中一起获得用户同意的这种做法已不在可行。

那么，企业偷偷地收集处理，并抹消其痕迹，这样是否可行呢？可见第82条：In order to demonstrate compliance with this Regulation， the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records， on request， available to it， so that it might serve for monitoring those processing operations.

GDPR要求每一位控制者和处理者，必须要留下数据处理的记录，并随时响应监管机构的要求向其提供。

三、结束语

很多人觉得GDPR的99条条款只做了一个空洞的规定，只限制了做什么，并未指导大家如何去做。毕竟它只是一个法律，并非一个指导性的规范标准。但其实在很多人没有关注到的正文之前的173条Recitals中，欧盟还是留下了很多细节性的说明和具体的指导性的做法。本文以用户知情权为基础，选取了其中的三条稍做解读，希望能加深企业实现用户知情权的理解。

【参考文献】

[1]《General Data Protection Regulation》