全球隐私及数据保护法律政策动态报告(上)
腾讯互联网法律研究中心
2014年第3季度
一、重点摘要
欧盟在cookies治理方面的努力已经进入了执行阶段。cookies的存储和使用涉及到用户的隐私和数据安全等重要方面,因而得到了欧盟足够的重视。不仅是欧盟成员国,在整个欧盟层面都推动着新指令的执行。新的《欧盟cookies指令》要求网站就存储cookies以及在电脑及其他网络连接设备上恢复信息等问题获得访问者同意。此外,在2014年5月欧洲法院就搜索引擎与被遗忘权一案作出判决,要求谷歌等搜索引擎及时处理用户删除的请求,但随后的执行不仅没有达到立法者的期待,同时也给数据处理这一新兴产业带来了巨大的人力和经济成本。欧洲监管部门正着手起草指导文件,为申请删除与个人信息相关的搜索结果但被Google等搜索引擎拒绝的用户提供指引。
移动互联网时代的到来,不仅给人们的生活方式带来了颠覆性的变化,对于政府管理机关也是一个新的挑战。鉴于移动应用服务领域发展迅猛,美国联邦贸易委员会开始逐渐加强了对移动应用领域的监控、治理和指引,包括个人金融数据隐私的保护以及安全性等方面。在数据保护方面,微软被美国政府要求披露存储于海外的数据,微软拒绝而两方卷入了司法诉讼。微软案的判决也引起了美国议员的高度重视。以哈奇(Hatch)议员为首的三位议员致力于修改已经执行了30年之久的数据保护法案《电子通信保密法》。在隐私层面,学生数据隐私成为全美国的热点问题,不仅在联邦层面隐私立法正在完善,美国多州都在进行着学生隐私法的修改,根据Data Quality Campaign的统计,在美国有32个州83项相关议案正在讨论或审议之中。在数据安全层面,美国众议院于7月28日通过三部法案,分别是《国家网络安全和关键基础设施保护法》、《关键基础设施研究发展进步法》,以及《国土安全网络安全人力资源法案》。
在全球范围,在公民隐私和数据保护方面呈现出了两种相反的趋势,以俄罗斯、澳大利亚、英国为代表的国家不断加强对互联网以及电子设备的管控,公民的权利逐渐受到威胁,而以德国、土耳其、菲律宾等国家则致力于不断完善隐私法的修改,为保护公民隐私提供法律基础。
二、欧盟
(一)欧盟实质性开展Cookies清扫行动
为持续保护网络隐私,欧盟数据保护机构于9月15-19日开展发起了“欧盟Cookie行动”,对多家网站以及移动应用进行了审查,确保《指令2009/136/EC》(又称《欧洲Cookie指令》)的有效执行。
《欧洲Cookie指令》替代了原有的《隐私与电子通讯条令》。在原指令下,电子商务服务商在其网站上使用cookies功能自动存储用户信息是合法的,也无须就此征得用户(包括消费者)的事先同意,这种立法取向是建立在对cookies的实用性认识基础上的。
新的《欧盟Cookies指令》要求网站就存储cookies以及在电脑及其他网络连接设备上恢复信息等问题获得访问者同意。对于所有受新指令调整的网站而言,即便用户已同意,用户的cookies只能存储在用户自己的电脑上,也只能从用户的电脑上获取,在此之前还应向用户提供“清楚和全面的信息”。但是,新指令设置了一项例外,即如果指令调整的cookies对于末端用户要求的服务条款而言是极其重要的情况下,或者信息存储只是为了进行网络沟通的目的时,可以不受指令调整。
根据 TRUSTe的报告,只有12%的前50英国网站有遵循欧盟的Cookie指令,有在网站上弹出窗口或挂出Banner或标签告知该站点上的Cookies信息手机,而在法国和德国几乎没有网站采用欧盟的这一指导规范。该调查显示前50的法国网站的第三方cookies下降数量 (434) 是荷兰 (237) 的两倍,而英国和德国则分别下降了406个和319个。在用户对Cookies法案的感知方面,81%的英国人了解浏览器的cookies,63%的人知道欧盟Cookies的隐私指南。
(二)欧盟数据保护机构拟制定“被遗忘权”指导文件
欧洲监管部门正着手起草指导文件,为申请删除与个人信息相关的搜索结果但被Google等搜索引擎拒绝的用户提供指引,预期将在11月底发布。该文件将对公民申请进行分类,帮助管理机构权衡用户的隐私权与公共知情权,判断某一条信息是否应该留存。具体的衡量标准包括该人的公共角色、信息是否与犯罪有关以及信息留存在网络中的时间。指导文件的出台旨在帮助Google等搜索引擎有效地执行2014年5月欧盟法院要求删除相关搜索结果的判决。
Google目前在欧洲市场占有80%的份额,自欧洲法院判决之后已经收到了12万个来自欧盟用户要求删除相关搜索结果的请求,其中内容包括犯罪记录、大尺度照片以及新闻负面报道等等。欧洲法院判决的出台引起了有效性地激烈讨论,支持言论自由者主张被遗忘权的引进将导致“清除所有历史”,但隐私支持者则认为被遗忘权只是在一定程度上保护个人的信息。