论文部分内容阅读
DOI:10.3969/j.issn.1008-0821.2021.09.013
[中图分类号]D63-39 [文献标识码]A [文章编号]1008-0821(2021)09-0127-08
自2009年以来,巴西法律明确规定,在网上可以获取各级政府公共预算和机构的数据。2011年6月20日,时任巴西总统Neto将其竞选活动中承诺的1156号法案进行颁布,以促进立法机关的透明度。该法案的内容包括议会程序中实施开放数据的基础,如目标、原则、概念和限制等。这一法案的目标是通过提供电子形式和开放格式的非机密数据库,向社会提供资源,以便监测立法机关,并参与立法机关的政治与行政决策。为了实现该法案,巴西市议会网站中创建了一个网页,包含开放格式的议会数据。但是,该网站还包括账单数据、市议员个人数据和人力资源数据,容易产生隐私风险。在2013年发布《开放数据晴雨表:全球报告》中,巴西在全球77个国家中排名第28位,在美洲地区排名第5,位于美国、加拿大、墨西哥和智利之后。这次评估显示,巴西在政府、公民社会和企业实现开放数据效益的准备方面表现相对较好,但仍有改进的空间,如数据集影响和可用性相对较弱。随着不断的改进,巴西在万维网基金会于2017年5月发布的《开放数据晴雨表:全球报告》(第4版)中综合排名全世界第18。从国内研究情况来看,目前有研究针对巴西政府数据开放的特点进行研究,但尚无对巴西开放政府数据中个人隐私保护进行研究。因此,本文对巴西政府开放数据中隐私风险控制进行研究,以期为我国政府数据开放和个人隐私保护提供参考。
1开放政府数据中个人隐私的评判标准
1.1个人隐私保护的法律内容
1)《个人数据保护法》(Lei GerN de Protecao de Dados Pessoais,以下简称LGPD)。2018年8月14日,巴西颁布了第13709/2018号法律LGPD,并将于2020年生效。这一法律的灵感来自与之类似的《通用数据保护条例》(General Data Protec-tion Regulation,GDPR)。LGPD第3条明确了该法的适用范围。该条规定,LGPD适用于所有由私人机构、个人及政府处理的个人数据:数据是在巴西收集或处理,或数据处理目的是在巴西提供商品或服务。这表明该法具有域外影响力。LGPD第4条指出,本法不适用于个人数据处理的情形包括:①由自然人出于私人和非经济目的而进行的数据处理;②专为新闻、艺术或学术目的而进行的数据处理;③专为公共安全、国防、国家安全或对刑事犯罪的调查和起诉而进行的数据处理:④与源自其他国家且仅在数据传输途中通过巴西的个人数据有关的数据处理。
2)《公共信息获取法》(2011年第12527号法律)。2011年11月18日,巴西通过了《公共信息获取法》,该法对政府拥有的数据和信息的获取进行了规范。该法使得公民不仅可以向公共部门请求个人数据内容,还可以更新和修正公共数据库中可用的任何错误数据。可见,该法是巴西公共数据民主化的里程碑,提倡公民所要求的数据必须遵循巴西相关开放数据法律法规中的技术标准。在这种情况下,巴西开放數据门户网站可视为政府建立用于集中搜索和获取公共数据和信息的工具。根据该法第25条,国家有义务控制其机关和部门对其产生和获取的机密数据的获取和披露,以确保其得到保护。第31条规定,个人数据处理必须以透明的方式进行,并要尊重人们的隐私、名誉和形象,以及个人的自由和保障。第34条规定,公共机构和部门应对因未经授权披露或不当使用机密数据或个人数据而造成的损害负直接责任,并在有意或有罪的情况下确定职责,以确保各自的归还权。
3)《宪法》。巴西于1988年10月颁布的《宪法》不仅保护包括通信、电报、电话和数据通信保密性在内的隐私权,还涉及消费者保护。这些条款使得所有人都有权从公共机构接受与本人有关的私人利益或任何公共机构中存储的集体或普遍利益的数据,但对国家安全至关重要的数据则被排除在外,如该法第5ⅩⅩⅩⅠ条将消费者保护作为一项基本权利;第170Ⅴ条确立的原则是,消费者保护是维护国家经济秩序的一个方面。
1.2个人隐私界定
在个人隐私的具体保护范围上,大多数国家(地区)对于个人隐私的界定与保护都十分宽泛,在法律中仅以“个人敏感数据”或“个人信息”一言以蔽之,而少数国家(地区),如挪威、希腊和乌克兰等国(地区)则对所纳入保护的个人信息有较明确的定义。就巴西而言,根据LGPD第5条第1款,个人数据是“与已识别或可识别自然人有关的数据”。“可识别”一词扩大了LGPD的范围,即不仅仅指那些明显识别个人的数据。正如GDPR和新的《加州消费者隐私法案》(CCPA)一样,LGPD的目标是那些可以用来识别个人的数据,即使这个人的面部信息并没有被这样做。针对“可识别”,LGPD没有进一步进行界定,但LGPD第12条第2款指出,就本法而言,个人数据(如果已识别)也可以被视为用于形成特定自然人的行为特征的数据。此外,巴西相关法律没有针对“去识别化”和“假名”进行界定,但LGPD第5条第Ⅺ款将“匿名”界定为:在数据处理时,使用合理且可用的技术手段,从而使数据失去与个人直接或间接关联的可能性。LGPD第5条第Ⅲ款进一步对“匿名数据”进行界定:考虑到数据处理时使用合理和可用的技术手段,无法确定与持有人有关的数据。针对匿名数据与个人数据的关系,LGPD第12条指出,匿名数据在本法中将不被视为个人数据,除非当匿名提交数据的过程被逆转,而且这一逆转是通过其自身手段或合理努力来实现。这个规定意味着,匿名数据可以自由处理,即如果不采取合理的努力而不能逆转匿名过程,那么无需在法律基础上认可该处理。敏感的个人数据通常被定义为个人数据的子类别,并且数据处理时会有所涉及。根据第5条第Ⅱ款,敏感个人数据包括“种族或族裔血统、宗教信仰、政治见解、与工会或其他宗教组织的隶属关系、哲学或政治组织成员、与健康或性生活相关的数据、遗传或生物特征数据”。 2开放政府数据中数据保护影响评估(DPIA)和风险评估
2.1数据保护影响评估(DPIA)的框架
当前,除了LGPD外,巴西没有法律对DPIA进行规定。一旦LGPD正式生效后,国家数据保护局(Autoridade Nacional de Protecao de Dados,AN-PD)将有权订购一份涉及管制数据处理操作的DPIA报告。为了评估数据处理活动在特定情况下对数据主体的权利和自由所造成的风险,GDPR和LGPD都制定了DPIA的执行要求。GDPR规定了需要实施DPIA的情况,而LGPD中DPIA的执行标准比GDPR少,如表1所示。
1)DPIA执行必要性。ANPD被授权制定相应规则来规定哪些数据处理操作需要进行DPIA,如根据第4条第3款,ANPD应针对LGPD中所涉及国家安全例外情况发布技术意见或建议,并要求在这些情况下进行DPIA。根据第55-J条第ⅩⅢ款,ANPD的一项任务是,当数据处理可能会对LGPD所述数据保护原则产生高风险时,可以就隐私和数据保护以及DPIA发布相应规则和程序。第32条规定,ANPD可以要求公共机构向公民发布其个人数据的DPIA报告,并可以针对公共机构采用的个人数据处理标准和良好做法提供建议。与之相同的是,GDPR也规定了特定情况下实施DPIA的要求,而且欧盟成员国的监督部门可以进一步确定哪些数据处理需要进行DPIA。
2)DPIA界定。根据LGPD第5条第ⅩⅦ款,DPIA是数据控制者提供的文件,描述可能对公民自由和基本权利产生风险的个人数据处理流程、保障措施和风险缓解机制。这一界定与GDPR的不同。GDPR认为,DPIA是“对所设想的处理业务对个人数据保护的影响的评估”。
3)DPIA适用情况。LGPD不确定什么时候需要进行DPIA,但ANPD可以请求数据控制者执行DPIA并提供报告。例如,根据LGPD第10条第3款,如果数据控制者基于合法权益而对个人数据进行处理,那么ANPD可以要求数据控制者提供一份关于个人数据保护的影响报告(DPIAs),并遵守商业和工业秘密。这个方面也与GDPR不同。GDPR规定,需要进行DPIA的情况包括:当数据处理过程可能对自然人的权利和自由造成高风险:基于数据自动化处理,对涉及自然人的个人方面进行系统而广泛的评价;大规模处理特殊类别数据;对公共区域进行大规模系统监控。
4)DPIA包含内容。LGPD第38条规定,AN-PD可以要求数据控制者根据商业和工业保密或相关规定,参考其数据处理操作,针对个人数据(包括敏感数据)进行DPIAs。在遵守本条款规定的前提下,这个DPIA报告必须至少包含对所收集数据类型的描述,用于数据收集和保证信息安全的方法,以及数据控制者所采取的减轻风险的安全措施和保障机制。这点与GDPR的规定不同。GDPR规定,DPIA至少应包括:系统地说明数据处理流程和目的:评估数据处理流程与目的有关的必要性和相称性;评估数据主体的权利和自由所面临的风险。
5)基于DPIA的措施。LGPD并没有就DPIA后的风险减缓措施作出任何明确规定。与之不同的是,GDPR规定了为处理有关风险而拟采取的措施,包括保障措施、安全措施及机制,以保护个人数据并证明符合规定。
6)DPIA事先咨询程序。LGPD并没有建立一个关于DPIA的事先咨询程序。与之不同的是,GDPR规定,如监察主任认为没有采取相应措施来减低风险,可能使有关处理工作将会导致高风险,那么监察主任须在处理前咨询监察部门。
2.2隐私风险评估
LGPD中有相关隐私风险的规定。①根据第44条第Ⅱ款,当非法或不满足数据主体期望的安全l生的情况下,没有考虑数据处理的结果和人们可以合理预期的风险,那么个人数据的处理应被视为不规范;②根据第48条,数据控制者必须针对可能会给数据主体带来重大风险或损害的安全事件而与国家主管部门和数据主体进行沟通。这一沟通应在国家主管部门规定的合理时间内进行,并至少应包括:对受影响的个人数据的性质的描述:有关数据主体的信息;表明用于保护数据的技术和安全措施,但须遵守商业和工业保密规定;与事件有关的风险;如果这一沟通没有立即执行,需要说明延迟的原因;已经采取或将采取哪些措施来扭转或减轻损害的影响。此外,国家主管部门应核实事件的严重性,并可能在必要时维护数据主体的权利,命令数据控制者采取以下措施:在传播媒体中广泛披露该事件;扭转或减轻事件影响的措施。在判断事件的严重性时,将评估是否有足够的技术措施使受影响的个人数据在其服务范围和技术范围之内变得难以理解,而对于未经授权的第三方,则将对其进行评估;③根据第50条第1款,在制定良好操作规范时,数据控制者和操作者应考虑因对数据主体的数据进行处理而产生的风险和收益的性质、范围、目的、可能性以及严重性;④根据第50条第2款第d项,应在对隐私影响和风险进行系统评估的过程的基础上,制定适当的政策和保障措施。这意味着,这个条款将风险评估作为隐私合规计划的可能要素。
3隐私风险应对的数据处理规范
3.1隐私风险应对的数据处理原则
根据LGPD第6条,个人数据处理活动必须遵守相应原则,如表2所示。
3.2隐私风险应对的数据处理法律基础
LGPD第7条,提供个人数据处理的法律基础,即用于合法处理个人数据的10个法律依据;第11条中规定了允许处理敏感个人数据的情况。第7条和第11條分别针对个人数据和敏感个人数据提供了不同的数据处理法律依据,而且各自有不同适用情况,如表3所示。通过比较发现,该法不允许处理敏感的个人数据来满足数据控制者或第三方的合法利益或进行信用保护。针对数据主体同意,根据LGPD第5条第Ⅻ款,“同意”是数据主体的一种自由、知情和明确的表现,它授权出于特定目的对其个人数据进行处理。这意味着,如果没有特定、明确和知情目的的授权,那么这一同意无效。根据第8条,“同意”必须以书面形式或其他方式表明数据主体的意图:必须告知数据主体不同意的权利以及拒绝的后果。当然,数据主体也可以撤回“同意”,这必须通过自由而简单的程序才能实现。
[中图分类号]D63-39 [文献标识码]A [文章编号]1008-0821(2021)09-0127-08
自2009年以来,巴西法律明确规定,在网上可以获取各级政府公共预算和机构的数据。2011年6月20日,时任巴西总统Neto将其竞选活动中承诺的1156号法案进行颁布,以促进立法机关的透明度。该法案的内容包括议会程序中实施开放数据的基础,如目标、原则、概念和限制等。这一法案的目标是通过提供电子形式和开放格式的非机密数据库,向社会提供资源,以便监测立法机关,并参与立法机关的政治与行政决策。为了实现该法案,巴西市议会网站中创建了一个网页,包含开放格式的议会数据。但是,该网站还包括账单数据、市议员个人数据和人力资源数据,容易产生隐私风险。在2013年发布《开放数据晴雨表:全球报告》中,巴西在全球77个国家中排名第28位,在美洲地区排名第5,位于美国、加拿大、墨西哥和智利之后。这次评估显示,巴西在政府、公民社会和企业实现开放数据效益的准备方面表现相对较好,但仍有改进的空间,如数据集影响和可用性相对较弱。随着不断的改进,巴西在万维网基金会于2017年5月发布的《开放数据晴雨表:全球报告》(第4版)中综合排名全世界第18。从国内研究情况来看,目前有研究针对巴西政府数据开放的特点进行研究,但尚无对巴西开放政府数据中个人隐私保护进行研究。因此,本文对巴西政府开放数据中隐私风险控制进行研究,以期为我国政府数据开放和个人隐私保护提供参考。
1开放政府数据中个人隐私的评判标准
1.1个人隐私保护的法律内容
1)《个人数据保护法》(Lei GerN de Protecao de Dados Pessoais,以下简称LGPD)。2018年8月14日,巴西颁布了第13709/2018号法律LGPD,并将于2020年生效。这一法律的灵感来自与之类似的《通用数据保护条例》(General Data Protec-tion Regulation,GDPR)。LGPD第3条明确了该法的适用范围。该条规定,LGPD适用于所有由私人机构、个人及政府处理的个人数据:数据是在巴西收集或处理,或数据处理目的是在巴西提供商品或服务。这表明该法具有域外影响力。LGPD第4条指出,本法不适用于个人数据处理的情形包括:①由自然人出于私人和非经济目的而进行的数据处理;②专为新闻、艺术或学术目的而进行的数据处理;③专为公共安全、国防、国家安全或对刑事犯罪的调查和起诉而进行的数据处理:④与源自其他国家且仅在数据传输途中通过巴西的个人数据有关的数据处理。
2)《公共信息获取法》(2011年第12527号法律)。2011年11月18日,巴西通过了《公共信息获取法》,该法对政府拥有的数据和信息的获取进行了规范。该法使得公民不仅可以向公共部门请求个人数据内容,还可以更新和修正公共数据库中可用的任何错误数据。可见,该法是巴西公共数据民主化的里程碑,提倡公民所要求的数据必须遵循巴西相关开放数据法律法规中的技术标准。在这种情况下,巴西开放數据门户网站可视为政府建立用于集中搜索和获取公共数据和信息的工具。根据该法第25条,国家有义务控制其机关和部门对其产生和获取的机密数据的获取和披露,以确保其得到保护。第31条规定,个人数据处理必须以透明的方式进行,并要尊重人们的隐私、名誉和形象,以及个人的自由和保障。第34条规定,公共机构和部门应对因未经授权披露或不当使用机密数据或个人数据而造成的损害负直接责任,并在有意或有罪的情况下确定职责,以确保各自的归还权。
3)《宪法》。巴西于1988年10月颁布的《宪法》不仅保护包括通信、电报、电话和数据通信保密性在内的隐私权,还涉及消费者保护。这些条款使得所有人都有权从公共机构接受与本人有关的私人利益或任何公共机构中存储的集体或普遍利益的数据,但对国家安全至关重要的数据则被排除在外,如该法第5ⅩⅩⅩⅠ条将消费者保护作为一项基本权利;第170Ⅴ条确立的原则是,消费者保护是维护国家经济秩序的一个方面。
1.2个人隐私界定
在个人隐私的具体保护范围上,大多数国家(地区)对于个人隐私的界定与保护都十分宽泛,在法律中仅以“个人敏感数据”或“个人信息”一言以蔽之,而少数国家(地区),如挪威、希腊和乌克兰等国(地区)则对所纳入保护的个人信息有较明确的定义。就巴西而言,根据LGPD第5条第1款,个人数据是“与已识别或可识别自然人有关的数据”。“可识别”一词扩大了LGPD的范围,即不仅仅指那些明显识别个人的数据。正如GDPR和新的《加州消费者隐私法案》(CCPA)一样,LGPD的目标是那些可以用来识别个人的数据,即使这个人的面部信息并没有被这样做。针对“可识别”,LGPD没有进一步进行界定,但LGPD第12条第2款指出,就本法而言,个人数据(如果已识别)也可以被视为用于形成特定自然人的行为特征的数据。此外,巴西相关法律没有针对“去识别化”和“假名”进行界定,但LGPD第5条第Ⅺ款将“匿名”界定为:在数据处理时,使用合理且可用的技术手段,从而使数据失去与个人直接或间接关联的可能性。LGPD第5条第Ⅲ款进一步对“匿名数据”进行界定:考虑到数据处理时使用合理和可用的技术手段,无法确定与持有人有关的数据。针对匿名数据与个人数据的关系,LGPD第12条指出,匿名数据在本法中将不被视为个人数据,除非当匿名提交数据的过程被逆转,而且这一逆转是通过其自身手段或合理努力来实现。这个规定意味着,匿名数据可以自由处理,即如果不采取合理的努力而不能逆转匿名过程,那么无需在法律基础上认可该处理。敏感的个人数据通常被定义为个人数据的子类别,并且数据处理时会有所涉及。根据第5条第Ⅱ款,敏感个人数据包括“种族或族裔血统、宗教信仰、政治见解、与工会或其他宗教组织的隶属关系、哲学或政治组织成员、与健康或性生活相关的数据、遗传或生物特征数据”。 2开放政府数据中数据保护影响评估(DPIA)和风险评估
2.1数据保护影响评估(DPIA)的框架
当前,除了LGPD外,巴西没有法律对DPIA进行规定。一旦LGPD正式生效后,国家数据保护局(Autoridade Nacional de Protecao de Dados,AN-PD)将有权订购一份涉及管制数据处理操作的DPIA报告。为了评估数据处理活动在特定情况下对数据主体的权利和自由所造成的风险,GDPR和LGPD都制定了DPIA的执行要求。GDPR规定了需要实施DPIA的情况,而LGPD中DPIA的执行标准比GDPR少,如表1所示。
1)DPIA执行必要性。ANPD被授权制定相应规则来规定哪些数据处理操作需要进行DPIA,如根据第4条第3款,ANPD应针对LGPD中所涉及国家安全例外情况发布技术意见或建议,并要求在这些情况下进行DPIA。根据第55-J条第ⅩⅢ款,ANPD的一项任务是,当数据处理可能会对LGPD所述数据保护原则产生高风险时,可以就隐私和数据保护以及DPIA发布相应规则和程序。第32条规定,ANPD可以要求公共机构向公民发布其个人数据的DPIA报告,并可以针对公共机构采用的个人数据处理标准和良好做法提供建议。与之相同的是,GDPR也规定了特定情况下实施DPIA的要求,而且欧盟成员国的监督部门可以进一步确定哪些数据处理需要进行DPIA。
2)DPIA界定。根据LGPD第5条第ⅩⅦ款,DPIA是数据控制者提供的文件,描述可能对公民自由和基本权利产生风险的个人数据处理流程、保障措施和风险缓解机制。这一界定与GDPR的不同。GDPR认为,DPIA是“对所设想的处理业务对个人数据保护的影响的评估”。
3)DPIA适用情况。LGPD不确定什么时候需要进行DPIA,但ANPD可以请求数据控制者执行DPIA并提供报告。例如,根据LGPD第10条第3款,如果数据控制者基于合法权益而对个人数据进行处理,那么ANPD可以要求数据控制者提供一份关于个人数据保护的影响报告(DPIAs),并遵守商业和工业秘密。这个方面也与GDPR不同。GDPR规定,需要进行DPIA的情况包括:当数据处理过程可能对自然人的权利和自由造成高风险:基于数据自动化处理,对涉及自然人的个人方面进行系统而广泛的评价;大规模处理特殊类别数据;对公共区域进行大规模系统监控。
4)DPIA包含内容。LGPD第38条规定,AN-PD可以要求数据控制者根据商业和工业保密或相关规定,参考其数据处理操作,针对个人数据(包括敏感数据)进行DPIAs。在遵守本条款规定的前提下,这个DPIA报告必须至少包含对所收集数据类型的描述,用于数据收集和保证信息安全的方法,以及数据控制者所采取的减轻风险的安全措施和保障机制。这点与GDPR的规定不同。GDPR规定,DPIA至少应包括:系统地说明数据处理流程和目的:评估数据处理流程与目的有关的必要性和相称性;评估数据主体的权利和自由所面临的风险。
5)基于DPIA的措施。LGPD并没有就DPIA后的风险减缓措施作出任何明确规定。与之不同的是,GDPR规定了为处理有关风险而拟采取的措施,包括保障措施、安全措施及机制,以保护个人数据并证明符合规定。
6)DPIA事先咨询程序。LGPD并没有建立一个关于DPIA的事先咨询程序。与之不同的是,GDPR规定,如监察主任认为没有采取相应措施来减低风险,可能使有关处理工作将会导致高风险,那么监察主任须在处理前咨询监察部门。
2.2隐私风险评估
LGPD中有相关隐私风险的规定。①根据第44条第Ⅱ款,当非法或不满足数据主体期望的安全l生的情况下,没有考虑数据处理的结果和人们可以合理预期的风险,那么个人数据的处理应被视为不规范;②根据第48条,数据控制者必须针对可能会给数据主体带来重大风险或损害的安全事件而与国家主管部门和数据主体进行沟通。这一沟通应在国家主管部门规定的合理时间内进行,并至少应包括:对受影响的个人数据的性质的描述:有关数据主体的信息;表明用于保护数据的技术和安全措施,但须遵守商业和工业保密规定;与事件有关的风险;如果这一沟通没有立即执行,需要说明延迟的原因;已经采取或将采取哪些措施来扭转或减轻损害的影响。此外,国家主管部门应核实事件的严重性,并可能在必要时维护数据主体的权利,命令数据控制者采取以下措施:在传播媒体中广泛披露该事件;扭转或减轻事件影响的措施。在判断事件的严重性时,将评估是否有足够的技术措施使受影响的个人数据在其服务范围和技术范围之内变得难以理解,而对于未经授权的第三方,则将对其进行评估;③根据第50条第1款,在制定良好操作规范时,数据控制者和操作者应考虑因对数据主体的数据进行处理而产生的风险和收益的性质、范围、目的、可能性以及严重性;④根据第50条第2款第d项,应在对隐私影响和风险进行系统评估的过程的基础上,制定适当的政策和保障措施。这意味着,这个条款将风险评估作为隐私合规计划的可能要素。
3隐私风险应对的数据处理规范
3.1隐私风险应对的数据处理原则
根据LGPD第6条,个人数据处理活动必须遵守相应原则,如表2所示。
3.2隐私风险应对的数据处理法律基础
LGPD第7条,提供个人数据处理的法律基础,即用于合法处理个人数据的10个法律依据;第11条中规定了允许处理敏感个人数据的情况。第7条和第11條分别针对个人数据和敏感个人数据提供了不同的数据处理法律依据,而且各自有不同适用情况,如表3所示。通过比较发现,该法不允许处理敏感的个人数据来满足数据控制者或第三方的合法利益或进行信用保护。针对数据主体同意,根据LGPD第5条第Ⅻ款,“同意”是数据主体的一种自由、知情和明确的表现,它授权出于特定目的对其个人数据进行处理。这意味着,如果没有特定、明确和知情目的的授权,那么这一同意无效。根据第8条,“同意”必须以书面形式或其他方式表明数据主体的意图:必须告知数据主体不同意的权利以及拒绝的后果。当然,数据主体也可以撤回“同意”,这必须通过自由而简单的程序才能实现。