) 
1 月10 日,欧盟委员会提议出一项新法案《隐私与电子通信条例》,该条例作为此前通过的《一般数据保护条例》的特别法,意欲取代当前的《电子隐私指令》,旨在规制电子通信服务并保护与用户终端设备相关的信息。一改此前的通信隐私规则只约束传统电信服务商的局面,该条例将即时通讯、VoIP 等OTT 服务商纳入与传统电信服务商一样的隐私监管框架,对电子通信数据的保护不仅包括通信内容本身,而且包括时间、地点、来源等标记通信内容的元数据,并且在地域上可以约束欧盟境外的互联网企业。新的条例一旦生效实施,将对电子通信行业的数据实践产生深远影响。
引言
2017 年1 月10 日,欧盟委员会宣布提议更严格的电子通信隐私监管法案《隐私与电子通信条例》(Regulation on Privacy and Electronic Communications),加强对电子通信数据(内容及元数据)的保护,同时创造新的商业机会。
欧盟委员会提议的措施是更新现有的监管规则,将其延伸到所有的电子通信服务提供商(包括即时通讯软件等OTT 服务商)。同时,希望通过新的电子通信监管法案为创新电子通信数据的处理方式提供可能,加强欧盟数字单一市场(Digital Single Market)的信任与安全,这也是欧盟数字单一市场战略的关键目标。此外,欧盟委员会新提议的电子隐私法案对于电子通信的监管规则与欧盟《一般数据保护条例》(General Data Protection Regulation)关于电子通信的标准相一致,且《隐私与电子通信条例》相比于《一般数据保护条例》是特别法,对于前者未规定的事项,适用后者。欧盟委员会提议的新规则还将提升个人数据的保护级别,在欧盟境内的机构和私人实体对于个人数据的保护水平应当达到《一般数据保护条例》中规定的欧盟成员国所应达到的水平。此外,欧盟委员会的新法案针对个人数据跨境传输引发的相关问题提出了战略性的解决途径。
法案提出的背景
在2009 年, 欧盟对《电子隐私指令》(E-Privacy Directive)进行了最后一次修正之后,时至今日,电子通信服务已经取得了突飞猛进的发展。网络即时通讯服务的兴起,使得消费者和企业越来越依赖于网络服务进行通信和交流,比如WhatsApp、Facebook Messenger、Skype、Gmail、iMessage 以及Viber 等即时通讯服务,已经逐渐成为了主流的通讯方式。尽管网络即时通讯等OTT 服务发展迅猛,但是它们却不受当下的《电子隐私指令》监管。通过更新隐私法律的监管框架并提议新的《隐私与电子通信条例》将大规模使用的网络即时通讯服务纳入到法律的监管之中,给予民众和企业明确的权利和保护,同时也能够促进欧盟数字单一市场的发展。
欧洲民众十分关注自身的隐私安全问题。在最新的欧洲晴雨表(Eurobarometer)的一次调查活动中,92% 的接受调查的民众认为个人电脑、手机、平板之中的个人信息只能在个人允许的情况下才能被访问,是重要或者十分重要的;同样,92% 的受访民众认为个人在电子邮件和即时通讯软件中的个人信息安全得到保证,是重要或者十分重要的。最新提议的《隐私与电子通信条例》正是为了回应欧洲的广大民众对于网络即时通讯中个人信息安全的关切,同时,新的法案还将促进创新,提振消费者的信任。
《隐私与电子通信条例》的主要内容
欧盟委员会最新提议的《隐私与电子通信条例》草案共七章,二十七条。第一章是总则,主要包括适用范围和对相关概念的定义;第二章包括主要的关键条款,针对如何保证电子通信的秘密性和处理电子通信数据的条件与目的;第三章规定了终端用户可以通过控制电子通信信息的发送和接收来保护个人的隐私安全;第四章规定了该法案的监管部门与实施部门;第五章详细规定了终端用户可以采取的多种救济措施,以及违反该条例将要承担的责任和将会受到的惩罚;第六章规定了相应的委托行为和实施行为;第七章规定了最终条款,规定了废除《电子隐私指令》以及新的法律如何通过、何时生效等问题。下文将概括介绍新法案相较于以往的隐私保护规则,如《电子隐私指令》,所具有的新的变化以及关注点。
(一)扩大的监管范围。根据该条例第2 条,该条例适用的对象范围是在提供和使用电子通信服务(单独的或者作为其他服务的附属功能)中处理电子通信数据,以及对与终端用户的终端设备相关的信息的保护。
因此,第一,在监管对象方面,新的法案考虑到网络即时通讯技术的大规模使用,需要在该领域加强对用户隐私的保护,所以在该法案中将即时通讯软件如WhatsApp、Facebook Messenger 以及Skype 等纳入到了政府监管的范围之内。这将能够促使新兴的通讯技术保持同传统通信服务相同的隐私保护水平,受到相同的监管,实现公平竞争。
第二,在地域范围方面,根据该条例第3 条,《隐私与电子通信条例》适用于下列范围:(1)向欧盟境的终端用户(end-users in the Union)提供电子通信服务,不管是否需要用户付费;(2)电子通信服务的使用;(3)与位于欧盟境内的终端用户(end-users located in the Union)的终端设备相关的信息的保护。
因此,该条例不仅约束欧盟内部企业,而且约束欧盟境外企业,只要其向欧盟境内的终端用户提供电子通信服务。
在欧盟境内没有营业所的提供商需要在欧盟境内制定一个代表,负责相关事宜。根据该条例第3 条,如果一个电子通信服务的提供商不在欧盟境内(一般即没有营业所),就需要在欧盟境内书面指定一位代表;指定的代表应当设立在使用该电子通信服务的欧盟成员国境内;该代表应当有权代表电子通信服务提供商或者在其之外回答问题和提供信息,尤其是为了确保遵守《隐私与电子通信条例》回答监管部门、用户提出的所有与处理电子通信数据有关的问题;依据这一条指定的代表应当不影响针对一个自然人或者法人因在欧盟境外向欧盟境内的终端用户提供电子通信过程中的电子通信数据处理行为而提起的法律诉讼。
(二)更加强硬的隐私保护规则。新的法案将为保护个人通信的自由和权利建立基础性的规则,保护对个人数据的处理。在欧盟境内所有的个人和企业都将通过这个可以直接实施的法案(意即该条例草案一旦通过无须转化为欧盟成员国国内法即可直接适用)就其电子通信受到同等程度的保护。同时,该法案致力于在欧盟境内建立统一的个人数据保护规则,确保欧盟境内电子通信数据和电子通信服务的自由传输,这有利于欧盟企业的发展和数字单一市场的形成。
(三)所有的电子通信数据(包括内容及元数据)必须都是秘密的。根据第5 条,除非该条例有例外规定,否则对于任何电子通信数据如短信、电子邮件、通话等的收听、截取、存储、监控、扫描或者其他类型的拦截行为都是被禁止的。此外,该法案也特别指出了允许处理用户电子通信数据的例外情形以及什么时候需要获得用户的同意才能处理用户的电子通信数据。
在电子通信数据的存储和清除方面,第7 条规定,在接收者接收电子通信内容后,服务提供者应将其清除或者匿名化,但是,终端用户或者经用户授权的第三方可以存记录、存储或处理此类数据;当收集、存储的目的完成之后,应当清除或者匿名化元数据,但是基于计费目的处理元数据的,可以保存元数据。
(四)限制加密,确保政府机构可以在法律规定的特殊情况获取电子通信数据。虽然该条例要求通信保密,禁止任何人未经授权随意获取电子通信数据,但是根据第11 条,政府可以基于公共利益、国家安全、执法等目的限制用户权利;电子通信服务提供商应当建立内部程序,响应监管机构的数据获取诉求,同时对于这些内部程序还应当建立监督机制。这意味着,在成员国对政府机构获取电子通信数据具有立法和程序性规定时,电子通信服务提供者应当在例外情形下向政府机构提供电子通信数据,这将限制行业的加密实践。
(五)用户的网络行为习惯和设备的秘密性需要得到保护,并简化了Cookies 规则。根据法案第8 条,利用终端设备的处理和存储能力,从终端用户的终端设备(包括其硬件和软件)收集信息,是被禁止的,除非有正当理由,比如用户同意。因此,要想获取用户终端设备上保存的用户信息必须要得到用户的同意。此外,如果网站想要利用信息记录程序(Cookies)或者其他类似技术获取用户电脑上储存的信息或者追踪用户的网络行为习惯,同样需要得到用户的同意后方可进行。该法案明确了某些仅仅为了提高网络体验的嵌入式Cookies 不需要获得用户的同意,如记录购物历史的Cookies、为了填写数张网络表格而记录的Cookies、在相同的时域内记录的登陆信息以及某个访问网站为了记录访客人数而开发的Cookies 等不需要用户的同意。
与此同时,Cookies 规则将会进一步优化改进。新的规则将会是“用户友好型”的,因为它要求网络浏览器使用更加易于识别的标示来告诉用户是否允许追踪用户的数据。总之,就Cookie 规则而言,第一,欧盟委员会认为,欧盟原先的《电子隐私指令》无法胜任保护终端用户隐私的任务,甚至一些模糊不确定的条款给企业和用户造成了负担。《电子隐私指令》包含的Cookies 同意条款,是用户在根本不知道同意Cookies 追踪意味着什么的情况下,就将用户暴露在了网站层出不穷的同意弹窗之中。同时,《电子隐私指令》的Cookies 规则过于宽泛,如包括了嵌入式的、必要的Cookie 程序,但是,同时没有将一些新的追踪科技包括在内,如终端设备的指纹识别进入技术。第二,最新的《隐私与电子通信条例》简化了软件的Cookie 同意规则,允许用户选择自己的个性化私人设置(隐私设置选项),扩大了Cookie 同意规则的例外情况,使得大部分企业可以不再使用弹窗和网络条幅,这将能够为企业节省一大笔开销。但是,弹窗广告企业可能因为用户选择“屏蔽第三方Cookie”而更难获得用户的同意。第三,从用户的终端设备的软件和硬件中处理和收集信息,在下列情况下方能获得准许:(1)为了完成通信的需要;(2)经过用户的授权同意;(3)为用户提供某种信息社会服务的必要措施;(4)网络观众的数量统计需要。
(六)向终端用户提供隐私设置选项。第10 条要求电子通信软件、网站、搜索引擎等向
用户提供隐私设置选项,允许用户禁止第三方在其终端设备上存储信息,或者处理已经存储的信息。在软件安装到用户终端之时,软件提供者应当将其隐私设置选项通知用户,只有当用户同意隐私设置之后才能继续进行安装。
(七)对电子通信内容( electronic communication contents ) 以及电子通信元数据(electronic communication metadata)的处理只有在用户同意的情况下才能进行。隐私的保护不仅包括对电子通信内容的保护,同时还包括对电子通信元数据的保护。元数据是指,为了传输、分配和交互电子通信内容而在电子通信网络中处理的数据,包括用来追踪和确定通信来源和目的地的数据,在电子通信服务过程中产生的设备地理位置的数据,以及来电的时间、地点、通话持续的时长等数据,这跟访问网站是一样的。
电子通信涉及到的元数据包括十分私密的组成部分,如果没有得到用户的同意,这些数据必须被删除或者保持匿名。除非是为了计费的需要,否则这些元数据不能在没有得到用户同意的情况下被他人得知。
(八)垃圾邮件和直销电话需要得到用户的事先同意。不管使用的是何种通信方式,如自动电话拨号系统、短信或者电子邮件,必须要事先获得用户的同意才能向用户发出和进行未经请求的商业通信(unsolicited communications)。
这项规定原则上也适用于电话营销,除非欧盟内的某个成员国授予用户直接禁止对其进行电话营销的权利,即将电话营销的号码加入“黑名单”。同时,电话营销使用的电话号码应该显示其电话号码或者使用特有的前缀表明是电话营销号码。
(九)将网络和电子通信服务中的安全风险告知终端用户。在一项特定威胁或风险可能
危害网络和电子通信服务的安全性时,电子通信服务的提供者应当将此风险告知终端用户;当服务提供者无法采取措施应对此风险时,应当将可能的救济措施告知用户,包括可能需要的费用的说明。
(十)新的商业机会。获取了用户的同意,就可以获取用户的通信内容以及通信元数据,再进行处理,传统的电信运营商可利用这些数据提供更多的增值服务。例如,传统的电信运营商可以通过获取用户的数据来绘制人口聚集分布图,可以为当地政府和交通运营公司在何时、何地新建公共基础设施提供参考。
(十一)更加有效的执行措施。新法案将由欧盟数据保护委员会(European Data Protection Board)负责实施,同时还负责在新法案实施后向欧盟委员会提出有关该法案的修改意见和负责对该法案进行解释。在欧盟成员国内将会由各个成员国国内的数据保护机构负责实施。《隐私与电子通信条例》第23 条规定,违反本条例最高可处1000 万欧元的罚款或者上一年度全球营业额的2%,二者相比取其高者。如果违反本条例关于通信秘密的原则、未经许可处理电子通信数据或者超出时间期限,以及违法本条例第5、6、7 条规定的,最高可处2000 万欧元的罚款或者上一会计年度全球营业额的4%,二者相比取其高者。同时,条例还授予了欧盟各成员国对违法条例第12、13、14、17 条制定处罚规则。
《隐私与电子通信条例》的作用与前景展望
《隐私与电子通信条例》草案反映了当下科技发展的潮流,促进欧盟对于消费者隐私的保护。首先,通过将陈旧的《电子隐私指令》替换为可直接实施的《隐私与电子通信条例》,减少了法律之间的冲突,使得欧洲境内有了一个统一的规则,这对于企业发展和个人生活的便利无疑都是大有裨益的。其次,Cookies 规则的简化,使得用户享受到了完全透明的隐私规则保护,用户不再需要一个一个地点击询问是否同意Cookies 追踪的弹窗广告。再次,用户对于电话营销和垃圾邮件将会拥有更大的控制权。
最后,《隐私与电子通信条例》作为特别法,其实施将会与《一般数据保护条例》形成互补效应。因为《一般数据保护条例》授予个人对个人数据的更大控制权,但是并不涉及不包括个人数据的B2B 通信或者个体之间的通信,而《隐私与电子通信条例》的颁布实施,将会弥补《一般数据保护条例》的不足,互补性极强,两部法律将会共同确保个人通信的权利与自由得到充分保障。
2017 年1 月10 日,欧盟委员会官方公布的《隐私与电子通信条例》草案只是法律程序的第一步。欧盟委员会呼吁欧盟议会和理事会加快步伐,确保该法案能够在2018 年5 月25 日顺利颁布施行,在这一天,《一般数据保护条例》也会正式实行。两部法律的同时实行,将会为欧洲民众和企业提供全方面、完整的隐私保护与数据保护的法律框架。
对于中国互联网企业的影响
数据保护改革是欧盟数字单一市场的重大举措之一。此前,欧盟立法机构已经表决通过《一般数据保护条例》(GDPR),赋予个体数据获取权、修改权、被遗忘权、数据可携权等一系列数据权利,并给欧盟境内外的企业(因为GDPR 也规则虽然在欧盟境内没有营业所,但向欧盟民众提供网络服务的外国企业)施加了一系列义务,使得欧盟数据立法对个人数据的保护达到了很高的水准。[3] 鉴于GDPR 的域外适用张力,待其于2018 年5 月25 日正式施行后,将对在欧盟境内有分支机构或者无分支机构但向欧盟境内提供网络服务的中国互联网企业产生很大影响,除非放弃欧盟市场,否则相关的合规工作需要提前考虑,因为不合规的处罚可以高达全球年营业额的4%。
本着同样的立法目的,欧盟委员会新提议的《隐私与电子通信条例》作为GDPR 的特殊法,意欲取代之前的《电子隐私指令》,将即时通讯、VoIP、电子邮件等OTT 服务商纳入与传统电信服务商一样的隐私监管框架,在促进OTT 服务商与传统电信服务商同台竞争的同时,也提高了对电子通信数据处理活动的规制。同样地,《隐私与电子通信条例》约束虽然在欧盟境外、但向欧盟境内的用户提供电子通信服务的OTT服务商,因此,在用户知情同意(遵循与GDPR一致的规则)、电子通信数据保密、执法机构通信数据获取、Cookie 规则等隐私设置选项、未经请求的商业营销通信、安全风险告知等方面,应当遵循该条例的要求。虽然该条例尚在制定过程中,但是按照欧盟方面的预想,其将与GDPR同步实施,届时,即时通讯等类似的OTT 服务商将面临欧盟数据保护立法的两重大山,合规压力不容忽视。中国互联网企业出海欧盟,提高国际竞争力,需要未雨绸缪,提前了解欧盟数据保护制度,甚至在公开立法过程中参与相关法律规则制定,并提前搭建合规体系。
作者 >>>
曹建峰,硕士,腾讯研究院研究员,主要研究方向为网络安全、网络隐私、人工智能、
网络知识产权等。
李金磊,硕士,腾讯研究院助理研究员,主要研究方向为网络隐私等。
(本文节选自《信息安全与通信保密》2017年第四期)
网 络 强 国 建 设 的 思 想 库
—— 安 全 产 业 发 展 的 情 报 站 ——
创 新 企 业 腾 飞 的 动 力 源
···························································
投稿网址:https://www.txjszz.com
合作热线:010-88203306
我来说两句排行榜