欧洲涉App个人数据保护执法现状

杨先德

GDPR实施以来，欧洲建立了专门的网站追踪各国的执法进度和执法状况

App作为安装于智能手机、平板电脑或其他移动智能终端上的应用程序，是移动互联时代用户获得移动互联网服务的重要载体。对于用户来说，App在提供便捷服务的同时，也在时刻收集、控制、处理用户个人信息，进而可能对个人生活安宁、隐私、人身和财产安全造成风险。App使用滋生的这些风险是移动互联时代个人信息安全风险的一部分。

在众所周知的个人信息风险现实面前，欧盟及其成员国最早作出全面应对。应对的武器之一就是欧洲议会于2016年通过、2018年在欧盟成员国生效实施的《通用数据保护条例（General Data Protection Regulations）》（GDPR）。该条例为个人信息提供了十分周全的保护，对违法者给予十分严厉的处罚。可以说，欧盟的信息保护制度走在了世界前列。GDPR通过两年多来，欧盟国家认真落实，执法利剑所到之处，诸如谷歌、英国航公、H&M等跨国公司应声倒下，沦为处罚对象，动辄上千万、上亿欧元的罚款让这些公司为违法行为付出了沉重的代价，也领教了GDPR的威力。其中部分案件就是针对App运营者的处罚。

GDPR共计11章99条，包括通则、基本原则、数据主体的权利、数据控制者和处理者责任、向第三国或国际组织转移数据、独立监管机构、合作与一致性、救济、责任与处罚、特定情形下的数据处理规定、授权和实施、附则。该条例的适用范围极为广泛，任何收集、传输、保留或处理涉及欧盟所有成员国在内的个人信息的机构组织均受该条例的约束。条例明确了数据主体的权利，包括知情权、同意权、信息访问权、修改信息权、限制处理权、携带转移权、拒绝权以及广受关注的用户的“删除权”即“被遗忘权”。被遗忘权是指用户个人可以要求数据控制者删除关于自己的数据记录，不得再用于收集时信息所有者同意使用的目的等。条例还明确了数据控制者和处理者的责任，包括要采取必要的技术和组织措施维护数据安全，非经授权不得处理数据，处理数据要有记录，符合条件的实体要设置专门的数据保护专员，等等。从上述内容看，欧盟数据主体的权利和控制、处理者的义务规定得都较为全面，基本形成了权利主导型的数据保护规则架构，以强化公民个人信息的自决权，从事先防范到全程处理跟踪再到事后补救，数据主体都处于较为主动的位置，而数据的自由交换、交易较大程度受到限制，信息控制者、处理者的注意义务、合规风险较高。比如，在实践中，如果数据收集者违反规定，在使用目的之外备份用户数据都将面临处罚。

无救济则无权利。数据保护规则的有效性关键在于违法行为是否能够得到及时的查处，权利受损者能否得到及时、充分的法律救济。条例最为重要的内容之一是关于权利救济和处罚的规定。条例规定，任何数据主体都有权向监管机构、司法机构提起控告和诉讼，寻求权利救济。任何自然人或法人都有权向司法机构提起针对监管机构做出的与其相关的决定或诉讼。对于数据主体，其有权授权数据保护方面的公益组织代表其提出控告或诉讼。符合条件的代表公共利益的公益组织等也可以独立于数据主体提起针对数据保护违法行为的控告或诉讼。任何遭遇侵权行为的人都有权向造成损害的数据控制者或数据处理者主张赔偿，同时存在多个侵权者的，每一个侵权人都要对全部损失承担赔偿责任，以确保数据主体获得有效的赔偿。条例还赋予监管机构处罚违法者的权力，针对不同的违法行为，设置了不同的行政罚款。如果违反了诸如儿童信息使用同意条款，设计或默认的数据保护措施条款，信息保护专员义务条款，设置数据认证、封存机制条款规定的义务的，对违法主体的行政罚金最高可达1000万欧元或者其全球营业额的2%，以高者为准。如果违反了诸如数据处理的基本原则、用户同意权、知情权等条款规定的义务，对违法主体的行政罚金最高可达2000万欧元或者其全球营业额的4%，以高者为准。下面就结合GDPR的相关规定，介绍几起规制和处罚App侵犯数据主体权利行为的案例。

西甲App违规收集数据遭遇处罚

按照GDPR第5条的规定，个人数据应该得到“合法、公平、透明地处理”，收集和处理数据应该及时告知并征求数据主体的同意，而且这种同意是可以撤销的。如果违反这些规定则会面临处罚。西甲联赛一款足球App就因为违反该条规定，被监管者依照GDPR规定处以25万欧元的罚款。西甲这款在Android和IOS系统使用的App，提供比赛直播等服务，下载量达1000万。监管机构发现，这款App可以通过使用者的手机麦克风了解使用者是否使用电视或者其他类似设备观看足球赛。西甲希望更多地通过更加昂贵的商业订阅的方式进行直播，他们就通過手机麦克风记录使用者观看足球赛的习惯，来调整西甲的足球直播商业模式。监管机构认为，西甲没有充分告知用户他们使用的西甲App在监视用户的消费习惯，它只是曾经简单地询问是否可以使用用户的麦克风，但是没有明确说明会重复性地（每一分钟访问一次的频率）使用手机的声音传感器。而且西甲App在用户撤销同意权方面达到GDPR第7条的要求。因此认定，西甲违背了《通用数据保护条例》的相关规定，不当地收集了用户的个人数据信息，并作出25万欧元行政罚款的处罚。

英国母婴服务公司Bounty Limited违规分享用户信息遭遇处罚

英国在没有脱欧之前已经将GDPR的相关规定转化为国内法，即英国《2018年数据保护法》，因此英国执行与欧盟成员国同样的数据规则。为规范App的开发行为，英国监管机构信息委员会办公室（ICO）还颁布了《移动应用系统中的隐私政策》，即App开发者指南，为App的信息合规提供了更为全面细致的要求和指引。

英国信息委员会办公室2019年处罚了英国一家母婴服务公司（Bounty Limited），该公司违法与第三方分享了1400万用户的个人信息，通过其网站、公司App等途径收集个人信息。但该公司也从事数据经纪业务，向多家第三方机构提供数据，供后者用于电子商务市场营销。这些信息不仅包括孕妇信息，还包括婴儿的性别和出生日期等信息。执法者发现，对于线上注册的用户，该公司的隐私政策中告知了用户该公司将要分享数据的部分第三方公司名称，但是这些公司中并未包括实际上分享数据最多的几家第三方公司。而对于线下途径获得的用户信息，根本就没有告知和征求同意分享信息的行为。因此，该公司违反了欧盟和英国的数据保护规定，被英国信息委员会办公室科处40万英镑。

涉新冠疫情App的个人信息保护

欧洲国家监管机构并不满足于仅事后执法来保障公民数据安全，更会在App的开发、运营等环节加强事先和使用中监管。英国监管机构对涉疫情App的监管即为一例。2020年，为应对疫情，英国政府在苹果和谷歌的支持下，开发了一款NHS Covid-19 App。该款App通过记录用户的位置、轨迹等寻找密切接触者、追踪疫情、提供预警。作为信息保护的监管者，英国信息委员会办公室较早地介入了由英国健康和社会服务部主导的App开发工作，就相关措施的透明、合法和公正性提出质询和监管意见。委员会的介入推动了该款App从以下四个方面提升了个人信息安全保障水平：一是提升App隐私政策告知透明度，确保用户清楚使用该款App对其个人隐私和信息的影响，了解减少数据安全风险的措施，以及知晓如何行使他们的数据权利;二是确保用户知晓App自动决策的过程，用户有权与决策者对话，了解App背后的算法原理;三是确保用户了解其个人信息如何以及何时会被匿名化处理，以及其信息将会与谁分享;四是提供更加明晰的数据的流动和安全措施。该委员会促进提升了App使用的自愿性，包括为公民使用二维码进入某个场所提供选择权，为疫情防控时期提供最大限度的隐私保护。

GDPR实施以来，欧洲建立了专门的网站追踪各国的执法进度和执法状况。应该说，通过严格执法，真正地让纸面上的法律成为维护公民数据安全的武器。

编辑：黄灵  yeshzhwu@foxmail.com