1. 格時財經首頁
  2. 格時學院

Facebook隱私白皮書(中文翻譯)

前言

日前,Facebook發布了一份旨在為數據遷移和隱私問題提供指南的白皮書

在這份報告中,Facebook列出了該公司認為跟構建隱私保護的數據遷移有關的五個基本問題。Facebook認為,通過這份白皮書不僅可以充實GDPR和CCPA等現有的數據遷移監管規定還可以幫助解決與之相關的問題。Facebook副總裁兼首席隱私官Erin Egan在博客中寫道:

“從用戶到初創企業再到老牌企業,數據遷移有可能造福於所有人。我們希望這篇文章將成為跟全球隱私專家、政策制定者、監管機構和其他公司進行一系列關於討論如何進行數據遷移來在降低風險的同時實現最大化收益的對話的開端。”

LibraChina社區與pLIBRA項目始終關注於facebook創立的Libra項目和隱私話題,因此我們將本白皮書進行了中文翻譯。本文將對白皮書內容進行詳盡闡述。

若有對全文感興趣者,請關注公眾號「Libra節點」並在對話框發送:“隱私白皮書”。

以下是正文

全球範圍內,有越來越多的政策制定者一致認為數據可攜性(即能夠將與任意設備共享的數據轉移到其他設備的原則)能夠幫助促進在線競爭並催生新服務。競爭和數據保護領域的專業人士也一致表示,雖然數據可攜性涉及尚未解決的複雜問題,但它無疑能夠幫助人們控制其個人數據,並能幫助人們更加輕鬆地在眾多在線服務提供商中進行選擇。 數據可攜性對人類生活和市場發展的好處顯而易見,正因為如此,我們的首席執行官馬克·扎克伯格最近一直在呼籲制定保障數據可攜性的相關法律。

但是,為了構建一個值得信任並能有效使用的可攜性工具,我們應該制定明確的規則,以規定哪些類型的數據應具有可攜性,以及在不同提供商之間傳輸這些數據的過程中應由誰負責保護這些數據。本白皮書旨在推進關於此類規則的溝通探討。

我們希望本白皮書能引導全球利益相關者展開一系列對話,討論如何以不侵犯隱私的方式構建數據可攜性產品,並同時保持在線服務的競爭活力。通過這一系列對話,我們希望最終能形成一個數據可攜性框架,以便改善我們自己及他人的產品開發工作,倡導行業合作,並為未來的相關立法提供指導。

為此,本白皮書體闡述了有關數據隱私和可攜性的五大疑問:

  • 什麼是“數據可攜性”?
  • 哪些數據應具有可攜性?
  • 誰的數據應具有可攜性?
  • 如何在實現數據可攜性的同時保障隱私?
  • 傳輸數據後,若出現濫用或保護不當問題,應由誰負責?

幸運的是,一些重要的利益相關者已經圍繞這些問題進行了說明,包括歐盟數據保護權威機構於 2017 年在歐盟《通用數據保護條例》(GDPR) 背景下發布的《數據可攜權指南》,新加坡個人信息保護委員會於近日發布的兩份相關文件,由歐盟委員會競爭總署負責編製的《數字時代的競爭政策》報告,由英國數字、文化、媒體和體育部負責編製的《數據移動性》報告等等。

Facebook隱私白皮書(中文翻譯)

儘管如此,圍繞這些問題展開進一步的討論並提供更多的指導意見對行業而言百利而無一弊。

值得注意的是,本白皮書重點探討的是由個人用戶選擇發起的數據傳輸,而不是企業與企業之間的數據傳輸。 我們承認企業與企業之間的數據傳輸在選擇權和競爭方面也有重要的意義。正因為如此,我們正在探尋向其他企業提供數據的方式,以便為其他企業提供所需幫助,例如幫助它們訓練人工智能模型。

企業與企業之間的數據傳輸與個人用戶選擇發起的數據傳輸對於隱私所造成的影響有所不同。在本白皮書中,我們將重點探討由個人用戶選擇發起的數據傳輸,但是我們仍會繼續與相關專業人士合作,共同探索其他類型的數據傳輸。

在此,我們要提前感謝所有利益相關者參與這次重要的討論,同時也歡迎並期待所有利益相關者提供反饋意見。

I. 挑戰

Facebook 制定了一套核心隱私理念,其中一條理念是:“我們支持用戶自行控制如何使用其個人信息(3)。基於這一理念,我們構建了多種工具,例如允許人們選擇誰可以查看其個人資料和其發布的帖子以及廣告偏好的控件,其中廣告偏好可以幫助人們控制如何使用其信息來向其顯示廣告。

我們構建的這些工具可以幫助人們控制如何在 Facebook 上使用其信息。但是,我們也明白,允許人們控制其信息意味着允許人們將其信息轉移到其他服務提供商,進而便於選擇並促進競爭。總而言之,我們應當開發並構建能夠增強數據可攜性的產品。

近年來,隨着 GDPR 和加州消費者隱私法 (CCPA) 等法規的出台,數據可攜性在一些地區已成為一項法律要求,但在此之前,Facebook 已經在思考如何幫助人們更好地將其 Facebook 數據傳輸到其他平台和服務。例如,自 2010 年開始,我們便推出了“下載您的信息”(DYI),以幫助人們訪問並與其他在線服務提供商共享其信息。隨着 GDPR 生效,我們對 DYI 進行了調整,以允許人們以通用的 JSON 格式化格式接收其信息,從而使 DYI 更加符合可攜性需求。

Facebook隱私白皮書(中文翻譯)

雖然DYI 是一款較完善的數據可攜性工具,但我們認為可以精益求精,以便人們能夠更加輕鬆地通過 DYI 將其數據傳輸到其他服務,從而方便人們更好地進行選擇和控制。馬克·扎克伯格在其最近的一篇特寫稿中寫道:“在真正實現數據可攜性後,人們應當能夠像通過我們的平台登錄應用程序那樣傳輸數據,而不是只像現在這樣下載已存檔的信息。” 換言之,人們應該能夠直接將其信息傳輸到他們選擇的服務提供商,正如他們現在使用 Facebook Login進行登錄一樣。

為實現這一目標,我們聯合 Google、Microsoft、Twitter、Apple 及其他企業一同啟動了開源數據傳輸項目,這是一個開源軟件項目,旨在幫助參與者開發互通性系統,以允許個人用戶在各在線服務提供商之間無縫傳輸其數據。此項目在一定程度上是由於受到 GDPR 中提出的可攜權的啟發而發起的,不過我們認為在不久的將來,數據可攜性在歐盟以外地區也會成為常態。例如,加州最新制定的數據可攜性法規將於 2020 年正式生效;新加坡、澳大利亞、印度、香港及其他國家/地區的政府也可能會在不久的將來通過支持數據可攜性的相關法規;而且歐盟委員會在探討數字時代的競爭政策的過程中也在思考可攜性問題。

數據可攜性的支持者們表示,為了成功實現可攜性,行業必須要解決潛在的基本隱私問題,例如本白皮書中提出的隱私問題。但是,至於服務提供商可以如何或應該如何平衡數據可攜性為個人自主權、創新和競爭所帶來的益處與可攜性 所引發的潛在隱私和安全性風險,目前尚無詳盡細緻的指導意見。例如,歐盟第 29 條數據保護工作組(歐洲數據保護委員會已接替該工作組,並採用了該工作組制定的《數據可攜權指南》)雖然承認數據可攜性工具會帶來數據安全風險,但同時也表示安全措施不應“阻礙”人們行使可攜權。同樣地,雖然該工作組指出了有必要對數據可攜權加以限制,以免該權利的行使對他人造成傷害,但工作組並未對此限制條件的實施方式或時間提供具體的指導意見。

此外,有些關於可攜性的指導意見似乎與關於數據保護職責(即將數據傳輸到第三方後,企業有責任保護數據免遭第三方濫用)的指導意見相衝突。隱私監管機構已明確表示,至少在與第三方的關係方面,像我們這樣的平台應當考慮數據傳輸可能會產生的隱私風險並制定相應的保護措施。但是,對於 GDRP 中提出的數據可攜權,歐盟第 29 條數據保護工作組不僅贊成應允許人們向第三方披露其數據,而且還表示“發送數據的控制者無需對接收數據的控制者是否遵守數據保護法規承擔任何責任,因為數據接收者並不是由發送數據的控制者選擇的。”

一些探討數字化市場中的競爭問題的報告強調了數據可攜性對於創新的重要價值,且同時指出必須解決數據可攜性可能會引發的數據隱私和安全風險。例如,英國的數字競爭專家小組在其發布的報告中表示:“在通過任意方式支持這種形式的數據共享的同時,還必須確保制定完善的隱私保護措施,以保護用戶隱私權並滿足用戶期待。” 但遺憾的是,這篇報告並未詳細闡述應制定哪些保護措施。

隨着數據可攜性的日益普及,如果能夠制定明確的規則,幫助我們解決有關數據可攜性、數據隱私和相關職責劃分的種種問題,我們以及其他所有企業都將受益匪淺。

II. 關於數據可攜性與責任歸屬的五大疑問

如前所述,數據可攜性能夠幫助人們控制其數據並自行選擇最符合其需求的服務。但與此同時,數據可攜性也會給保護個人隱私權益帶來挑戰。為了應對這些挑戰,我們正積極尋求眾多利益相關者的反饋和指導意見,以便確定以何種方式推動數據可攜性建設既能賦予用戶自主權進而促進競爭,又能維持用戶對在線服務的信任。在本節內容中,我們將探討五個相關的重要疑問,如果能解答這五大疑問,這將有助於我們開發和構建新一代數據可攜性產品。與此同時,我們將分享一些關於如何解答這五大疑問的想法,以進一步促進圍繞這些重要主題的討論與交流。

問題 1: 什麼是“數據可攜性”?

根據一些探討數據可攜性的信息源,人們可能會認為數據可攜性是一個具有明確含義的簡單概念。例如第 29 條工作組稱,在GDPR背景下,可攜性就是指接收個人數據並將其從一個服務提供商傳輸到另一個服務提供商的權利。而國際標準化組織將“數據可攜性”定義為“無需重新輸入數據即可輕鬆地將數據從一個系統傳輸到另一個系統的能力”,着重強調了數據轉移的容易程度。但是,如果跳出專業人士圍繞數據可攜性開展的深奧討論,我們發現人們對數據可攜性所持有的意見存在顯著差異。實際上,有人呼籲要增強數據可攜性,也有人呼籲要限制人們與第三方共享數據的能力,有時同一個利益相關者會同時發出這兩個呼籲。後一個呼籲通常與我們的消費者應用程序平台(簡稱為“平台”)有關,這些平台是我們為向開發人員提供的用於滿足以下兩個目標的一系列技術:

  • (1)允許人們與開發人員的應用程序共享其 Facebook 信息;

  • (2)將開發人員的應用程序中的數據發送到 Facebook。其中最著名的平台要屬 Facebook Login,該平台允許人們登錄並將其信息共享到第三方應用程序。

Facebook隱私白皮書(中文翻譯)

特別是在發生 Cambridge Analytica公司事件之後,眾多利益相關者一直在呼籲我們限制第三方應用程序通過 Facebook Login 接收的信息,並加強 Facebook 對接收信息的應用程序的監管。這些呼籲表明,一些人可能認為平台到應用程序的數據傳輸與“真正的”數據可攜性所實現的數據傳輸有所不同。例如,Facebook 2019年與美國聯邦貿易委員會達成的和解協議便以不同的方式分別處理由可攜性實現的傳輸和其他類型的數據傳輸。

不同的是,也有人認為 Cambridge Analytica公司事件是由數據可攜性引起的,這意味着當我們這樣的平台(以及 iOS、Android、Twitter等)允許人們與應用程序共享數據時,我們便已經在實施數據可攜性了。

由此產生了一個問題,即用戶提出的傳輸數據的請求何時構成“可攜性”請求?這個問題的答案至關重要,尤其是考慮到可攜性請求所涉及的合法權利。例如,GDPR 要求必須“無障礙地”滿足可攜性請求,而這一要求引發了以下問題:服務提供商是否可以拒絕可攜性請求、是否可以限制所請求的數據或是否可以在數據傳輸後限制第三方對數據的使用。

很明顯,許多利益相關者認為平台應該對用戶數據的接收者施加數據使用限制,但問題是服務提供商是否必須提供替代機制以允許不受限制的數據傳輸。如果答案是必須提供,那麼受限的數據傳輸和不受限的數據傳輸究竟有何不同?

在回答這個問題之前,有必要澄清的一點是大部分由用戶主導的向第三方傳輸數據的過程看起來都是相似的。數據傳輸一般涉及三方:提出請求的用戶(請求人)、負責數據傳輸的實體(傳輸實體)和接收數據的實體(接收實體)。

Facebook隱私白皮書(中文翻譯)

從技術角度來看,數據傳輸過程包含三個步驟:

  • (1)當請求人指示傳輸實體導出其數據時,即表示數據傳輸開始;
  • (2)然後,傳輸實體將請求的數據發送給請求人(請求人隨後可能會使用該數據或將其發送給接收實體)或直接發送給接收實體;
  • (3)將數據共享到接收實體後,用戶就可以在相應服務上或通過相應服務與數據交互。

雖然數據傳輸過程看起來相似,但不同類型的數據傳輸在實際操作中可能會有所不同。可用於區分不同類型的數據傳輸的一個關鍵因素是傳輸實體和接收實體之間的關係以及這二者之間進行數據傳輸時所需遵守的規則(如果有)。一般而言,可將由用戶主導的不同類型的數據傳輸視為一個連續體,在這個連續體中,隨着傳輸實體與接收實體之間的關係變得更加密切,數據傳輸的限制將逐步增多(暫時先不考慮傳輸的數據所屬的範圍,此問題將在本白皮書後面的內容中加以討論)。由用戶主導的數據傳輸可分為三大類,如下所述:

開放性傳輸

提出請求的用戶可以接收其數據並將數據傳輸到任何接收實體,而無需受傳輸實體對接收實體施加的任何管制或限制(除法律規定以外的限制)。在這種傳輸模型中,用戶可以通過他們自己的設備(如我們的 DYI 工具)將數據傳輸到接收實體,或者也可以由傳輸實體直接傳輸。除了為實現數據傳輸而進行技術方面的聯繫之外,傳輸實體和接收實體之間沒有任何關係。這種模型似乎最符合 GDPR和第 29 條工作組的預期。

條件性傳輸

提出請求的用戶可以接收其數據,並將數據傳輸給任何滿足傳輸實體所規定的特定條件的接收實體。傳輸實體和接收實體之間的關係只是為了實現此類用戶請求而存在,它們之間並沒有持續的關係。如下所述,我們可以按這種方式來思考用戶提出的直接在不同服務提供商之間轉移數據的請求,這也正是開源數據傳輸項目所希望實現的技術手段。

Facebook隱私白皮書(中文翻譯)

合作性傳輸

提出請求的用戶可以接收其數據,並將數據傳輸到與傳輸實體長期進行數據傳輸因而與傳輸實體存在長期合作關係的接收實體,在這種合作中,可能制定了有關接收實體應如何使用通過傳輸所獲得的數據的規定。

由此可見,傳輸實體和接收實體之間的關係不僅僅是為了實現用戶提出的數據傳輸請求,還具有其他目的,例如將其中一個實體所擁有的功能集成到另一個實體的產品中。通過 Facebook 平台進行的數據傳輸便屬於合作性傳輸。

在思考可攜性時,需要意識到上述三種由用戶主導的數據傳輸之間所存在的差異。基於此,我們需要回答的問題是:哪種類型的數據傳輸應被視為涉及“數據可攜性”?在每種傳輸模型中,交易各方是否需承擔任何義務,如果需要,各方分別應承擔哪些義務?

開放性傳輸似乎非常符合 GDPR和其它地方所描述的數據可攜性的性質,但是對於存在限制的條件性傳輸(在條件性傳輸中,傳輸實體可以選擇限制用戶能向哪些第三方實體發送數據)而言,這些限制是否符合可攜權呢?此外,是否應將合作性傳輸(如通過 Facebook 平台進行的數據傳輸)視為涉及數據可攜性呢?

通過與諸多利益相關者圍繞這些問題開展交流溝通,我們目前得到的統一意見是即使在進行數據傳輸以實現可攜性請求時,傳輸實體也可以且應當針對數據傳輸施行一些基本的隱私和數據保護限制條件。但問題是應施行什麼樣的限制條件。有些人認為我們平台施行的限制條件有些過於嚴苛,不符合可攜性標準。我們最近與美國聯邦貿易委員會達成的和解協議表明,一些監管機構可能認為平台式數據傳輸顯然不同於可攜性數據傳輸。這兩類數據傳輸之間的分界線很可能會成為可攜性數據傳輸和其他數據傳輸之間的分界線。

問題2: 哪些數據應具有可攜性?

實現數據可攜性的一個主要目的在於為人們提供對其個人數據的控制權,但究竟什麼是“個人數據”?人們顯然能夠傳輸某些類型的數據,例如他們上傳到某個服務的照片或者發布到社交網絡的帖子等等,但是至於人們還能夠傳輸哪些其他數據,目前還不太清楚。

人們是否應該能夠導出服務提供商在使用其功能時收到的信息(例如,搜索歷史記錄、位置數據和活動日誌等)?人們是否應能夠導出服務提供商根據其上傳的數據或與服務的互動所產生的個人相關信息(例如用於進行音樂、活動和廣告個性化設置的信息或用於識別潛在欺詐活動的信息)?

根據 GDPR 和第 29 條工作組的建議,應該對享有可攜權的數據施加限制。GDPR規定人們“提供給”數據控制者的個人數據應具有可攜性。第 29 條工作組建議人們應能夠傳輸他們向服務提供商“主動提供”的個人數據或服務提供商在人們使用其服務時所“觀察”到的個人相關數據,而不應傳輸服務提供商根據人們對服務的使用所推斷出的個人相關數據。

當提及與服務使用情況相關的個人數據時,還有一個特別值得注意的問題,即服務提供商對數據的保留可能會對“哪些數據應具有可攜性”這一問題產生何種影響?可以肯定的是,不應要求服務提供商僅僅為了實現可攜性而保留數據,因為至少有些數據可能僅僅是因為在請求時不可用才無法傳輸的。但是,對於技術上可用但很快就會被刪除的數據來說,服務提供商是否也應該構建導出此類數據的工具呢?

此外,是否存在使數據可攜的負擔超出導出數據所帶來的好處這樣的情況呢?例如與服務使用情況相關的個人數據可能會包含某個人在一定時間段內查看的每個頁面或每條內容、點擊的每個鏈接以及收到的每個通知。服務提供商通常會將包含這些信息的日誌記錄保留一段時間,但是使這些日誌數據變得可攜的過程可能會很困難,而且有時可能對用戶並沒有顯著的好處。例如,是否需要導出列出了在特定時間段內在 Facebook上單擊的所有鏈接的列表?或者是否需要導出在瀏覽 News Feed 期間所查看的每條廣告?

鑒於數據可攜性具有鼓勵競爭和催生新服務的目的,我們在思考可攜性相關問題時應當要考慮數據可攜性給服務提供商帶來的運營負擔,因為很多服務提供商的資源並沒有 Facebook這樣的大企業充足。從這個角度來看,顯然應該對服務提供商所承擔的數據可攜性義務施加一些限制條件。綜合考量並權衡數據保留期限以及服務提供商的負擔與相應的用戶利益可能會有助於確定應施加哪些限制條件或這些限制條件應適用於誰。但是,我們還需要明確如何進行這方面的權衡取捨以及由誰進行權衡取捨。

問題 3:誰的數據應具有可攜性?

數據可攜性可幫助人們控制其個人數據。

但是,如果一個人想要傳輸與他人相關的數據,應如何處理呢?例如人物 A 想要將她的照片從一個服務轉移到另一個服務,但那些照片中包含人物 B 的圖像,這該如何處理呢?在這種情況下,B對其信息是否享有控制權?如果人們想將其手機通訊錄中的內容或所有聯繫人的生日導出到新服務,這又該如何處理呢?在這種情況下,通訊錄中的聯繫人是否應有權決定要不要將其信息共享到新服務?

如這些示例所示,在收到數據可攜性請求後,有時很難明確應能夠傳輸誰的數據。Facebook 對此有着特別切身的體會,因為 Facebook 的核心功能是允許用戶與其他人進行聯繫並創建共享體驗,但傳輸聯繫人或朋友相關數據的這種功能可能會引發特別複雜的隱私問題。

一些人表示,在收到可攜性請求後,只應傳輸歸請求人本人“所有”的數據。這些人進一步表示,如果提出請求的用戶向服務提供的數據歸其本人所有,那麼他們應該能夠隨心所欲地處理其所擁有的數據,包括將其轉移到其他實體。反之,如果想要傳輸的數據中有些數據並不是歸提出請求的用戶所有,那麼他們將不能傳輸這些數據。

與此同時,有人認為,將數據視為個人財產的這種概念具有爭議性,且可能會引發更多超出可攜性討論範圍的問題。例如,許多類型的信息實際上具有多個所有者。舉例說明,如果您的通訊錄中有我的電話號碼,那麼您是該電話號碼的所有者嗎?此外,在歐盟,數據保護是一項基本權利,並不會因為所涉數據歸誰“所有”而發生變化。

到請求後,還有另外一種方式可幫助決定應傳輸誰的數據,這種方式要求考慮“誰提供了數據”、“服務提供商是否已將數據與某位特定用戶相關聯”及“數據敏感度”等因素。請思考以下場景:

人物 A 上傳了一個包含她本人及其三個朋友(人物 B、C、D)的視頻,而且她沒有採取任何措施來幫助服務商識別這三個朋友(比如對他們進行“標記”)。

乍看之下,A 顯然應該有權將此視頻轉移到一個新的服務商,但是 B、C、D是否對此視頻享有任何權利?如果有,他們應享有什麼權利?此外,A 和服務商之間誰更適合處理 B、C、D 的權利問題?

現在假設一個略有不同的場景:A 要上傳上述視頻,但她對 B、C、D 進行了標記,且這三個人恰好都是該服務的用戶。在此場景中,服務提供商將有權通知這三人 A 提出了視頻傳輸請求,但他們是否應有權阻止 A 傳輸視頻呢?

如果我們討論的不是視頻,而是 A 聯繫人名單中的電子郵件地址,那麼上述問題的答案可能會發生什麼變化?對 A 來說,傳輸電子郵件地址是比傳輸照片更容易還是更困難?如果想要將電子郵件本身傳輸到新的電子郵件服務商(例如從 Gmail 傳輸到 Outlook),那麼上述問題的答案又會發生什麼變化呢?

在分析誰的數據應具有可攜性時,與僅考慮數據所有權的方法相比,綜合考慮上述所有問題以及上述因素的多因素方法可能會更加合適。但是,至於應如何衡量這些因素,還需要開展更多的討論和徵詢更多的指導意見。

在討論誰的數據應具有可攜性這個問題時,很多人通常會提及個人“社交圖”的可攜性,“社交圖”是指服務的某個用戶與該服務的其他用戶和實體之間的關係圖。一些支持數據可攜性的人表示,像 Facebook 這樣的服務商必須允許人們傳輸其個人數據以及有關其社交圖的數據,其部分原因在於有關社交圖的數據可能會幫助其他社交網絡公司進行創新。這些支持者認為,如果社交圖沒有攜性,用戶將可能無法無縫地將相關數據轉移到其他社交網絡。

我們認為雙方都有強有力的論據:支持社交圖的可攜性對促進創新和競爭可能有重要作用,但這樣做也伴隨着嚴重的隱私問題。因此,關鍵問題在於能否找到有效方法來實現這種數據共享,並同時保護所有相關人員的隱私。我們接下來將討論此問題。

問題 4:如何在實現數據可攜性的同時保障隱私?

問題 1 至 3 探討的是人們在選擇轉移其數據之前需了解的信息,包括

  • (1)處理的是由用戶主導的數據傳輸;
  • (2)應傳輸哪些類型的數據;
  • (3)應傳輸誰的數據。在了解這些信息之後,我們需要知曉如何在實現數據可攜性的同時保障隱私。

雖然已經出台了要求數據傳輸的法規(包括數據可攜性法規),但是對於與數據傳輸相關的隱私保護問題,目前幾乎還沒有指導意見。鑒於可攜性工具會引發隱私和安全風險,而且政策制定者和監管機構未明確表示希望傳輸實體如何保障隱私,眾多利益相關者已經表達了對這方面的擔憂。

進一步明確隱私保護問題至關重要,因為要想通過數據可攜性增強用戶對其個人數據的控制,用戶應該能夠信任相關實體會在傳輸期間和傳輸後負責任地處理其數據。要想釐清關於隱私和數據可攜性的問題,思考傳輸實體能對以下相關方採取哪些行動會有所幫助:

  • (1)提出請求的用戶(請求用戶);
  • (2)其數據要被傳輸的非請求用戶(非請求用戶);
  • (3)數據接收實體。

請求用戶

鑒於數據可攜性是為了幫助人們控制其個人數據,傳輸實體顯然應務必確保請求用戶在傳輸其數據時做出明智的選擇,這意味着須確保請求用戶了解要將其數據傳輸到的實體的相關信息。但是,究竟請求用戶應了解哪些信息?應該如何提供這些信息?應由誰提供這些信息?這些問題都還沒有得到決策者、監管者或其他利益相關者的充分解答。

在對 GDPR 中提出的數據可攜性進行的評估中,第 29 條工作組表示,雖然應由個人“自行負責”“找到適當的措施來保護將要傳輸到相應實體的個人數據”,但是傳輸實體應提醒數據主體以使其“意識”到可採用的適當措施。

與第 29 條工作組發布的指南相比,新加坡個人信息保護委員會最近發布的一份討論文件建議傳輸實體應提供更多信息,包括數據接收實體將如何使用用戶數據,用戶所購買的新產品或服務的性質,以及數據接收實體的跟蹤記錄、聲譽及其數據管理和保護措施。在 2019 年 5 月發布的以可攜性為主題的諮詢報告中,新加坡個人信息保護委員會進一步提議,應在行業規則中明確規定相關組織向用戶提供相關信息。

對於是否應向要傳輸數據的個人提供任何信息,應提供哪些信息,如何有效地提供這些信息,以及應由誰提供這些信息等問題,上述意見和提議提供了很好的討論起點,不過還需要展開進一步討論。

非請求用戶

有些數據可攜性請求所涉及的數據可能與提出可攜性請求的主體之外的其他主體(即“非請求用戶”)相關聯。

如上所述,對於是否應傳輸這些用戶的數據,還存在尚未解決的複雜問題。如果應該傳輸,服務提供商將必須考慮這些用戶的隱私權益。 一些利益相關者建議制定同意機制或者採用類似的方法,以允許用戶授權其他用戶從特定服務中導出其數據,即允許用戶 A 授權用戶 B 將 A 的數據共享到某個接收實體。如果將同意機制視為解決與傳輸非請求用戶的數據有關的問題的可行方案,我們接下來需要探討以下問題:

  • 1)服務商能否為非請求用戶提供合理的選擇和控制權?如果能,應如何提供?
  • 2)若要求徵求同意,是否會對可攜性造成過度限制?如果不會,應如何徵求同意?
  • 3)每當有朋友想要與應用程序共享其數據時,非請求用戶是否都能選擇要不要導出其數據?
  • 4)對於特定服務的用戶,是否應該使用某個設置,以允許用戶始終允許其朋友(或其他聯繫人)向第三方傳輸其所有或特定類型的個人數據?
  • 5)對於在特定服務上共享的非用戶的信息,應如何處理?

a. 社交圖數據的可攜性

如上所述,一些利益相關者認為,社交圖信息(例如聯繫人名單)的傳輸對於幫助新興社交網絡公司實現創新並推出新服務具有重要作用。關於可採用哪些方式促進此類信息的傳輸,已經展開了大量的討論,並提出了一些具體的提議。在這些提議中,有一條提議是先對用戶及其聯繫人的個人身份標識符進行加密隱藏處理(或“哈希處理”)後再進行導出,有人將這條提議視為“最有可能幫助實現社交圖可攜性的途徑。”

按照這種方式,接收實體將無法獲取用戶身份標識符(如電子郵件地址),但卻依然能夠重構傳輸數據的用戶的社交圖。這樣可以避免披露不必要的個人數據,進而幫助解決與第三方共享朋友的數據所產生的隱私風險。

但是,有專業人士指出,這個提議“要求相關方在技術層面展開重要合作,而這可能會引發意料之外的隱私和安全風險以及法律合規問題。”接下來,我們將探討兩個經常討論的用於共享經過哈希處理的聯繫人數據的方式,以及這兩種方式可能會引發的風險。

首先,可以肯定的是,服務提供商能夠共享一系列與請求用戶及其聯繫人相關且經過哈希處理的身份標識符。

第一種方式是共享經過哈希處理的聯繫人的姓名(姓名不一定是唯一的)或電子郵件地址,這也是最簡單的方式。通過這種方式,如果用戶 A 和 B 都與用戶 C 有聯繫,且與同一個服務商共享了其經過哈希處理的聯繫人名單,那麼該服務商將知曉 A 和 B 都與 C 有聯繫,但是卻無法了解關於 C 的其他信息,除非 C 也將其個人數據傳輸到此服務商。

第二種方式是共享與用戶間關係相關的標識符,而不是與用戶本人相關的標識符。通過這種方式,如果用戶 A 和 B 都是用戶 C 的朋友,且與同一個服務商共享了其聯繫人名單,那麼該服務商將無法像上面那樣知曉 A 和 B 都是 C 的朋友,因為用於標識 A 與 C 之間關係的標識符不同於標識 B 與 C 之間關係的標識符。但是,如果用戶 C 也選擇共享其聯繫人清單,那麼 C 與 A、C 與 B之間的關係標識符將分別等同於 A 與 C、B 與 C 之間的關係標識符,此時,服務提供商也將知曉 C 與 A 和 B 都有聯繫。

這兩種方式都有缺陷,因此需要同利益相關者展開進一步討論。

在第一種方式中,接收實體或許能夠僅僅憑藉用戶 C 與 A 和 B 的關係就推斷出 C 的其他信息。例如,如果 A 和 B 在同一家公司工作或是同一個政黨的成員,那麼接收實體或許能夠推斷出 C 的其他信息,且只需獲取極少的補充信息,便能夠確定 C 的身份。

在第二種方式中,問題雖然不會出現這樣的問題,但是接收實體會受到更多限制,因為只有當兩個聯繫人同時選擇與接收實體共享其信息時,接收實體才能夠識別兩個聯繫人之間的關係。

社交圖數據共享還存在另外一個挑戰,即需要確定一個通用的數據模型,這個模型不僅要足夠具體以便能在一個特定服務中使用,而且還要足夠寬泛以便能在不同服務中應用。

例如,有些社交網絡僅允許每個用戶擁有一個帳戶,而其他社交網絡則允許一個用戶擁有多個帳戶。

如果用戶 A 只與用戶 B 的一個帳戶相關聯,而沒有與 B 的其他帳戶相關聯,那麼當 A 或 B 將其聯繫人清單共享到僅允許一個用戶擁有一個帳戶的服務商時,應如何反映 A 和 B 之間的這種關係?

此外,當用戶將其聯繫人數據從一個允許匿名的社交網絡轉移到一個要求實名的社交網絡時,還會引發其他數據風險,因為接收實體(甚至請求用戶)或許能夠憑藉匿名用戶共同的已知聯繫人推斷出他們的真實身份。

不僅如此,如果我們考慮到社交活動的更多層面,社交圖數據共享會變得更加複雜。

例如,如果將用戶 A 的一篇帖子轉移到另外一個社交網絡,而用戶 B 在該帖子發表了評論或點了贊,那麼 B 的評論在新的社交網絡上應何時顯示?誰應該能夠看到這條評論?又應如何標識 B 的身份?

要回答這些問題,不僅要考慮新的社交網絡上所使用的受眾控制設置,還要考慮該社交網絡用於傳輸聯繫人數據和標識聯繫人的機制。

潛在的個人數據接收實體

在過去一年中,許多利益相關方都在呼籲服務提供商做出更多努力,以防止某些第三方濫用數據。但是,若考慮到可攜性,服務提供商究竟應做出哪些努力?

關於這個問題,目前幾乎沒有專業人士發表意見。在 GDPR 背景下,第 29 條工作組發布的指南僅規定傳輸實體“有責任採取所有必要的安全措施,以確保將個人數據安全地傳輸(通過使用端到端傳輸或數據加密)到正確的目的地(通過使用強有力的身份驗證措施)。”此指南還建議採用風險緩解措施,例如在懷疑帳戶遭到入侵時,要求提供額外的身份驗證信息,或者暫停或終止傳輸。但是這些安全措施“不得阻礙用戶行使其相應權利”。

除了上述這些基本意見之外,第 29 條工作組未詳細說明服務提供商應如何保護數據免遭第三方濫用。在與利益相關者的交流中,我們經常聽到一些利益相關者呼籲負責數據傳輸的服務提供商施加更多控制,以確保接收實體在處理用戶數據時考慮隱私和安全需求。例如,傳輸實體可以要求接收實體聲明以下兩點:

  • (1)應數據傳輸請求,他們將為何以及如何使用接收到的數據;
  • (2)他們將依照所有適用法規和數據保護規定來處理數據。此外,還有利益相關者甚至呼籲傳輸實體考慮監控接收實體對數據的處理,並對未依照相關適用法規和數據保護規定的接收實體予以相應處分。這項要求雖然不是完全無法實現,但要實現也是極其困難的,而且這似乎並不符合GDPR 中的可攜性規定。

與此同時,有些人表示上面提出的這些要求可能並不符合“真正”的可攜性需求。

這些人提出了以下疑問:如果人們想要將其數據傳輸到特定實體,那傳輸實體是否有責任評估數據傳輸的目的或接收實體是否遵守相關法規呢?如果傳輸實體和接收實體在相關的法規內容上持有不同意見,那該如何處理呢?決定權是否在傳輸實體手上?傳輸實體為保障數據傳輸安全所採取的監控力度在達到某個程度後可能會過度地限制用戶將數據轉移到其他服務商的能力。

針對上述疑問,有人提議制定一個認證體系。

在認證體系下,用戶數據的潛在接收實體需通過獨立機構的認證,並以此來證明自己滿足特定法規(例如 GDPR)中列出的數據保護和數據處理標準。在此之後,經過認證的接收實體將收到一個印章證明,進而能夠接收由傳輸實體發來的數據。獨立的認證機構將負責評估有待認證的實體是否符合資格,並在適當的情況下撤銷實體已獲得的資格條件,在執行這些工作時,認證機構也可能諮詢相關的監管機構。

如果提供商所在的國家/地區缺乏完善的數據保護框架,那麼他們可能會面臨一個非常棘手的難題,因為他們需要創建一套以數據可攜性為中心且由獨立機構負責執行的行為準則。此行為準則可能會要求相關實體在接收用戶請求的數據之前先實施隱私和安全保護措施。而負責執行準則的獨立機構將能夠監控其簽約方以識別潛在的違規行為。在這種情況下,關鍵的問題在於如果接收實體違背了準則或未簽署準則,應該如何處理。即使用戶請求將信息傳輸到未遵守或未簽署準則的接收實體,用戶仍然能從接收實體未遵守或未簽署準則的事實中了解到有關其數據隱私和安全保護措施的重要信息。

問題 5:傳輸數據後,若出現濫用或保護不當問題,應由誰負責?

個人和服務提供商都需要明確知道在傳輸用戶請求的數據之前、在傳輸的過程中以及在傳輸之後,應分別由誰負責處理和保護數據。監管機構已明確表示,像 Facebook 這樣的平台可能需要確保在將某些用戶請求的數據傳輸到第三方後數據得到適當保護。但是,對於數據可攜性請求,也是如此嗎?

關於行使 GDPR 框架下的數據可攜權,第 29 條工作組發布的指南明確規定了當服務提供商應用戶請求將數據傳輸到其他實體時,各相關方所應承擔的責任。一般而言,責任的劃分與數據傳輸到新目標的過程相一致。在傳輸數據之前和數據傳輸的過程中,負責數據傳輸的服務提供商有責任代表請求用戶行事,確保將數據傳輸到正確的接收實體,並處理與數據可攜性相關的任何風險。而接收實體必須確保只接收與他們向請求用戶所提供的服務相關的必要數據。

在完成數據傳輸後,負責傳輸的服務提供商對數據主體或接收個人數據其他公司如何處理數據不負有任何責任(因為它們僅代表數據主體行事,且接收實體並不是由它們選擇的)。根據第 29 條工作組的意見,責任應歸於接收實體,接收實體必須根據其在 GDPR 框架下的義務來處理和保護接收的個人數據。

新加坡個人數據保護委員會還在其發布的討論文件中提出了一種賠償責任模式,其中傳輸實體將無需對因接收實體濫用數據而引起的損害承擔任何賠償責任。該委員會表示,由於傳輸實體無法對所有潛在接收實體進行審查,所以應當設置這項責任免除條件。

這份文件還表示,傳輸實體不應當“對傳輸的數據的準確性和質量負有任何賠償責任,除非能夠證明數據在由傳輸實體負責管理時便已受損”。該委員會在最近發表的以可攜性為主題的諮詢報告中沒有提到賠償責任,但似乎將傳輸實體在數據傳輸後所需承擔的責任限制為“確認接收實體已收到傳輸的數據,並協助接收實體處理任何與已傳輸的數據相關的問詢。”

但在某些情況下,政策制定者和監管機構顯然希望傳輸實體即使在數據傳輸完成後仍能承擔一定的責任。要使這一現實情況與第 29 條工作組發布的指南以及新加坡個人數據保護委員會發布的討論文件相一致,我們需要進一步澄清服務提供商所承擔的責任可能會根據數據傳輸的類型(即在第 II 部分“問題 1”中討論的開放性傳輸、條件性傳輸或者合作性傳輸)而有所不同。例如,在合作性傳輸中,傳輸實體與接收實體有着更加密切的聯繫,而且數據傳輸的目的不僅僅在於滿足用戶的請求,那麼在這種類型的傳輸中,傳輸實體是否應承擔更多責任呢?

在開放性傳輸中,服務提供商所應承擔的最大責任或許在於幫助用戶應對將數據提供給新服務所伴隨的風險。而在數據傳輸完成後,保護數據的責任應完全由數據接收實體承擔。服務提供商可能會探索各種工具來幫助用戶了解與其下載的數據相關的安全風險和協議要求。服務提供商還可能會考慮向用戶提供有關指導,以幫助其調查接收實體是否存在數據濫用或安全保護措施不足的情況。例如,提供商可以指導用戶如何確認接收實體的真實性(即接收實體所言的情況是否屬實)、如何檢查接收實體的網站安全性(例如 HTTP 和 HTTPS 之間的差異)、如何在下載數據時保護其設備(例如在下載數據時不使用公共 Wi-Fi),以及如何確定接收方實體是否制定了適當的政策(例如查看隱私政策以確定接收實體是否會出售其接收的用戶數據)。

在條件性傳輸中,服務提供商可以要求接收實體證明他們已通過標準機構的認證,並證明他們符合相關的行為準則,或表明他們將在實現傳輸請求之前根據適用的法律和數據保護規定來處理個人數據。一旦服務提供者收到此類證明或聲明,他們便無需為數據傳輸完成後發生的問題承擔任何責任。

在合作性傳輸中,或許更應該要求傳輸實體即使在數據傳輸後仍承擔一定程度的責任。如果可行的話,或許也可以要求傳輸實體在數據傳輸後更加嚴格地監督接收實體如何處理數據。

最後要指出的是,當考慮到第三方應數據可攜性請求而傳輸的數據所涉及的個人時,也存在複雜的責任分配問題。第 29 條工作組發布的指南指出,如果用戶提出的數據可攜性請求涉及第三方所擁有的個人數據,請求用戶還需要負責由用戶發起的數據處理操作(前提是數據處理操作並不是由數據控制者決定的),但家用或個人使用的情況除外。對請求傳輸聯繫人數據的用戶施加責任(和賠償責任)可能會抑制對可攜性,特別是對“社交圖”可攜性的追求熱情。我們所希望的更加理想的結果是僅要求請求用戶在出現了非常不合理或者輕行為的情況(例如,在明知接收實體出現過數據濫用或保護數據不當行為的情況下,仍將其聯繫人數據傳輸給該實體)下才需承擔賠償責任。

III. 展望

數據可攜性有望為人們提供前所未有的信息控制能力,並為持續創新和充滿活力的在線競爭提供有效支持。GDPR 和其他相關法規也鼓勵相關方大力投資開發和構建可攜性工具。

本白皮書及其推動的後續討論旨在探索並解決與如何以保護隱私的方式實現可攜性相關的一系列複雜問題,進而促進實現數據可攜性。我們堅信本白皮書可以發揮其應有的作用,我們也期待在接下來的時間裡與各利益相關者展開進一步合作。

本文來自Libra中國,本文觀點不代表格時財經立場,轉載請聯繫原作者。

發表評論

電子郵件地址不會被公開。 必填項已用*標註

聯繫我們

郵件:dgwindow@qq.com

QR code