一、对一些概念认知(结合欧美数据立法理解)
1.对敏感数据的定义
敏感数据是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,具体范围依照法律、行政法规的规定确定。
——《个人信息保护法》
《个人信息保护法》“第二十八条规定“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
现在我们来看《加州消费者隐私法案CPRA》对敏感数据的定义: 揭示客户身份资料、银行账户、地理定位、种族、宗教和哲学信仰、特定成员资格、邮件短信(数据处理人为接收人的除外)、基因信息、生物识别、健康状况、性取向和性生活。
这些也基本囊括了GDPR的内容,另外GDPR还提及了“政治观点”。
这其实带给我们一些思考:宗教信仰容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害么?特定身份(特定成员资格)呢?可以说,像这样的内容,在西方的确是大问题,人的宗教观点和对某一团体的隶属关系也很可能给人的日常生活带来极大的困扰。而像这样的内容,我们是借鉴了西方的数据立法,但是,这些情形在中国现状是有所不同的:中国人并不是那么关注他人的宗教信仰状况。
那么有没有在中国很敏感但是在国外相对影响较小的个人信息呢?
我认为,是有的。首当其冲的,是年龄。在现代的中国,尤其在就业领域的互联网企业,年龄歧视是非常显著(35岁以上不招的情形,包括性别)。而且,从传统文化尊卑长幼的次序来看,年龄也是一个可以对人们日常生活产生重大影响的要素。因此在将来的数据立法或者在对已有数据立法的解释和应用过程中,把年龄列为敏感数据之一, 将是一种符合我国社会实际的趋势。除此之外,户籍信息和受教育程度的信息,在中国显然也是相当敏感的信息。当然,我们也许可以将其归于人的“特定身份”类别,从而受到上述第二十八条的规制。
二、对处理目的的规制
“第十一条 本条例第十条第二项所称限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,包括但是不限于下列情形:处理个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现。
仔细思考一下,在我们的日常生活中,“不处理该个人数据则处理目的无法实现”的情形实际上是很少的,不相关个人信息被搜集的情况很普遍。其中,强制的某种方式都比较可疑,比如像某著名银行的手机APP中,需要查看账户信息,用户需要经历强制的人脸识别程序。这种程序就很可疑,因为如果处理目的是为了保障账户安全,我们很难得出“不经过人脸识别程序,保护账户安全这一处理目的就无法实现这一结论”,因此至少从这个层面上来看,我们需要很警惕当下各种软件和日常生活中人脸识别的滥用状况。另一个例子是很多公司所使用的制式表格,这些表格内容很可能是从早期类似的表格演变而来,其中很多信息其实与处理目的没有任何关联:比如“政治面貌”这一填空项,在很多领域其实都是与信息的处理目的没有直接关联的。
对这样的问题,除了尽量在搜集过程中注意甄别相关信息之外,至少有两个解决方案可供企业参考:
1.客户自由选择多种方式。任其选择一种。另外,客户可能能够想到一种非现有选项,但是能够实现处理目的的方式。因此我们提供一个可自由填写内容的空白选项。
2.可能有另一种理解:你怎样去定义“处理目的”:以上述的银行手机APP为例,如验证是否本人操作为“处理目的”,则其不一定要用人脸识别。但是如果我们把处理目的解释为:核实操作人头像是否与我行留存的头像数据相一致,那结果就完全不同了。
因此这是非常有空间的地方,需要应用很强的逻辑思维。如果是欧美的数据法规出现这样的条款,我的建议是用第二种方法直接把它规避掉。但是在我们的文化和法律体系之下,我们不建议这样做,或者我们不用做到这种极端的程度:回到我们之前的例子,为了个人账户的安全,应用人脸识别是否为必须?不同的文化背景,不同的人对这个问题都有不同的答案。这个问题没有标准答案。
所以在现阶段,我们仍然建议使用第一种处理方式。这是比较稳妥的。
三、“大数据杀熟”
《深圳特区条例》第六十九条 “市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,…
前款所称交易条件相同,是指交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。”
第六十九条针对的是目前市场上常见的“大数据杀熟”行为。最典型的即对软件或者产品的老用户或会员设置比新用户更高的价格。本质上,这是通过算法对老用户的消费习惯和经济能力等等因素进行深入研究以后,为老客户设置更高的价格。这也是利用人的普遍心态:一般人如果习惯了某一产品的使用,那么在其他同类产品无法提供明显差异化或者服务提升的情况下,该个体并不会轻易尝试其他同类产品。因此,即便在服务提供的过程中价格有所提升,老客户基于思维惰性也会继续使用同一产品。长此以往,对同一产品使用时间越久,客户不仅不能享受优惠,反而将付出比新客户更大的代价。
在欧盟GDPR和加州CRPA中都没有提到“大数据杀熟”的概念。实际上在中国数据相关立法中,热门词汇如“自动化决策(automatic decision)”和“画像(profiling)”都直接来自于英文。可是“大数据杀熟”这一概念却是中国的自创,我们考虑的是如何将这一词汇翻译成英文。事实上,大数据杀熟这个问题并没有在欧美国家普遍出现,他们也不是太关注这个问题。这个现象是很值得探究的。
“大数据杀熟”背后的道德观
首先,现代社会鼓励利用情报搜集获取更多谈判杠杆、或者基于这些信息进行定价的行为。
假设一:一家公司经过网络搜索、街头发放问卷等方式搜集到了很多信息。基于上述信息,他们得出结论:他们的产品深受高净值人士的喜爱,于是将产品价位定得很高。
——没有杀熟
假设二:同样一家公司,他们的产品价格并不公示。然后对老客户和经济能力强的客户收取更高的费用。
——单纯杀熟行为:受道德谴责的行为。一般不涉及法律问题。因为通过市场行为就可以对其进行调节。
假设三:这家公司是一家网络购物公司,基于其客户的网上数据发现,有些客户特别喜欢买狗粮,于是对这些客户,狗粮的定价就特别高。
——大数据杀熟
大数据杀熟和一般杀熟的区别到底在哪:也许,是由于使用了大数据,双方有着悬殊的资源、力量差异。因为对方获得了你的基本信息,并且根据算法得出了结论—即使我给你提升价格你依然很可能继续购买我的产品 – 复杂的算法造成了实质意义上的不公平。
但是,这也只是我们对其背后法律逻辑的一种猜测。对于大数据杀熟背后的道德观是一个很深层次的值得探讨的问题。
企业应对方案
回看上述六十九条的内容,我们的应对方案也很简单。只要做到一条便足够:做差别对待的时候,我们能够找出有说服力的理由。
然而传统思维讲究模糊。重要的是怎么去处理,是落实;而不是怎么说理由。最好有一个固定的模板来套用(理论的东西不重要,“为什么”不重要,重要的是解决方案本身)。但是显然,数据合规这样一个新生事物,其核心内容之一就是,为自己的数据处理行为找理由,说得出个所以然,这必须是很具体的理由。
大数据杀熟的法条,本身是典型的结果导向,而非理由导向。但是当我们具体适用这一法条的时候,却是理由导向的。
那么作为企业方,如何找到有足够的说服力的理由,从而得到监管方的认可呢?
数据合规作为新生事物,无论政府还是企业方,其实本身都是处于一个学习和完善的过程中。我们应当敢于创新。您需要对于这套特别的“说理”思维模式更加熟悉的律师事务所,而非传统的律师事务所来帮助您。