論GDPR的“Recitals”條款中對用戶知情權的具體要求

胡友杰

【摘 要】歐盟的隱私保護法律《一般信息保護條例（GDPR）》于2018年5月25日開始生效，在經濟全球化的今天，受到影響的不僅僅的是所在歐盟境內的公司。很多業內人士認為GDPR只是樹立了一個簡單的框架，并未告訴大家實際該如何去做。但其實在大家很少關注到的前言部分中，隱藏著一些具體的要求，卻容易被大家忽視。

【關鍵詞】GDPR；隱私保護；個人信息保護

一、GDPR現狀

2018年是個人信息保護在國內大火的一年，即便是不關注信息安全的圈外人士，想必也在5月左右頻繁地收到過各大網站及軟件發過來的“隱私政策更新”的郵件，看到過Facebook多次因隱私問題而上新聞，以及傳播過那個“騰訊退出歐洲市場”的傳說。這一切都是因為GDPR，歐盟的個人信息保護條例，這個號稱史上最嚴、范圍最廣、罰款最狠的法律，于2018年5月25日開始生效。

雖說GDPR的管轄范圍只是在歐盟境內，針對歐洲公民，但在經濟全球化的現在，跨國企業比比皆是，大家多多少少都有業務涉及到歐盟，最高到2000萬歐元或全球營業額的4%（兩者取其最大值）的罰款也令管理者們不寒而栗，因此加強企業個人信息保護建設，達到GDPR合規，成了眾多企業自GDPR 16年定稿后的重中之重。

而用戶知情權是數據主體最為基本的權利，如何實現此權利是企業最初遇到的問題。在GDPR的正文條款中只規定了“需要實現知情權”這一要求，而具體的做法，其實隱藏在前言部分的“Recitals”條款當中。

二、用戶知情權的具體要求

首先請看第32條：Consent should be given by a clear affirmative act establishing a freely given， specific， informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her， such as by a written statement， including by electronic means， or an oral statement. This could include ticking a box when visiting an internet website， choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence， pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes， consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means， the request must be clear， concise and not unnecessarily disruptive to the use of the service for whi

該條的核心意思是：（1）在取得用戶同意收集個人信息的勾選框中，不得預先勾選，預先勾選不構成同意；（2）針對不同目的的信息收集，需要分別取得用戶的同意。對國內的很多企業來說，在注冊時預先把“我同意XXXX”給勾上、以及所有的收集放到一個按鈕中，是目前來說比較常見的一種做法，而這在GDPR的管轄下已經行不通了。同時，GDPR也要求企業不得“要脅”用戶，即不得以用戶不同意收集個人信息為由禁止用戶使用產品。企業的產品研發部門往往希望擁有更多的個人數據，以方便了解用戶需求，有針對性地改善和推送產品。那么在不允許預先勾選和強制同意的情形下，如何引導用戶同意產品的收集請求，將成為企業的一大研究課題。

在征得用戶同意的這一方面，企業若為了多收集情況，在隱私協議中語焉不詳，含糊其詞，試圖蒙混過關以誘得用戶的同意，那么也是觸犯了GDPR的相關規定的。在Recitals的第58條中，特別地對于通知用戶的說話方式做出了特別要求。

第58條的原文如下：The principle of transparency requires that any information addressed to the public or to the data subject be concise， easily accessible and easy to understand， and that clear and plain language and， additionally， where appropriate， visualisation be used. Such information could be provided in electronic form， for example， when addressed to the public， through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether， by whom and for what purpose personal data relating to him or her are being collected， such as in the case of online advertising. Given that children merit specific protection， any information and communication， where processing is addressed to a child， should be in such a clear and plain language that the child can easily understand.

這一條要求企業在收集數據前征得用戶同意時，所使用的語言必須清晰明了，易于用戶理解，是對透明原則的進一步闡述。值得注意的是，歐美文化中一向較為注重對于兒童的保護，GDPR也不例外，在正文條款中就已經對為兒童提供服務的情形，需要監護人同意做出了規定。而在這一條中，歐盟更是單獨點出，鑒于兒童需要特別地保護，任何涉及處理兒童的信息和通信，都應采用兒童可以輕易理解的清晰明確的語言。說法是否能令兒童可以輕易理解，相比上文的“清晰明了”是更明顯的、更可判斷的，這也使得歐盟的相關的監管機構、或是其他有心的舉報者是否會在這一點上抓到產品的痛腳，就成了業務涉及兒童的公司不得不去擔心的一個問題。

我們再來看看第70條：Where personal data are processed for the purposes of direct marketing， the data subject should have the right to object to such processing， including profiling to the extent that it is related to such direct marketing， whether with regard to initial or further processing， at any time and free of charge. That right should be explicitly brought to the attention of the data subject and presented clearly and separately from any other information.

想必有不少公司收集用戶使用產品的信息，是用于針對性地推送其它產品或是打廣告——這些毫無疑問都是用于“direct marketing”的這一個目的。而GDPR在這一條上是明確地指出，用戶對于這一行為有拒絕的權利，即拒絕企業收集用戶行為信息并用于任何直接或間接的營銷。同時GDPR還要求企業將此類用于營銷的收集行為特別地、清晰明確地提醒用戶注意，并與其他任何信息區分開來。這意味了企業將營銷目的的收集巧妙地摻混于其他目的當中一起獲得用戶同意的這種做法已不在可行。

那么，企業偷偷地收集處理，并抹消其痕跡，這樣是否可行呢？可見第82條：In order to demonstrate compliance with this Regulation， the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records， on request， available to it， so that it might serve for monitoring those processing operations.

GDPR要求每一位控制者和處理者，必須要留下數據處理的記錄，并隨時響應監管機構的要求向其提供。

三、結束語

很多人覺得GDPR的99條條款只做了一個空洞的規定，只限制了做什么，并未指導大家如何去做。畢竟它只是一個法律，并非一個指導性的規范標準。但其實在很多人沒有關注到的正文之前的173條Recitals中，歐盟還是留下了很多細節性的說明和具體的指導性的做法。本文以用戶知情權為基礎，選取了其中的三條稍做解讀，希望能加深企業實現用戶知情權的理解。

【參考文獻】

[1]《General Data Protection Regulation》