猎云网注:以标准高、处罚严而闻名的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)已于近日生效。本文系APUS研究院从法律规则探讨、实践操作等角度,对该条例做出相应解读的第三篇,对全球首例GDPR案件进行了分析。GDPR作为裁判依据的首次实践与落地向一直在观望的众多新兴数字经济企业证明了,GDPR是切切实实悬在我们头顶的达摩克利斯之剑。文章来源:APUS(ID:apusapps),作者:APUS研究院。
上周,德国波恩州法院公开了一个关于数据采集纠纷案件的禁令决定。在决定书中,法院援引GDPR“数据最小化”等原则,驳回申请人(ICANN)要求被申请人(EPAG)继续按原协议(RAA)采集数据的请求。这是迄今为止,在有效的司法程序中,GDPR作为裁判依据的首次实践与落地。向一直在观望的众多新兴数字经济企业证明了,GDPR并不是纸老虎,而是切切实实悬在我们头顶的达摩克利斯之剑。
APUS作为始终关注GDPR动态并在实践中不断研究和学习这一法规的互联网出海企业,第一时间完成了对这一案例决定书全文的翻译,并从互联网企业的角度为大家带来更切实的解读。
为了方便阅读,我们简要介绍一下涉及的主体和术语。
1.什么是ICANN和EPAG?
我们访问网站,实际上是在访问网站所在服务器中的数据。那么网站所在服务器的位置,我们就可以用域名或者IP地址来表示。而ICANN(TheInternet Corporation for Assigned Names and Numbers),全称互联网名称与数字地址分配机构,就是负责管理域名系统、分配IP地址的非营利性国际组织。EPAG则是经过ICANN认证的域名注册商,提供域名注册等服务。
2.什么是“WHOIS”数据、管理联系信息和技术联系信息?
简单说,“WHOIS”数据类似于备案信息。“WHOIS”就是“Who is”,反映域名所有者及其关联信息。这是注册域名时必须要填写的信息。而本案中争议的两个重要的数据,管理联系信息(Administrative contact information, 以下简称“Admin-C”)和技术联系信息(Technical contact information,以下简称“Tech-C”),分别指管理和维护某域名网站的管理人员和技术人员的联系信息,包括上述人员的名称,还有地址、电子邮件、电话号码及传真信息,是“WHOIS”数据库中的一部分。
基本案情
EPAG是ICANN认证的域名注册商,与ICANN签订了《注册服务机构认证协议》(Registrar AccreditationAgreement,以下简称“RAA”),有权向用户提供域名注册服务。上述协议约定,在用户注册域名时,EPAG不但要收集注册人的联系信息(也就是之后域名所有人的联系信息),还要收集所谓的Admin-C和Tech-C。
EPAG认为,依照GDPR,RAA中数据采集的要求不但违反了数据最小化原则,也缺乏合法的依据,尤其是对Admin-C和Tech-C的采集。正如EPAG网站博客中所说,“更有甚者,RAA还要求我们处理一些和我们没有直接关联的自然人的个人信息,也就是Admin-C和Tech-C。”
2018年5月25日前,EPAG通知ICANN,按照“自设计开始和默认的数据保护”(PbD)的数据保护理念,其新的域名注册系统将不再收集Admin-C和Tech-C。经双方讨论,EPAG和ICANN就“数据最小化”等原则的理解上存在分歧,在采集Admin-C和Tech-C的问题上未达成一致。
2018年5月25日,ICANN向德国波恩州法院申请初步禁令,要求法院强制EPAG履行RAA,继续收集Admin-C和Tech-C等数据。ICANN在其网站上说明,“启动本次司法程序的目的是明确对GDPR理解的差异。”
法庭意见
根据目前的决定结果,波恩州法院驳回ICANN的禁令申请。
法庭认为,
首先,履行合同不能作为排除法律适用的依据。RAA也规定了,EPAG作为提供域名注册的注册商,应当遵守相应的法律法规。因此GDPR作为生效的法律,适用于本案的争议解决。
其次,根据GDPR的“目的限制原则”和“数据最小化原则”,处理个人数据,必须有特定、明确和合法的目的;数据的处理,也应该限制在为了实现该目的所需的最小限度内。从本案事实上看:
1.ICANN并没有充分说明Admin-C和Tech-C是其营运的必要数据;
2.从责任上看,只有域名的所有人需要对该域名下网站的经营负责,其他主体并非当然责任人,并不需要在收集信息中明确区分Admin-C和Tech-C;
3.仅收集域名所有人信息足以满足ICANN保障的刑事、侵权和安全等一般利益;
4.从过去的注册行为上看,域名所有人信息、Admin-C和Tech-C可以填写同样的内容。这就说明Admin-C和Tech-C并非完成注册的必要信息。
因此法庭认为,ICANN主张Admin-C和Tech-C对于其业务运营是必要的数据,缺乏合理依据。上述信息的采集,不符合“目的限制原则”和“数据最小化原则”。
最后,法庭否定了ICANN提出的,包含Admin-C和Tech-C的“WHOIS”数据系统是履行国际商标注册管理协议所必要的主张。法庭认为二者缺乏关联性,不能作为采集数据的依据。
实务解读
从我们的理解上看,本案为企业的GDPR合规提供了非常重要的参考。
第一,法庭直接引用GDPR第五条和第六条的条款,说明GDPR并非流于观念上的“纸老虎”。如果还有企业在观望,犹豫是否要进行GDPR合规或者调整地域上的经营策略,我们的建议是,尽快、尽早决定。
第二,企业需要重新认识和思考GDPR对自证的要求。我们认为,法庭驳回ICANN禁令申请,根本原因是ICANN没有自证说明Admin-C和Tech-C对其业务和运营的必要意义。如果把ICANN的角色换成企业C,把Admin-C和Tech-C换成数据D,那么C企业如何在法庭证明D为其业务的必要数据就是本次案例给我们带来最有价值的命题。
我们的建议是:
必要性评估是核心工作。参考我们之前提出的Pu-D-C-Pr模型(请阅读前作《“同意”,没那么简单》),企业至少要评估采集数据的目的(Pu)、所需数据的类别(D)以及处理该数据的方式(Pr)是否必要;
同时需要注意评估必要性的场景。我们把Pu-D-C-Pr模型改造为Pu-D-?-Pr。“?”取代了C(“同意”),表示企业在GDPR第六条(处理的合法性)所使用的合法性依据,比如合同、比如法定义务或合法利益。数据的必要性评估,一定要结合“?”所指向的场景,比如为了履行合同是否必要,为了满足法定义务是否必要,为了企业合法利益是否必要。
当然,如果有人认为用“举证责任”去对映GDPR要求的自证义务过于严格,我们可以进一步讨论其中有关“度”的问题。
第三,GDPR合规工作一定要和业务结合。本案最有意思的部分莫过于法庭发现,注册域名时,域名所有人信息、Admin-C和Tech-C可以填写同样的内容。先不谈是否足以说明Admin-C和Tech-C是非必要信息的“证明力”问题,这点从一定程度上提醒企业GDPR合规工作和业务不能脱节。就本案而言,必要性需要体现在企业日常的业务中,缺少这样的数据,我们的特定的目的就无法达成。
以上是我们对ICANN案的初步解读。
本案虽不复杂,但它在GDPR的实务适用和规则构建上留下重要的一笔,向全世界正在观望GDPR的人们一定程度上诠释了这些规则的内涵。但我们也要认识到,这一案例仅仅是GDPR实践链条上第一块多米诺骨牌,所有受到GDPR管辖的企业都要作好适应新挑战并在新规则范围内重构产品设计乃至商业模式的准备,
GDPR系列文章阅读:
APUS研究院|GDPR实战指南(一)写给出海的伙伴:GDPR,一个可以讨论的话题。
APUS研究院|GDPR实战指南(二)“同意”,没那么简单。
APUS研究院|GDPR实战指南(四)浅谈企业GDPR合规中的项目管理。
介绍:APUS研究院,致力于研究数据合规的前沿问题,持续跟进高新行业的合规热点和动态。
