0 序
- 2024年5月1日,荷蘭數據保護局(Autoriteit Persoonsgegevens,AP)發佈了《個人和私人組織數據抓取指南》。
- 指南中爲數據抓取設定了嚴格的框架,與《通用數據保護條例》(GDPR)保持一致,並明確了允許數據抓取的有限情況。
1 要點速覽
1. 非法實踐和GDPR違規
指南強調了個人數據抓取普遍非法的基本原則。數據抓取被定義爲互聯網數據的自動化收集和存儲,通常涉及個人數據,這帶來了重大的隱私風險和違反GDPR的法律後果。AP明確表示,這種行爲“幾乎總是非法的”,除非是在非常有限的例外情況下。採取這一嚴格立場,對解決創建和銷售個人數據資料,或從私人賬戶提取信息等明顯違反GDPR的行爲至關重要。
2. 公開並不等於同意
指南中,一個重要內容是駁斥了公開數據可以自由抓取的普遍誤解。AP闡明,數據的公開可用性,並不意味着同意抓取數據。指南的說明、解釋,對於法律從業者和公衆理解同意機制在數據保護法中的核心地位具有重要作用。簡單來說,同意不能被數據的公開性所替代。
3. 法律例外和有限許可
指南允許在一般禁止抓取的情況下有一些例外,這些例外被嚴格定義。比如,“家庭用途”場景。這種場景下,數據抓取是爲了個人項目而在小規模進行的;出於特定公司目的的有針對性抓取,例如監控與自身公司相關的新聞也可能是被允許的。這些例外強調了數據抓取需要合理的法律依據和使用適當比例,以符合GDPR關於數據最小化和目的限制的原則。
4. 私人和政府實體的影響
雖然指南主要針對私人實體和個人,但也指出政府抓取活動同樣充滿隱私風險。AP指出,其正在制定針對政府數據抓取的單獨指導方針。這種雙重方法,強調了AP致力於確保所有形式的數據抓取都得到全面監管,維護個人數據保護的完整性。
2 報告內容
1. 引言
描述了數據抓取的各種應用,從算法訓練到監測公衆意見以服務於商業目的。報告承認抓取技術的發展本質上是中性的,但也指出由於抓取大量個人數據而產生的廣泛隱私風險。本節爲指南奠定了基礎,強調了理解和減輕抓取工具和活動設計階段隱私風險的重要性。
2. 什麼是抓取?
解釋了抓取的技術過程及其與網絡爬蟲的區別。
本節說明抓取不僅僅是搜索,還包括爲特定用途收集並存儲數據,這些數據通常包括個人敏感信息,並詳細說明了有助於界定抓取與其他數據收集形式的技術範圍和含義。
3. GDPR的適用性
討論了GDPR何時適用於抓取活動,重點是家庭用途等例外情況以及將GDPR擴展到歐盟管轄範圍以外的情況。這部分對於確定從事抓取活動的實體的法律界限和責任至關重要,包括特定條件下非歐洲實體的適用性。
4. GDPR原則
概述了在抓取個人數據時必須遵守的GDPR核心原則,包括合法性、公平性和透明性。強調組織需要從抓取工具的開發階段,就開始整合隱私考慮(隱私設計),以確保從一開始就遵守GDPR。
5. 合法性原則
探討了對抓取到的個人數據進行處理的法律依據。特別關注在何種條件下抓取可能符合“合法利益”理由,這是抓取活動中較難以證明的方面之一,包括對確定合法利益因素的深入分析,以及平衡這些利益與個人權利、自由的嚴格評估。
6. 特殊類別的個人數據
詳細說明了處理特殊類別個人數據的嚴格條件,強調了一般禁止和有限例外。這部分對於可能無意中抓取敏感數據的實體至關重要,指導他們在該情形下應如何更好履行合規義務。
7. 涉及犯罪的個人數據
討論了在處理犯罪定罪、罪行相關個人數據時的額外限制和需要仔細考慮的內容。
8. 合法性總結和示例
總結了合法性原則的考慮並提供了實際示例,作爲對整個指南中詳細討論的法律門檻和場景的簡單回顧。
9. 數據保護影響評估和事先諮詢
解釋了評估數據保護影響的必要性,以及在某些條件下事先諮詢監管機構的重要性,強調應該採取主動合規措施。
10. 使用抓取訓練算法
討論了使用抓取數據訓練算法時的特定考慮,特別是在AI背景下倫理和法律的細微差別。