人权专家:个人数据“国际收集”带来全新隐私挑战
联合国隐私权特别报告员努格蕾蕾斯当天在提交给联合国人权理事会第61届会议的一份报告中指出,目前全球范围内大量个人数据正被注册地或实际位于其他国家的公司、机构或个人直接从互联网收集,而现有法律框架对这种“国际收集”行为关注严重不足。
她表示,自人们首次认识到需要保护个人数据免遭不当处理以来,全球技术环境已经发生巨大变化。互联网使世界各地的个人、企业和政府都能够收集和处理他人的数据,这对现行法律体系提出了新的挑战。
“国际收集”与“国际传输”:一词之差,监管迥异
报告指出,传统数据保护法律主要针对国内数据收集或跨境数据传输。而所谓“个人数据的国际收集”,是指数据收集者位于数据主体所在国境外,却直接从另一国用户处获取个人数据。在这种模式下,数据收集者往往在数据主体所在国没有注册或实体存在,并可能据此声称当地数据保护法律对其不适用,从而使数以亿计用户的隐私权陷入监管真空。
报告进一步指出,现行关于跨境数据传输的规则主要由数据输出方承担责任,以确保个人数据在跨境流动时仍保持同等保护水平。然而在国际收集的情况下,数据并非由一国主动输出,而是被境外主体通过互联网直接“提取”,因此以发送方责任为核心的现行规则难以适用。
努格蕾蕾斯表示:“当全球数十亿互联网用户能够从世界任何地方收集身处其他国家个人的数据时,现有规则正面临巨大挑战。”
Cookie背后的“技术存在”
报告还指出,Cookie等数字技术工具使跨境数据收集更加普遍。Cookie是一种安装在用户设备上的小型文本文件,可以记录或存储多种信息,包括用户名、电子邮件地址、网络地址、浏览习惯以及搜索记录等。
多个国家的数据保护机构和法院的研究表明,这类技术不仅用于改善用户体验,也常被用于追踪在线行为、分析网站访问情况以及进行定向广告投放。
一些监管案例显示,即使企业在某国没有设立实体机构,通过应用程序或Cookie等技术手段在当地设备上收集数据,也可能在该国形成所谓的“技术存在”,从而受到当地法律约束。
例如,哥伦比亚数据保护机构曾裁定,虽然WhatsApp和谷歌在该国没有注册地,但其通过安装在当地数以百万计设备上的应用程序和Cookie收集数据,仍必须遵守哥伦比亚的数据保护法规。
“数据避风港”与国际管辖难题
报告指出,互联网和数字经济的全球化,使得电子商务、社交媒体和在线服务具有明显的跨境特征。公司、政府和个人都可以从世界任何地方收集和处理信息。
然而,目前既缺乏对所有国家具有法律约束力的国际条约,一些国家也尚未建立完善的数据保护法律体系。这种情况可能导致所谓的“数据避风港”出现,即个人数据保护较弱或监管不足的地区。
与此同时,互联网案件也给传统的国际管辖原则带来挑战。如果完全依赖属地原则,一些发生在网络空间的侵权行为可能难以有效监管;而如果各国不加限制地主张管辖权,又可能给企业和个人带来巨大的法律不确定性。
呼吁制定全球规则
为应对这些挑战,努格蕾蕾斯呼吁各国制定一项具有法律约束力的国际条约,全面规范个人数据的跨境收集,并加强国家之间的合作。
她还建议各国调整本国数据保护法律的适用范围,使其在必要时能够适用于域外情形,从而确保个人数据即使被境外实体收集,也能得到有效保护。
努格蕾蕾斯强调,互联网上侵犯人权而不受惩罚的现象绝不能被视为常态,尤其是在数据收集者不遵守其获取信息对象所在国法律的情况下。
她指出,在全球数字化迅速发展的今天,个人数据的国际收集已成为普遍现象。只有通过更广泛的国际合作和更加统一的规则框架,才能确保数字时代个人隐私权得到切实保障。