新动态：DPO是什么指标(dpo指标视频详解)

今年1月21日，因违反欧盟《一般数据保护条例》（简称GDPR），法国数据监管机构CNIL对谷歌开具了五千万欧元的罚单。

(资料图片)

平台型公司存在数据饥渴，数据融合是必然要求

纵观十期数据保护官沙龙，这次以“数据融合”为主题的沙龙大概是主讲人抛出问题最多的一次。在自由讨论环节中，主持人北京大学法治与发展研究院高级研究员洪延青和五位演讲者，一共梳理罗列了16个数据融合的问题，与现场嘉宾共同讨论。

首先一个最基本的问题，什么是数据融合？北京市环球律师事务所律师吴迪援引维基百科的定义介绍，数据融合是整合多个数据源以产生比任何单个数据源提供的更一致，准确和有用的信息的过程。

“今天说的是数据融合，更多说的是个人信息，难点也在这里。”北京市安理律师事务所合伙人王新锐以金融领域为例，介绍了数据融合的典型业务场景。比如反欺诈，金融平台除了根据用户提供的信息，还会从通过其他渠道验证用户身份。一些网贷平台还要求用户授权允许获取天猫、京东以及不同社交网络的数据，以此判断是否可以放贷。

在当天的沙龙上，北京市环球律师事务所合伙人孟洁以电影《不问西东》的一个片段，讲述她所理解的数据融合。影片中，为了向女主解释什么是核，男主人公拉着她满清华园奔跑：“假设我是一个原子，当一颗原子加速完成后会射向另一个原子。两颗被加速的原子碰撞时，将释放巨大的能量。”

在孟洁看来，数据融合也有相似之处。一个正在发展中的企业好比在加速的原子，而加速器就是数据。“数据融合可以为企业赋能，但是不能‘不问西东’。”

那么，数据融合背后可能存在哪些风险？小米集团隐私数据法律顾问李昳婧结合个性化广告的场景分析认为，其中的风险具体表现在用户感知、监管态度和法律风险三方面。

而从监管的态度来看，执法机构似乎更趋向于严格。当天，小米集团隐私数据法律专家朱玲凤分享了法国数据监管机构CNIL处罚谷歌案，详细介绍了数据融合可能产生的监管与法律合规风险。

专家介绍谷歌数据融合之路。潘颖欣/摄

2012年1月24日，谷歌通过官方博客宣布将不同产品的隐私政策汇成一个统一的隐私政策。在新修订的隐私政策中，谷歌增加了数据融合的描述：

时隔七年，谷歌再次面临相似的境遇。今年1月21日，法国数据监管机构CNIL对谷歌开出了GDPR生效以来的最高金额罚单。CNIL经过三个月的调查认为，谷歌有两处违反了GDPR：一是未满足透明度和信息披露的相关要求，二是未尽到为个性化广告提供法律依据的义务。

据朱玲凤介绍，CNIL认为谷歌跨业务融合数据及使用于个性化广告时，应当以更加清晰以及可理解的方式，让用户了解谷歌处理的数据类型、数量以及所产生的后果。即使谷歌采取了与行业内其他公司同等程度的描述，但其数据处理行为的大规模性和复杂性，使得CNIL认为谷歌不符合GDPR的要求。

大数据时代，不同维度的数据融合是必然趋势，但基于用户的隐私担忧和来自监管的要求，企业在数据融合前如何满足透明性原则要求，履行信息提供义务等，仍是待厘清的关键问题。

在这种情况下，谷歌作为目前唯一的处罚案例，在业内人士来看具有一定的研究价值。通过对比研究谷歌的两次被罚案例，朱玲凤发现，第29条工作组对谷歌提出的合规性建议，与2019年CNIL处罚决定书里的内容惊人的相似。

“由此可见，数据融合带来的合规性要求是一致的。”朱玲凤认为，数据融合是数据处理行为的一种，因此必须保证数据处理限定于该项数据融合的目的中，且数据数量最小够用即可。数据融合的数据保留期限，应当与目的实现相一致。

在朱玲凤看来，企业进行数据融合前，需要明确告知具体融合的目的以及相应目的下使用的数据类型，并获得用户的同意。用户的同意要件应当包括知情、具体明确和积极表示，即用户以积极的行为表达确认，而非通过默认勾选等方法，同时还应当给予用户便捷有效的退出数据融合的选项。

孟洁也认为，用户感知应当引起重视。企业在做隐私影响评估（PIA）时，需要考虑用户的正当期待，明确数据融合对用户的影响到底是什么？会不会给用户带来不舒服、被打扰的感觉？

“说到底要看，数据融合是为了公司的利益还是用户主体的利益，以及风险有多大。”一名现场的DPO社群成员表示，数据融合本身会产生一定影响，这种影响有可能是好的，也可能带来不好的后果，争议点就在于融合后如何使用，是否会超出原有的目的范畴。

视频：实习生 潘颖欣