文|刘耀华 中国信通院互联网法律研究中心研究员
2021年3月9日, 欧盟个人数据保护委员会EDPB发布了《虚拟语音助手的指南》,针对虚拟语音助手使用过程中的个人信息保护进行了规则细化和明确。
【关键词】个人数据 数据隐私 语音助手
一、背景
虚拟语音助手(VVA)是一项服务,它可以理解语音命令并执行语音命令,或者在需要时作为其他IT系统的中介。VVA目前可在大多数智能手机和平板电脑、传统计算机上使用,最近的技术进步大大提高了虚拟语音助手(VVA)的准确性和普及性。在其他设备中,VVA已集成在联网汽车、智能扬声器和智能电视中。这种集成使VVA可以访问敏感信息,如果管理不当,可能会损害个人的数据保护和隐私权。因此,VVA及其集成设备受到了不同数据保护机构的审查。提供VVA服务的数据控制者及其处理者必须同时考虑GDPR和电子隐私指令。本文件旨在就VVA 在GDPR背景下的应用提供指导。
二、数据保护的要素
(一)法律框架
有关VVA的欧盟法律框架首先是GDPR,因为处理个人数据属于VVA的核心功能。除GDPR之外,电子隐私指令为所有希望在EEA中存储或访问用户或用户终端设备中存储的信息的参与者设置了特定标准。首先,根据“终端设备”的定义,智能手机、智能电视和类似的物联网设备是终端设备的示例。因此,只要存储或访问VVA中的信息,就应将VVA视为“终端设备”,并且应遵守“电子隐私指令”第5条第3款的规定。其次,任何个人数据处理操作,包括处理通过访问终端设备中的信息而获得的个人数据,也必须符合GDPR第6条规定的合法性基础。VVA可能会意外捕获不打算使用VVA服务的个人的音频。如果意外激活,则极不可能适用“电子隐私指令”第5条第3款中规定的任何例外。此外,GDPR中定义的同意必须是“明确表明数据主体的意愿”。因此,意外处理不构成有效同意。如果数据控制者意识到(例如通过自动或人工审查)VVA服务已意外处理了个人数据,则他们应核实为处理此类数据的每个目的都具有有效的合法性基础。否则,应删除意外收集的数据。另外,应当指出,VVA处理的个人数据本质上可能是高度敏感的。它可以在其内容(口语文本的含义)及其元信息(说话者的性别或年龄等)中都携带个人数据。EDPB表示,语音数据本身就是生物特征个人数据。因此,当处理此类数据是为了唯一地识别自然人,或者固有地或被确定为特殊类别的个人数据时,该处理必须具有有效的合法性基础。
(二)识别数据处理者和利益相关者
一是关于个人数据。GDPR第4条第1款对个人数据的定义包括各种不同的数据,并且在技术中立的背景下适用于与“与已识别或可识别的自然人”有关的任何信息。数据主体与VVA的任何交互数据都可以落入此定义的范围内。一旦进行了交互,在VVA的整个操作过程中处理各种范围的数据可能都属于个人数据。其中包括主要数据(例如帐户数据,语音记录,请求历史记录),观察到的数据(例如与数据主体相关的设备数据,活动日志,在线活动),以及推断或派生的数据(例如用户配置文件)。VVA使用语音在用户和所有连接的服务(例如搜索引擎,在线商店或音乐流媒体服务)之间进行协调产生的数据,但与其他中介不同,VVA可以完全访问请求的内容,因此可以为VVA设计者提供取决于处理目的的各种各样的个人数据。
二是关于多个数据主体。在使用VVA时,从与VVA的第一次交互开始就处理个人数据。对于某些数据主体,这是指购买VVA和/或配置用户帐户(即注册用户)。对于其他数据主体,是指第一次与购买和/或配置该VVA的另一个数据主体(即非注册用户)有意地进行交互。除了这两类数据主体外,还有第三种:偶然的用户,无论是否注册,都在不知不觉中向VVA发出请求(例如,在不知道VVA处于活动状态的情况下说出正确的唤醒表达,或说出其他VVA错误地将其标识为唤醒表达式)。“多个数据主体”还指一个VVA的多个用户(例如,注册用户和未注册用户之间,同事之间,家庭中,学校之间共享的设备)和基于其状况的不同类型的用户(例如,成人,儿童,老人或残障人士)。虽然VVA可以使与数字工具的交互更容易,并且对于某些类别的数据主体有很多好处,但重要的是要考虑到每种类别的数据主体的特殊性以及VVA的使用环境。
三是多个数据处理。用于提供VVA的技术也对处理的数据量和处理类型有影响。VVA提供的服务或功能越多,如连接到其他设备或由其他方管理的服务,则处理的个人数据和重新利用处理的个人数据量就越多。这导致了第2节中所述的通过自动化方式执行的多个处理。除了自动化方式之外,某些处理还可能涉及人工方式。例如,当所实施的技术涉及人为干预时,将语音转录成文本,或者在个人数据上提供注释,这些注释可用于在机器学习技术中插入新模型。当人们分析个人数据(例如,元数据)以改善由VVA提供的服务时,情况也是如此。
(三)透明度
由于VVA处理个人数据(例如,用户的声音,位置或通讯内容),因此它们必须遵守GDPR的透明性要求(第5(1)条a)以及第12条和第13条中的规定)。数据控制者有义务以简洁、透明、可理解的形式并以易于访问的方式通知用户其个人数据的处理。不提供必要的信息就是违反义务,可能影响数据处理的合法性。
对于VVA服务提供商或任何其他作为数据控制者的实体而言,遵守透明度要求可能特别困难。鉴于VVA的特殊性质,数据控制者在遵守GDPR透明性要求方面面临多个障碍:
•多用户:数据控制者不仅应通知设置VVA的用户,还应通知所有用户(已注册,未注册和意外用户)。
•生态系统的复杂性:对于使用VVA的个人数据处理者而言,其身份和作用对用户而言还远远不够。
•语音接口的特殊性:数字系统还不适合语音交互,必须适应人声界面并能够通过这种方式清楚、正确地通知用户。
(四)目的限制和法律依据
VVA处理语音请求的目的很明显,即执行请求。但是,通常还有其他目的并不那么明显,例如通过使用机器学习技术训练VVA模型来提高VVA自然语言理解能力。在VVA处理个人数据的最常见目的中,主要包括:
•执行用户的请求
•通过训练机器学习模型以及人工审查和标记语音转录来改善VVA
•用户标识(使用语音数据)
•用户配置文件中的个性化内容或广告
(五)处理儿童数据
儿童也可以与VVA互动或可以创建自己的个人资料,并与成年人的个人数据建立联系。一些VVA嵌入专门针对儿童的设备中。当处理的法律依据是履行合同时,处理儿童数据的条件将取决于国家合同法。当处理的法律依据是同意并且根据GDPR第8条第1款时,仅在“孩子年满16岁的情况下”才合法处理儿童数据。如果儿童未满16岁,则只有在父母对孩子负有责任的父母同意或授权的情况下,这种处理才是合法的。”因此,为了遵守GDPR,在将同意作为法律基础的情况下,应征得父母或监护人的明确许可,以收集、处理和存储儿童的数据(语音,笔录等)。
(六)数据留存
VVA应遵循GDPR数据存储限制原则,存储时间不得超过处理个人数据所需的时间。因此,数据保留期应与不同的处理目的联系在一起。VVA服务提供商或通过VVA提供服务的第三方应评估每个数据集和目的的最大保留期限。
数据最小化原则与数据存储限制原则密切相关。数据控制者不仅需要限制数据存储时间,还需要限制数据的类型和数量。默认情况下,某些VVA在不确定的时间内存储语音片段或转录等个人数据,同时为用户提供删除此类数据的手段。无限期保留个人数据违反了存储限制原则。向数据主体提供删除其个人数据的手段并不会消除数据控制者定义和执行数据留存策略的责任。
建议:从用户的角度来看,处理其数据的主要目的是查询\\接收响应和/或触发动作,例如播放音乐或打开或关闭灯。回答查询或执行命令后,除非VVA设计人员或开发人员具有有效的法律依据将其留存用于特定目的,否则应删除个人数据。在考虑将匿名化作为满足数据存储限制原则的手段之前,VVA提供者和开发人员应检查匿名化过程是否使声音无法识别。
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
