专业解读

如今，手机成为了一种无处不在的个人设备，配备了无线Wi-Fi通信技术。西班牙数据保护局（AgenciaEspañoladeProteccióndeDatos,AEPD）在近期针对数据控制者发布了《Wi-Fi跟踪技术（以下简称“该技术”）数据控制者指南》。该技术是一种通过移动设备发射的Wi-Fi信号对数据进行识别和跟踪的技术，可检测设备在特定区域内的存在情况，并识别移动模式，因此可用于估算容量、分析人流或测量停留时间等。

该技术在购物中心、博物馆、工作场所、公共区域、公共交通、大型公共活动场所等都有实际应用。然而，随着该技术的不当应用也会带来严重的隐私风险，因为它可能会在数据主体没有行动或不知情，或在没有适当法律依据的情况下对其行动进行跟踪。AEPD认为，任何人都有自由行动的权利，无论是公共行政部门或者是私营公司都无权跟踪。因此，为了避免以上情况的发生，AEPD发布了该技术指南。

Wi-Fi跟踪技术下数据主体的权利和自由所面临的风险

对于个人信息的处理，必须遵循GDPR第24(1)条规定，充分考虑到处理的性质、范围、背景以及目的。以下是在Wi-Fi跟踪技术下数据处理会遇到的部分风险列举：

• 对个人隐私的影响

在某些情况下，该技术将可以精准确定数据主体的所在地。例如如果在工作环境中采用该技术，将可以监测员工在公共区域花费的时间、交谈的人员、交谈的确切时间等，该行为有可能违反西班牙当地《劳动法》的相关规定。

• 违反处理数据的合法性原则

该技术难以明确物理边界。例如在建筑物内使用该技术，可能会接收到来自建筑物以外的不应该属于被处理对象的信息，违反了数据处理的合法性原则。

• 限制公民的权利及自由

例如，一家安保公司除了常规服务外还为企业提供该服务。在一个城市30%的商业场所可以提供该服务的情况下，该服务可以随时获知使用过的数据主体在城市的行动轨迹。

• 影响宗教自由及特殊类别数据的披露

例如，通过分析处理数据主体访问的区域，从而可以推断出其宗教信仰。在使用该技术追踪数据主体访问过医院的某科室，可以推断出其所患疾病，如该信息被披露，在今后其购买医疗保险时会遇到困难。

• 影响个人自由和导致个人审查行为

当数据主体知道自己在公共场所、建筑物或者商业中心游荡时会被跟踪，将会导致其可能进行自我审查，进行改变，以维护其对某些政治、宗教协会、文化中心或者休闲活动的兴趣。

• 位置数据风险

当数据集包含同一人的不同位置数据或轨迹数据时，匿名化尤其困难，因为这些数据集很容易被重新识别。因此，可能会出现一些特殊情况，例如在某些时间段存在人迹罕至的区域，很容易识别数据主体及其行为，甚至可以将指示器的捕捉与视频监控系统的图像结合起来，从而自动识别出数据主体。

• 数据跨境流动及监管

在Wi-Fi处理器技术基础设施和其他多种技术相结合使用的同时，数据处理将可能涉及向欧洲经济区（EEA）以外第三国传输的情况。

在上述风险因素下，AEPD建议数据控制者应当考虑并处理数据时注意数据主体的基本权利和自由所面临的风险，分析整个数据处理的过程，而不仅仅针对部分处理操作。

降低风险的部分措施

• 进行数据保护影响评估（DPIA）的义务

GDPR第35条和36条规定了进行DPIA的义务，其中强调，GDPR并不要求对每项个人信息处理都进行DPIA，但是对可能涉及高风险处理的操作要求进行 DPIA。而对于Wi-Fi追踪技术是否需要进行DPIA，应当考虑操作的目的、性质、范围以及背景。例如，如果涉及对公众可访问区域使用该技术，DPIA是被强制要求的。

• 个人信息匿名化处理

AEPD在其官网上为数据控制者提供各类工具，指导数据处理者对于个人信息进行匿名化处理。他们指出，数据匿名化的处理可以降低数据主体所承担的风险，越早进行匿名化处理，被成功匿名化的可能性就越高，建议在获取个人信息后进一步处理前就进行匿名化处理。在匿名化处理后，数据控制者必须通过由第三方对于收集的数据进行分析和实际测试确定数据集不可能再被重新识别。如果数据可以在某些条件下被重新识别，该类数据便被认为没有被成功匿名化处理。

• 进行MAC地址的“屏蔽”

根据我国《信息安全技术个人信息安全规范》（GB/T 35273-2020）中对于个人信息的相关举例，设备MAC地址属于个人信息中的个人常用设备信息中的一个类型。“屏蔽”是处理个人信息时广泛采取的一种技术措施。当设备连接到Wi-Fi时，设备中的所有信息都是通过识别设备本身的MAC地址来启动。MAC地址通常有24位用于识别制造商，另外24位由制造商自由分配。AEPD建议，为了避免个人信息被识别，可以只使用MAC地址的一个片段。

• 解除数据关联性

将每个不同Wi-Fi设备中的标识符由盐和哈希值替代，并在每12或24小时进行变化。在每次生成新的盐时，过去的历史记录将被自动丢弃和删除。

• 分组记录数据

数据控制者希望获得的结果有时仅需要收集部分数据即可获得。例如，要获得博物馆内人们的主要活动轨迹的热图，并不需要唯一的识别信息，只需要进行简单的统计记录即可。

• 数据最小化处理

AEPD建议数据控制者在处理数据时遵守GDPR中数据最小化原则，例如：限制Wi-Fi的跟踪区域，避免该技术进入私人区域；隐藏与SSID相类似的信息；防止从物联网传感器、人体/健康植入物等设备获取数据。

• 设置数据保留期

有效限制个人信息的保留期非常重要，非匿名与匿名的个人信息可以分别进行规定。

• 保证个人信息处理的透明度

数据控制者和数据处理者必须遵守GDPR中第5(1)(a)条中的合法、公正和透明性则。在某些情况下个人信息的处理可能不会被数据主体所察觉，因此需要通过清晰易懂的方式来向数据主体进行报告包括但不限于以下信息：数据控制者的身份和联系方式、数据保护官的联系方式、处理的目的和法律依据、数据控制者或第三方的合法利益、个人信息接收者的类别、计划的信息跨境流动、数据保留期限、知情权、访问权、更正权、删除权、可携带权等。

Wi-Fi跟踪技术与人工智能（AI）

该指南中还提及了在运用该技术处理个人信息时可能会结合AI的情况。针对上述情况，对于个人信息的处理除了要遵守GDPR外，还需要受到《人工智能 法案》（AIA）的监管。AIA是对GDPR的补充。如果在对个人信息的处理经过DPIA后认作为高风险，数据主体有权要求获得有关人工智能在决策过程中的作用以及对所做决定的主要内容的明确解释。

对于中国企业而言，借鉴AEPD发布的该指南有助于在国际市场上提升其数据收集及保护的合规性，确保合法、透明、安全地处理个人信息，尤其是在欧洲经济区（EEA），收集数据需要遵守GDPR规定，在一定条件下需要制作数据保护影响评估报告（DPIA）。同时，在涉及运用AI收集数据的情况时，除了遵守GDPR规定外，还需要遵守AIA法案，从而有效保障数据主体的权利和自由，增强企业的国际市场竞争力和可信度。

【来源】

《Wi-Fi跟踪技术数据控制者指南》原文（扫码查阅）

作者简介

张婷
北京办公室 高级合伙人
道可特国际业务部主任

业务领域：境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场、公司治理、外商在华投资家族办公室业务和国际融资等商事法律业务

邮箱：zhangting@dtlawyers.com.cn

郭毅佳
北京办公室 实习律师

业务领域：境外上市、跨境投融资并购、数据出境业务、公司治理

邮箱：guoyijia@dtlawyers.com.cn