1. 個人數據處理的七大原則
個人數據的處理問題作為歐盟GDPR的重點規制對象,其相關原則的規定被放在了該條例原則部分的首要位置。隨著我國經濟主體與歐盟各成員國之間往來的日益頻繁,學習歐盟GDPR的相關內容對企業發展至關重要。
今天SCA安全通信聯盟為大家整理了GDPR中個人數據處理的6大原則——「合法公平透明」、「目的限制」、「數據最小化」、「准確性」、「儲存限額」、「完整性和機密性」。互聯網讓我們的世界越來越聯動,為了在未來的商業活動中不觸犯法律的底線,做合法商業活動,讓我們一起來看一下這6大原則具體都包含了哪些內容吧。
1、個人數據必須是合法地,以善意和對數據主體合理的方式(「合法,公平,透明」);
processed lawfully, fairly and in a transparent manner in relation to the data subject (『lawfulness, fairness and transparency』);
即:對個人數據的處理過程中,無論是收集、傳遞還是使用,均要求符合法律規定,且符合透明性的要求。關於數據處理的公平性,有一個典型的例子,就是旅行社通過收集用戶登錄網站查詢機票和酒店的信息,分析其偏好,然後通過程序自動設定針對該用戶需要的機票和酒店漲價,這就是不公平的。
2、被收集用於指定的,明確的和合法的目的,不得以不符合這些目的的方式進一步處理; 根據第89(1)條,為公共檔案目的進行進一步處理,用於科學或歷史研究目的或用於統計目的,不得視為與原始目的不相符(「目的限制」)。
collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (『purpose limitation』);
即:意謂在個人數據的處理問題上必須滿足正當目的的要求,其後續的數據處理也不得違反初始目的的要求。
比如用於健康監測的APP需要收集用戶的各項身體指標,如果該數據進而被分發給一家葯品或醫療器械的銷售商,用於推銷,則超出了最初的處理目的,違反了GDPR。
3、合理地和限於與處理它們的目的有關的必要條件(「數據最小化」);
adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (『data minimisation』);
即:對於個人數據的處理數量以滿足該業務需要的最小數量為限,不得收集任何非必須的個人數據。
4、准確,並在必要時保持最新, 必須採取一切適當措施,確保及時刪除或糾正因處理目的不準確的個人資料(「准確性」);
accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (『accuracy』);
即:明確對個人數據的使用要保持數據的真實准確,在個人數據更新時必須及時同步更新或者及時刪除。
5、存儲的形式允許僅在為處理目的所需的時間內識別數據主體; 個人數據可以存儲較長時間,前提是個人數據受本法規要求的適當技術和組織措施的保護,以保護數據主體的權利和自由,僅用於公共利益或科學和歷史研究目的或根據第89(1)條(「儲存限額」)進行統計處理。
kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (『storage limitation』);
即:歐盟GDPR明確了可以超期儲存的個人數據情形,包括為實現公共利益、進行科學或者歷史研究、但是為了保障數據主體的權利和自由,要求必須採用該條例所規定的合理技術與組織措施方可進行。
6、以確保個人數據的適當安全性的方式處理,包括使用適當的技術或組織措施(「完整性和機密性」)防止未經授權或非法處理以及意外丟失,破壞或損壞。GDPR第四章對數據安全有專門規定。
processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (『integrity and confidentiality』).
即:明確個人數據處理過程中,獲取該數據者必須經過嚴格授權,避免數據被非法處理或者不當泄露。
2. 歐美個人數據保護法規簡介:GDPR
該條例於2018年5月生效,GDPR的目標是保護歐盟公民免受隱私和數據泄露的影響,同時重塑歐盟的組織機構處理隱私和數據保護的方式。
其中重要的定義有
「個人數據」指與 已經識別(identified)或可被識別(identifiable)的自然人(「數據主體」)相關的任何信息 。
其中,「可被識別的自然人」,指 通過姓名、識別號碼、位置數據、在線身份識別碼等標識符,或通過針對該自然人的身體、生理、遺傳、心理、經濟、文化或社會身份等特定相關的一個或多個要素,能夠直接或間接地被識別出的個人 。
判斷自然人是否可被識別,應考慮數據控制者或另外一人可能合理使用到的所有方式(all the means reasonably likely to be used)。判斷何種方式為「可能合理使用到」,應考慮所有客觀因素:例如當前現有的技術、技術的發展、識別所需的成本和時間等。
GDPR通過抽象定義對個人信息的管轄范圍劃定邊界,有一定的法例解釋空間。
屬地管轄」+「屬人管轄」+「保護性管轄
可以看出其管轄范圍大,關系復雜,
默認 13到16周歲兒童 對個人信息的處理行為不具備完全認知能力,因而需要監護人的授權,企業方能處理其個人信息。
數據的處理以數據主體 「同意」 為原則,數據主體有「撤回同意權」,並且 對敏感數據的處理及直接營銷、用戶畫像的行為擁有反對權 ,偏重於保護用戶的數據
其中對行使公務的反對權總以可見GPDR對數據隱私的保護力度之大
國內目前而言,尚未有成熟的數據保護條例和方案,原有的法律條文已經遠遠落後於當前國內信息產業的發展;一方面是國情使然,另一方面我國數據建設過程一直存在法律建設滯後的現象。
但在當前的國際大背景下,我國應該會很快研究出台相關的嚴格數據保護條例。
此外作為數據系統及應用研發人員,應該著手研究如何在類似GPDR的保護條例下利用數據發揮價值,這是十分值得研究的課題。