L3-GDPR 具体权利篇

DGPR原则

GDPR Article 5Article,任何构成以上原则的例外情况或者限制情况必须由欧盟或者成员国法律明确规定( GDPR Article23)。

lawfulness指data processing必须有合法基础,符合第七条的规定。

fairness意在规范data subject和data controller的关系,后者必须以及时、透明、全面、易理解,且符合前者意愿的方式,就process的过程及潜在危害通知前者。EU handbook里说“the principle of fairness goes beyond transparency obligations and could also be linked to processing personal data in an ethical manner.”,这是一个有高度但落实需要很强技术的原则。

transparency贯穿始终,controller在收集、处理数据事前、事中、事后都有义务keep data subject informed的义务,范围与fairness基本一致,且不能对此义务设置不合理的限制。Haralambie v. Romania( No. 21737/03, 27 October 2009 )案中,公民向公权力机构要求获得其持有个人信息的情况,而公权力机构表明请求作出的五年后才能提供信息。对此,ECtHR认为获取公权力机构持有的个人信息情况对于data subject的利益至关重要,文件的数量过多或者文档系统的问题都无法合法化该迟延行为,公权力机构负有提供有效程序义务使个人能在合理的时间内获取信息。 

purpose limitation要求data processing的目的事前必须清晰界定,且过程中必须符合设定的具体目的,即使发生了变化,新的目的必须满足compatible的条件(Article 6(4) GDPR),否则应具备新的legal basis, 这主要是为规范数据滥用。well-defined/explicit/ specified /legitimate purpose是提升透明度、可预测性、用户控制力的重要前提,这要求controller对自身的行为操作审慎界定,也让data subject更好了解过程。

data minimization要求信息收集的范围以达成目的为限。在 Digital Rights Ireland( C-293/12 and C-594/12)一案中, CJEU认为尽管Data Retention Directive旨在维护公共利益、预防和治理犯罪,然而不加区分、不设限制地对所有人、所有电子通讯与交流信息进行收集的做法显然超出了原先的目的。


重点条文解析

1.Article 6 lawfulness of processing 

1、2偏向于私法,意思自治为主导;3、4、5需要欧盟或者成员国进行细化立法,明确lawful processing的情况,以保护data subject,限制data controller;6像是兜底条款,通过利益权衡的方式认定process的合法性,不过值得注意的是该条款并不适用于公权力机构执行职责事务的情形。

2.Article 7 consent rule 

consent rule的逻辑是尽可能降低data subject理解的难度,否定混淆情况,否定获取不必要的consent,避免data subject踩坑。任何违反GDPR的内容都不具有约束力,是对data subject非常强的保护了。

3.A9 Special data & legal basis 

对于genetic data/ biometric data/ data concerning health,成员国需要进一步细化法律,明确限制。

4.Article 13 right of information 

当data controller收集信息时,需要向DS提供部分的信息,大致分为强制性提供、必要性提供、补充性提供。

这里的信息提供给并不以DS主张为前提,controller应该主动提供。此外,为了限制权利滥用、追求效率,A13(4)规定“Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information.”

第14款则规定controller在收集数据前该提供哪些信息。

5.Article 15 right of access  

本条规定DS享有权利知道其数据是否、在何处进行processing,并有权获得相关信息(与第13条类似)。

DS有权要求提供复印件(controller只能收取合理费用),当DS要求电子形式时则必须提供该形式。

Q:A13-15的关系 

6.Article 17 right to be forgotten 

data subject有权要求controller及时删除个人数据,但这不是绝对权利,必须满足一定条件。具体而言,只有当data subject的基本权利比其他人利益或公众知情权更加重要时,该权利主张才能成立。

双方的合法依据

涉及到权利平衡,必然需要落实到个案的具体分析。从信息内容的性质来看,如果与个人私密生活相关,与公共利益无关,那么数据保护与隐私则更重要;如果当事人为公众人物或者所涉信息涉及公众知情权,那么数据保护与隐私则极有可能会受限。

Camera di Commercio di Lecce v. Manni(CJEU, C-398/15)一案中,由于公司的法律事务并不因破产而完全终结,且考虑到第三方的知情权、商业社会对于法律风险的可预期性,法院认为原告基于其与破产公司相关联的信息将影响到potential client并不足以使其主张成立。

Google Spain v Costeja (ECJ C-131/12)一案中,法院基于时间长度、危害程度、     认定原告的主张成立。

search engine 认定为controller? 

利益平衡是什么做的?

【具体内容是什么?guideline的逻辑是什么?】Article 29 Working Party (2014), Guidelines on the implementation of the CJEU judgment on “Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/12, WP 225, Brussels, 26 November 2014

7.Article 20 right to restrain profiling

当DS提出要求限制、纠正或者拒绝,或data processing缺乏合法基础时,data processing将会受到暂时限制。

7.Article 20 right of portability 


基于私法关系上的data processing 在技术可行的情况下实现不同data controller之间的转移,加强DS的控制力,同时也有利于打破垄断。

8.Article 21 right to object 

right to object  to personal data processing并非是一般性的权利,在具体情境下才能行使。(ECtHR, M.S. v. Sweden, No. 20837/92, 27 August 1997; ECtHR, Leander v. Sweden, No. 9248/81, 26 March 1987; ECtHR, Mosley v. the United Kingdom, No. 48009/08, 10 May 2011) 

第1款规定了2种情况下DS可以主张权利,但这不是决定的,需要经过利益权衡才能判断是否可成立;在 direct market processing,DS可以直接主张权利,背后的逻辑在于GDPR认为个人的基本权利大于公司的商业利益;此外,DS还可以对information society services automatic processing、科技/历史/统计processing中对个人部分提出反对。

为了保障DS的权利,第四款规定了controller必须告知DS该权利,时间点为至少“ at the time of the first communication with the data subject”,形式“clearly and separately from any other information.”,效果“explicitly brought to the attention of the data subject”,否则controller便违反了义务。

Article 22 right to object to automatic-profiling 

 The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. 

Art4(4) ▪‘Profiling' means any form of automated

processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements

条件

1[过程]当决策是完全自动化作出,不涉及人为因素;自动化决策指通过自动化的方式对于个人的某些方面进行评估。

2[结果]决策的结果产生了法律后果或者类似程度的后果,例如信用评价、招聘结果、工作表现、可靠性分析、警察对犯罪嫌疑的判断……总体而言,决策结果需要造成一定程度的影响。(脑补:单身A男对相亲网站通过大数据给自己匹配的对象都不满意,这样程度的影响是不是稍微低一些?)

3[效果]该权利是blanket prohibition 还是objection?

根据Article 29 Working Party, 这项权利相当于原则性禁止条款,并不要求data subject采取主动方式对决策进行反对。然而GDPR 22(2) 列举了三种可进行自动化决策的情况:(1)履行合同之必须 (2)法律许可且确保安全保障 (3)data subject明确同意 。

因此,当data subject在所列三种情况之外,对于决策有异议,自然便可主张该权利,那么面临以上三种情况,该如何解决呢?

GDPR 22(2) 的文本为“Paragraph 1 shall not apply if the decision......" ,似乎意味着该项权利不能行使,而GDPR 22(3)该规定即使在以上三种情况中,data controller 也必须采取必要措施保障data subject的权利与利益,至少包括obtain human intervention on the part of the controller/ to express his or her point of view/contest the decision.【如何理解?权利的边界问题】 

此外,GDPR 22(4)规定自动化决策不能基于第九条的特殊数据,除非得到符合第九条第2款中(a)明确的同意或者(g)公共利益限制。

因此,GDPR并不禁止profiling,因为data subject可以通过“explicit consent”(A6(1)、A22(2)(c)),事后也可以通过利益权衡 (A22(2)(a))使得profiling合法化,法律也可以事先合法化。 

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,386评论 6 479
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,939评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,851评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,953评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,971评论 5 369
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,784评论 1 283
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,126评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,765评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,148评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,744评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,858评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,479评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,080评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,053评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,278评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,245评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,590评论 2 343

推荐阅读更多精彩内容

  • rljs by sennchi Timeline of History Part One The Cognitiv...
    sennchi阅读 7,289评论 0 10
  • **2014真题Directions:Read the following text. Choose the be...
    又是夜半惊坐起阅读 9,382评论 0 23
  • 本周的践行主要是看孩子的码图,欣赏孩子身上的优点,我儿子小名果果,学名熊溟骁,主性格为8,七魄有2个2,2个4、1...
    周志英阅读 194评论 1 0
  • 很久很久以前,广东电台音乐之声在午间有个讲古(说书)节目,有段时间,讲的是《天龙八部》。在讲古结束后,会响起一首主...
    林慕言阅读 375评论 0 4
  • 水仙花又名雅蒜,为石蒜科多年生草本花卉。水仙花洁白高雅,香气浓郁,是我国十大名花之一。水仙花有六个花瓣,洁白...
    天高云淡G阅读 1,843评论 0 4