欧盟《通用数据保护条例》GDPR
该条例于2018年5月生效,GDPR的目标是保护欧盟公民免受隐私和数据泄露的影响,同时重塑欧盟的组织机构处理隐私和数据保护的方式。
其中重要的定义有
个人数据
“个人数据”指与已经识别(identified)或可被识别(identifiable)的自然人(“数据主体”)相关的任何信息。
其中,“可被识别的自然人”,指通过姓名、识别号码、位置数据、在线身份识别码等标识符,或通过针对该自然人的身体、生理、遗传、心理、经济、文化或社会身份等特定相关的一个或多个要素,能够直接或间接地被识别出的个人。
判断自然人是否可被识别,应考虑数据控制者或另外一人可能合理使用到的所有方式(all the means reasonably likely to be used)。判断何种方式为“可能合理使用到”,应考虑所有客观因素:例如当前现有的技术、技术的发展、识别所需的成本和时间等。
GDPR通过抽象定义对个人信息的管辖范围划定边界,有一定的法例解释空间。
管辖权原则
属地管辖”+“属人管辖”+“保护性管辖
- 属地管辖:GDPR管辖任何发生在欧盟境内的数据处理行为;
- 属人管辖:数据控制者和处理者的经营场所(establishment)在欧盟境内,不论该数据处理的行为发生在境内或境外,该数据控制者或处理者及其欧盟境内的营业场所都将受到GDPR的约束——前提是该数据控制者或处理者与欧盟境内的营业场所之间存在“不可摆脱的联系”(inextricable link)
- 保护性管辖:无论数据控制者和处理者是否在欧盟境内有实体机构,也不论数据处理行为是否发生在欧盟境内,只要向欧盟数据主体提供产品或服务(无论该产品或服务是否需要支付对价)或监控其行为,或只要处理或持有居住在欧盟的数据主体的数据的所有企业,都受GDPR的管辖。
可以看出其管辖范围大,关系复杂,
数据跨境传输管控
- 数据输入者所在国是否被列入“充分性认定白名单”
- 若所在国未进入上述“充分性认定白名单”,则判断是否提供适当协议、行为准则为跨境传输提供保障
- 若不满足上述(1)、(2)两项,则判断企业集团内部是否建立起有约束力的公司规则(BCR)并被监管机构批准:
- 若不满足上述的(1)、(2)、(3)中任意一项,那么向第三国或国际组织传输个人数据仅能在满足如下条件时才能发生:
包括数据主体明知缺少上述保障却仍然同意跨境传输;为履行数据主体和控制者之间的合同的目的而传输;跨境传输对于履行其他人之间的合同是必要的;当数据主体客观上或法律上不能做出同意时,该传输对于保护数据主体或他人的重要利益是必要的
...
- 上述第(4)条判断标准的前提是,必须要通过“必要性测试”和“偶然性判定”:
保护的隐私数据:
- 基本的身份信息,如姓名、地址和身份证号码等;
- 网络数据,如位置、IP地址、Cookie数据和RFID标签等;
- 医疗保健和遗传数据;
- 生物识别数据,如指纹、虹膜等;
- 种族或民族数据;
- 政治观点;
- 性取向。
儿童信息处理
默认13到16周岁儿童对个人信息的处理行为不具备完全认知能力,因而需要监护人的授权,企业方能处理其个人信息。
数据主体反对权
数据的处理以数据主体“同意”为原则,数据主体有“撤回同意权”,并且对敏感数据的处理及直接营销、用户画像的行为拥有反对权,偏重于保护用户的数据
数据主体的“撤回同意权”:数据主体有权随时撤回同意。同意的撤回不应影响在撤回前基于同意做出的数据处理合法性。
敏感数据处理的反对权:数据主体应有权利反对特殊情形的个人数据(即宗教、种族、工会成员等敏感数据)的处理,应当由控制者来证明控制者不可抗拒的合法利益与数据主体的利益或者基本自由或权利产生冲突。
直接营销及用户画像的反对权:当以直接营销为目的处理个人数据时,数据主体应有权在任何时间反对免费的处理,包括与该直接营销有关的用户数据画像。
对“行使公务”的反对权:数据主体有权反对控制者为了执行公共利益领域的任务,或行使控制者既定的公务职权之必要,对其个人数据进行的处理,包括根据这些条款进行的用户数据画像。除非控制者能够证明其合法利益高于数据主体的利益、权利和自由,或者法定请求权的确立、行使和抗辩有强有力的法律依据。
其中对行使公务的反对权总以可见GPDR对数据隐私的保护力度之大
总结
国内目前而言,尚未有成熟的数据保护条例和方案,原有的法律条文已经远远落后于当前国内信息产业的发展;一方面是国情使然,另一方面我国数据建设过程一直存在法律建设滞后的现象。
但在当前的国际大背景下,我国应该会很快研究出台相关的严格数据保护条例。
此外作为数据系统及应用研发人员,应该着手研究如何在类似GPDR的保护条例下利用数据发挥价值,这是十分值得研究的课题。
