首页> 图书频道> 工学> 计算机科学

3.2 欧盟《通用数据保护条例》

2025年10月13日
版权
3.2 欧盟《通用数据保护条例》

自2018年5月25日起,欧盟实施了一系列全面的数据保护要求,影响范围涉及设立于欧盟的公司以及拥有欧盟顾客的公司。《通用数据保护条例》(“GDPR”)提供了一套通用的保障措施和要求,共同强化了个人有权获得的数据属性及其范围。GDPR第4条第(1)款将个人数据定义为“与已识别或可识别的自然人相关的任何信息('数据主体');可识别的自然人是可被直接或间接识别身份的人,特别是依靠姓名、身份证件号、位置数据、在线身份或该自然人特有的一个或多个因素,如物理、生理、遗传、心理、经济、文化或社会特征予以识别。”

在应用层面,GDPR对广泛的各类个人数据给予保护,包括:档案信息或当前生活状况,包括出生日期、社会保障号码、电话号码和电子邮箱地址;外形、外貌和行为,包括眸色、体重和性格特征;工作单位数据和教育相关信息,包括工资、纳税信息和学生证号;私人和主观数据,包括宗教、政治观点和地理跟踪数据;健康、疾病和遗传信息,包括病史、遗传数据和病假信息。[46]虽然存在例外,但一般情况下,数据挖掘方无法获取和传播有关个人种族和民族、政治、宗教或哲学信仰的信息,包括所属团体、健康状况、性生活和性取向以及能够识别个人具体身份的遗传和生物识别数据。

GDPR确立的主要数据保护有:

(1)确保知情同意的义务

数据挖掘方(GDPR中称为控制方和处理方)只能在合法且征得主体同意的情况下方可收集个人数据。个人数据处理的法律依据包括合同条款以及政府出于合法权益展开监视。数据控制方必须提供清晰易懂的条款说明将收集哪些信息。个人必须明确同意数据收集且有权撤回该同意。数据挖掘的主体必须在非强迫、自愿的条件下就具体内容给予知情且明确的同意。

(2)数据保护官的任命

根据GDPR的要求,非司法机构和商业企业若将个人数据处理作为核心业务的一部分,在法律上便有义务指定数据保护官(“DPO”)。DPO必须具备数据保护法和IT安全方面的专业知识,其职责包括帮助确保遵守所有相关的数据保护法、监控数据保护影响评估等特定流程、提高员工对数据保护的意识并展开相应培训,以及与监督部门合作。

(3)隐私影响评估

数据控制方必须就对自然人的权利和自由产生不利影响的高风险数据收集活动进行影响评估。此类活动包括评分/画像、对受影响人群造成法律后果的自主决策、系统监控、特殊个人数据的处理、大规模数据处理、对各类流程收集的数据进行合并或组合、无行为能力或行为能力受限者的相关数据、使用新技术或生物识别程序、向欧洲以外的国家传输数据以及阻碍有关人员行使其权利的数据处理。

(4)及时告知泄露事件

若发生安全泄露,数据控制方应在72小时内向顾客报告数据泄露事件。

(5)记录及个人的数据访问权

若用户请求访问现有数据,数据控制方必须免费、详尽地提供其所收集数据的电子副本。此外,还必须披露数据挖掘方如何使用收集的信息。数据处理活动的记录必须包含有关数据处理的重要信息,包括数据类别、数据主体所属群组、处理目的和数据的接收方。有关部门针对此信息提出请求时,必须完全予以提供。

(6)知情权

GDPR规定了数据控制方在透明度方面的总体义务,要求其授权个人了解自身数据的收集和使用情况。此规则适用于数据处理方直接访问数据及第三方获得访问权限的情况。若直接获得数据,必须立即告知当事人,即在数据被获取之时便予以告知。在内容方面,控制方的告知义务包括其身份、数据保护官的联系信息(如有)、处理目的和法律依据、追求的任何合法利益、个人数据传输的接收方及将个人数据传输至第三国的任何意图。

其他权利包括获知存储期限、数据主体的权利、撤销同意的能力、向有关部门投诉的权利以及获知个人数据的提供是出于法律还是合同要求。此外,必须告知数据主体包括画像在内的任何自主决策行为。

对于获得间接访问的企业,必须在合理的时间段内(通常为一个月)向数据主体提供信息。若收集的信息用于直接联系数据主体,主体有权在被联系的第一时间得到告知。间接数据处理方必须公开个人数据的来源,且提供的信息通常必须与直接获得数据的处理方所提供的信息相同。

(7)被遗忘的权利

数据的删除权源于个人针对谷歌提起的诉讼,诉讼人反对自己姓名的首页搜索结果指向很久前的破产申请。[47]当数据不再满足其原始处理目的、数据主体已撤销同意、没有其他合法或合理理由继续处理数据、或需要删除数据以满足欧盟法律规定的义务或成员国的权利时,GDPR要求立即删除个人数据。此外,若数据处理行为本身已违反了法律,自然也必须删除数据。

(8)数据可携带

GDPR确立了被收集个人数据的个体所享有的所有者权益。数据控制方必须提供对其收集数据的访问权限并将其开放给其他数据挖掘企业使用。GDPR第20条提出两项要求:“①数据主体有权从数据控制方处获得个人数据的副本;②有权将数据从一个数据控制方传输至另一数据控制方”。[48]

(9)从设计着手保护隐私

GDPR要求公司在设计其数据收集、处理、分析和营销系统时附以必要的安全协议,以满足《条例》规定的数据保护要求。若数据收集系统的设计不符合规定,数据控制方可能面临罚款。