今天继续学习定义部分的条文变迁。GDPR草案第4条修改了Data Protection Directive 95/46(DPD)中的一些定义,如“个人数据”,并引入了新的定义,包括“儿童”、“个人数据泄露”、“遗传数据”、“健康数据”、“公司约束规则”和“主要营业场所”等。(P148-151)
1.个人数据
GDPR原文:A.4(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
GDPR译文:第4条第(1)款 “个人数据”指任何与已识别或可识别自然人(“数据主体”)有关的信息;可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人。
《个保法》:第4条第1款 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
GDPR Proposal将地理位置数据和在线标识符(如IP地址、cookie等)列为个人信息。但GDPR interservice version也额外澄清,“标识号、位置数据、在线标识符或其他特定信息并非在所有情况下都绝对被视为个人数据”。此外,因为匿名化的数据不再具有可识别性,因此也不受GDPR调整。
Albrecht议员的报告说明IP地址、cookie和其他唯一标识在大多数情况下都会被视为个人数据,因为它们会留下痕迹,可以用来识别自然人,除非可以证明它们不允许挑出自然人。此外报告指出,公司的IP地址就不应被视为个人数据。
相比之下,LIBE委员会的折衷文本明确指出,cookie和IP地址构成个人数据,除非其与已识别或可识别的个人无关(引言24),并且Albrecht报告中提及的公司使用的IP地址不是个人数据的内容被删除。
欧盟委员会的版本采取了更灵活的立场,增加了身份号码、位置数据、在线标识符或其他特定因素,如果这些因素没有识别出一个自然人,则不应被视为个人数据,个人或使个人可识别(引言24)。
GDPR最终稿明确,设备、应用程序、工具和协议提供的在线标识符,包括IP地址、Cookie标识符,以及其他标识符,如射频识别标签(“RFID”),可能会留下可用于识别个人的“痕迹”,特别是当与“服务器接收的唯一标识符和其他信息”结合时(引言30)。
《个保法》和GDPR对个人信息的定义几乎是一样的,因此很多我们纠结的问题,其实可以看看域外的实践。比如之前的声音是个人数据吗。GDPR改了这么多次,在线标识符如(IP、cookie等)到底是不是个人数据,最终还是给出了一个比较确切的答案“是”。在《个保法》的语境下,我也持相同观点,一方面国标35273明确了,另一方面根据可识别路径,只要成为识别出某个自然人拼图的一组成部分就是个人信息,还是比较宽泛的。
2.儿童
GDPR原文:A.8(1) Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.
Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.
GDPR译文:第8条第(1)款 在向儿童直接提供信息社会服务的情形中适用本条例第6条第1款(a)项的规定时,只有对年龄不小于16周岁的儿童的个人数据进行的处理行为才是合法的。对年龄不满16周岁的儿童,处理行为只有或至少在获取了该儿童的监护人的同意或授权时才是合法的。
成员国出于特定目的可以在法律上规定更加低的年龄界限,但是不得低于13周岁。
《个保法》:第31条第1款 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
DPD中没有关于儿童数据处理的相关规定,这点大收购并,因此GDPR在第8条作出回应。GDPR Proposal引入了“儿童”的新定义,将其定义为18岁以下的任何自然人,以在处理儿童数据时补充一系列保护措施。然而,在随后的立法过程中,“儿童”的定义最终被从第4条删除。未经监护人同意,不得在网上处理个人信息的最低年龄被降低至13岁。立法过程中,各成员国法律中,对儿童定义的差异非常具有争议。
相较于GDPR的16岁,并且赋权各国可自主将下限调至13岁。《个保法》与《未成年人保护法》《儿童个人信息保护规定》《个人信息安全规范》中的规定保持一致,将儿童定义为“未满14岁的未成年人”。
3.假名化和匿名化
GDPR原文:A.4(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person.
Recital 26 The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.
GDPR译文:第4条第(5)款 假名化机制(pseudonymisationpseudonymisation):是指以如下方式处理个人数据,即:除非使用额外信息,否则无法将个人数据连结到某个具体的数据主体,且上述额外信息应当被独立存储并受制于适当的技术和组织措施,以确保个人数据不会连结到某个已识别或可识别的自然人。
引言26 因此,数据保护的原则不适用于匿名信息,即与已识别或者可识别的自然人无关的信息,或者以某种导致数据主体不可识别或不再可识别的方式匿名提供的个人数据。
《个保法》:第72条第2款 ……
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
DPD中没有假名化数据的定义,是有Alrecht议员在其报告中首次提出的。假名意味着“特定于某一特定语境的唯一标识符,不允许直接识别自然人,但允许单独识别数据主体”。引入假名的目的是提供一些灵活性,随着个人数据的假名处理而承担更轻的数据保护义务。
Allrechet报告中亦引入了匿名化数据的定义“任何不能直接或间接、单独或与关联数据结合与自然人相关的数据,或建立这种关系需要不成比例的时间、费用和精力,考虑到处理时的技术现状以及数据处理期间的开发可能性”。匿名化处理的数据不受GDPR约束。
LIBE委员会的折衷文本修改了假名数据的概念,并引入了加密数据的新概念。它将“假名数据”定义为“不使用额外信息就不能归属于特定个人的个人数据”,只要这些信息是单独保存且安全的。”“加密数据”是指由于安全措施而被未经授权访问“无法理解”的个人数据。同时强调此类数据在GDPR下被视为个人数据,但补充说,它们将受到不那么严格的要求。
欧盟委员会的版本没有采纳欧盟议会关于虚假和加密数据的概念,但添加了“假名化”的概念。假名化被定义为“处理个人数据时,如果不使用额外信息,数据就不能再归属于特定的数据主体,只要这些额外信息单独保存,并遵守技术和组织措施,以确保不归属于已识别或可识别的人”。虽然插入化名概念的最初目的是提供一些灵活性,但理事会的版本取消了这种灵活性,规定虽然“化名”降低了处理风险,但无意排除任何其他数据保护措施。
GDPR将化名视为一种增强隐私的措施,旨在降低在数据池中挑出一个人的风险。它也是一种法规遵从性工具,帮助控制者和处理者满足他们的数据保护义务(引言28)。议会关于将加密数据视为单独的个人数据类别并定义匿名数据的提案没有纳入GDPR。
这段条文变迁真的非常有意思,都能想象各个机构代表的利益进行角力。互联网巨头:来弄个假名数据吧,这样互联网企业的义务能轻一点。然后各种调整wording,议会过关了,结果到欧盟委员会那边还是被毙了。
《个保法》对匿名化和去标识化个人信息的定义与GDPR几乎一致。只不过在GDPR中去标识化(de-indentificaytion)的表述为假名化(pseudonymisation),但均不会导致相关个人信息保护义务降低。而匿名化的表示都太过绝对,导致在实践中,完全的匿名化几乎没法实现,所以多采取删除的方法。我个人反倒是觉得Allrechet报告中匿名化的表述更恰当。
GDPR评注学习笔记(3)--条文变迁(定义)
作者:何琛没有以来源:数据何规

今天继续学习定义部分的条文变迁。