开始学习数据主体权利部分的条文变迁。今天涉及关于告知和可携带权的要求变化(P157-160)。
GDPR Proposal主要旨在强化数据主体在DPD中已经规定的权利和保护,如通知义务、访问权、纠正权和删除权、反对权和不受自动决策(包括特征分析)约束的权利等。但也新增了一些权利如限制处理及数据可携带权。GDPR Proposal的另一项基本目标是提高数据处理的透明度,为此,改提案增加了对数据控制者较DPD更严格的信息透明义务。
Albrecht议员的报告中也有这些目标,尽管他倾向于加强现有权利,并试图通过其中的一些权利融合起来简化个人的法律框架。其扩大了数据访问权的内涵,包括以清晰明了的语言获取有关分析信息的权利,获得确认公共机构是否要求提供个人数据的权利,相关机构是否遵守此类要求的信息以及对披露数据的概述。
1.告知义务与隐私政策
与DPD相比,GDPR Proposal的第11条对控制者的隐私政策提出了更严格的要求,要求这些政策透明且易于访问。Albrecht议员的报告在许多情况下加强了控制者的告知义务。共同控制者同样也受增强通知义务的调整,因为他们必须描述其间的角色和责任分配。报告还鼓励使用多层次隐私通知与符号并用。关于何为多层次隐私通知(multilayered privacy notices),英国ICO(Information Commissioner's Office)在其官网提供了示例。另一个比较好的例子大概是苹果的隐私政策,有兴趣的朋友也可以去搜一下。


LIBE委员会折衷文本的第13a条要求控制者使用图标来制定隐私政策,图标将以图形方式描述大量元素,例如个人数据如何收集、保留和与第三方共享,以及如何使用加密。此外,折衷文本规定隐私政策应尽可能清晰透明,不应包含隐藏或不利条款。
欧盟委员会的文本提到了使用可视化的可能性(引言46),但总体上仍然更接近LIBE委员会的文本,并且要求隐私政策中包含比DPD下更多的元素,例如在相关情况下提及合法权益、数据传输、撤回同意权和数据可携带权。
GDPR第12-14条要求控制者以简洁、透明、易懂且易于获取的形式,使用清晰明了的语言,向个人提供描述数据收集目的的信息。
GDPR同样也要求用“concise, transparent, intelligible and easily accessible form, using clear and plain language”,也就是说要说人话。《个保法》也基本吸收了上述表述。GDPR第12条中另一个让我关注的点是响应日期原则上1个月,特别复杂的可以延长2个月,也就是合计3个月。国标35273的规定是30个工作日,而《个保法》中并未规定具体时间限制。
GDPR:第12-14条(太长了不放了)
《个保法》:第十七条个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
2. 可携带权
GDPR Proposal第18(1)条通过创建新的“数据可携带权”,进一步加强了个人对其个人数据的控制。这项权利旨在允许个人更轻松地调整在线服务,因赋予其以常用的电子和结构化格式从服务提供商处获取数据副本的权利。第18(2)条增加了从一个控制者向另一个控制者输出数据的权利,而不受第一个控制者的阻碍。相比之下,Albrecht报告将数据可携带权视为访问权的“纯粹规范”。
欧盟委员会的版本缩小了接受数据的范围,仅限于“个人曾提供给控制者的数据”。因此,如果处理数据的合法性基础是同意及合同履行且通过自动化方式进行则适用。然而控制者需要以机器可读的格式提供数据,允许个人将数据提供给另一个数据控制者。
当初我学《网数条例(征)》的时候,详见《网络数据安全管理条例》逐条学习笔记(三),就被这个“结构化查询”搞蒙了,感觉并不是法言法语,现在看了GDPR才知道,原来是抄老师的,其实就是电脑能读懂的,不能是纸张的。之前听讲座说,可携带权的设置初衷是为了打破数据巨头的垄断,但由于只有巨头才可以提供结构化的数据查询和接收,反而在欧盟又加重了巨头的垄断。不知道未来在中国可携带权到底会如何落地。毕竟现在各大巨头的个人信息查询已经做了,但大部分都是形式上完成任务。实质实现APP间的携号转网,道阻且长。
GDPR:Art. 20 Right to Data Portability
第二十条数据可携带权
1.The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:
1.满足以下情形时,如果数据主体向某数据控制者提供了与其有关的个人数据,那么该数据主体有权从该数据控制者处获取结构化、通用化和可机读的 上述数据;同时,数据主体有权将这些数据转移给其他的数据控制者,原数据控制者不得进行阻碍:
(a)the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and;
(a)当处理是基于第6 条第1 款( a )项数据主体同意的情况下或基于第9 条第2 款( a )项的规定(note by 小何:即基于明确同意处理敏感个人数据)或基于第6 条第1 款( b )项合同约定的情况下;
(b)the processing is carried out by automated means;
(b)通过自动化决策进行处理的情况下;
《个保法》:第45条个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
《网数条例(征)》:第23条个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:
(1)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;……
GDPR评注学习笔记(6)--条文变迁(告知、可携权)
作者:何琛来源:数据何规

开始学习数据主体权利部分的条文变迁。今天涉及关于告知和可携带权的要求变化(P157-160)。