01、法条原文
Art. 5 Principles relating to processing of personal data
第五条个人数据处理的原则
- Personal data shall be:
1.个人数据的处理必须遵循以下原则:
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);
(a)合法、公平地并且以公开透明的方式对数据主体的个人数据进行处理(合法、公平和透明);
(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);
(b)基于具体、明确、合法的目的收集个人数据,且随后不得以与该目的相违背的方式进行处理;第89条第1款中为实现公共利益存档目的、科学研究或历史研究目的、统计目的而进行的进一步数据处理不视为与最初目的相违背(目的限制);
(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);
(c)数据处理应是充足的、相关的并且限于数据处理目的最小必要范围(最小范围原则);
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);
(d)数据应是准确的,且若有必要应保持适时更新,采取一切合理措施确保与数据处理目的相悖的错误数据被及时清除或更正(准确性原则);
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);
(e)以可识别数据主体身份的形式存储的数据的存储时间不能长于实现个人数据处理目的所必须的时间;
个人数据仅在依据第89条第1款的规定,为公共利益存档目的、科学研究或历史研究目的、数据统计目的的情况下才可被储存更长时间,而且为保障数据主体的权利和自由,个人数据还应受本条例要求的适当技术和组织措施的调整(存储限制原则);
(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).
(f)数据处理应当以确保个人数据的适当安全性的方式进行,包括采取适当的技术或组织措施以 保护数据免遭未经授权或非法的处理以及意外的丢失、销毁或破坏(完整性和保密性)。 - The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’).
2.数据控制者应当对上述原则的 落实情况承担责任并予以证明(可问责原则)。
02、评注大意
2.1 理论和政策基础
GDPR第5条规定了构成个人数据保护基础的所有关键原则:合法性、公平性和透明性;目的限制;数据最小化;准确性;存储限制;完整性和保密性;以及问责性。某些原则在条例的其他部分得到了进一步发展。例如,透明性原则(第5条(1)(a)款)以告知数据主体的义务形式出现(第12条及其后续条款),完整性和保密性原则(第5条(1)(f)款)在第32条及其后续条款中得到详述,问责性原则(第5条(2)款)则在第24条和第25条等条款中进行了详细阐述。
数据保护的基本原则与几十年来管辖此领域的其他规则相比并未发生实质性变化。1980年OECD指南和1981年的108号公约所规定的原则已证明其能够经受时间考验:“超过30年的实际应用已证明这些原则是合理的”。这些原则确实可以适用于不同的技术、经济和社会背景。到目前为止,还没有人能够令人信服地声称包含在数据保护指令95/46的第6条——以及公约108的第5条中的数据保护的实质性原则必须被修改。
因此,GDPR并未对这些原则进行根本性更改。尽管如此,GDPR中确实进行了某些调整和补充。
2.2 立法背景
2.2.1 欧盟立法
DPD、EUDPR、LED中关于个人数据处理原则的规定与GDPR的内容大体一致,但也存在细微区别。
2.2.2 国际文件
《108号公约》的第5条影响了数据保护指令(DPD)的第6条,后者不仅复制了前者的条款,并且做了一定补充,进而又成为通用数据保护条例(GDPR)第5条的基础。《108号公约》第5条涵盖了处理合法性和公平性、目的限制、数据最小化、数据准确性以及存储限制等原则。该公约第7条题为“数据安全”,要求采取适当安全措施,保护个人数据不受意外或未经授权的销毁、丢失、访问、更改或传播的风险。然而,该公约中并未具体提及问责原则。
现代化的《108号公约》在上述两个方面引入了新元素。安全要求经过稍微修改,明确规定每个缔约方应确保控制者,以及适用情况下的处理者,采取适当的安全措施,以防范意外或未经授权访问、销毁、丢失、使用、修改或泄露个人数据等风险。此外,新增了数据泄露通知义务。问责原则在新增的第10条(1)款中体现,规定缔约方应确保控制者和处理者采取所有适当措施,遵守公约规定的义务,并能够证明其合规性。
2.2.3 判例
欧洲法院(CJEU)在Bara案件中裁定,公共行政机关在将个人数据转移给另一公共行政机关时,公正处理个人数据的要求规定了必须通知数据主体。法院还在Schecke案中裁定,处理个人数据的法律义务(在此案中是公开欧盟农业基金的每位受益人的个人数据)必须尊重比例原则(这是合法目的要求的一部分)。法院已在多个案件中审查了这一比例原则的遵守情况,其中最著名的是Digital Rights Ireland案。在该案中,法院认定未遵守该原则。法院特别指出,应有标准来确定与处理目的相关的数据,以及确定数据保留的适当时限。法院在Tele2案中进一步表示,规定普遍且无差别保留个人数据的立法超出了严格必要的限制,不能被视为正当。TK案中,比例原则的考量也显得尤为重要,法院被要求评估,视频监控是否过度或与数据保护指令(DPD)第6条(1)(e)款相比不适当,特别是当控制者能采取其他措施保护相关合法利益时。
欧洲人权法院(ECtHR)反复裁定,处理个人数据在特定情况下可能构成对数据主体根据《欧洲人权公约》(ECHR)第8条(1)款的私人生活受尊重权的干预。为了被认为是正当的,这种干预必须符合法律(ECHR第8条(2)款),这可以与合法处理的要求相关联。法律必须对其效果是可预见的。在Rotaru案中,法院指出,为了可预见,国内法必须规定当局的权力限制:法律必须定义可以处理的信息类型、可以收集信息的人员类别、可以采取此类措施的情况、允许访问这些数据的人员以及这些数据的保留限制。
关于公平和透明原则,欧洲人权法院认为,未经数据主体知情收集和存储有关电话、电子邮件和互联网使用的个人信息,构成了对其根据ECHR第8条(1)款的私人生活和通信受尊重权的干预。法院还表示,数据主体对其数据有一定的访问权。在M.S.案中,法院补充了透明度要求,即使用个人数据(如向第三方通报数据)的操作应在数据主体的合理预期范围内。法院指出,所涉数据的进一步使用追求了不同的目的,超出了申请人的预期,并得出结论,这构成了对申请人私人生活权的干预。
在S. and Marper案中,法院确认,根据ECHR第8条(1)款的权利的数据处理必须是成比例的,即与追求的合法目的相适应且必要,意味着没有其他适当且侵入性较小的措施可以关于数据主体或社会的利益、权利和自由。此外,处理不应导致与控制者预期的利益相比过分干预这些个人或集体利益。特别是,数据的保留必须与收集目的成比例,并在时间上受到限制。正如
法院在S. and Marper案中所述:“国内法应确保此类数据与其存储目的相关且不过分,并且只能以允许识别数据主体的形式保存,且保存时间不得超过存储这些数据的目的所需。”
2.3 分析
2.3.1 合法、公正、透明原则(A5.1.a)
数据保护的第一个基本原则是个人数据应“以合法、公平且透明的方式相对数据主体进行处理”。
如同在DPD中一样,数据处理必须合法的要求本质上意味着它遵守所有适用的法律要求(例如,如果适用,则遵守专业保密义务)。通用GDPR第6条已被重新起名为“处理的合法性”,而不是像DPD中的“使数据处理合法的标准”,并且在这一条款中可以找到处理合法的核心条件。实际上,GDPR第6条(1)款规定,处理仅在至少满足其列出的条件之一时才是合法的。同样,《法律执法指令》(LED)第8条规定了该领域处理合法所需的条件。合法处理原则还应参照《欧洲联盟基本权利宪章》(CFR)第52条(1)款和《欧洲人权公约》(ECHR)第8条(2)款中关于合法限制数据保护权或私人生活受尊重权的条件来理解。因此,要被视为合法,个人数据的处理应符合法律,追求合法目的,并在民主社会中为实现该目的必要且符合比例原则。
公平处理意味着数据未通过不公平手段、欺骗或未经数据主体知情而获得或以其他方式处理。为了清晰起见,GDPR的作者决定将透明原则明确包括在要求数据处理合法和公平的要求中,而在GDPR之前,评论者将透明要求解读为公平概念的一部分。
透明原则的内涵主要由Recital 39解释,翻译如下:
Recital (39) 序言(39)
Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed.
任何数据处理行为都应是合法的、公平的。收集、使用、咨询或以其他方式处理个人数据以及个人数据已经或将被处理至何种程度的情况应对自然人保持透明。
The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used.
透明原则要求,与处理个人数据有关的任何信息和交流都应易于访问和易于理解,且应使用清晰简明的语言。
That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed.
该原则主要是关于向数据主体提供有关数据控制者身份和处理目的的信息,提供补充信息以确保公平、透明地处理有关自然人的个人数据,以及保障自然人获得与其有关的个人数据已被处理的确认和知情的权利。
Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing.
应当告知自然人与个人数据处理有关的风险、规则、保障措施和权利,以及如何行使其与此类处理有关的权利。
In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data.
个人数据处理的具体目的应当明确、合法,并在个人数据收集时已经确定。
The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed.
个人数据应当充分、相关、且仅限于为处理目的所必需。
This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum.
这尤其要求确保将个人数据的存储期限限定至一个精确的最短期间。
Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means.
只有在无法通过其他方式合理实现处理目的时,才可以进行个人数据处理行为。
In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review.
为了确保个人数据的存储不会超过必要时间,数据控制者应当设定销毁数据或者定期检查的时间限制。
Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted.
应当采取所有合理措施,修改或删除不正确的个人数据。
Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.
个人数据应以确保个人数据的适当安全性和保密性的方式进行处理,包括防止未经授权访问或使用个人数据和用于处理的设备。
Recital 39指出,应使自然人意识到与个人数据处理相关的风险和保障措施时。在第13条和第14条的信息义务中找不到这样的要求。然而,很难想象这种关于风险的通知要求如何具体实施。
在LED中没有明确的透明要求似乎是合乎逻辑的,因为在大多数情况下,系统性的透明度会妨碍公共当局的犯罪预防活动或刑事调查的效率。
2.3.2 目的限制原则(A 5.1.b)
数据保护的目的限制原则长期以来一直被视为数据保护的基石,也是大多数其他基本要求的前提条件。该原则要求数据必须为特定的、明确的和合法的目的收集(即“目的限制”维度)并且不能以与这些目的不兼容的方式进一步处理(即“兼容性使用”维度)。处理个人数据的目的应在收集个人数据时就已确定。为不明确或不限制的目的处理个人数据是非法的,因为它无法确切地界定处理的范围。数据处理的目的还必须是明确无误且清楚表达的,而不是保持隐秘。最后,这些目的必须是合法的,这意味着它们不得以数据控制者的利益为名,对相关权利、自由和利益造成不成比例的干预:
所谓的合法目的取决于具体情况,其目的是为了确保在每个实例中对所有相关的权利、自由和利益进行平衡;一方面是个人数据保护权,另一方面是其他权利的保护,例如在数据主体的利益与控制者或社会的利益之间的平衡。
在所有情况下,为非法目的(即违反法律的)的数据处理不能被视为基于合法目的。
目的限制原则的第二个维度意味着,控制者可以对这些数据执行所有可以被视为与初始目的兼容的操作。实践中,这种“兼容性”数据处理的概念引发了许多问题。GDPR的作者们试图更好地界定这一概念。因此,第6条(4)款提供了一系列标准,以确定为了与收集个人数据时的目的不同的其他目的进行处理是否被视为与该初始目的兼容。应考虑两种目的之间的可能联系,个人数据收集的背景,特别是数据主体与控制者之间的关系,个人数据的性质(普通或敏感),预期的进一步处理对数据主体可能产生的后果,以及是否存在适当的保障措施。
GDPR的另一个新要素是澄清,在某些情况下,即使新目的与第一个目的不兼容,也允许为了其他目的处理个人数据。实际上,GDPR最初的委员会提案非常广泛地开放了这种可能性,这本来会将目的限制原则削弱到极点。理事会最初甚至想更进一步,提议授权为了不兼容的目的进行进一步处理,前提是由同一控制者进行,且控制者或第三方的合法利益优先于数据主体的利益。这一提议受到了严重批评,会使目的限制原则完全失去意义。最终文本恢复了目的限制原则的保护目标,但在以下两种情况下予以放宽:如果数据主体同意新的不兼容目的,或者如果处理基于联盟或成员国法律。LED第4条(2)款允许公共当局出于预防、调查或起诉刑事犯罪的目的处理数据,即使这些数据最初是为了不同目的收集的,但条件是控制者被授权根据联盟或成员国法律处理此类个人数据,且处理是为了新目的必要且成比例的。
某些数据再利用被认为在满足某些条件的情况下是兼容的,正如先前在DPD下允许的那样。这些是“用于公共利益档案保存目的、科学研究或历史研究目的或统计目的的进一步处理”。这些进一步处理的类别比以前略微狭窄,因为先前的“历史目的”已转变为“档案保存目的”——且仅限于“公共利益”——以及“历史研究目的”。“科学目的”也缩减为“科学研究目的”。欧洲委员会的一项建议中对这些术语进行了一些阐释,指出数据用于科学研究目的旨在为研究人员提供有助于理解各种科学领域(流行病学、心理学、经济学、社会学、语言学、政治学、犯罪学等)现象的信息,以便建立适用于所有相关个体的永久性原则、行为规律或因果模式。用于统计目的的数据处理类别保持不变。“统计目的”指的是编制统计调查或产生统计、汇总结果。统计旨在分析和描述考虑中的人群的大规模或集体现象。
LED也引入了公共利益档案保存目的的概念,但保留了DPD和框架决策2008/977/JAI中关于“科学、统计或历史”使用的措辞。LED第4条(3)款规定,符合本文范围的处理可能包括出于预防、调查、侦查或起诉刑事犯罪的目的进行此类使用,前提是为数据主体的权利和自由制定了适当的保障措施。
2.3.3 数据最小化原则(A 5.1.c)
正如在DPD下的情形一样,处理的个人数据必须是充分的、相关的,并且仅限于与其被处理的目的所必需的范围。然而,在GDPR下,个人数据必须“仅限于所必需的”,而不是像在DPD中的“非过度的”。尽管如此,LED保留了DPD的措词;因此,LED第4条第1款(c)规定数据必须“非过度的”。这种术语的差异不应对数据最小化原则的范围产生实质性影响。GDPR第39条考虑说明特别要求,只有在无法通过其他手段合理实现目的的情况下,才应处理个人数据。
此外,这一必需性要求不仅指的是个人数据的数量,还涉及到数据的质量。因此,很明显,不可以处理过量的个人数据(例如,要求一名员工提供她完整的医疗档案以评估她的工作能力)。但如果这会导致对数据主体的权利和利益产生不成比例的干预,也不可以处理单一数据(例如,从求职者那里收集关于私人药物消费的信息)。"仅限于所必需的"标准还要求“确保个人数据存储的期限限于最严格的最低限度”(见下文的存储限制原则)。
2.3.4 准确性原则(A 5.1.d)
数据必须准确且在必要时保持最新的要求,在DPD和108号公约中已经存在,并且在GDPR中得到了保留。所有不准确的数据都应被更正或删除。控制者必须采取一切合理的步骤以确保遵守这一准确性原则。GDPR明确规定,这种干预必须毫不延迟地进行。
LED第7条第2款要求主管当局采取一切合理的步骤,确保不传输或提供不准确、不完整或不再是最新的个人数据。这些当局必须在实际可行的范围内,在传递数据前验证数据的质量。LED第7条第2款在警务活动领域进一步具体规定:“在可能的情况下,在所有个人数据的传输中,应添加必要的信息,以使接收主管当局能够评估个人数据的准确性、完整性和可靠性,以及它们是否是最新的。”
2.3.5 存储限制原则(A 5.1.e)
这一条款并未对DPD中禁止存储个人数据的规定作出实质性改变,该规定禁止以允许识别数据主体的形式存储个人数据超过实现处理目的所需的时间。然而,Recital 39中有一个新元素,其建议控制者为删除或定期审查设立时间限制。这将确保个人数据不会被保留超过必要的时间。
LED第4条第1款(e)作出同样的禁止性规定,而LED第5条也要求为数据的删除或定期审查数据存储需求设定适当的时间限制。文本要求采取程序性措施以确保遵守这些时间限制。在这里必须考虑GDPR第25条和LED第20条,因为它们要求控制者实施适当的技术和组织措施,特别是为了确保默认情况下,个人数据的合法存储期限得到尊重。这些措施可以是为每组数据确定的删除日期。
此外,存储限制原则允许如果是出于公共利益的档案目的、科学或历史研究目的或统计目的存储个人数据更长时间,并且须实施适当的技术和组织措施以保护数据主体的权利和自由。
2.3.6 完整性与保密性原则(A 5.1.f)
个人数据必须以确保其适当安全的方式处理,“包括使用适当的技术或组织措施防止未经授权或非法处理以及意外丢失、破坏或损坏”。这一原则或多或少反映了DPD第17条的条款。GDPR第IV章的一个完整部分专门讨论控制者和处理者的这一安全义务。这项义务包括(这是新内容)向监管机构通报个人数据泄露的要求,在某些情况下还要通知数据主体。
LED中也包含了相同的数据完整性原则表述,该原则出现在基本保护原则列表中(第4条第1款(f))和进一步发展安全义务的独立部分中的规定(第29-31条)。
2.3.6 可问责性原则(A 5.2)
数据保护的基本原则列表以声明结束,即控制者应对遵守所有前述原则负责。与DPD相比,引入了一个新元素:控制者现在必须能够证明处理活动符合这些法律规则(问责制)。这一要求不仅要确保而且能够向GDPR证明合规性,在专门讨论控制者责任的第24条中得到了发展。诸如信息问责基金会这样的智库也对问责制进行了大量重要工作。
03、读后感
《个人信息保护法》中的合法、正当、必要、诚信原则,最小必要原则,公开透明原则,完整、准确、确保质量原则,可问责原则均可以在GDPR第5条中看到相关的影子。
但GDPR有“合法利益”这一处理个人数据的合法性基础,可以确保处理目的不一致时有解释的空间,在《个人信息保护法》中就没有了,还是很困扰,很麻烦。
