于2018年5月25日开始实施的欧盟GDPR,是一部具有高于欧盟成员国国内法效力的国际法且具有强制执行力的法律。欧盟GDPR的实施在全球掀起了一场个人数据保护(或称为“个人数据隐私保护”)的热烈讨论。其实欧盟GDPR的颁布早在2年前就开始给予各欧盟成员国充分的准备时间,然而时间飞逝,一转眼GDPR开始实施,大多数的欧盟成员国依然还没有准备好,这也是欧盟GDPR掀起一场个人数据保护大讨论的原因之一。
可能大家没有意识到,中国版的“GDPR”《信息安全技术个人信息安全规范》也早已由全国信息安全标准化技术委员会于2017年12月29日正式发布,于2018年5月1日实施,简直和欧盟的GDPR神同步。再看看两个版本的“GDPR”的内容,如果不是欧盟的GDPR颁布的早,我真怀疑欧盟的GDPR是直接Copy的《信息安全技术个人信息安全规范》,而且简直不走样,差别是《信息安全技术个人信息安全规范》只是个标准化的指引,法律渊源层级较低。
各国已经颁布的,或正在讨论的各自“GDPR”的版本,我想内容上也将是大同小异,基本的原则也一定是和欧盟版、中国版的“GDPR”同步。两个版本的内容均洋洋洒洒几十页,笔者把这些法条揉碎以后,个人数据保护基本原则就清晰可见,便于识别了。笔者非常乐意把这几条原则与大家分享:
一、 自然人是其个人数据的权利主体。
我们已经在Big Data的时代,BAT这些巨头们掌握了我们多少个人数据,收集、储存、处理了哪些个人信息,不知道大家是否了解?反正我是不知道,我猜想我的姓名、住所、邮箱、手机号码、年龄等基本信息BAT肯定有,性取向、信仰、银行账号、健康信息等敏感信息BAT也可能有,甚至我的一些行为习惯、消费、出行等信息也在BAT的监控之下。借用郎咸平教授的话“他们比我们自己还了解我们”,如果BAT愿意的话,可以用数据来描述出很多人的基本画像。
那么问题是,储存在BAT的服务器或系统里的这些关于我们个人的数据,谁才是这些数据的权利人(或“权利主体”)呢?目前我国民法下的隐私权过于传统和“狭窄”(这里的狭窄并非贬义),没有解决这个问题,但欧盟GDPR明确了,即自然人是其个人数据的权利主体。这个权利的宣示是GDPR最重大的贡献,是一切个人数据保护的根本,一系列的原则和规则也围绕这个展开。
二、 数据权利人明确授权原则
数据控制人在采集数据权利人的个人信息时,需要用平白的语言告知数据权利人将被采集数据的内容、目的、处理方式、数据保存的期限等具体内容,同时需要取得数据权利人的明确同意方可进行。如果数据控制人为了一个目的采集了数据权利人的数据,需要为了其他的目的使用或处理这些数据时,需要明确告知数据权利人并取得数据权利人的明确授权。
如果数据控制人采集的是未满16周岁(《信息安全技术个人信息安全规范》规定的是未满14周岁的未成年人,而欧盟GDPR规定由欧盟成员国自行规定年龄线,但是不得低于13周岁)未成年的数据,应当征得监护人的授权。
数据控制人不可以笼统地将采集的多项数据由数据权利人一次性授权,而应当分别地逐一取得授权,尤其是一旦泄露、非法提供或滥用,可能危害数据权利人的人身和财产安全、极易导致个人名誉、身心健康受到损害或歧视性待遇等的敏感性个人数据。在数据权利人填写一项或多项数据信息的过程中,数据控制人应保障数据权利人随时放弃填写的权利,且应保存数据权利人授权的协议或单方授权书。
三、 个人数据的合法、公平、透明原则
个人数据的采集、储存、处理、转移、迁移、委托第三人处理的过程应合法、公平和透明。数据控制人应保障数据权利人有权知晓:被采集的数据类型、数量,储存的地址和期限,存储和处理的目的。当数据权利人提出请求时,数据控制人应在合理的时间内告知前述个人数据事项,如果是以电子方式提供的,应当是机器可读的且容易为数据权利人理解的语言。
同时,数据权利人有权要求数据控制人删除自己的个人数据(“被遗忘权”),或者将自己的个人数据从A数据控制人迁移至B数据控制人(“数据迁移权”)。注意,前述数据的删除是指技术上不可恢复的删除。
对于这一个原则,人人网校友录(后来被搜狐网收购)这一案例是非常值得拿出来探讨的。在2003的时候,校友录曾经风靡一时,我在校友录里,有高中同学的班级群、大学的同学群、老乡会的群,在这些群里我保存了大量同学和朋友的联系方式以及老照片。2014年校友录停止运营,很多人大量的数据都没有拿回来。现在这些数据是怎么被处理的,数据权利人一无所知。
四、 数据准确性原则
数据控制人不但应保障数据权利人有权知晓自己个人数据的情况,还有权更正自己不准确的个人数据,有权更新自己的个人数据,数据控制人应当为数据权利人进入并修改、更新自己的个人数据提供必要的便利。这一原则比较容易理解,笔者就不再赘述了。
五、 数据目的性原则
数据控制人采集个人数据,应当仅限于满足履行自身的合同义务,如果是公共机构,应当仅限于满足履行其职责。数据控制人为了一个目的采集或处理个人数据,不得将个人数据用于其他目的。
在没有充足理由(履行必要的合同义务或法律职责)和合法基础的情况下,数据控制人不得对数据权利人进行画像。比如,银行可以依据笔者在银行的存款信息、贷款还款记录、个人财产状况、信用卡还款情况等个人数据,通过一个自动化的数据处理程序,对笔者的个人信用进行测评并得出我的信用结论,这是典型的对个人的画像,这个画像一旦形成,将对我的信用记录和声誉有非常大的影响。在我不申请信用卡或申请贷款,以及未取得我明确授权的情况下,这些数据是应当禁止运行的,但实际上,我已经被银行画像了n多次。支付宝也曾经依据每个用户的支付宝使用数据,将用户划分为10个类别,每个类别用数据图形和一句标签性的语言来概括,还有很多用户把这个标签分享在了朋友圈,其实这些行为都违反了个人数据目的性原则。
六、 数据最小化原则
数据控制人为了履行其合同义务或法律职责,应尽可能的少采集个人数据,不应超过必要的数据范围。
笔者因苹果手机老旧,新换了一部华为手机。现在用华为浏览器打开百度检索一些文件的时候,每次都会弹出一个对话框:你是否同意百度需要获取您的地理位置?“禁止”-“允许”。每次我都要点击一次“禁止”。笔者认为用户的地理位置和搜索引擎提供的搜索服务没有关系,已经超出了百度提供搜索引擎服务必要的数据采集范围,百度也没有告诉用户采集用户的地理位置的目的是什么,相信很多人都会和我一样感觉这一操作非常莫名其妙。
很多公司盘点一下公司已经收集或保存的个人数据,可能自己都会吓一跳,在不知不觉当中,已经采集、储存了大规模的数据。那些超过了自己业务需要的个人数据,应当及时的清理掉,否则带来的将是负担,而不是利益。但是清理数据应当依法清理,同时不应损害数据权利人的利益。
七、 安全保护原则
指的是在数据采集和处理的过程中,所有参与者都应提供相对安全、稳定、可靠的软硬件设施,保护所采集和处理的个人数据的安全,减少数据权利人的个人数据泄露的风险。特别是对个人的敏感数据,比如:身份证号、社保账号、银行账户、健康状况、性取向、种族和宗教信仰、生物数据、基因数据、犯罪记录等,要加强保护层级和保护程度,采取足够的加密和防火墙等安全措施,谨防个人数据的泄露与损毁。
在数据遭受攻击或窃取的情况,应具备可恢复个人数据的措施。
在将个人数据交给第三方处理或存储时,应确保该第三方具备相应的安全措施,且确保每次数据的移交均有明确的合同依据,合同上应载明该第三方的责任。每次移交和处理,均应有书面记录(或电子记录)。
基于公共利益或统计的需要而处理个人数据时,应事先采取匿名化措施。
八、 问责原则
数据控制人和数据处理人不符合GDPR合规要求的,侵犯数据权利人权利的,或数据泄露的情况下,应该承担相应的法律责任,法律责任应传导至负有责任的个人。在接到投诉或接到监管机构的检查时,数据控制人和数据处理人应当提供证据材料以自证其GDPR的合规。
欧盟GDPR的处罚之重,可谓是空前的。若数据控制人或数据处理人GDPR不合规,将被处以1000万欧元或全球营业收入的2%的罚款,两者以较高者为准。若数据控制人或数据处理人侵害数据权利人的权利或发生数据泄露,将被处以2000万欧元或全球营业收入的4%的罚款,两者以较高者为准。严厉的处罚可能是欧盟GDPR引起普遍重视的原因之一。
数据控制人应在网站或APP上公布数据控制人的有效联系方式和数据保护官(如果设立了数据保护官的话)的联系方式,而且应当是一站式的联系机制,数据权利人或监管机构可以取得通畅的联络。
我们所处的世界,将继续沿着大数据的方向走下去,将继续保持几年、几十年、甚至几百年。对于每一个数据控制人和数据处理人,对个人数据的保护将是漫长的旅程,欧盟GDPR和中国版的GDPR仅是一个开始。GDPR唤醒了自然人对个人数据的保护意识,使得数据控制人和数据处理人必须面对个人数据保护的挑战。表面上,个人数据保护的合规对企业来说是一项成本,实际上具备良好个人数据保护合规的企业不但避免了个人数据保护的法律风险,同时将赢得更高的声誉和使用者的信任,给企业带来商业上的竞争优势。以上分享的个人数据保护的基本原则,有很多不足之处,希望读者指正,共同探讨个人数据保护问题。
归纳GDPR个人数据保护的基本原则
作者:孙迎超来源:汉盛律师

于2018年5月25日开始实施的欧盟GDPR,是一部具有高于欧盟成员国国内法效力的国际法且具有强制执行力的法律。欧盟GDPR的实施在全球掀起了一场个人数据保护(或称为“个人数据隐私保护”)的热烈讨论。