今天继续学习原则部分的条文变迁。(P154-157)主要学了同意敏感数据、中小型企业这几个定义。
1.同意
GDPR Proposal的第7(1)条将举证责任转移给控制者,以证明数据主体已同意处理其个人数据。第7(2)条要求,如果个人的同意是在书面声明的情况下获得的,而书面声明也涉及其他事项,则同意请求必须与其他事项明确区分开来。根据第7(3)条,数据主体有权随时撤回同意。根据第7(4)条,在“数据主体和控制者的地位之间存在重大不平衡”的情况下,也不允许使用同意作为合法性基础。此外,GDPR Proposal第4(8)条收紧了同意的定义,使其始终是“明确的”(即opt-in)。
Albrecht的报告认为“同意”是欧盟数据保护法的基石,也是个人控制数据处理活动的最佳方式。与GDPR Proposal相比,报告中要求取得自由、具体、知情和明确的同意。这就将互联网企业惯用的默示同意和默认勾选等方式排除在外。
LIBE委员会的折衷文本对“同意”的有效性提出额外要求。特别是,其要求控制者获得“自由”同意(默认勾选不满足),将同意限制在特定目的,并且不得要求用户对提供服务所不必须的数据处理行为进行同意(第7条和序言32-33)。此外,折衷文本阐明,同意需要采取确认动作(例如勾选方框),仅使用服务不应构成同意(序言25),并且不能同意处理第三人的个人数据(序言32)。
欧盟理事会的版本删去了“同意”必须始终“明确”的要求,其对“同意”的要求仅为无误,只有在处理敏感数据和跨境传输时才需要明确同意。此外,理事会澄清,若需就多个处理目的取得同意时,取得同意的本文必需简单易懂,并就所有目的取得同意,且不得捆绑同意。
因此,GDPR中同意的基本标准保持不变,即必须“自由给出、具体、知情且明确”(freely given, specific, informed and unambiguous)。然而,通过引入一项关于“同意”新的具体条款(第7条),许多重要方面得到了加强,其要求如下:(1)控制者承担举证责任,以证明已给予同意;(2) 若同意是在书面声明的情况下获得的,且该声明还涉及其他事项,则同意的请求必须与其他事项明确且可理解地区分开来;(3) 数据主体有权随时撤回同意;(4)同意书不能“捆绑”以涵盖履行合同不需要的服务。GDPR第43条解释说,如果数据主体和控制者之间存在明显的不平衡,则不能够自由自主地给予同意。
GDPR下面没有“单独同意”的概念,所以洪延青老师之前解释单独同意都是借助GDPR中“freely given, specific, informed and unambiguous”的构成要件。国内APP执法中不允许默认勾选也与上文思路相同。《个保法》中的表述“充分知情的前提下自愿、明确”也基本承继GDPR的内容。
GDPR:Art. 7 Condition for consent 第七条同意的条件
1.Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.
1.当数据处理必须基于数据主体的同意时,数据控制者应当证明数据主体已经对处理其个人数据的行为予以同意。
2.If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. 2Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.
2.如果数据主体是通过书面声明的方式表示同意的,而该声明还涉及其他事项,则同意在形式上应当满足:明显区分于其他事项,以明了且易获取的形式,使用清楚简单的语言。该声明中任何与本条例规定相违背的内容不发生法律约束力。
3.The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. 3Prior to giving consent, the data subject shall be informed thereof. 4It shall be as easy to withdraw as to give consent.
3.数据主体有权在任何时候撤销其同意。该撤销不具有溯及力。在作出同意的意思表示之前,应将上述事项明确告知数据主体。撤销同意和作出同意应一样容易。
4.When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.
4.在评估时应当尽最大可能考虑数据主体的同意是否是基于自由意志作出,尤其是在:包含服务条款的合同的履行是以数据主体同意其个人数据被处理为条件,而该数据处理又不为履行合同所必要。
《个保法》:第十四条基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
2.敏感数据
GDPR Proposal第9(1)条将敏感数据的定义扩大到包括基因数据和与“刑事定罪或相关安全措施”有关的数据。遗传数据的概念较为宽泛,不要求此类数据具备有关个人生理或健康的唯一信息。生物特征数据被添加到敏感数据类别中。
欧盟理事会的版本更狭义地将遗传数据定义为“与遗传或获得的个体遗传特征有关的所有个人数据,这些数据提供了有关该个体生理或健康的独特信息,尤其是通过对所涉个人的非生物样本进行分析而产生的”,确认了遗传数据是敏感数据,并允许成员国采用特定条件处理遗传或健康数据。
生物特征数据定义仍在理事会版本中的保留,涵盖“与个人的身体、生理或行为特征有关的特定技术处理产生的任何个人数据,这些数据显示或确认了该个人的独特身份,如面部图像或指纹数据”。尽管根据理事会的解释,生物特征数据不被视为一种敏感数据,但后者认为,处理此类数据可能会引发一些特定的义务,例如进行数据保护影响评估的要求。
GDPR Proposal中限制处理亦刑事“定罪”(conviction)相关的证据,而欧盟理事会的采用了刑事“罪行”(offense),这同样被GDPR的最终稿采纳。
《个保法》下的敏感个人信息与GDPR下的特殊类型数据挺多不同之处。首先,列举的敏感数据种类不同,如宗教信仰、工会成员等显然不符合中国国情。其次,GDPR对处理敏感数据的逻辑是以禁止为原则,符合特殊情况方可处理。而《个保法》的前提是具备“特定的目的和充分的必要性”,还额外规定了“增强告知”和“单独同意”的义务。最后,处理敏感个人数据的合法性基础的规定相较于《个保法》第13条的规定也更为具体,值得学习。
GDPR:Art. 9 Processing of special categories of personal data
第九条对特殊类型个人数据的处理
1.Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data……
1.禁止在个人数据处理中泄露种族或民族起源、政治观点、宗教信仰、哲学信仰、工会成员资格等个人信息,禁止以识别自然人身份为目的对个人基因数据、生物特征数据的处理,禁止对健康数据、性生活、性取向等相关数据进行处理……
2.Paragraph 1 shall not apply if one of the following applies:
2.上述第1款的规定不适用于以下情况:
the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;
数据主体明确同意数据控制者出于一个或多个特定目的对其个人数据进行处理,但按照欧盟或成员国法律的规定第1款的禁止性规定可能不取决于数据主体同意的除外;
processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;
为就业、社会保险与社会保障法领域内的数据控制者或数据主体履行义务、实现特定权利的目的所必要的数据处理,该义务与权利来源于欧盟或成员国法律或者是根据为保障数据主体的基本权利与利益而提供了适当保护措施的成员国法律所起草的集体协议;
processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;
当数据主体在生理上或法律上丧失同意的能力时,为保护数据主体或其他自然人的重大利益所必要的数据处理行为;
processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;
基金、社团或其他非盈利机构出于政治、哲学、宗教或工会的目的,在有适当的安全保障措施之下开展的合法活动中进行的数据处理行为,且该数据处理仅涉及到该机构的成员或前成员或基于机构的上述目的而与其保持经常性联系的人,且未经数据主体的同意个人数据没有对外披露;
processing relates to personal data which are manifestly made public by the data subject;
对数据主体已经明确公开的个人数据的数据处理行为;
processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;
为提起诉讼、应诉或法院行使其司法权所必要的数据处理行为;
processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;
欧盟或成员国法律应当与其立法目的相称,尊重数据保护权利的本质,规定适当且具体的措施以保障数据主体的基本权利与利益,基于这些法律,为实现实质的公共利益所需而进行的数据处理行为;
processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;
基于欧盟或成员国法律的规定或是根据与保健医生签订的合同,且符合本条第3款规定的具体条件和保障措施,出于预防医学和职业医学的目的且为评估劳动者的工作能力、医疗诊断、提供健康、社会保障、治疗、健康管理或社会保障系统和服务所必要的数据处理行为;
processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;
欧盟和成员国法律规定了适当且具体的措施以保障数据主体的基本权利和利益,尤其针对职业秘密。基于这些法律的规定,为实现公共卫生领域的公共利益所必要而进行的数据处理行为,诸如抗击严重的跨境卫生威胁,确保卫生保健、医疗产品、医疗设备的质量和安全的高标准;
processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.
欧盟或成员国法律应当与其立法目的相称,尊重数据保护权利的本质,规定适当且具体的措施以保障数据主体的基本权利与利益,基于这些法律,依据本条例第89条第1款的规定,出于实现公共利益存档目的、科学研究或历史研究目的或统计的目的所必要的数据处理行为。
Art. 10 Processing of personal data relating to criminal convictions and offences
第十条与刑事定罪和犯罪相关的个人数据的处理
Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority.
根据本条例第6条第1款的规定对与刑事定罪和犯罪或保安处分相关的个人数据的处理,应当在官方机构的控制之下或者是在规定了保障数据主体权利与自由的措施的欧盟或成员国法律的授权之下进行。任何对刑事定罪信息的全面登记都只能在官方机构的管理下进行。
《个保法》:第二十八条敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
GDPR评注学习笔记(5)--条文变迁(同意、敏感数据)
作者:何琛没有以来源:数据何规

今天继续学习原则部分的条文变迁。(P154-157)主要学了同意敏感数据、中小型企业这几个定义。 1.