CNIL发布再次使用公开数据或第三方数据的合规检查

来源:那一片数据星辰

文章摘要
使用在互联网上自由获取或由第三方提供的数据库的数据控制者,必须检查其创建或共享行为不存在明显的非法性。法国国家信息与自由委员会(CNIL)在此提醒相关方需进行的必要检查。

使用在互联网上自由获取或由第三方提供的数据库的数据控制者,必须检查其创建或共享行为不存在明显的非法性。法国国家信息与自由委员会(CNIL)在此提醒相关方需进行的必要检查。
在某些活动中(如科学研究、人工智能系统开发、商业推广),一些机构希望再次利用个人数据库:
在互联网上自由提供的数据,但不符合“开放数据”(open data)的法律框架;
由第三方持有的数据(例如,数据经纪人或数据中介)。
创建、上传或共享数据库的机构或个人必须遵守法律(例如,禁止窃取或传播被盗数据)。同样,任何数据库的再利用者必须确保其创建或共享行为不存在明显的非法性(例如,禁止再利用来自数据泄露的数据)。
如果数据库的创建或上传明显违反《通用数据保护条例》(GDPR)第5.1.a条或其他规则(如禁止侵犯信息系统安全或知识产权的规则),再利用者不得再利用该数据库。
此外,下载或再利用明显非法的数据库的人可能构成《刑法》第321-1条规定的收受赃物罪。
检查数据库的创建或共享是否明显非法
数据库的再利用者必须进行检查,但无需深入核查创建或提供数据库的第三方是否完全遵守GDPR或其他适用法律规则(如著作权法、商业秘密保护等)。
为帮助再利用者,CNIL特别建议检查以下内容:
1. 数据库的描述中是否提及数据来源
示例:
一个数据库的描述中说明其数据来源于某个明确指出的社交网络上的公开信息。
相反,如果数据库包含监控视频图像但未明确说明来源,则在获得更多信息以消除对其创建和传播合规性的疑虑之前,不应再利用该数据库。
2. 数据库的创建或传播是否明显源于犯罪或违法行为
示例:
如果您在暗网上购买了一个数据库,且该数据库明显来自数据泄露或数据盗窃(根据《刑法》第323-1条),则您不能忽视其非法来源:该数据库明显非法。
如果您希望再利用一个已被法院判定侵犯知识产权的数据库(如《知识产权法》第L.342-1条规定的数据库生产者的权利),则同样适用。
3. 数据来源是否充分记录,以确保数据库的合法性
特别是需要检查数据处理是否基于合法依据,尤其是当数据具有高度侵入性时(例如,未经数据主体同意无法处理的数据)。
示例:
在一个数据库交换平台上,您发现了一个包含数千人家庭与工作地点通勤数据的集合。其描述中说明这些数据是精确的非匿名地理位置数据。在这种情况下,未经数据主体同意传播此类数据库可能是非法的。
相反,如果数据库的描述没有明显的合法性疑问,则可以基于该数据库创建数据集。例如,一个经过伪匿名化处理的数据库,最初由相关人员在某个明确网站上公开发布,且不包含敏感数据。
4. 数据库中是否包含敏感数据或犯罪相关数据
如果包含,建议进行额外检查,以确保数据库的创建或提供行为合法:
对于敏感数据(如健康数据或政治观点数据,参见GDPR第9条),主要需确保已获得数据主体的明确同意,或数据已由数据主体主动公开(例如,个人在社交媒体上公开可见的发布内容)。
对于与犯罪相关的数据(GDPR第10条),此类使用必须得到《信息与自由法》的授权。
注意:创建或共享数据库的数据控制者可能存在其他违反GDPR的行为。例如:
在创建或传播数据库时未提供完整的信息声明;
缺乏适当的合规性文档(通常难以在不与数据提供者或发布者互动的情况下核实)。
这些违规行为并不一定意味着再利用行为非法,前提是再利用行为本身符合GDPR(见下文)。
确保自身数据处理的合规性
这些初步检查并不能免除再利用数据库的机构对其自身处理行为进行全面合规分析的责任(例如,确定合法依据、在必要时获取数据主体的明确同意以处理敏感数据,或确定GDPR第9条禁止原则的例外情况等)。
将这些检查纳入数据保护影响评估(DPIA)框架可能是一种良好的做法。
为便于操作,CNIL提供了方法和工具,以帮助启动或完善GDPR合规流程(例如,定义处理目的和合法依据、告知数据主体、最小化数据处理等)。
规范与数据持有者的关系
CNIL建议与数据初始持有者签订协议,以确保数据再利用的合法性。
在这方面,CNIL建议在合同中提供以下信息:
数据来源、数据收集的背景、处理的合法依据以及必要时进行的数据保护影响评估,以排除数据库非法的风险;
向数据主体提供的信息声明(特别是关于处理目的和接收者的信息);
关于数据初始持有者共享数据行为的合法性保证(例如,再利用目的必须与初始目的兼容,共享行为必须合法等)。
参考资料
如需进一步了解,请参阅:
数据开放与共享:CNIL发布建议
人工智能:确保处理行为合法——在数据再利用时,进行必要的验证和检查

技术驱动法律,专业成就未来