文/曹建峰,腾讯研究院高级研究员

【编者按】5月25日,在两年过渡期后,GDPR如约生效。炒作GDPR似乎成为了一种时髦。里面究竟有多少真的成分,多少假的成分,公众恐怕难以辨识。两年前,GDPR通过之时,笔者曾怀着仰慕之心对GDPR核心内容进行了尽可能忠实于原文的摘录。希望能为相关人士提供参考,以便更理性地看待GDPR及其影响。

一、GDPR适用范围

1.保护对象:GDPR保护的仅是“个人数据”(personal data),不涉及个人数据以外的其他数据。

根据GDPR第4条的规定,个人数据是指,与一个已被识别(identified)或者可被识别(identifiable)的自然人相关的任何信息;可被识别的自然人是指,其可以被直接或者间接识别,尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识,或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据,不包括死者、胎儿等。同时,个人数据的保护不涉及匿名信息,或者经过匿名化处理以致于不再具有可识别性的个人数据。

对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据(个人敏感数据),GDPR从收集、使用等角度作出了特殊规定。

就个人数据的保护而言,GDPR主要适用于电脑(自动化)处理个人数据的行为,不涉及其他类型的处理行为。GDPR第4条规定,对个人数据的自动化处理包括:

(1)收集,记录,整理,组织,存储;

(2)改编,调整,检索,查阅,利用;

(3)通过传输或者传播予以披露、提供;

(4)匹配,组合;

(5)限制,删除,摧毁。

GDPR对个人数据的保护并不绝对,其“序言”部分要求,应当平衡新闻自由、表达自由、商业自由等权利,符合比例原则、法益平衡原则等法律的基本原则。

2.管辖范围:GDPR第3条规定,GDPR适用于以下三种情形:

(1)数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;

(2)数据控制者、数据处理者未在欧盟设立营业场所,但向欧盟的数据主体提供商品或者服务,或者被追踪的网络行为发生在欧盟的;

(3)虽然数据控制者、数据处理者未在欧盟设立营业场所,但是根据国际公法应当适用欧盟成员国法律的。第二种情形是典型的域外管辖,主要针对美国的互联网企业。

3.权利主体:在GDPR中,享有数据权利的主体被称为数据主体(data subject),个人数据所指向之自然人为数据主体。数据主体须为欧盟居民,一般要求具有成员国国籍。通俗而言,数据主体主要是指网络用户。

4.义务主体:GDPR主要针对两类义务主体,即数据控制者(controller)和数据处理者(processor)。控制者是指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组织。处理者是指代表控制者,处理个人数据的自然人、法人或者其他组织。

二、GDPR基本原则

对于个人数据的处理,GDPR规定了七个基本原则。

原则之一:合法、公平、透明原则;

原则之二:目的限定原则,出于特定、明确、合法的目的收集个人数据,进一步处理不得有悖于前述目的,除非符合公共利益、科学研究等正当目的;

原则之三:数据最小化原则,所收集、处理的个人数据之于其处理目的,应当准确、相关、必要;

原则之四:准确原则,确保个人数据准确、时新;

原则之五:有限留存原则,除非符合公共利益、科学研究等正当目的,否则对个人数据的留存期限不能超过其处理目的;

原则之六:完整、机密原则,采用技术手段确保个人数据安全,不被非法处理、窃取、损毁等。

原则之七:责任原则,控制者应当遵守前述六项原则并承担责任。

三、个人数据的收集、处理规则

1.一般规则:GDPR第6条规定,只有符合以下条件之一,收集、处理个人数据的行为才是合法的:

(1)用户为了一个或者多个明确目的,同意处理其个人数据;

(2)为了履行用户与企业之间的合同必须处理其个人数据,或者为了基于用户请求而签订合同必须处理其个人数据;

(3)处理行为对于企业遵守其所负担的法律义务是必要的;

(4)处理个人数据是为了保护该用户或者其他自然人的重大利益;

(5)处理个人数据是为了公共利益;

(6)处理行为对于企业或者第三方所追求的合法利益目的是必要的,除非该利益屈从于需要保护其个人数据的自然人的利益或者基本权利和自由,尤其是当其是儿童时。

此外,对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据(个人敏感数据),除非获得用户明确同意,或者具有其他正当理由,否则禁止收集、处理上述个人数据。

2.同意的条件:GDPR第7条规定,当处理行为是基于用户同意进行时,企业应当能够证明用户已经同意处理其个人数据。如果用户的同意是在一个包含其他事项的书面声明中作出的,则该书面声明中的同意请求应当具有明显的辨识度以便可与其他事项区别,使用清楚、直白的语言,以容易理解且容易获取的方式呈现,否则视为无效。用户有权随时撤回其同意,同意的撤回不具有溯及既往的效力;同意的撤回应当和同意的作出一样容易。

3.儿童的同意:当儿童至少16岁时,其同意才可以是处理其个人数据的合法条件;如果儿童不满16岁,则只有当其监护人作出或者授权同意时,处理其个人数据才是合法的。成员国可以规定更低的儿童同意能力年龄,但不得低于13岁。企业应当尽合理努力,采取可行的技术,核实儿童的同意是其监护人作出或者授权的。

四、数据主体的权利

五、数据控制者、处理者的义务

六、个人数据跨境转移规则

个人数据跨境转移规则适用于将处理中的个人数据转移到第三方国家或者国际组织,或者将个人数据转移到第三方国家或者国际组织进行处理,包括从第三方国家或者国际组织再次转移到其他第三方国家或者其他国际组织,目的是确保GDPR对个人数据提供的保护不因个人数据跨境转移而遭到贬损。

1.基于充分保护决定转移:根据GDPR第45条,当欧洲委员会认为第三方国家或者国际组织对个人数据和隐私的保护水准和欧盟相当,作出充分保护决定时,转移个人数据就不需要获得特别授权。充分保护决定的作出,需要评估法治、对人权和基本自由的尊重、相关立法等一系列因素。充分保护决定需要接受周期性审查,每四年进行一次,必要时可以废止、修改或者暂缓充分保护决定。

2.适当的保障措施:根据GDPR第46条,当不存在一个充分保护决定时,企业可以诉诸适当的保障措施,同时确保用户的权利可执行,有效的法律救济存在。保障措施包括有效公司规则、数据转移合同、被认可的行为准则连带企业的有效、可执行的承诺、被认可的认证机制连带企业的有效、可执行的承诺。

3.例外:根据GDPR第49条,在用户明确同意、履行用户与企业之间的合同所必需、涉及重大公共利益等情况下,可以跨境转移。

注释:

在GDPR中,“画像”是指针对个人数据的任何形式的自动化处理,包括利用个人数据对一个自然人的个人情况进行评价,尤其是分析或者预测其工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或者运动。

来源:知乎 www.zhihu.com

作者:曹建峰(Jeff Cao)

【知乎日报】千万用户的选择,做朋友圈里的新鲜事分享大牛。
点击下载