官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
2021年9月
1.前言
欧盟《通用数据保护条例》(GDPR)于2018年5月25日生效,旨在协调欧盟所有成员国的数据保护法。GDPR规定了与个人数据处理方面的自然人保护相关的规则和与个人数据自由流动相关的规则。
1.1.指南
欧洲数据保护委员会(EDPB)发布了以下指南:
关于补充传输工具以确保符合欧盟个人数据保护水平的措施的第01/2020号建议(2021年6月18日);
关于在联网车辆和移动相关应用中处理个人数据的第01/2020号指引(2021年3月9日);
关于第2016/679号条例下的相关和合理反对意见的第09/2020号指引(2021年3月9日);
关于第二支付服务指令与GDPR相互作用的第06/2020号准则(2020年12月15日);
关于欧洲经济区与非欧洲经济区公共当局和机构之间传输个人数据的第2016/679号条例第46(2)(a)条和第46(3)(b)条的第2/2020号准则(2020年12月15日);
关于欧洲监测措施基本保障的第02/2020号建议(2020年11月10日);
关于根据第2016/679号条例同意的第05/2020号指引(2020年5月4日);
指引3/2019:透过视像设备处理个人资料(2020年1月29日);
关于GDPR地域范围的第3/2018号指引(第3条)(2019年11月12日);
关于第25条设计和默认数据保护的第4/2019号指引(2019年11月13日);
关于在向数据主体提供在线服务的情况下根据GDPR第6(1)(b)条处理个人数据的准则2/2019;
关于第2016/679号条例第49条减损的第2/2018号指引(2018年5月30日);
第2016/679号规例个人资料外泄通知指引(2018年8月8日);
关于数据可移植性权利的准则;
数据保护影响评估(DPIA)指南,以及根据第2016/679号法规确定处理是否“可能导致高风险”;
数据保护官指引;
关于GDPR2.0版中控制者和处理者概念的准则07/2020(2021年7月7日);
关于GDPR下搜索引擎中被遗忘权案件标准的第5/2019号准则(2020年7月7日);和
第2016/679号条例中的自动化个人决策和分析指南(2018年2月13日).
1.2.判例法
GDPR下的一般判例法可通过EDPB和欧洲数据保护监督员(“EUPS”)的网站找到。
2.适用范围
2.1.个人范围
GDPR制定了在个人数据处理方面保护自然人的规则和与个人数据自由流动相关的规则。
但是,GDPR不适用于涉及法人的个人数据的处理,特别是作为法人设立的企业,包括法人的名称和联系方式。
2.2.地域范围
GDPR适用于在欧盟境内建立控制者或处理者的活动背景下的个人数据处理,无论处理是否在欧盟进行。
此外,GDPR适用于由未在欧盟设立的控制者或处理者处理位于欧盟的数据主体的个人数据,其中处理活动与以下相关:
向欧盟的数据主体提供商品或服务,无论是否需要数据主体付款;
监测他们的行为,只要他们的行为发生在欧盟内部。
2.3.材料范围
GDPR适用于通过自动化方式处理个人数据。
GDPR不适用于个人数据的处理情况包括:
在欧盟法律范围之外的活动过程中;
成员国在开展属于《欧洲联盟条约》第五章第2章范围内的活动时;
由自然人在纯粹的个人或家庭活动过程中实施;
由主管当局为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚,包括防范和预防对公共安全的威胁而实施。
3.数据保护监管机构
3.1.数据保护的主要监管机构
EDPB
EDPB是一个独立的欧洲机构,致力于在整个欧盟范围内一致地实施数据保护规则,并促进欧盟数据保护机构之间的合作。
国家数据保护机构
在EUPB的指导下,成员国的数据保护机构在其各自管辖范围内监管和监控GDPR合规性。
3.2.主要权力、职责和责任
EDPB
EDPB的主要权力和职责包括:
提供一般指导(包括指南、建议和最佳实践),以澄清法律并促进共识;
通过向委员会或国家监督当局提出的意见:
就欧盟立法有关的任何问题向委员会提供建议;和
确保国家监管机构在跨境事务上的活动的一致性。
通过针对国家监管机构的具有约束力的决定,旨在解决它们在合作执行GDPR时产生的争议,以确保GDPR在个别情况下正确和一致地应用;
促进和支持国家监管机构之间的合作。
国家数据保护机构
GDPR第6章规定了数据保护机构的责任和作用。包括以下任务:
监控和执行GDPR的实施;
与其他监管机构合作,以确保GDPR的应用和执行的一致性;
建立和维护与数据保护影响评估(“DPIA”)要求相关的列表;
对颁发的认证进行定期审查;
授权GDPR第46(3)条所述的合同条款和规定;
根据GDPR第47条批准具有约束力的公司规则;
调查权力
数据保护机构拥有调查权力,包括:
向控制者或处理者发出警告,指出处理操作可能违反GDPR规定;
命令控制者向数据主体告知个人数据泄露;
施加临时或最终限制,包括禁止处理;
撤销认证或命令认证机构撤回颁发的认证;
行政罚款
命令暂停流向第三国接收方或国际组织的数据流。
4.关键定义
数据控制者:指单独或与他人共同确定处理个人数据的目的和方式的自然人或法人、公共机构、或其他机构。
数据处理者:指代表控制者处理个人数据的自然人或法人、公共机构或其他机构。
个人数据:指与已识别或可识别的自然人有关的任何信息,如姓名、身X证号、位置数据、在线标识符等标识符或特定于该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个因素。
敏感数据:GDPR没有明确定义“敏感数据”。但是,特殊类别数据包括揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的个人数据,以及处理遗传数据、用于唯一识别自然人的生物特征数据、有关健康的数据或有关自然人性生活或性取向的数据。
生物特征数据:指与自然人的身体、生理或行为特征相关的特定技术处理产生的个人数据,确认该自然人的唯一身份,例如面部图像或指纹数据。
假名化:指在不使用其他信息的情况下,个人数据不能再指向特定数据主体,前提是此类附加信息单独保存,并受技术和组织措施的约束。
处理:指对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动化方式,例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁。
5.法律依据
5.1.同意
如果数据主体同意出于一个或多个特定目的处理其个人数据,则个人数据的处理将是合法的。
数据主体的同意是指在其明确知情的情况下,通过声明或明确地肯定行动表示同意处理其个人数据。
同意条件
数据控制者必须能够证明数据主体已同意处理其个人数据。
如果数据主体的同意是在书面声明的情况下给出的,并且还涉及其他事项,则同意请求必须以可理解且易于访问的形式,使用清晰明了的语言,与其他事项明显区别的方式提出。
撤回同意
数据主体有权随时撤回同意,撤回应该像给予同意一样简单。
但是,撤回同意不会影响撤回前基于同意的处理的合法性。
5.2.与数据主体签订合同
如果数据控制者证明处理对于履行与数据主体签订的合同是必要的,则个人数据的处理将是合法的。
5.3.法律义务
如果数据控制者证明处理对于遵守控制者所承担的法律义务是必要的,则个人数据的处理将是合法的。
如果处理是根据控制者所承担的法律义务进行的,或者为了执行为公共利益或行使官方权力而执行的任务所必需的处理,则处理应以欧盟或成员国法律为基础。
5.4.数据主体的利益
如果数据控制者证明为了保护数据主体或其他自然人的切身利益而有必要进行处理,则个人数据的处理将是合法的。
5.5.公共利益
如果数据控制者证明处理对于执行为公共利益或行使赋予控制者的官方权力而执行的任务是必要的,则个人数据的处理是合法的。
5.6.数据控制者的合法利益
如果数据控制者证明为了控制者或第三方追求的合法利益而有必要进行处理,则个人数据的处理是合法的,除非这些利益与数据主体的利益或基本权利冲突,特别是当数据主体是儿童时。
6.原则
根据GDPR,个人数据处理原则包括:
合法、公平和透明;
目的限制;
数据最小化;
准确性;
存储限制;
完整性和保密性;和
问责。
合法、公平、透明
个人数据必须以合法、公平和透明的方式处理与数据主体相关的信息。
目的限制
个人数据必须为特定、明确和合法的目的而收集。
数据最小化
个人数据必须仅限于与其处理目的相关的必要内容。
准确性
个人数据必须准确,并在必要时保持最新;必须确保不准确的个人数据立即被删除或更正。
存储限制
个人数据保存时间不得超过处理个人数据的目的所需的时间。
完整性和保密性
处理个人数据必须使用适当的技术或组织措施防止未经授权或非法处理以及意外丢失、破坏或损坏。
问责
控制者负责并且必须能够证明遵守GDPR第5条第(1)款。
7.控制者和处理者义务
7.1.数据跨境传输
向第三国或国际组织进行个人信息传输(包括将个人数据从第三国传输到另一第三国),需要遵守以下要求:
充分的保护
如果委员会认定第三国或组织确保有足够的保护水平,则可以向第三国或国际组织传输个人数据。
适当的保障措施
若无充分性决定,控制者或处理者只有在适当的保障措施情况下,以及在数据主体可行使主体权利和有效法律补救时,才能将个人数据传输到第三国或国际组织。
这些适当的保障措施有:
公共当局或机构之间具有法律约束力和可执行的合同;
具有约束力的公司规则(“BCR”);
委员会批准的标准数据保护条款;
数据主体明确同意。
7.2.数据处理记录
控制者
控制者必须保留处理活动的记录。此类记录必须包含以下信息:
控制者的姓名和联系方式,联合控制者、控制者代表和数据保护官(“DPO”);
处理的目的;
对数据主体类别和个人数据类别的描述;
个人数据的接收者类别,包括第三国或国际组织的接收者;
向第三国或国际组织传输个人数据,包括该第三国或国际组织的身份,以及提供适当保障措施的文件;
不同类别数据的保存期限;
技术和组织安全措施的描述。
处理者
处理者必须保留代表控制者执行的所有类别处理活动的记录,其中包含:
处理者的名称和联系方式,以及处理者所代表的每个控制者的名称和联系方式,以及在适用的情况下,控制者或处理者的代表和DPO;
代表每个控制者进行的处理类别;
向第三国或国际组织传输个人数据情况描述,包括该第三国或国际组织的身份,以及提供适当保障措施的文件;
技术和组织安全措施进行一般描述。
7.3.数据保护影响评估
如果处理可能对自然人的权利和自由造成高风险,控制者必须在处理之前进行数据保护影响评估。更具体地说,在以下情况下需要DPIA:
对个人进行系统和广泛的评估,该评估基于自动化处理,并且结果对自然人产生法律效力或对自然人产生重大影响;
大规模处理特殊类别数据,或刑事定罪和犯罪有关的个人数据;
进行大规模系统监测。
事先咨询
控制者无法处理的高风险应与监管事先协商。如果DPIA的结果显示是高风险,且数据控制者没有有效降低风险的措施,数据控制者应当就数据处理活动向相关的数据保护监管机构进行事先协商。监管机构应当在收到协商申请的特定期限内提出处理意见,并可以采取更正措施。
7.4.数据保护官任命
控制者和处理者对敏感个人数据大规模处理时,应当委任数据保护官(DPO)。DPO的联系方式必须公布,且向监管机构报备。
7.5.数据泄露通知
发生数据泄露时,数据控制者应在72小时内通知监管机构,除非个人数据泄露不太可能对自然人的权利和自由造成风险。数据泄露可能会对自然人的权利和自由造成高风险时,必须立即通知数据主体。
处理者在意识到个人数据泄露后必须立即通知控制者。
通知监管机构
向监管机构发出的通知必须包括以下内容:
a) 数据泄露事故的描述、涉及数据主体的总量、类型以及数据记录的总量;
b) 企业数据保护官的姓名和联系方式,
c) 泄露可能造成的结果,
d) 企业已经采取的止损措施,
如果满足以下任何条件,则不需要通知数据主体:
数据控制者采取了适当的技术和组织保护措施,比如加密。
数据控制者后续采取的措施能够使得威胁不会成为实际的结果。
通知数据主体难以实现。在这种情况下,应采取公告等措施通知数据主体。
7.6.儿童数据
如果儿童未满16岁,则只有在父母等监护人同意或授权的情况下,处理才是合法的。
成员国可以依法规定为此目的降低年龄,前提是该较低年龄不低于13岁。
7.7.特殊类别的个人数据
在以下情况下可以处理特殊类别的个人信息:
数据主体已明确同意出于一个或多个特定目的处理这些个人数据;
为了履行控制者或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利,处理是必要的;
如果数据主体在身体上或法律上无法给予同意,且处理对于保护数据主体或其他自然人的切身利益是必要的;
处理数据主体明显公开的个人数据;
处理对于确立、行使或辩护法律主张或法院以司法身份行事是必要的;
出于评估员工工作能力、医疗诊断、提供健康或社会护理或治疗,处理是必要的;
出于公共利益、科学或历史研究目的或统计目的,处理是必要的。
7.8.控制者和处理者合同
控制者应当通过合同与处理者约定处理要求,例如数据处理的目的,期限,个人数据的类型,数据主体的类别以及双方的权利业务。
合同或其他法律行为必须规定处理者承担以下义务:
仅根据控制者的书面指示处理个人数据;
确保处理个人数据的人员已承担保密义务;
采取GDPR第32条规定的所有措施;
通过适当的技术和组织措施协助控制者响应数据主体请求;
根据控制者的要求,在处理结束后删除或将所有个人数据返还给控制者,并删除现有副本;
向控制者提供遵守以上义务的证明,并允许控制者进行审计。
如果处理者认为控制者指令违反了GDPR,则必须立即通知控制者。
8.数据主体权利
控制者应在一个月内响应数据主体权利的请求;响应应是免费的或基于成本收取合理的费用;必要时,控制者应对数据主体进行身份验证。
8.1.知情权
直接从数据主体处获得的个人数据
如果个人数据是直接从数据主体处获得的,则必须提供以下信息:
控制者的身份和联系方式,以及控制者代表的身份和联系方式;
DPO的联系方式(如适用);
处理的目的和处理的法律依据;
个人数据的接收者或接收者类别(如有);
控制者将个人数据传输到第三国或国际组织的情况,以及:
委员会是否存在充分性决定;或
网络安全保障措施描述;
个人数据的存储期限,如果难以确定,则应描述用于确定该期限的标准;
用户如何行使访问、更正或删除个人数据或限制处理的权利,或反对处理的权利,以及数据可移植性的权利;
随时撤回同意的权利,但不影响撤回前基于同意的处理的合法性;
向监管机构提出投诉的权利;
提供个人数据是否是法定或合同要求,还是签订合同所必需的要求,数据主体是否有义务提供个人数据以及未提供此类数据的可能后果;
是否有自动决策的存在,以及自动决策对数据主体的重要性和预期后果。
从第三方获得的个人数据
如果个人数据不是直接从数据主体获得的,则上述要求依然适用,但以下几点除外:
控制者无需提供有关提供个人数据是法定要求还是合同要求的信息;
控制者必须通知数据主体:
相关个人数据的类别;和
个人数据的来源,以及是否来自公开访问。
8.2.访问权
数据控制者应当为用户实现访问权提供对应流程,如果该请求是以电子形式提出的,则也应当以电子形式提供。
8.3.更正权
数据主体发现其个人信息不准确或者不完整的,有权请求控制者更正、补充,控制者应及时响应和反馈。数据主体应当有权基于处理目的完善个人数据,包括通过提供额外声明的方式来进行完善。
8.4.删除权
数据主体将有权要求控制者立即删除其个人数据,并且以下任一情况,控制者有义务立即删除个人数据:
就处理目的而言,不再需要个人数据;
数据主体撤回同意,并且没有其他法律依据进行处理;
个人数据被非法处理;
个人数据的收集与GDPR第8(1)条所述的信息社会服务的提供有关。
例外
此权利不适用于以下情况:
行使言论和信息自由权;
遵守需要由控制者所遵守的欧盟或成员国法律进行处理的法律义务,或为了执行为公共利益或行使赋予控制者的官方权力而执行的任务;
出于公共卫生领域的公共利益原因而处理;
出于公共利益、科学或历史研究目的或统计目的的存档行为;
用于确立、行使或辩护法律主张。
8.5.反对/选择退出的权利
当基于数据主体的同意、公共利益、控制者的正当利益而处理个人数据时,数据主体均可行使反对权。
直接营销
如果出于直接营销目的处理个人数据,则数据主体有权随时反对营销行为,包括与此类直接营销相关的分析。
8.6.数据可移植权利
数据主体有权以结构化、常用和机器可读的格式接收其个人数据,并有权将这些数据传输给另一个控制者,而不受提供个人数据的控制者的阻碍,行使可移植权利的条件是:
处理基于同意;
处理基于履行合同;
处理是通过自动化方式进行的。
8.7.不受自动决策约束的权利
数据主体有权反对自动化决策,反对完全依靠自动化处理(包括用户画像)对数据主体做出具有法律影响或类似严重影响的决策。
数据主体有权不受仅基于自动化处理(包括用户画像)结果的约束,该决结果其产生法律效力或对他或她产生类似的重大影响时。
豁免
如果:
对于签订或履行数据主体与数据控制者之间的合同是必要的;
基于数据主体的明确同意。
8.8.限制处理权
当数据主体提出投诉时(例如针对数据的准确性),数据主体并不要求删除该数据,但可以限制数据控制者不再对该数据继续处理。
9.处罚
较轻的一类处罚是1000万欧元或全球营收的2%之中的高者,针对不需要识别的处理规定,以及一般性义务等;
较重的一类处罚是2000万欧元或全球营收的4%之中的高者,针对违反处理个人信息的原则,数据主体权利等。
- 0 文章数
- 0 关注者