第三 主体(什么是个人数据)
GDPR对于主体规定核心是:可以追溯到具体某个人的信息,或者要借助另外的信息可以追溯到具体某个人的信息就属于个人数据。
GDPR通过举例:姓名、地址、电话都是个人数据。扩展来看比如 IP, cookie,无线电的频率其实都可以追溯到具体某个人,所以也是个人信息。所以在访问国外的网站,会看到关于cookie的隐私说明就是对此的反映。如果不正确或者准确的信息追溯到一个错误的自然人算不算?GDPR肯定了此情况也是属于个人数据。
个保法第4条第1款个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。采取的是关联说。根据《GB/T 35273-2020-信息安全技术 个人信息安全规范》举例:表一:个人信息举例
GDPR指明逝去的人的信息不在规范范围内,但是逝去的人对自己的信息不是没有权利,可从知识产权和人格权方面去保护。中国的个保法对个人信息的定义和GDPR是一致的,也扩张为逝去的自然人权利可以延伸到其近亲属,通过近亲属来主张逝去的自然人的个人数据权利。
第四 个人数据中的特别类型(敏感数据)
GDPR规定个人数据中的特别类型(中国称之为敏感数据)包括:人种、种族、政治观点、地区、哲学信仰、贸易区域成员信息、基因信息、生物信息、健康、性生活的信息、性取向等,敏感信息只有在特定的条件下才可以处理,即满足一般原则要求之外还要满足特别原则要求。在处理下列信息的时候:生物信息、基因信息、健康数据,成员国可以自己增加额外的限制条件。可见生物信息、基因信息和健康数据是敏感数据中比较重要的数据,在欧盟发布的数据战略备忘录中也提到对于这三个领域需要重点管理和规范。
对于刑事犯罪和犯罪信息处理严格限制只有在国家法规明确授权下才可以处理。
GDPR对未成年人的定义是16周岁以下,但是允许不同成员国有特别的规定,最低的成年年纪不可以低于13岁
中国的个保法对未成年的定义是14周岁。
GDPR中对于刑事相关信息,包括刑事指控、诉讼、调查、定罪、不起诉、具体的刑事处罚内容。
中国的个保法也采取了列举的方式来说明敏感数据:生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。关于刑事犯罪数据的规定,《公安机关banli犯罪记录查询工作规定》,明显不同于欧盟GDPR。根据2020年3月6日,中华人民共和国国家市场监督管理总局、中国国家标准化管理委员会发布的《信息安全技术 个人信息安全规范- GB/T 35273-2020》的说明,以下数据为敏感数据。
表二(个人敏感数据示范)
第五 对个人数据中包括特殊种类数据(敏感数据)可以处理的条
(一)基本原则,除此之外还有对个特殊种类数据的处理原则,可以简单的理解为一般和特殊的关系。
GDPR规定了个人数据处理的三大基本原则 1)合法性 2)公平性 3)透明性 再加上4)目的限制 5)数据最小化 6)准确化 7)存储限制化 8)正直和保密性 9)责任性。以上原则合规性证明责任属于数据控制者(controller)。
中国个保法第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息,体现的是合法性。
第七条处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。对应的是透明性。
(二)GDPR基本原则的首要点:合法性。
符合下列条件中的一个即满足合法性的原则要求。
1、数据主体明示的同意(consent)
2、为订立、履行个人作为一方当事人的合同所必需(contract)
3、法律法规的规定(legal obligation)
4、为了保护他人生命的所必需(vital interests)
5、公共任务(public task)
6、正当利益要求(legitimate interests)
其中的3和6其实回答了国内学术派关于对中国个保护法的第十八条个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
第十八条个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
第十七条个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;
对于明示同意的学术争论,由于GDPR的合法性原则的3和6要求是放在对于同意的说明之后(GDPR Article 6 1 a),可以确认在满足2或者4的情况下,数据主体的是否同意已经不需要考虑。
GDPR列举了正当利益适用的场景所包括(但不限于):使用客户或雇员的数据、营销、防止欺诈、集团内部的转移、IT安全
(三)特殊原则-处理敏感数据
上面的规则是任何数据处理行为都必须符合,此外如果是处理特殊种类还需要满足以下原则(符合一个即为合法),
1、数据主体明示的同意
2、出于就业、社会保障目的、基于社会保护法授权 、为了维持重大利益之目的
3、公益组织
4、处理是在其合法活动过程中由具有政治、哲学、宗教或工会目的的基金会、协会或任何其他非营利机构在适当的保障下进行的,并且处理仅与成员有关或向该机构的前成员或就其目的经常与其联系的人,并且未经数据主体的同意,个人数据不会在该机构之外披露;
5、法律或者司法行为
6、重大公共利益
7、健康或者社会保障
8、公共健康
9、归档、科学研究、统计
10、已经公开的个人数据的处理和使用
第六、 数据主体的个人同意(对第四点和第五点的首要点的详细分析)
从以上原则要求可以看出,除了法定的情况,同意已经成为处理数据的首要合法原则。
(一)一般数据的同意
数据处理首要合法原则就是数据主体的同意。对于同意,GDPR详细的说明了个人的同意应该具备什么形式要件。数据控制者(controller)负有证明“同意的取得”义务。同意需具备以下要件:
1、不可有预先勾好的选项,即不可以有默认选项;
2、明示要清楚明了,明确表示同意;
3、不要和其他条款混在一起;
4、清楚明了并且简单,如果有多个许可分项,每个许可项要单独分开;(同一个数据主体的不同信息用于处理的不同目的)
5、简洁的语言;
6、必须列出会需要这个同意来处理数据的第三方;
7、明示可以撤回并且明示怎么撤回;
8、存储证件能证明数据主体的明示过程,以及处理方是如何处理的;
9、含许可条件的明示不允许:不可以设置为合同的前置条件;
10、如果有需要,许可必须及时更新;
11、同意同时意味着数据控制者必须在采集的同时就告知数据主体:数据处理者的主体信息,数据处理的方式,数据主体可以随时撤回同意;
12、同意可以书面也可以口头;
在实践中,对于明示的表达有很多问题。比如不同意就不给提供服务,同意的条款隐藏在应用或者网站不明显的地方,或者同意的条款陈述的过于晦涩,或者字体比较小,对视力不好的人极端不友好,或者隐藏在三级甚至四级菜单之下。
中国个保护法对于第十四条基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。重点就是充分知情下的单独同意或者书面同意。再精确点就是“充分知情”、“单独同意”、“书面同意”。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
(二)特殊(敏感数据)的同意
中国个保法第二十九条处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。第三十条个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
中国的要求是强调的是个人的单独同意,并且要求书面。同时要告知对个人权益的影响。具体要求可以从《信息安全技术 个人信息安全规范- GB/T 35273-2020》的5.4《收集个人信息时的授权同意》中获得。从欧盟GDPR单纯的条文来看是没有要求书面的。《GDPR Guidelines on consent under Regulation》中建议书面的同意是最有力的同意证明证据。
中国个保法对单独同意的要求罗列在第二十三条(处理者向其他处理者提供个人信息)、第二十五条(处理者公开个人信息)、第二十六条(图像采集)、第二十九条(个人敏感信息)、第三十九条(向境外提供个人信息)。
第七、合法性原则之外的6个原则
除了合法性之外,GDPR还有6个原则要求:(1)目的限制,2)数据最小化,3)准确化,4)存储限制化,5)正直和保密性,6)责任性。如果根据6个原则细化规则,具体的企业数据合规的框架就出来了。从框架上和从流程上双重控制。
, 表三 网络示意图
1、目的限制:
1)数据处理的开始就要明白阐述收集者的目的
2)记录好数据处理目的并且将其作为对用户数据隐私保护的一部分工作做好流程记录和管理工作
3)如果处理数据目的和最初的不一样,需要重新获得数据主体的同意,或者有法律法规的授权。
企业在开始收集数据之前一定要从流程上先把使用数据的目的,数据的字段,类型,可以访问的人群定义好。中国相关之规定可以参照《常见类型移动互联网应用程序必要个人信息范围规定》
中国个保护体现在第六条处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
2、数据最小化
1)确保处理的数据已经足够满足处理的目的
2)数据和处理目的有足够合理的需求
3)超过数据处理目的的数据不收集
企业往往会忘记数据的组合后其实也是数据的一种类型,需要对组合后的数据定义和评估对隐私的影响。
中国个保法参见上面一点。
3、准确化
1)采取适当的步骤来确保持有的数据不是错误的并且不会错误的指向任何事实
2)保持个人信息的及时跟新,即使可能会影响使用
3)如果发现个人信息错误,应该尽快及时更正或者去除
4)对于数据准确性的挑战要有合理的估计
中国个保法体现在第八条处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
4、存储限制化
1)存储的期限不能超过实际需要的期限
2)结合数据处理目的设立目标,建立数据存储时长的合理评估
3)建立数据分类从而决定数据的持有期,同时建立符合的文档机制
4)定期检查数据,当不再需要时去除或者匿名化数据
5)记住数据主体个人有权要求在不在需要的时候,去除数据
5、正直和保密性
1)有合理的安保措施
这个话题比较复杂,小到用户的密码设置规则,大到VPN的管理。数据的备份也属于此话题。
中国个保法体现在第五条处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
6、责任性
1)建立措施和记录来展示合规性
有了原则性的指导,实际实践中也有一些惯例可以遵循。帮助一个公司做到合规规划,需要对公司的IT框架有全面的理解和流程梳理。比如梳理数据输入的业务点:通常会有员工面试填写的信息,无论来源是书面还是电子系统。公司网站的ICP备案信息管理,客户收货信息,客户的支付信息等等。在比较大型的企业,通常是有ERP系统和内部的内部同时进行管理。需要结合业务和公司的管理对数据进行分类,然后制定原则。
中国个保法体现在第九条个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第八、 数据主体的权利(如果说以上的规定是从处理者的角度来说,那么为了详细介绍数据主体的权利,从数据主体的角度说明了其享有的权利)
GDPR规定数据主体有1)获得通知的权利 2)获得数据的权利
3)修正数据的权利 4)移除数据的权利 5)限制处理的权利 6)可移植的权利(数据的可携带性)7)反对的权利 8)针对自动决策和画像的权利
分析如下:
1)获得通知的权利
1.1采集的时候要提供controller的身份和联系方式,如果可能提供cotroller的代表
1.2如果可能数据数据保护官员的联系方式
1.3数据处理的法律基础和目的
1.4合法性需求(legitimate interests assessment (LIA) )
1.5数据的接受者或者接受者的类别
1.6数据传送给第三国下controller和processor提供足够的安全措施、保障权利人的利益,救济的手段;有约束力的公司规则
以上是在还没有获得个人信息的情况下需要尽到的通知义务。此外,还要符合上面提到的目的限制,数据最小化,准确化,存储限制化,正直和保密性,责任性的原则。
实践中最佳的实践方式是采集和制定过程的人把自己放在被采集信息的人角度来设计和考虑问题。GDPR同时也规定了例外特殊的情况下,数据主体是不需要被通知到的:个人已经有了信息,没有办法对个人提供以上信息,提供信息会需要不恰当的努力,被法律授权获得。
2)获得数据的权利
2.1数据主体可以要求能获得自己的数据和自己数据的备份和其他相关的数据
2.2实践中一般简称“SAR”(subject access request)
2.3可以书面或者口头甚至通过社交媒体表达
2.4可以授权代表
2.5一般情况下,对上列情况是不可以收费的
2.6一般情况下要立即回复这样的要求,或者收到请求的一个月内,最长延期不能超过2个月。
2.7尽力提供需要的信息
2.8提供的信息需要时简洁和明了易懂的格式
2.9信息的递交应该是保密的
2.10只有在明确是没有根据的或者过度要求的情况下可以拒绝
2.11数据保持期,或者根据数据的类别来决定存储期限
2.12权利的告知:处理的目的,数据的种类,会对谁披露他特别是如果有第三国或者组织,根据数据分类来决定存储的期限,修正或者去掉数据,限制处理数据,反对处理数据,并且要求数据可导出性。
2.13对同意的随时撤回权利
2.14 如果不是从自然人处获得数据,关于获得主体的任何信息
2.15有权对管理机构发起投诉
2.16数据提供是不是合同执行的先决条件,数据主体是不是必须提供数据,没有提供数据的结果
2.17如果有画像、自动化决策的存在,其中的逻辑特别是数据处理的后果
2.18 如果有对第三国家或者机构的传送,要特别符合Article 46相关的安全保障法规。
实践中此类处理原则分布在《App违法违规收集使用个人信息行为认定方法》、《网络数据安全管理条例》、《信息安全技术 个人信息安全规范》、《移动互联网应用程序(App)收集使用个人信息自评估指南》《未成年人保
护法》、《中华人民共和国数据安全法》等。对于数据存储的期限,中国在不同的法条法规中做了规定数据保留期限,分散在《电子商务法》,《网络安全法》《网络交易管理办法》《反洗钱法》《电子签名法》《互联网信息服务管理办法》等。企业需要建立规章和制度记录好自己收到的请求,在收到请求之内有确定的流程可以开展调查、记录和反馈结果。
3)修正的权利 (1个月)
3.1数据主体可以要求不正确的数据修正,不完整的数据完整化的权利。
3.2 修正的情形:数据是被不合法的处理,数据不再和处理的目的有关联等
3.3个人主体可以口头也可以书面提出这个要求
3.4 Processor 或者controller必须在一个月内回复这个要求
3.5明确是没有根据的或者过度要求的情况下可以拒绝
3.6 符合GDPR Article (5)(1)(d)的要求
实践中可能的案例当一个病人患有某种疾病,经过一段时间的治疗之后,病患被治愈。如果出现了关于这个病例介绍饮用了病人的话,是需要特别指出这个病患已经被治愈。或者要对这个案例加上时间的限制。
4)移除数据的权利
4.1 通常是叫做“the right to be forgotten”
4.2 适用在特定的情形下:数据不再需要,不再具有合法的基础
4.3可以书面或者口头提出要求
4.4 controller或者processor 有一个月的时间来回复
这里应该包含一个是个人的数据在具体的处理工作已经不需要,个人撤回了他之前的同意,或者当初获得法律法规的授权基础已经不存在。在特定的2种情况下,需要将“数据已经清除“这个事件通知给第三方:1)被披露的一方 2)数据在网络中已经被公开。第三方包括个人和机构。
去除的方式需要比较彻底,包括需要去除备份里面的数据。
5)限制处理的权利
5.1个人可以要求限制或者暂停数据的处理
5.2 适用在特定的情况下
5.3可以书面或者口头提出要求
5.4 Controller或者processor 有一个月的时间来回复
实践中的做法可以在收到合法的要求之后把数据从一个系统迁移到另外一个系统,或者关闭对用户访问的渠道和途径,或者从公共的网址上移除。
6)数据导出的权利
6.1 目的是为了让个人可以获得自己的数据
6.2可以从一个IT环境用安全,保密的方式移动,复制,传输个人数据同时不影响其的使用,包括获得备份或者从一个服务商传输到另外一个服务商
6.3 只有提供过数据的个人可以使用这个权利
到处的目的是为了消费者更好的理解自己的消费习惯或者其他商业行为的习惯,包括到处到个体自己的媒介和从一个IT环境导出到另外一个环境。要使用大众通用的格式,目前主要CSV, XML和JSON格式。
7)反对的权利
7.1 针对利用自己的数据来决定营销。
7.2 可以口头提出也可以书面
以上权利对应在中国的个保法是知情权、决定权、查阅、复制权、可携带权、更正、补充权、删除权、解释说明权。
《个人信息保护法》第十四条、第十七条、第四十五条、第四十七条、第四十九条、第五十七条。同时,《App违法违规收集使用个人信息行为认定方法》、《网络数据安全管理条例》、《信息安全技术 个人信息安全规范》也有细化的规定。
8)针对自动决策和画像的权利
8.1 数据主体有权拒绝成为单一的自动决策主体,包括画像,此画像会产生法律效果或者有相似的显著效果。
8.2 以上不包括需要自动决策和画像是实施合同的先决条件
8.3有数据主体的明示
8.4有欧盟或者成员国的授权
在实施自动化决策和画像的时候一定要清楚的告诉个人处理的过程并且明示救济的途径:怎么请入人工干预或者质疑决策。处理数据的人要定期检查系统确保自动决策和画像的结果是符合最初设计的目的。
实践经验告诉我们给客户展示公司的道德原则开展自动化决策和画像的最佳起点。
接下来,GDPR详细规定了几个具体的数据管理员的指责和对应的责任。具体负责数据的处理的就是processor,processor对controller进行侵权事件的汇报给controller。Controller 从原则上,框架上负责个人数据保护。
每个成员国应该成立一个或者多个独立的supervisory authority配合欧盟工作。Controller和supervisory authority紧密工作和合作。
GDPR推荐了使用Data protection impact assessment数据保护影响评估来总体上控制数据保护体系,并且在做评估之前先向supervisory authority做咨询。
在某些情形下,controller 和processor可以指定一个数据保护官data protection officer 1)公共机构开展的数据处理 2)处理数据的事件性质要求日常的监控,处理数据属于超大规模。3)处理大量的特殊类型的数据(犯罪类)。
中国目前是国家网信部门负责个人信息保护工作和相关监督管理工作。并且实际上把欧盟的processor和controller视为一个角色了。涉及数据出境,《中华人民共和国数据安全法》和《数据出境安全评估办法》具体规定为:第四条数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。数据出境安全评估办法 (三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息; (四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。中国个保法第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下 列条件之一:
- 依照本法第四十条的规定通过国家网信部门组织的安全评估;
在提交国家机构进行评估前,企业最好开展自我数据评估。
目前主要是律师事务所和各种机构开展评估。实践中推荐先开展自我评估再向国家申请评估。
第九、认证机制
GDPR指出一系列的规范可以通过制订行为规则来实现《code of conduct》,包括体现要求的几大原则,侵权事件的和数据主体的沟通,侵权事件的及时上报和汇报,数据对第三国或者第三个组织的传输。数据主体被侵权之后的救济途径。
在欧盟的理事会层面,会建立数据保护证书机制和数据保护认证和标志以上认证有效期为3年,当然也是自愿的。
第十、对第三国或者国际组织的传输
1、委员会可以确认第三国或者国际组织已经有了足够的保护机制
2、欧盟会在其网站上公布其认为不合格的第三国家或者国际组织
中国在《中华人民共和国数据安全法》和个保法里面可以归纳总结为一,在向境外司法与执法机构提供境内存储数据的,均须经过主管机关批准。 二,主管机关根据有关法律和国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。如果境外法律对于中国执法机关、司法机关获取数据存在限制的,我国主管机关将基于平等互惠原则处理。
科技改变了生活,网络扩大了全球化。法律天然的具有滞后性,于是挑战和机遇并存。
参考文献
1、信息安全技术 个人信息安全规范- GB/T 35273-2020
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=4568F276E0F8346EB0FBA097AA0CE05E
2、欧盟《GDPR Guidelines on consent under Regulation》2016/679https://gdpr-text.com/guidelines/consent/
3、《常见类型移动互联网应用程序必要个人信息范围规定》
http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm
4、Guide to the UK General Data Protection Regulation (UK GDPR)https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/
5、何渊《亚太数据合规手》
6、《数据出境安全评估办法》
7、《中华人民共和国数据安全法》
8、《Guide to the General Data Protection Regulation (GDPR)》from ICO