文章来源于“广州仲裁委员会”(gzac_gziac)微信平台。
科技的发展日新月异,给人带来的便利显而易见,但也带来了个人数据安全及隐私的挑战。
当下,我们离不开网络,离不开手机,我们对手机及网络的依赖使得我们一直存在着被记录、被分析、被监控的现实可能,个人数据同样存在被泄露、被利用的可能。实际上,这一切都正在发生。我们深陷其中,并且乐此不疲。
欧盟2016年颁布的《欧盟数据保护通用条例》(General Data Protection Regulation, GDPR)于2018年5月25日生效,这部被誉为最严格的个人数据保护方案取代了欧盟于1995年颁布的《数据保护指令》(Data Protection Directive 95/46/EC)。该条例的主要亮点在于提高对欧盟公民的隐私保护力度和范围,在欧盟范围内确立基础性的一些原则和处理方法。下面,小编为您解读GDPR对个人数据保护所做出的四大突破。
第一,对个人数据的定义不断扩张
传统意义上对个人数据(Personal Data)的认定主要包括姓名、电话、地址、出生年月等,GDPR扩大了对个人数据的定义,除了常规的个人信息(姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体)外,还增加了基因数据、生物识别数据以及和健康相关的数据,另外还将政治观点、性取向等纳入个人数据保护范围。详细而言,分别是:
和健康相关的数据:指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据,包括和卫生保健服务相关的服务。
第二,条例的适用范围更加广泛
该条例除了适用于欧盟成员国境内设立的数据控制者、数据处理方外,还将适用于向欧盟成员国公民或企业提供服务、存储数据的企业(参见条例第三条 地域范围)。
这也就意味着不管是在欧盟境内设立的企业,还是跟欧盟内部成员发生业务往来的企业,都应在处理相关业务时受到该条例的约束。
据悉,微软,Facebook、苹果等公司开始修改其在欧盟境内对于用户个人数据的处理方式,在我国,腾讯也在微信公众平台发布《关于欧盟数据保护通用条例的通知》,声明为遵守GDPR的相关要求,当欧盟地区微信用户撤销授权该公众号获取其个人信息(主要包括该微信用户取消关注公众号或其自行注销微信个人帐号)时,会以邮件形式告知公众号的注册邮箱删除欧盟用户的信息。
第三,明确个人数据处理的六大原则
当下,随着互联网科技的飞速发展,个人数据已经成为互联网时代的新石油、数字世界的新货币。我们在互联网留下的痕迹为研究我们的行为及需求的人或组织提供了重要线索,基于此,个人数据便成为具有经济价值的商品。因此,互联网经营者不仅要合法获取用户信息,也应妥善保护并正当使用用户信息,也应当在尊重用户知情权的基础上合法使用用户信息。
GDPR第五条对个人数据处理原则进行了规定,它包括以下几个方面:
1. 合法性、合理性以及透明性。即对于涉及个人数据应当以合法的、合理的和透明的方式来进行处理。
2. 正当目的。个人数据的收集应当具有具体、清晰和正当的目的。
3. 数据使用的最小化。也即个人数据的处理应当是为了实现数据处理目的而适当、相关和必要的,不能滥用个人数据。
4. 准确性。个人数据应准确,且应及时更新,不准确的数据应及时得到擦除或更正。
5. 限期储存。对于能够识别数据主体的个人数据,其储存时间不能超过时限其处理目的所需要的时间。
6. 完整性与保密性。要确保个人数据的安全,避免个人数据未经授权即被处理或者遭到非法处理,避免数据发生意外损毁或灭失。
上述6项原则为欧盟成员国的个人数据立法提供了原则性指引,这提高了对数据控制者或处理者对个人数据处理的要求,也可以最大限度的降低相关企业滥用个人数据的可能性。
第四,数据主体权利的增强
除了个人隐私保护中常规的知情同意权外,条例还增强了数据主体的权利。正如美国大数据专家阿莱克斯·彭特兰(Alex Pentland)在《智慧城市:大数据与社会物理学》一书中所讲的那样,个体拥有对个人数据权利的所有权、完全控制权、处置权以及发布权,不管大数据是由谁收集的,个体可以在使用、删除、销毁或者散布自己的数据。
此次GDPR的出台,更大范围的增强了数据主体的权利,包括:
1. 访问权。数据主体有权从数据控制者那里得知自己的人格数据是否正在被处理以及如果被处理的话,数据主体有权获知哪些信息。
2. 更正权。数据主体有权完善、更正不正确的个人数据信息。
3. 被遗忘权。数据主体有权要求数据控制者擦除关于其个人数据的权利,控制者有责任在特定情况下即使擦除个人数据。
4. 限制处理权。当对个人数据有争议、数据处理这非法处理数据等情况时,数据主体有权要求数据控制者对数据的处理进行限制。
5. 数据携带权。数据主体有权无障碍的将个体数据从一个数据控制者那里传输给另一个数据控制者。也就是说,数据控制者不能禁止数据个体转移自己的数据到另一个设备或者服务商。
6. 反对权。数据控制者给予公共利益或官方权威、或第三方利益需要而处理数据时,数据主体有权随时反对。除非控制者证明其有关(数据)处理的强制性法律依据优先于数据主体的利益、权利和自由,或者为了设立、行使或捍卫其合法权利。除此之外,数据主体还可反对仅基于自动决策而制定的具有重大影响的决策。
除此之外,GDPR还加大监管及处罚力度,对于违反该条例的数据控制者或处理者制定了惩罚规则,对于不同类型的违规行为采取不同的标准进行行政罚款,最高可达2000万欧元,对于个人数据的监管,条例规定成员国应设立一个或多个独立监管机构负责监控条例的实施。
总而言之,GDPR的正式生效,对于公民个人数据的保护无疑是严格的,保护力度也是巨大的。当今社会,不仅仅是欧盟,全世界范围内都面临着个人数据安全问题,Facebook数据泄露问题引发全球关注,支付宝年度账单风波也引起广大网民的热议,法律法规及行业规范的制定和出台为数据安全提供了制度保障,我国也相继出台和颁布《电信和互联网用户个人信息保护规定》以及《网络安全法》。现在,规则已经制定好,能否在实施中切实有效保护个人数据及隐私,需要在实践中检验。
诚然,互联网时代大家都在裸奔,不知道哪一天就暴露在大庭广众之下。我们的搜索引擎知道我们关注点是什么,支付宝知道我们的财务状况,大众点评知道你喜欢吃什么,玩什么,携程知道你想去哪里喜欢去哪里,淘宝知道你爱买什么,爱奇艺知道你爱看什么,微博知道你喜欢小姐姐还是小哥哥。当诸如此类的数据被别有用心的人利用的时候,轻则对个人隐私或财产造成损失,重则有可能会有生命安全的隐患。个人数据安全的保护,刻不容缓。
我们期待着,互联网时代,裸奔的个人隐私能够披上外衣,数据主体拥有抵御不法使用个人数据的铠甲,个人数据不至于随时处于被泄露的风险之中。
文章来源于“广州仲裁委员会”(gzac_gziac)微信平台。
(责任编辑:lixuezhen)