浅析GDPR中的个人数据访问权
关键词:
数据主体权利 数据主体 控制者 假名化 匿名化
名词解释:
控制者:单独或与他人共同决定处理个人数据的目的和方式的自然人或法人、公共当局、机构或其他机构。
假名化:使在不使用附加信息的情况下,个人数据不能识别到特定数据主体的处理过程。
匿名化:使个人数据无法识别到特定个人且不能还原的处理过程。
在当今社会,个人数据在各种活动中被众多企业,以各种目的、各种方式进行处理,在了解如何处理个人数据方面,自然人常常处于不利地位。为了保护这些自然人的个人数据,GDPR建立了一个完备的法律框架,也包括了数据主体权利的相关规定。
访问权(right to access)是GDPR规定的数据主体权利之一,GDPR Art.15 将其表述为,访问个人数据及其他相关信息的权利。
根据GDPR,访问权由三个部分组成,即确认是否处理个人数据、访问数据及有关数据处理的相关信息、获得处理后的个人数据副本(获取个人数据副本也是提供访问权的一种方式)。即访问权既可以理解为数据主体询问控制者是否处理了其个人数据,也可以理解为访问和验证这些个人数据。控制者应根据不同的请求响应,提供GDPR规定的内容。访问权的实际目的是使自然人能够控制自己的个人数据,并在合理的时间范围内轻松执行这项权利。
今天我们从EDPB的guidelines出发,聊聊GDPR中访问权的定义和执行。
Guidelines中提到,访问权的目的,是为数据主体提供充分、有效、透明、易于访问的信息,以便数据主体能够了解和验证数据处理的合法性基础,及所处理数据的准确性。数据主体可以基于获得的信息,行使删除、更正等权利。
并且,数据主体不必对访问请求给出理由,控制者也不能以请求是否基于上述目的而拒绝该请求,除非该访问权请求不在GDPR规则范围内。
访问权应实现三个部分:
(1)确认数据主体的数据是否被处理;
首先回答用户yes or no;
(2)访问这些个人数据;
可以通过提供数据副本等方式让数据主体可访问这些处理的个人数据;
(3)访问处理活动的相关信息,如目的、数据类别、处理持续时间、数据主体权利、跨境传输时的安全保护措施。
可以通过提供个人数据处理指引等方式供数据主体了解。
图1 EDPB Guidelines 01/2022 on data subject rights - Right of access
控制者在评估访问权请求时,应考虑以下几点:
控制者需确认请求是否实际和数据主体的个人数据相关,是否在GDPR Art.15 章节描述的范围内。此外,还需评估该请求涉及到该数据主体的所有信息还是部分信息。即控制者收到请求时首先应该评估该请求涉及的范围,数据主体请求访问的是整个设备或ID的数据,还是某个应用或服务涉及的数据,又或者,请求根本与个人数据无关。
数据主体权利请求应该不限于何种格式,控制者应提供数据主体易于使用的、适当的、友好的沟通渠道。
若控制者无法识别数据主体相关的数据,应告知数据主体,并可以拒绝提供访问权,除非数据主体能提供有助于识别的额外信息。同时,若控制者对数据主体身份有疑问,应要求数据主体提供更多信息以确认。该过程中需注意避免过度收集信息。企业在实践时,应在准确识别、验证数据主体身份后提供权利,可要求数据主体提供必要的证明信息。
图2 EDPB Guidelines 01/2022 on data subject rights - Right of access
(1)访问权的范围由GDPR Art.4 中个人数据概念的范围界定。除了姓名、地址、电话号码等基本个人数据外,还包含可能的多种数据,如医疗诊断、购买历史、信誉指标、活动日志、搜索历史等。
(2)经过假名化的数据仍是个人数据,而匿名后的数据不是。
(3)访问权是指与提出请求的人相关的个人数据,但是不应被限制于此,在实践过程中,可能也包括其他人的数据。比如,聊天记录本身包含信息的传入和传出,并非一个人生成所有信息。
(4)除了提供数据主体对个人数据的访问,控制者还必须提供有关数据处理和数据主体权利的额外信息,此类信息可以基于控制者的活动记录和隐私声明中已汇编的内容整理,但需要注意,该类通用信息需更新到本次请求时间的版本,或调整,以反映请求人相关的特定处理活动。
(1)提供访问权的方式可能因数据量和所执行处理的复杂性而异。除另额外说明,访问权请求应涉及数据主体的所有个人数据,如果处理数据量大,控制者可要求数据主体指定请求的内容。
(2)控制者必须根据某一个或多个具有唯一性的检索标识(如基于姓名、ID)检索所有系统中的个人数据,并以可反映数据结构的方式呈现。此外,数据传输等其他处理相关信息,应以简洁、透明、易懂、易于访问的形式、以清晰明了的语言提供给数据主体。如果数据由代码或原始数据组成,则控制者需要对其解释,使其对数据主体是有含义的。
控制者收到请求后,检索个人数据的过程中,应保证数据的准确性和可读性,准确的检索标识和友好的数据呈现方式都应在考量范围内。
图3 EDPB Guidelines 01/2022 on data subject rights - Right of access
(3)提供访问权的主要方式是向数据主体提供其数据副本,若数据主体要求,也可以其他如口头、线下方式提供。数据可以电子邮件发送,或以自助服务工具等形式,该过程中应基于数据的性质,考虑必要的安全保障措施。
在众多企业的实践中,通过隐私中心或隐私工具,验证数据主体身份后对其提供自助行权服务,是一种常见的方式。
(4)当数据量极其庞大,若一次性提供所有信息数据主体将很难理解时,可采用分层的方式。即提供不同层级的信息有助于数据主体对数据的理解。控制者需能证明分层方式对数据主体更有价值,若数据主体要求,应同时提供所有层级。
(5)数据副本和附加信息应以书面文本等永久性形式提供,可以是常用电子格式,以便数据主体轻松下载。只要包含所有应附信息,数据可以转录或汇编形式提供,并保证这些形式不会改变信息的内容。
(6)数据主体权利请求应尽快完成,最晚日期为收到请求后的一个月。若请求复杂且量大,可在告知数据主体延期原因的情况下延期两个月。控制者需采取必要措施尽快处理请求,并根据处理情况及时调整。若数据只存储很短时间,则需保证请求能够及时处理,而不是在访问权处理中数据被删除。处理大量数据时,控制者应有相应的复杂数据处理流程和机制。
目前国内外都有访问权未及时处理或处理不得当的处罚案例,企业在响应时,应建立完善的应答和处理机制,减小投诉风险。
图4 EDPB Guidelines 01/2022 on data subject rights - Right of access
(7)控制者评估请求时,应反映收到请求时的数据处理情况。即使是不正确或非法处理的数据也必须提供。已删除的数据(如根据保留期限策略已到期删除的)不需要提供,该类数据对于控制者而言也不可再使用。
GDPR允许在某些情况下对访问权进行限制。
(1)根据Art.15,获取数据副本不得对他人的权利和自由产生不利影响,该限制同样适用于线下提供数据访问等场景。但是,控制者必须能证明该行为会导致他人的权利和自由收到不利影响。并且在这种情况下,不应完全拒绝数据主体的请求,控制者可以将那部分会影响他人的数据隐匿或模糊化。
(2)Art.15允许控制者拒绝明显没有依据或过度的请求,或对此类请求收取合理费用。该条限制应狭义地来看,因为访问权的前提条件本身很少,所以请求没有依据的情况相当有限。在请求过多的情况下,控制者可以合理收取请求导致的费用(而不是拒绝请求),但需证明该请求的无依据性或过度性。
(3)某些国家的法律也可能对访问权有额外限制。
访问权是数据主体权利中相对基础和常见的一种,它与GDPR的其他条款密切相关,如数据保护原则(处理的公平性和合法性)、控制者的透明度义务、以及GDPR规定的其他数据主体权利,如更正权、删除权等。理清访问权的定义与执行,对于作为控制者的各企业来说,都是合规治理的必经之路之一。
参考材料:
[1] EDPB Guidelines 01/2022 on data subject rights - Right of access, https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf
[2] 《从App中“复制”自己的个人信息,有多难?》by 澎湃美术课,https://mp.weixin.qq.com/s/7794p6hXuWri5iYJOJKYwg
[3] 《首案 | 如何行使个人信息查阅复制权?平台又应当如何作好权利响应的合规?》by数据法盟,https://mp.weixin.qq.com/s/DEc5xjnMzqjGzI4LFj9qgA