GDPR赋予数据主体的权利
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:GDPR;通用数据保护条例;欧盟;数据主体;权利
本文约4572字,大约需要阅读10分钟。
上期推文(点此查看中国《数据安全法》VS欧盟GDPR)对我国的《数据安全法》和欧盟的《通用数据保护条例(General Data Protection Regulations)》(以下简称”GDPR“)进行了比较。本文将着重对GDPR赋予数据主体的权利(rights of the data subject)进行梳理。
欧盟议会于2016年4月14日通过的《通用数据保护条例》(“GDPR”)于2018年5月25日在欧盟成员国内正式生效实施。任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。
GDPR的第三章规定了数据主体的权利。数据主体(data subject)即数据相关联的已识别或可识别的自然人(an identified or identifiable natural person)。数据主体享有的权利具体包括:
透明的信息、通信和数据主体行使权利的方式(Transparent information, communication and modalities for the exercise of the rights of the data subject);
向数据主体收集个人数据时应提供的信息(Information to be provided where personal data are collected from the data subject);
非向数据主体本人收集个人数据时应提供的信息(Information to be provided where personal data have not been obtained from the data subject);
数据主体的访问权(Right of access by the data subject);
更正权(Right to rectification);
删除权或称被遗忘的权利(Right to erasure, 'right to be forgotten');
限制处理权(Right to restriction of processing);
关于更正或删除个人资料或限制处理的通知义务(Notification obligation regarding rectification or erasure of personal data or restriction of processing);
数据可移植权(Right to data portability);
反对权(Right to object);
自动化的个人决策(Automated individual decision-making, including profiling)。
下文将反复提及一个概念“控制者(controller)”。根据GDPR的第四条,控制者指的是单独或与他人共同确定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他机构。如果此类处理的目的和方式由联盟或成员国法律确定,则控制者或其涉及的具体标准可能由联盟或成员国法律规定。
Article 12
数据主体有权获得透明的信息
GDPR的原则之一就是透明性原则,要求控制者必须如实告知数据主体收集、使用、查阅或以其他方式处理与其有关的个人数据以及处理或将处理该等个人数据的程度。
根据GDPR的规定,处理个人数据的各类组织机构必须使用清晰、简洁的语言(特别是在数据主体中包括未成年人的情况下),以简明、透明、易理解、易获取的形式提供下列信息。也可使用适当的可视化方法(例如标准化图标)。原则上,此类信息必须以书面形式(例如通过隐私政策)、在适当的时候通过网站等电子途径提供。
Article 13
向数据主体收集个人数据时需提供的信息
如果直接向数据主体收集个人数据,则控制者必须向数据主体提供下列信息:
同时,控制者还应告知数据主体如下信息:
Article 14
非直接向数据主体收集个人数据时需提供的信息
如果不是直接向数据主体收集个人数据,则控制者还须提供以下信息:
这些信息必须在以下期限内提供给数据主体:
但也存在例外情形。如果个人数据不是直接从数据主体处收集,则在下列情况下,不适用信息告知义务:
Article 15
数据主体享有访问权
数据主体有权要求确认是否正在处理与其有关的个人数据以及访问其个人数据并获得特定信息。GDPR规定了控制者必须应请求向数据主体提供以下方面的信息:
数据主体同时享有以下权利:
1. 要求控制者更正或删除与数据主体有关的个人数据或者限制处理与数据主体有关的个人数据,或者反对此类处理;2.向监管机构提起投诉的权利;3.在个人数据不是从数据主体处收集的情况下,可获得的有关个人数据来源的任何信息;4.自动化决策的存在以及(至少在这些情况下)与相关逻辑有关的有意义的信息,以及此类处理对数据主体的重要性和预期后果。另外,在GDPR下,控制者有义务向数据主体免费提供其个人数据副本一份。只有数据主体要求提供一份以上的其个人数据副本时,控制者方可收取合理的费用(根据内部行政管理成本)。如果控制者处理大量与数据主体有关的信息,其可要求数据主体指明该项请求所涉及的信息或处理活动。
Article 16
数据主体享有更正权
根据GDPR的规定,更正权是指数据主体有权要求更正与其有关的不准确个人数据。同时,数据主体有权要求对其不完整的个人数据进行补充,包括通过提供补充声明要求补充。
Article 17
数据主体享有删除权
删除权也称“被遗忘权”。删除权并不是给予数据主体要求删除数据的绝对权利。GDPR规定,数据主体有权在存在以下一个或多个情况下要求删除其数据:
如数据控制者已公开个人数据并有义务删除个人数据,则控制者必须采取合理措施(包括技术性措施)将数据主体已要求删除其个人数据的事宜通知其他控制者。因该等个人数据已处于公众知悉的领域,这一义务的影响可能非常广泛。
删除个人数据的义务也存在一些例外,即如果数据处理对于以下任一情形而言是必需的,则无需履行这一义务:
Article 18
数据主体享有限制处理权
根据GDPR的规定,数据主体在以下情况下有权要求限制或暂时限制处理其个人数据:
在限制处理期间,“标记的”个人数据只能由控制者存储。禁止进行其他与“标记的”数据有关的处理活动。如果个人数据处于“处理受限”状态,则控制者在数据主体同意的情况下或者该等处理行为时为了建立、行使或辩护法律请求,保护第三方所必需的情况下,或者为维护相关成员国和/或欧盟的重大公共利益所必需,则仍可进一步处理这些数据。
处理限制必须在控制者的系统中明确标示。控制者组织内部可以用来限制个人数据处理的方法包括暂时从网站上删除或屏蔽已发布的数据或将“标记的”个人数据临时转移到另一处理系统,使“标记的”个人数据不再可获得。处理限制原则上应该通过技术手段来保证实现,并且个人数据应当以不允许进一步处理和更改的方式记录在控制者的IT系统中。
解除任何处理限制之前,控制者必须通知数据主体。
Article 20
数据主体享有数据可移植权
GDPR规定了数据主体应有权接收其以结构化、常用和机器可读格式提供给控制者的与其有关的个人数据,并有权将这些数据传输给另一个控制者,而不受向其提供个人数据的控制者的妨碍。为了进一步加强数据主体对其自身数据的控制,在以下情形中,数据主体有权从控制者处接收回其提供给控制者的个人数据:
如果处理系基于同意或合同以外的任何其他法律依据,例如出于控制者合法利益所需或出于为公众利益而执行任务所需,可携权便不适用。
这一要求在控制者之间传输个人数据的新权利很可能给控制者带来额外的行政管理和技术负担,需要在新(技术)系统和(内部)流程方面进行大量投入。GDPR表示希望控制者受激励开发可互操作的格式来实现数据可携性。
接收个人数据的权利不妨碍其他数据主体的权利和自由。此外,数据可携权不妨碍数据主体获取删除其个人数据的权利以及GDPR下对该等权利的限制。
数据可移植权并不意味着数据主体在履行合同所必需的程度和时间范围内有权要求删除其为履行该合同而提供的个人数据。
Article 21
数据主体享有反对权
根据GDPR规定,数据主体有权在以下三种情况下反对处理其个人数据:
Article 22
自动化决策相关权利
根据GDPR的规定,数据主体有权不适用完全基于自动化处理的决定,如果前述决策产生与数据主体有关的法律效果或者对数据主体产生类似的重大影响。举例而言,此类决策包括无人为干预下的拒绝在线信贷申请、网络招聘或在线绩效评估。
对该条款所涉及的任何处理,都应当采取适当的保障措施,包括向数据主体提供具体信息以及要求人为干预、表达其观点、要求对此类评估后作出的决策进行解释以及质疑此类决策的权利。
基于敏感数据的自动化决策进一步受到限制,只有在获得明确同意的情况下或者根据欧盟或成员国法律对于维护重大公共利益处理是必需的情况下才能进行。
来源:https://gdpr-info.eu/
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧