系列解读之二:他山之石-如何处理个人数据访问权行权请求?
欢迎点击上方 TMT法律论坛 关注我们
导读
News
★
NEWS
★
9月26日,英国数据保护机构ICO发布文章,就企业如何处理个人数据访问权请求(subject access request ,以下简称“SAR”)发表意见。就该意见的梳理,请点击此处了解详情。
除ICO外,多个主要国家/地区的数据保护机构也曾对企业如何处理SAR发布过相关指引。
作为“企业如何处理个人数据访问权行权请求?”系列解读的第二篇,我们对EDPB于2022年1月发布的《EDPB关于数据主体权利指南-访问权(草案)(Guidelines 01/2022 on data subject rights - Right of access - version for public consultation)》(以下简称“《EDPB访问权指南》”)进行了梳理、总结与归纳,与读者交流。
本系列的第三篇文章,将:
重点分享英、法两国数据保护机构(ICO与CNIL)发布的SAR指南;并
对欧盟主要国家/地区数据保护机构发布的SAR相关指引进行总结。
关于各国数据保护机构就SAR及其他个人信息主体行权的相关指引及实践案例,我们将在后续进行详细梳理和总结,敬请持续关注本公众号。
阅读EDPB发布的《EDPB访问权指南》,请扫描下方二维码或点击文末“阅读原文”。
企业如何处理个人数据访问权行权请求?|《EDPB访问权指南》篇
GDPR下个人数据访问权的内容与目标
根据《通用数据保护条例》(General Data Protection Regulation,以下简称"GDPR")第15条的规定:
1.数据主体应当有权从控制者那里得知,关于其的个人数据是否正在被处理,如果正在被处理的话,其应当有权访问个人数据和获知如下信息:
(a)处理的目的;
(b)相关个人数据的类型;
(c)个人数据已经被或将被披露给接收者或接收者的类型,特别是当接收者属于第三国或国际组织时;
(d)在可能的情形下,个人数据将被储存的预期期限,或者如果不可能的话,确定此期限的标准;
(e)数据主体要求控制者纠正或擦除个人数据、限制或反对对数据主体相关的个人数据进行处理的权利;
(f)向监管机构进行申诉的权利;
(g)当个人数据不是从数据主体那里收集的,关于来源的任何信息;
(h)存在自动化的决策,包括第22(1)和(4)条所规定的数据分析,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。
2.当个人数据被转移到第三国或一个国际组织,数据主体应当有权获知和转移相关的符合第46条的恰当的保障措施。
3.控制者应当对进行处理的个人数据提供一份备份。对于任何数据主体所要求的额外备份,控制者可以根据管理花费而收取合理的费用。当数据主体通过电子方式而请求,且除非数据主体有其他请求,信息应当以通常使用的电子形式提供。
4.获取第三段中所规定的备份的权利不应当对他人的权利与自由产生负面影响。
(*以上译文源于人大未来法治研究院丁晓东老师(可点击访问原文))
《EDPB访问权指南》将GDPR下的访问权划分为三个组成部分:
确认是否处理个人数据;
访问数据及有关数据处理的相关信息;
获得处理后的个人数据副本(获取个人数据副本也是提供访问权的一种方式)。
据此,《EDPB访问权指南》进一步得出访问权的目标是:
使个人数据主体充分了解数据处理者是否正在处理其个人数据;
如是,使个人数据主体进一步了解其个人数据如何被处理及处理的后果,并核实所处理个人数据的准确性;
便于个人数据主体行使其他权利(但行使访问权不构成行使其他权利的前提条件)。
企业处理SAR的流程及要点
1、接收请求
接收格式:对请求的格式无具体要求。
接收渠道:接收渠道包括特定的行权请求渠道,也包括数据主体可合理期待是处理行权请求的其他官方联系渠道(如网站中显示的联系方式),且无权因数据主体向特定行权请求渠道之外的渠道发送SAR而延长答复期限。
接收时间:除非个人数据主体的重复请求被证明是过分、不合理的,否则即便数据处理情况未发生变化,该请求仍被视为一次新的请求,须被响应。若数据主体以收到的答复不完整或未收到拒绝理由为由重复第一次请求,则该请求被视为一次提醒,而非新请求。
示例一
如一个数据主体每两个月向为其制造桌子的工厂提出相同的访问权请求,而工厂仅向该主体提供过一次的服务,并已答复了第一次请求。此时,考虑到:① 与该主体相关的个人数据无任何变化;② 结合数据的性质、数量、处理目的看,与处理活动有关的风险较低,不会对数据主体造成损害;且 ③ 请求内容完全相同;新的请求将因其重复性被视为过度,而无须被响应。
示例二
如以收集和/或处理数据主体的个人数据为核心业务的平台进行了大规模的、复杂和持续的处理活动,此时考虑到业务收集和处理的个人数据可能发生频繁变化,数据主体每三个月提出的访问请求不会因其重复性而被视为过度。
2、评估请求
EDPB就如何解释和评估请求提供了如下流程,供企业参考。
图1. Step 1:How to interpret and assess the request?
《EDPB访问权指南》对请求评估的分析中,值得企业关注的重点事项为对请求范围及数据主体身份的核实。
(1)身份核实
如企业对数据主体或第三方/代理的身份有疑问,须要求其提供额外信息(如要求第三方/代理提供委托书)以确认其身份。额外信息应与所处理的数据类型、可能发生的损害等因素相称,避免过度收集数据。
示例一
如数据控制者通过网站中的cookie处理个人数据,当用户通过网站向数据控制者提出请求时,数据控制者可以通过其终端设备直接识别该用户;而当用户通过邮件向数据控制者提出请求时,则需提供存储在用户终端设备中的cookie标识符等以确定用户身份。
示例二
如用户在网上商城创建了账户,且提供了电子邮件和用户名,此时,数据控制者可以询问(非侵入性的)安全问题或采用多因素认证,以确认用户身份;若要求用户提供身份证以确认其身份,则可能导致不必要的数据收集。
如综合考虑法律规定,提供身份证件以认证身份符合正当性与相称性的要求,控制者应告知数据主体对身份证件中的不必要信息进行涂黑或隐藏,并确保采取安全措施防止身份证件被不当利用,如在认证后马上删除该身份证件信息。
示例三
如在无任何国家或地区规范依据的情况下,要求用户进行公证以核实身份,使得确认面临额外的费用,给数据主体带来了过度的负担,妨碍了用户行权,则属于过度收集数据。
示例四
在特定情况下,可提供非该主体的个人数据。如A使用B的信用卡向在线赌场付款时,考虑到从数据内容(B的信用卡与B相关)、目的和效果(如A的在线赌场游玩记录可能被用于向B开具发票)上看,数据与B存在联系,因此B有权要求在线赌场提供与A所进行的赌博及所使用的B的信用卡相关的个人数据。
(2)评估请求范围
除非另有说明,否则需提供与请求主体相关的所有个人数据。个人数据的范围指所有GDPR*界定的个人数据的范围,包括基于个人数据的衍生数据和假名化的个人数据,也可能涉及其他人的个人数据(如涉及传入和传出消息的通信历史)。如涉及第三方个人数据时,需充分考虑对第三方权益的影响。
如果涉及大量复杂数据,可以要求数据主体指定所需的个人数据的范围,但不应以此方式限制数据主体的访问权请求范围。
对请求的评估应反映控制者收到请求时的情况。不正确或被非法处理的数据甚至可能也必须提供,但不必提供请求提出时已经被删除的数据或不再可用的数据。
* GDPR第4(1)条:“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。
3、检索请求范围内的个人数据
根据某一个或多个具有唯一性的检索标识符(如姓名、ID等),在所有IT系统和非IT系统中搜索个人数据。检索个人数据的过程中,应保证数据的准确性和易读性。
搜索时除使用直接标识符外,还可能应使用间接标识符,避免遗漏从数据主体提供的数据中衍生或推断的信息,例如健康评估结果、信用比率等个人数据。
4、响应请求
EDPB就如何解释和评估请求提供了如下流程,供企业参考。
图2. Step 2:How to answer the request?
响应请求的过程中,有如下《EDPB访问权指南》提及内容值得企业重点注意。
(1)响应范围
除了提供对个人数据的访问,还必须提供关于处理个人数据和个人数据主体权利的其他附加信息。此类信息可参考处理活动记录或隐私声明,但需更新至请求的时间,或者加以调整以反映与提出请求的个人数据主体相关的特定处理操作。
示例一
如在面试过程中,求职者提交了简历、申请信,且HR对面试进行了记录,则对于求职者要求查阅招聘过程中收集的与之有关的个人数据的请求时,控制者除提供求职者提交的简历、申请信外,还需提供面试摘要,以及HR对其在面试中行为的主观评价。
示例二
如公司在隐私政策中明确了会将员工个人数据提供给酒店(仅披露至类别维度),则当处理员工SAR时,需详细给出具体接收数据的酒店的名称。
(2)响应方式
必须结合数据主体(如儿童或其他特殊群体)的理解能力,以简明、透明、易懂、易于理解的方式,使用清晰明了的语言提供数据和其他附加信息;对于由代码或其他“原始数据”组成的数据,可能需进行解释,以便数据主体理解。如当个人数据以网站日志文件形式呈现时,可采取如提供一份解释性文件,将原始格式翻译成用户友好的形式等方式便于用户理解。
响应方式可以是口头提供、现场访问或提供数据副本(副本及附加信息应以永久可用的形式提供)。数据可以转录或汇编形式提供,但需保证这些形式不会改变数据内容。
传输相关数据时,需结合数据的性质,采取足够的必要的保护措施。公司可设置处理访问请求的自动程序,使数据主体能够从其用户账户中访问其个人数据。
如数据庞大复杂,数据主体难以理解,可以采取分层提供的方式。使用分层提供方式时,数据控制者必须证明这一方式可以促进数据主体对数据的理解;同时,如数据主体要求,所有层次的数据应同时提供。在线网站可以通过设置不同自动化工具的选项按钮实现分层提供目的,如选项一、二设置为下载不同部分的个人数据。
视情况不一定必须提供原始个人数据载体。
示例一
如控制者通过分析客户的在线行为,将客户置于不同的细分市场。此时,假设对数据主体而言最重要的是关于他们被置于哪个细分市场的信息,则提供的第一层信息可为此信息,另一层信息可为尚未被分析处理的原始客户在线行为信息。
示例二
如数据主体和保险公司的大量来回沟通邮件中包含了数据主体的个人数据,当数据主体行使访问权时,控制者可以选择将包含数据主体的个人数据的电子邮件通信编入一个文件,并提供给数据主体;而无需提供所有原始形式的电子邮件。
(3)响应时效
响应时效应从接收请求当日起计算;如数据主体提供的核实身份信息仍无法识别其个人,则响应时效可暂停。
如无法在约定期限内提供,须告知数据主体延迟的原因。
响应请求时应考虑数据存储时间,如数据存储时间较短,则须采取措施保证在处理请求时,相关数据不会被删除;即便相关数据在响应请求时已达存储期限,也必须先提供访问权限,再行删除。
在处理大量数据的情况下,控制者必须建立适应复杂性处理的机制。
SAR处理的限制
EDPB就SAR处理的限制,提供了如下流程指引,供企业参考。
图3. Step 3:Checking limits and restrictions?
《EDPB访问权指南》明确提及三种可能限制SAR处理的情形。
当SAR明显过分或没有根据时。
当SAR对他人的权利和自由产生不利影响时,可拒绝提供或模糊化经证明会对他人的权利和自由产生不利影响的部分个人数据。
当存在特殊法律规定时。
示例一
如平台利用技术检测手段发现用户存在作弊行为而限制用户账户使用时,其可依据用户请求提供导致其账户被限制的信息(例如日志概述、作弊的日期和时间、第三方软件的检测等),以便数据主体验证数据处理是否准确;但基于保护商业秘密的需要,无需透露反作弊软件的任何技术操作,即使这些信息与用户相关。
示例二
如客户请求访问与客服人员通话时,虽然该通话涉及客服人员,但仅包括客服人员的声音信息,且通过该声音无法识别具体客服人员,因此,可向客户提供完整通话。
示例三
如数据主体和数据控制者所在国家法律规范对诉讼过程中,当事人之间可提供或交换的信息范围有明确的限制,则在数据主体及数据控制者的诉讼过程中,数据主体向数据控制者对与其有关的个人数据行使访问权的范围可能会受到相应限制。
此外,《EDPB访问权指南》在其他章节也提及如下使得个人数据控制者客观上无法响应请求的因素。
当SAR并非通过个人数据控制者的官方联系方式(不一定是特定的处理权利请求的通道)提交,而是被发送至完全随机或明显不正确的地址时。如将SAR发送至负责控制者所在物理场馆卫生清洁问题投诉的邮箱,或发送至非长期处理数据问题的雇员的个人邮箱。
当根据数据主体请求,无法识别数据主体或与之相关的个人数据,且在告知数据主体这一情形后,数据主体仍未提供用于识别的额外信息时。如数据主体请求提供一年内与之有关的建筑物内视频监控记录。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪