數據控制者的合法利益與義務
1、 數據控制者的利益邊界(序47)
數據控制者的合法利益範圍需要考慮它對數據的合理期望以及數據主體與控制者之間的相關性和適當關係。只有當數據控制者提供了客戶端或控制器服務時,才存在合法權益。
2、數據控制者利益基於評估(序47)
數據控制者的合法利益須基於仔細評估而確定,主要考慮包括是否在數據主體的合理個人數據範圍內進行收集並處理。但無論如何需要明確的是,數據主體的基本權利和利益應優先於數據控制者的利益。數據控制者不得在數據主體不同意和不符合其合理預期的情況下收集和處理個人數據。
3、數據利益與網絡安全水平相匹配 (序49)
個人數據處理的嚴格程度應符合網絡信息安全目的並與其保持對應性,包括網絡及信息系統的防禦能力,在給定情況下的信心水平,在意外事件或非法的或惡意干擾下的個人數據的可用性、真實性、完整性和機密性的,提供的相關服務的存儲或傳送的安全,以及通過公共當局、計算機應急響應小組(CERTs)、計算機安全事故應變小組(CSIRTs)、電子通信網絡和服務提供者等安全技術和服務提供商提供的這些網絡和系統的整體情況,共同構築了數據控制者的合法利益界定範圍。
4、數據處理與目的相符(序50)
個人數據的處理必須符合其最初收集個人數據時的目的。數據控制者不能僅因為潛在需要,而擴大性的保留數據主體的個人數據。
5、數據處理告知義務(序61)
當數據主體的個人數據被處理或被獲取時,信息控制者應即時地將有關個人數據處理的信息告知數據主體。如果是從另一個合法渠道獲取了個人數據,則應根據情況在合理時間內予以告知。
6、數據轉移告知義務(序61)
當數據控制者將個人數據依法向另一方首次披露時,該事件亦應告知數據主體。
7、數據處目的改變告知義務(序61)
當數據控制者改變數據處理目的時,應該在進行進一步處理之前,告知數據主體,並說明有關目的和其他必要信息。如果處理個人數據時使用了不同來源的信息控制者,可以只提供一般信息而不提供數據的來源信息。但是,數據主體已經掌握了數據處理的信息,或是該信息已依法對外披露,或向數據主體提供該信息是不可能的或會涉及到不對等的成本時,則沒有必要強制數據控制者提供資料。後一種情況尤其適用於在公共利益、科學或歷史研究目的或統計目的中進行存檔目的的處理。但如發生此等情形,控制者應考慮到數據主體的數量、數據年代和應當採取的保障措施。
8、訪問數據者的身份驗證(序64)
數據控制者應該使用所有合理的措施來驗證請求訪問的數據主體的身份,特別是在線服務和在線認證情況下。
9、採取有效措施義務(序74)
控制者處理任何個人數據的職責與責任須予以建立。具體而言,控制者不但應執行適當、有效的措施,並應能夠證明其數據處理行為符合本條例的規定。這些措施應考慮到數據處理的性質、範圍、範圍和目的,以及對自然人的權利和自由的威脅程度。
10、損害風險評估義務(序75)
當對個人數據處理時,可能會對數據主體的權利、自由以及其身體、物質或非物質的其他權益造成損害時,則應予以特別注意與評估,其評估範圍包括:
(1)數據處理不當可能導致歧視、身份盜竊或欺詐、財務損失、名譽損害、未經授權的匿名撤銷、或任何其他重大經濟或社會不利因素;
(2)數據主體可能被剝奪其權利和自由,或者無法對其個人數據進行控制;(3)處理個人數據,可能會揭示種族或族裔來源、政治觀點、宗教或哲學信仰、工會會員資格;
(4)處理遺傳資料、有關性生活的健康資料、或刑事定罪及罪行或有關安全措施的資料;
(5)對個人數據進行評估,特別是分析或預測有關工作表現、經濟狀況、健康狀況、個人喜好或興趣、可靠性或行為、地點或活動,以便創造或使用個人資料; 對易受傷害的自然人,特別是兒童的個人資料進行處理;
(56或者處理涉及大量的個人數據並影響大量的數據主體。
11、風險可能性與嚴重性評估義務(序76)
數據主體的權利和自由的受到損害風險的可能性、嚴重性應參照處理的性質、範圍、內容和目的來確定。數據安全風險評估應該考慮個人數據處理帶來的風險,如意外或非法破壞,損失,變更、未經授權的披露,或訪問個人數據傳輸,存儲或處理,特別是可能導致身體、物質或非物質損害。風險應在客觀評估的基礎上進行評估,即確定數據處理操作是否涉及風險或高風險。
12、採取數據保護措施義務(序78)
數據控制者應遵守本條例的要求,採取適當的技術和組織措施,保護在處理個人數據時不會對自然人的權利和自由造成損害。為了能夠證明遵守這一規定,控制器應制訂並採用內部政策,默認的採用設計和數據保護的數據保護原則來實施措施。在這些措施之外,數據控制者仍應儘量減少個人數據的處理,儘可能快地對個人數據進行假名處理,對個人數據的功能和處理進行透明度,使數據主體能夠監測數據處理,使管制員能夠創造和改善安全特性。鼓勵在開發、設計、選擇和使用應用程序、服務和產品,是基於個人數據或處理個人數據的處理,完成他們的任務,生產商的產品,服務和應用程序時,即應認真考慮數據保護的權利,以確保控制器和處理器能夠履行其數據保護義務。
13、確立責任清單與監管部門義務(序79)
為保護數據主體的權利和自由,應根據本條例,針對控制器和處理器的責任和義務
制訂清晰的分配責任、監控措施,並確定對應的監督部門,包括在一個控制器中預設相關目的和手段,以會同其他控制器來完成該些操作與處理。14、記錄處理活動義務(序82)
為了展示對規則的遵守情況,控制器或處理器應對其職責下的處理活動進行記錄。每個控制器和處理器都應該有義務與監管部門合作,並根據請求將這些記錄提供給監管部門,以便其可以用來監視這些處理操作。
15、降低處理數據安全風險義務(序83)
為了維護處理程序的安全性並防止對規則的違反,控制器或處理器應能評估處理過程中固有的風險,並採取措施來降低這些風險,比如通過加密措施。這些措施應確保適當程度的安全,包括保密,並考慮到有關風險的技術水平和執行費用,以及保護個人數據的性質。
16、監管諮詢義務(序84)
如果數據保護影響評估表明,處理操作將涉及一種高風險,且控制者無法根據現有技術和合理的執行成本採取適當的措施來減輕這種風險時,則應在處理之前向監督管理當局進行諮詢。
作者∣陳德志 律師,錦天城律師事務所資深律師,上海市律師協會證券業務研究委委員,從事公司、證券法律行業近十年,主要執業領域為:資本市場、併購重組、企業投融資、企業合規建設。
閱讀更多 百律 的文章
