卡特琳·鮑爾- 布爾斯特
內容來源於: ICANN 第59屆會議(南非約翰內斯堡)分論壇之一
大家好。我今天在這裡代表歐盟委員會,具體而言,代表了數據保護部門的各位同事來發言。
大家知道歐盟委員會有權提出法案。很早以前,我們就提出了歐洲《通用數據保護規章》。今天我很榮幸給大家介紹此法令的一些最基本概念,也可以說是歐洲數據保護框架的入門課程。從現在起不到一年,我們便將要遵守該法令。2018 年 5 月 25 日,該法令將生效。
首先我想介紹 GDPR 的一些總體目標,然後是一些關鍵概念和治理結構。因為我們發現歐盟過去落實的法令是非常分散的數據保護框架,因此本框架的總體目標是需要加以統一。所以現在,我們引入了所述法令,將在整個歐盟統一實施一套個人數據保護條例。這就意味著如果是在多個歐盟成員國開展業務的公司,現在會有一個對此負主要責任的數據保護機構,再也不用聯繫多個機構。另外還將嘗試簡化手續。直到現在大家都還是需要向數據保護機構 (DPA) 主動告知數據處理操作,但在2018 年5 月將改變的一個重要事項是GDPR 不再需要如此,而是更多地採取了依據信任的方法。
歐盟的基本原則是,數據保護屬於基本權利。這在《歐盟基本權利憲章》和《歐盟運作條約》中均有規定。這一基本權利現在轉化為個人的幾項具體權利。
- 第一個是知情權。所以,數據主體有權通過簡明、透明、易懂和便於查閱的條款,得知對自己個人數據的操作。
- 第二項權利是查閱權。在 GDPR 機制下,個人有權就其數據正在處理一事獲得確認信息。個人將有權查閱所處理的與他們相關的個人數據,以及任何其他相關的補充信息。
- 第三項權利是糾錯權。如果數據不準確或不完整,個人有權予以糾正。
- 第四項權利作為被遺忘權而為大家熟知,實際上它已經引起了不少的風波。GDPR 將這項權利稱為擦除權。當個人數據不再為最初的收集或處理目的所必需時,或個人撤銷同意時,就可適用這項權利。另外還有限制數據處理的一項權利。例如,某個人對所存儲的與他相關數據的準確性提出疑問時,他有權要求處理方限制數據的處理。
- 第五是數據可攜權,個人基本可以獲取自己的個人數據,並攜帶給另一服務提供商,數據必須以方便下載的格式提供。
- 最後一項權利是反對權。特定情況下,個人有權完全反對特定類型的數據處理,尤其是涉及直效營銷時或為科學/歷史研究而處理數據時。
基本定義及術語
第一個概念是個人數據,這是此規章的立足點。個人數據指與已確認身份的或可確認身份的自然人相關的任何信息。這意味著,個人數據不僅限於您的名字或其他任何表面上能識別身份的信息。它還包括與其他要素一起使用時,能幫助人們發現您身份的相關信息。例如,我將名字註冊為域名時,域名自然也屬於個人數據。但這同時也意味著,直接定義個人數據的類別不是很容易。
第二個非常重要的概念是數據處理。真正意義上的處理指您可以對數據進行的任何操作。收集數據、存儲數據、分析數據、刪除數據、轉發數據、發佈數據,這些都屬於數據處理。
第三個重要概念是地理範圍。GDPR 與現有法令相比,確實改變了地理範圍的定義,這是為了創建更公平的競爭環境。現有法令關注數據控制和只駐於歐盟的處理方,而 GDPR 的地理範圍更寬一點。GDPR 也適用於駐於歐盟以外的這些數據控制方:擁有歐盟人員的數據,所處理的數據涉及向歐盟的數據主體提供商品或服務,或者監督歐盟內的行為或人員。
現在來看 GDPR 的三個關鍵是:控制方、處理方和數據主體。控制方指決定個人數據處理的目的和方式的實體。主要而言,誰決定為什麼要收集一組個人數據,應該進行什麼處理,應該以什麼方式、外形或形式進行收集或處理。處理方指執行控制方規定的政策,僅執行處理操作,但自己不能選擇數據處理的目的和方式。而數據主體當然是指個人數據被處理的相關個人。這裡,我特別提到了“自然人”一詞。所以務必記住,個人數據只能適用於自然人。根本沒有法人擁有個人數據的說法。範圍僅限於自然人。
適用於數據處理的原則
數據處理必須合法、公平和透明。處理數據要合法意味著什麼?這意味著數據處理必須有法律依據。
原則一是同意。因此,可以根據數據主體同意這個依據來處理數據。數據主體必須自願同意。這意味著您不能將數據主體同意作為其獲得商品或服務的條件。不論同意與否,都不能影響商品或服務的提供。當然,可能需要一些個人數據才能提供商品或服務,或者才能履行其他合同,因此處理數據還有許多其他適用的依據。這裡最重要的一點是,如果您需要數據才能簽署合同,甚至是準備合同。
第二個原則是目的限制。我認為 GDPR 背後的總體概念是,需要每個人問問:“為什麼處理個人數據?” “我的目的是什麼?我需要數據幹什麼?”你只能根據數據與目的之間的相關性來評估處理該數據是否合適。目的必須足夠具體,才能準確評估目的。所以,必須出於具體、明確和合法的目的收集數據,且之後不能以不符合這些目的的方式處理數據。
第三個原則是數據最小化。數據必須相關,且限於目的所必需的那些數據。
第四,數據必須準確,並在必要時保持最新。
第五,存儲限制。如果最初收集數據的目的現在不再需要數據,您必須刪除數據。
第六,必須確保數據的完整和保密。
治理結構及機制
本國的數據保護機構,是主要辦事處。它們負責進行裁決,包括處罰。它們還可以就 GDPR 的適用性提供建議,這些裁決可由國家法院審核。 GDPR 實際上會是一個執行主體,不遵守 GDPR 會面臨鉅額罰款。 個人如果認為該行動應採取何種方式,也可以向國家法院提出。若有解釋方面的問題,歐洲法院負責對 GDPR 提供最終決定性的解釋。
各個國家數據保護機構組成歐洲數據保護委員會,當不同國家數據保護機構有不同的解釋時,由歐洲數據保護委員會來解決這些差異。這種情況下,委員會還可以作出約束性裁決,對 GDPR 的適用性提供指南和建議。
歐洲數據保護監管局擔任EDPB(歐洲數據保護委員會)的秘書處,同時列席委員會。此監管局負責根據不同的法規監管歐洲機構的具體操作情況。 委員會負責處理所有國際性問題,我們的歐洲數據保護監管局負責歐洲機構的問題。 另外,歐盟委員會還負責實施規章,委員會與成員國展開合作,確保數據保護規章的落實。
閱讀更多 今日頭條智庫 的文章
