🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

GDPR赋予数据主体的权利

闪涛律师团队 LEGAL EYE 看法见法 2024-01-09



关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师


本期关键词:GDPR;通用数据保护条例;欧盟;数据主体;权利


本文约4572字,大约需要阅读10分钟。



上期推文(点此查看中国《数据安全法》VS欧盟GDPR)对我国的《数据安全法》和欧盟的《通用数据保护条例(General Data Protection Regulations)》(以下简称”GDPR“)进行了比较。本文将着重对GDPR赋予数据主体的权利(rights of the data subject)进行梳理。




欧盟议会于2016年4月14日通过的《通用数据保护条例》(“GDPR”)于2018年5月25日在欧盟成员国内正式生效实施。任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。





GDPR的第三章规定了数据主体的权利数据主体(data subject)即数据相关联的已识别或可识别的自然人(an identified or identifiable natural person)。数据主体享有的权利具体包括:


  • 透明的信息、通信和数据主体行使权利的方式(Transparent information, communication and modalities for the exercise of the rights of the data subject);

  • 向数据主体收集个人数据时应提供的信息(Information to be provided where personal data are collected from the data subject);

  • 非向数据主体本人收集个人数据时应提供的信息(Information to be provided where personal data have not been obtained from the data subject);

  • 数据主体的访问权(Right of access by the data subject);

  • 更正权(Right to rectification);

  • 删除权或称被遗忘的权利(Right to erasure, 'right to be forgotten');

  • 限制处理权(Right to restriction of processing);

  • 关于更正或删除个人资料或限制处理的通知义务(Notification obligation regarding rectification or erasure of personal data or restriction of processing);

  • 数据可移植权(Right to data portability);

  • 反对权(Right to object);

  • 自动化的个人决策(Automated individual decision-making, including profiling)。


下文将反复提及一个概念“控制者(controller)”。根据GDPR的第四条,控制者指的是单独或与他人共同确定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他机构。如果此类处理的目的和方式由联盟或成员国法律确定,则控制者或其涉及的具体标准可能由联盟或成员国法律规定。



Article 12


数据主体有权获得透明的信息


GDPR的原则之一就是透明性原则,要求控制者必须如实告知数据主体收集、使用、查阅或以其他方式处理与其有关的个人数据以及处理或将处理该等个人数据的程度。


根据GDPR的规定,处理个人数据的各类组织机构必须使用清晰、简洁的语言(特别是在数据主体中包括未成年人的情况下),以简明、透明、易理解、易获取的形式提供下列信息。也可使用适当的可视化方法(例如标准化图标)。原则上,此类信息必须以书面形式(例如通过隐私政策)、在适当的时候通过网站等电子途径提供。



Article 13


数据主体收集个人数据时需提供的信息


如果直接向数据主体收集个人数据,则控制者必须向数据主体提供下列信息:


1. 控制者及其代表的身份和联系方式;2. 数据保护官的联系方式;3. 个人数据处理的目的和法律依据,包括在处理是基于“为了控制者所追求的合法利益目的所需”这一法律依据的情况下控制者所追求的合法利益;4. 接收者或接收者类别;5. 欧盟境外数据传输详情,包括将如何保护数据(例如,采用欧盟标准条款EU Model Clauses或企业约束规则Binding Corporate Rules)以及数据主体如何获得所实施的保障措施副本;6. 个人数据的保存期限,或在明确保存期限不可行的情况下,用于确定保存期限的标准(例如合同关系结束后一年)。


同时,控制者还应告知数据主体如下信息:


1. 数据主体有权查阅及更正其个人数据,反对或要求删除数据或限制数据处理,以及数据可携带性;2. 数据主体有权随时撤回其就此项处理给予的同意;3. 数据主体可向监管机构提起投诉;4. 提供数据是法律要求还是合同要求,或提供数据是否为订约所需,或数据主体有无义务提供数据,以及不提供数据的后果;5. 是否会作出任何自动化决策、决策的逻辑,以及对数据主体的意义和后果。



Article 14


非直接向数据主体收集个人数据时需提供的信息


如果不是直接向数据主体收集个人数据,则控制者还须提供以下信息:


1. 相关个人数据类别;2. 个人数据来源,以及个人数据是否来自可公开访问的来源(如适用)。


这些信息必须在以下期限内提供给数据主体:


1. 获得个人数据后的合理期限内(最长期限为一个月);2. 如果数据将被用于与数据主体进行通信,则最迟在第一次通信发生时;3. 如果预期向其他接收者披露个人数据,则最迟在该等披露之前。


但也存在例外情形。如果个人数据不是直接从数据主体处收集,则在下列情况下,不适用信息告知义务:


1. 数据主体已拥有该等信息;2. 提供该等信息不可行或者需要付出的努力超出了合理的比例,但前提是控制者采取适当措施保护数据主体的权利、自由和合法利益,包括公开提供该等信息;3. 欧盟或成员国的法律规定有义务获取、披露个人数据并规定了保护收据主体合法利益的措施;4. 根据欧盟或成员国法律规定的职业保密义务(例如律师与委托人之间、医生与患者之间),必须对个人数据保密。



Article 15


数据主体享有访问权


数据主体有权要求确认是否正在处理与其有关的个人数据以及访问其个人数据并获得特定信息。GDPR规定了控制者必须应请求向数据主体提供以下方面的信息:


1.处理目的;2.相关个人数据类别;3.已经或将要接收个人数据的接收者或接收者之类别,尤其是第三国或国际组织的接收者;4.在可确定的情况下个人数据的预期存储期限或在不可确定的情况下用于确定该等期限的标准。


数据主体同时享有以下权利:

1. 要求控制者更正或删除与数据主体有关的个人数据或者限制处理与数据主体有关的个人数据,或者反对此类处理;2.向监管机构提起投诉的权利;3.在个人数据不是从数据主体处收集的情况下,可获得的有关个人数据来源的任何信息;4.自动化决策的存在以及(至少在这些情况下)与相关逻辑有关的有意义的信息,以及此类处理对数据主体的重要性和预期后果。


另外,在GDPR下,控制者有义务向数据主体免费提供其个人数据副本一份。只有数据主体要求提供一份以上的其个人数据副本时,控制者方可收取合理的费用(根据内部行政管理成本)。如果控制者处理大量与数据主体有关的信息,其可要求数据主体指明该项请求所涉及的信息或处理活动。


数据主体必须能够在合理的时间间隔内不费力地行使其访问权,以了解和核实与其数据有关的处理的合法性。出于非数据保护目的而提出的请求可能会被拒绝。控制者必须采取一切合理措施来验证请求访问的数据主体的身份。但是,控制者不得仅仅为了能够回应潜在的请求而处理个人数据。



Article 16


数据主体享有更正权


根据GDPR的规定,更正权是指数据主体有权要求更正与其有关的不准确个人数据。同时,数据主体有权要求对其不完整的个人数据进行补充,包括通过提供补充声明要求补充。



Article 17


数据主体享有删除权


删除权也称“被遗忘权”。删除权并不是给予数据主体要求删除数据的绝对权利。GDPR规定,数据主体有权在存在以下一个或多个情况下要求删除其数据:


1.个人数据对最初收集该等个人数据的目的而言不再是必需的;2.数据处理系基于同意且该等同意被撤回,且数据处理无其他法律依据;3.数据主体反对处理,且数据处理无令人信服的正当处理理由;4.个人数据系非法收集;5.为了遵守法定义务,必须删除个人数据;6.个人数据处理涉及向儿童提供信息社会服务,特别是在其未充分意识到处理风险的情况下,以儿童的身份作出的同意,应当删除其在互联网上的个人数据。


如数据控制者已公开个人数据并有义务删除个人数据,则控制者必须采取合理措施(包括技术性措施)将数据主体已要求删除其个人数据的事宜通知其他控制者。因该等个人数据已处于公众知悉的领域,这一义务的影响可能非常广泛。


删除个人数据的义务也存在一些例外,即如果数据处理对于以下任一情形而言是必需的,则无需履行这一义务:


1.行使言论和信息自由的权利;2.遵守欧盟或成员国的法律义务或执行为公共利益或为行使控制者被授予的官方权力而进行的任务;3.出于公共卫生领域内公共利益的原因;4.出于公共利益的归档目的、科学或者历史研究目的或者统计目的,只要删除权可能导致不能实现此类处理目的或者对该等目的的实现造成严重影响;5.为建立、行使或辩护法律请求之目的,特别是为证据目的。



Article 18


数据主体享有限制处理权


根据GDPR的规定,数据主体在以下情况下有权要求限制或暂时限制处理其个人数据:


1. 数据主体正在对正被处理的个人数据的准确性提出质疑,但限制处理须以控制者核实个人数据准确性所需的时间为限;2.处理是非法的,但数据主体反对删除其个人数据,而要求限制处理;3.数据控制者不再为处理目的而需要个人数据,但数据主体因建立、行使或辩护法律请求之目的而需要个人数据;4.在核实控制者的正当理由是否优先于数据主体的正当理由之前,数据主体反对处理。


在限制处理期间,“标记的”个人数据只能由控制者存储。禁止进行其他与“标记的”数据有关的处理活动。如果个人数据处于“处理受限”状态,则控制者在数据主体同意的情况下或者该等处理行为时为了建立、行使或辩护法律请求,保护第三方所必需的情况下,或者为维护相关成员国和/或欧盟的重大公共利益所必需,则仍可进一步处理这些数据。


处理限制必须在控制者的系统中明确标示。控制者组织内部可以用来限制个人数据处理的方法包括暂时从网站上删除或屏蔽已发布的数据或将“标记的”个人数据临时转移到另一处理系统,使“标记的”个人数据不再可获得。处理限制原则上应该通过技术手段来保证实现,并且个人数据应当以不允许进一步处理和更改的方式记录在控制者的IT系统中。


解除任何处理限制之前,控制者必须通知数据主体。



Article 20


数据主体享有数据可移植权


GDPR规定了数据主体应有权接收其以结构化、常用和机器可读格式提供给控制者的与其有关的个人数据,并有权将这些数据传输给另一个控制者,而不受向其提供个人数据的控制者的妨碍。为了进一步加强数据主体对其自身数据的控制,在以下情形中,数据主体有权从控制者处接收回其提供给控制者的个人数据:


1.处理系基于同意(也适用于特殊类别个人数据)或合同;2.处理是以自动方式进行的。


如果处理系基于同意或合同以外的任何其他法律依据,例如出于控制者合法利益所需或出于为公众利益而执行任务所需,可携权便不适用。


这一要求在控制者之间传输个人数据的新权利很可能给控制者带来额外的行政管理和技术负担,需要在新(技术)系统和(内部)流程方面进行大量投入。GDPR表示希望控制者受激励开发可互操作的格式来实现数据可携性。


接收个人数据的权利不妨碍其他数据主体的权利和自由。此外,数据可携权不妨碍数据主体获取删除其个人数据的权利以及GDPR下对该等权利的限制。


数据可移植权并不意味着数据主体在履行合同所必需的程度和时间范围内有权要求删除其为履行该合同而提供的个人数据。



Article 21


数据主体享有反对权


根据GDPR规定,数据主体有权在以下三种情况下反对处理其个人数据:


1.个人数据处理是基于“维护公共利益所必需”或“维护控制者所追求的合法利益所必需”这两个理由。如果数据主体反对数据处理行为,则控制者必须停止处理个人数据,除非其能证明其拥有令人信服的、优先于数据主体利益的正当理由,或者是为了建立、行使或辩护法律请求。2.个人数据处理是出于直接营销目的。如果出于直接营销目的处理个人数据,则数据主体有权随时反对出于此类营销目的处理与其有关的个人数据,包括在与此类直接营销相关的范围内进行分析。如果数据主体反对出于直接营销目的进行处理,则不得再出于此类目的处理个人数据。3.个人数据处理是出于科学、历史研究或统计目的。



Article 22


自动化决策相关权利


根据GDPR的规定,数据主体有权不适用完全基于自动化处理的决定,如果前述决策产生与数据主体有关的法律效果或者对数据主体产生类似的重大影响。举例而言,此类决策包括无人为干预下的拒绝在线信贷申请、网络招聘或在线绩效评估。


对该条款所涉及的任何处理,都应当采取适当的保障措施,包括向数据主体提供具体信息以及要求人为干预、表达其观点、要求对此类评估后作出的决策进行解释以及质疑此类决策的权利。


基于敏感数据的自动化决策进一步受到限制,只有在获得明确同意的情况下或者根据欧盟或成员国法律对于维护重大公共利益处理是必需的情况下才能进行。



来源:https://gdpr-info.eu/






陆续更新,敬请期待





版权归闪涛律师团队所有,未经许可不得转载。

如认为本文侵犯版权,请及时联系闪涛律师团队。

  

关键词:区块链;人工智能;大数据;智能合约;涉外法


团队介绍



闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域




闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。


闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员




                       



往期回顾 


精炼!一文了解《数据安全法》

《数据安全法》中的三大主要变化

《数据安全法》《网络安全法》《个人信息保护法》的比较分析

点一下在看再走吧


继续滑动看下一个
LEGAL EYE 看法见法

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存