—数据保护的基本原则&pic=https://javy-lawyers.com/upload/1/cms/content/1659511810732.jpg&appkey=)
GDPR 第五条规定了数据控制人在进行数据处理的过程中应当遵循的基本原则,这些原则是:合法性、公平性和透明性原则,目的限制原则,数据最小化原则,数据准确性原则,存储限制原则,诚实和保密性原则。
01. 合法性、公平性和透明性原则
根据GDPR,有关数据主体的个人数据将以透明的方式合法、公平地处理,换句话说,个人数据必须在法律依据存在的情况下进行处理,并且在处理的程度是以公平和透明的方式对收集和使用 个人数据的个人进行处理。
合法性意味着只有当数据控制人具有处理数据的法律依据时,才能处理个人数据。为了数据处理是合法的,它必须在特定情况下符合所有可能适用的法律。根据GDPR,只有在满足以下法律理由之一的情况下, 对个人数据的处理才会被认为是合法的:
1、同意: 数据主体已同意为一个或多个特定目的处理其个人数据;
2、合同履行: 数据处理是执行合同 (数据主体是合同的其中一方)的必要条件,或者是为了在签订合同之前应数据主体的要求采取的步骤;
3、法律义务: 数据处理是数据控制人履行法律义务所必要;
4、个人切身利益: 为保护数据主体或其他自然人的切身利益,数据处理是必要的;
5、公共利益: 为了维护为公共利益而执行的任务或行使授予控制者的权力,数据处理是必要的;
6、合法利益: 为控制者或第三方追求的合法利益,数据处理是必要的,除非这些利益与数据主体的利益及基本权利和自由相冲突需要优先保护个人数据,特别是当数据主体是未成年人时。并且这一合法利益理由不能被用于公权力行使公共事务。
为了寻求在欧洲联盟(欧盟)内部的协调,GDPR规定了对个人权利和自由的高水平保护,通过规定上述法律标准在各成员国内达到一定的最低数据保护要求 。然而,成员国仍然保持引入或保存国内立法的某些权利,以进一步指定在某些情况下的法律实施,只要它们的立法精神与GDPR一致。关于合法性的详细论述将在之后文章中详细介绍。
除合法外,个人数据的处理必须公平。处理的公平性本质上包括: 数据主体必须了解其个人数据将被处理的事实,包括数据将如何被收集、保存和使用,以便他们就是否同意处理作出知情的决定,并使他们能够行使其数据保护权利。然而,在某些情况下,处理是自动被法律允许的,因此这种情况下的数据处理被认为是公平的,不管数据主体的认知或偏好如何。
此外,公平性还需要评估数据处理将如何影响数据主体。如果数据处理对个人产生负面影响,并且这种损害是不公正的,那么这种数据处理将是不公平的。例如,当 用户浏览旅行社网站时,旅行社可能会收集和处理行为数据。旅行公司通过使用cookie或其他跟踪技术来分析用户在搜索机票和酒店时的偏好。如果系统被编程为自动作出某一特定假期的价格决定,并检测到同一个人多次访问该网站,搜索有关特定目的地的信息,根据该信息提高价格的行为大概率会被认为是的不公平处理。
总之,确保公平处理要求数据控制人考虑案件的所有情况,并通过提供可靠的信息和实施适当的机制来保持透明。这种机制允许个人作出明智的决定和行使他们的选择和权利,除非数据处理有其他合法依据。
与公平直接相关的透明性原则是指,数据控制人在处理个人数据时,必须对数据主体公开、透明。GDPR鼓励通知数据主体他们的个人数据是如何处理的,而有多少信息被认为是充足的将取决于具体的情况。在这方面,GDPR规定了数据控制人应向数据主题提供的最低信息要求。(GDPR 13、14条)
在数据直接从数据主体获得,并且数据主体是已经知道信息的情况下,法规免除数据控制人的通知责任。此外,在以下情况下,当个人数据是从其他来源收集时,GDPR免除了数据控制人提供信息的义务,这些情况是(GDPR 14(5)(a)):
1、向数据主体提供信息的成本过于高昂或几乎不可能完成
2、当有法律明确规定因保护数据主体的合法利益需要限制信息披露的情况
3、当有法律规定要求数据控制人必须对信息进行保密时
透明性还要求及时向数据主体提供资料。当直接从数据主体处获得个人数据时,在收集时必须提供相关的资料。然而,当个人数据从其他来源获得时,该条例规定了提供这些信息的不同时间期间(GDPR 14(3).)
此外,GDPR还要求信息清晰、简明和易于理解,并以无障碍的方式提供给数据主体。(GDPR 12)关于透明性的详细论述将在之后章节中介绍。
02. 目的限制原则
目的限制意味着数据控制人必须只收集和处理个人数据以完成指定的、明确的和合法的目的,而不能超出这些目的处理个人数据,除非进一步的处理被认为与最初收集个人数据的目的相适应。因此,数据控制人必须首先确定个人数据将被处理的特定目的。这样的目的将成为边界 ,在此范围内收集和使用个人数据。对于二次处理,只有当这种处理被认为与收集个人数据的原始目的兼容时才能合法地进行。为统计目的、公共利益、科学或历史研究目的使用个人数据将被认为是兼容的,只要这些处理发生在欧盟或管理特定处理的成员国法律规定的限制范围内。
为了帮助控制者评估数据的二次使用是否 与原始目的兼容,条例规定:“……控制者 已经满足了原始处理合法性的所有要求, 应考虑如下因素(GDPR Recital 50):
1、这些目的与预期的进一步处理的目的之间的关联性
2、个人数据被收集的情况,特别是数据主体根据其与控制者的关系而对其进一步使用的合理预期之间的关系
3、个人数据的属性
4、进一步数据处理可能产生的后果
5、在最初的和打算进行的进一步数据处理中是否存在适当的保障措施
当满足上述所有条件,且处理被认为是与原始目的兼容的,除了允许原始收集和使用个人数据的法律基础之外,不需要其他法律基础。然而,当处理被认为不兼容时,将需要一个单独的法律依据 (例如在开始处理个人数据作新用途前,须得到数据主体的同意)。
03. 数据最小化原则
数据最小化原则是指数据控制人必须只收集和处理相关的、必要的和足以完成其被处理的目的的个人数据(GDPR 6(c))。数据最小化意味着数据控制人应该将个人信息的收集限制在与实现特定目的直接相关和必要的范围内。
❐(1)必要性
数据控制人必须评估所收集的个人数据是否对于实现特定的目的所必要的。在数据最小化评估中,一般第一步是要评估验证是否可以使用匿名数据来完成特定的目的。数据控制人必须评估是否可以通过处理去除所有唯一标识的匿名数据来达到目的。此外,如果可以通过从处理中排除某些数据来实现数据处理的目的,那么这些可排出的数据与目的相比就会是多余的,因此是不必要的。
数据控制人还应考虑收集的数据量 。例如,收集大量的数据,但这些数据与数据控制人的数据处理目标相比是过度的,并且没有任何限制的,那么这些个人数据将被认为是不成比例的。因此,“保存一切”的数据收集方法可能会被认为是对数据最小化原则的违反。(GDPR Recital 64)
为了评估均衡性,数据控制人必须考虑处理手段的潜在不利影响,以及验证是否存在其他可能导致侵入性较低的处理,或是否存在对数据主体的隐私相关的不利后果较低的替代手段。(GDPR Recital 39)过度或不成比例的手段的一个例子可能包括使用生物特征数据(例如,指纹)来识别个人,在这种情况下,可以使用替代的和侵入性较低的手段来实现相同的目的(例如,身份证)。
04. 数据准确性原则
数据控制人必须采取合理的措施,以确保数据的准确性,并在必要时保持数据更新。数据控制人需要在数据收集过程中采取措施保障数据准确,并且在数据的后续处理中确保个人数据没有失真。在收集过程中,如果数据控制人没有正确验证信息的真实性,可能会出现个人数据不准确的情况。数据控制人必须评估收集信息的来源的可靠性,并在潜在的不准确可能对个人产生不利影响时格外注意。准确性原则还要求保留错误纠正的记录。
05. 存储限制性原则
存储限制是指个人数据的保存时间不得超过处理个人数据的目的所需的时间 。换句话说 ,一旦信息不再需要被处理,个人数据必须被安全地删除。(GDPR 5(1)(e))因此,数据控制人必须评估个人数据是用于一个目的还是几个目的,并将处理限制在需要个人数据来完成特定目的的期间内。例如,在招聘流程中以及在雇佣关系期间可能需要处理个人数据。一旦招聘流程结束,雇佣者不得再保留未通过招聘的求职者的个人数据。
数据控制人必须核实适用法律中是否存在与处理类型相关的法定数据保留期(例如,个人数据可能需要保存以便遵守税收、健康和安全或就业法规)当法律没有规定时,内部数据的保留周期必须设置为满足存储限制原则。只有个人数据的处理仅仅是为了公共利益、科学、历史研究或统计目的的存档目的时,个人数据才可能会被保存较长时间。否则,只有当数据变成不可逆转的匿名数据时,数据控制人才可以无时间限制地保留个人数据。
06. 安全保密性原则
安全和保密性原则是指,处理个人数据必须确保个人数据的安全,包括使用适当的技术或组织措施,防止未经授权的访问或非法处理,以及防止意外丢失、毁坏或损坏,GDPR推荐数据控制人使用如假名化或加密的方式确保数据安全(GDPR 5(1)(f)、89(1)、Recital 28)。并且当处理敏感个人数据时,需要更加加强的保护力度。
(未完待续)
郑啸哲 律师
xiaozhe.zheng@javy-lawyers.com
郑啸哲律师的业务领域主要为:法律风险与合规、争议解决与诉讼、兼并收购、一带与海外投资。
郑啸哲律师服务过的客户包括:曾代理新疆世茂投资开发有限公司与克拉玛依城投公司商事合同纠纷案件;湖南高宇文化传播有限公司与上海中辉文化传播有限公司演出合同纠纷案件;福州菠萝悦读文化传播有限公司设立及常年法律顾问项目;北京盛通绿色家园房地产开发有限公司专项法律服务项目;担任Augure Technology Co., Ltd (UK)外部法律顾问;担任INITIAL BLOCKCHAIN TECH LTD(Cayman Islands)外部法律顾问。
扫码直通官网简历
更多精彩文章请点击以下“栏目名称”阅读
© 北京嘉维律师事务所 京ICP备18018264号-1
