设为首页 加入收藏
您当前所在的位:法律法规->法律研究->研究思考

欧盟《通用数据保护条例》原则条款解析

访问量:[]
发布时间:2019-04-16 09:43 来源:
分享:
0

  2018年5月25日生效的欧盟《通用数据保护条例》(以下简称GDPR)是目前国际上最受关注的个人数据保护法律文件,必然对其他国家和地区个人数据保护制度的建构产生深远影响。通常认为,GDPR是欧盟一贯秉持的将个人数据作为基本权利进行强化保护这一立场的进一步贯彻和延伸。
  GDPR共计99个条款,结构完整,逻辑严密。其中第二章“原则”条款身负提纲挈领之重任,为个人数据的合法处理提供了基础,相关精神贯穿全文始终。
  个人数据处理原则
  GDPR“原则”章节第五条规定了七项个人数据处理原则:合法公平透明性、目的限制、数据最小化、精确性、存储限制、完整性与保密性以及权责一致原则,其中前六项规定在第一款,权责一致原则规定在第二款。
  相比于GDPR的前身《1995欧盟数据保护指令》(以下简称95指令),GDPR增加了两个原则:透明性原则和权责一致原则。增加透明性原则体现了欧盟对于数据主体行使权利和监管可行性的考虑和要求;而根据权责一致原则,数据控制者需要证明自己对其他原则的遵守,即需要承担相应的举证责任。
  “合法、公平和透明性”作为最原则化的要求,贯穿GDPR数据收集、处理和利用过程的始终。其中对于合法性的要求需要与第六条进行整体理解。
  “目的限制”和“数据最小化”要求数据收集和处理的范围应当限于必要和最低的范围。一方面,规定了仅限于“特定的、明确的、合法的目的;另一方面,即使基于前述目的,亦必须具备充分性和相关性等限制要求,以实现数据最小化的目标。“存储限制”原则从存储时间的维度要求,在达到限定目的之后,数据控制者不得继续存储具有可识别性的数据。
  在“目的限制”和“存储限制”条款中,都规定了例外情形,即基于公共利益、科学或历史研究目的、统计目的进行存档的行为。对于这一例外情形,GDPR第八十九条进行了更为具体的规定。一方面,允许成员国基于这些情形规定对于数据主体相关权利的限制条款;另一方面,即使是基于这些例外情形,数据控制者同样需要采取充分的安全保护措施来避免数据主体受到损害,包括必要的技术措施和管理措施,例如假名化,并确保数据处理的最小化。
  “精确性”与“完整性”指向数据存储和处理过程中质量方面的要求。这些要求的实现机制,体现在第三章规定的数据主体的相关权利中,如数据主体的访问权、更正权、删除权(即被遗忘权)、限制处理权等。
  “保密性”强调对数据采取安全保护措施,特别针对未经授权或非法的访问和处理。这一针对数据安全和防止泄露的原则已经在主要国家和地区形成共识,并且经常引起公众高度关注。
  合法性基础
  数据处理行为需要遵守的首要原则即合法性,GDPR第六条规定了六类合法性基础,基本沿用了95指令的相关条文。具体包括:数据主体的同意、合同履行、履行法定义务、保护重要利益、保护公共利益以及保护控制者的优先利益。
  实践中,普遍存在的隐私政策、用户协议以及强制披露制度,都是同意原则的体现和落实。可以认为,用户同意是目前个人数据处理合法性的最主要基础。一方面,同意原则主要体现在个人数据的初始收集环节,必须经过用户同意方可采集其数据;另一方面,用户的其他权利实际上也是同意权的衍生权利,知情权是同意权得以有效行使的基础,访问权、更正权、删除权(被遗忘权)、限制处理权、反对权等实际上是同意权在数据处理不同环节、场景下的具体体现。各国立法、政策及司法实践,大量规则的建构和具体化,也是围绕数据处理者是否真正保障了用户的知情权和同意权展开。GDPR有多处规定了落实同意原则的具体保障措施,比如第七条专门规定了同意的要件。关于同意的具体形式,序言中亦有重要指引。
  GDPR第三章“数据主体权利”第十二条着重规定了透明度的要求,以确保数据主体的知情权。不过,同意原则在数据处理模式飞速发展的当下和未来,是否依然能够承担支撑整个个人数据保护制度基础的重任,已面临不少质疑和挑战。
  其他五种合法性基础,不需要以同意为前提,但都需要遵循严格的条件。其中,“合同履行”考虑的是用户与数据处理者之间的合意,包括为缔约的必要准备,其本质上仍然是数据主体的同意。其他几种合法性基础体现了立法者在多种利益冲突之间寻求平衡。比如,“履行法定义务”和“保护公共利益”两个基础表明了个人数据保护的公共利益考量和法定例外,并规定由各成员国斟酌确定具体情形。对于这些例外情形,第六条亦规定了严格的限制条件,以确保第五条规定的原则能够切实贯彻。
  第六条第四款规定了数据的后续处理行为。后续处理行为是指其目的未经数据主体同意,亦非欧盟法律或者成员国立法所允许的处理行为。在此情况下,控制者有责任确认这种新的后续处理的目的是否与最初收集数据的目的相兼容,因此可以被允许。这一规定对于数据流转和共享而言有可能增加了十分沉重的成本。
  对于数据控制和处理者而言,要想证明自己的数据处理行为基于后五种合法性基础,而不需要获得同意,从法条措辞看十分困难,因为其中大多数情形都依赖于个案判断且具有严格限制,比较安全的做法还是获取用户的同意。
  “同意”的条件
  GDPR中的个人同意是指数据主体通过书面声明或经由一个明确的肯定性动作,表示同意对其个人数据进行处理。该意愿表达应是自由给出的、特定具体的、知情的、清晰明确的。沉默、默认勾选的对话框或者不作为都不能构成同意。
  第七条规定了同意成立的条件。具体而言,该条规定控制者有责任证明数据主体已经同意处理他或她的个人数据。第二款规定了取得同意的书面声明中还包含其他事项的情况(常见的包括综合性用户协议等)。在这种情况下,“同意应以与其他事项显著区别且易于理解和访问的形式呈现,并使用清晰和通俗的语言”。第三款规定了数据主体撤回同意的权利。第四款规定,如果将同意数据处理作为合同签订的前提条件,而这种数据处理事实上超过了提供服务所必需的范围,将违反有关“同意应当是自由作出”的规定。
  值得注意的是,欧盟在提出GDPR草案时使用的是“明示同意”这一概念,最终并没有加上“明示”的限定。但是,如前文所言,“沉默、默认勾选的对话框或者不作为”都不能构成同意。尽管留下了通过解释特定情境下用户某些行为而确定同意的空间,但是鉴于GDPR整体的严格保护倾向,可以预见“非明示”同意的解释空间并不会扩展太大。

□中国社科院大学互联网法治研究中心执行主任 刘晓春

(责任编辑:系统管理员)

Copyright 1984-2016 CHINA INDUSTRY & COMMERCE NEWS AGENCY All Rights Reserved

中国市场监管报 版权所有