第一章 概述
2018年5月25日即将生效的欧洲《一般数据保护条例》( "GDPR"),号称是当今全球"个人信息保护"领域最为严格、管辖范围最宽、处罚最严厉、以及立法水平最高的一部法律。
IBM、微软、Facebook、阿里、小米、华为等多家海内外数据企业已经针对GDPR开展了自查和规则整改。 中国政府部门也针对在对中国数据企业应对GDPR开展政府调研。
为协助数据安全从业者以及业务涉及国内外个人信息收集的中国企业应对这一全球性的重要法规,北京德和衡律师事务所早在2017年就组建了GDPR的专项法律服务团队。针对GDPR以及相关实施指南进行深入的调研,与欧盟律师保持密切沟通,第一时间了解海外政策动态,并将GDPR与中国网络安全和数据保护法律以及中国企业的实际需求紧密结合,设计出一套创新法律服务。
针对服务所辖内容,我们整理了本团队有关GDPR的相关研究文章,具体列表请见文末。
1. 同意的定义
GDPR第4条对数据主体的同意作出了明确定义:数据主体的同意(consent of the data subject),是指数据主体依据其个人意愿,自由、明确、知情并清楚地通过陈述或积极行为表示对其个人数据进行处理的同意。
从GDPR的定义来看,同意必须是自由给出的、特定的、知情的、以清晰的声明或者肯定的行为表明数据主体对于处理其个人数据的明确意愿。针对何为「自由、特定、知情」等,GDPR在不同的章节进行了细致的规定,目前专家学者的讨论也相对广泛,在此不再赘述。
2. 同意是个人数据处理的合法要件之一
同意是个人数据处理的合法要件之一,且一般性的同意允许"默认同意"。
除了「同意」之外,处理数据的合法性条件还包括下述任一情况:
● 出于履行合同必要
● 出于订立合同前为实施数据主体要求的行为之必要
● 出于履行数据控制者的法定义务的必要
● 出于保护数据主体或其他自然人重大利益之必要
● 出于实施数据控制者经授权职权范围内权限之必要
● 出于履行涉及公共利益的职责必要
● 出于追求合法利益目的而进行的必要的数据处理,但该合法利益目的不得与数据主体的基本权利和自由相冲突,且数据主体并非儿童。
第6条 数据处理的合法性( Lawfulness of processing)
1.只有符合以下情况之一的个人数据处理行为才是合法的:
(A) 数据主体已经对基于一个或多个具体目的而处理其个人数据的行为表示同意;
(B) 履行数据主体为一方当事人的合同或在订立合同前为实施数据主体要求的行为所必要的数据处理;
(C) 为履行数据控制者的法定义务所必要的数据处理;
(D) 为保护数据主体或另一自然人的重大利益所必要的数据处理;
(E) 为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理;
(F) 数据控制者或第三方为追求合法利益目的而进行必要的数据处理,但当该利益与要求对个人数据进行保护的数据主体的基本权利和自由相冲突时,尤其是当该数据主体为儿童时,则不得进行数据处理;
公共权力机构执行任务时实施的数据处理不受第1款(F)项的约束。
3. GDPR中的同意可能同时包含「明确同意」和「一般同意」
欧盟1995年《数据保护指令》(《95令》)是GDPR的前身,GDPR在延续95令的框架的同时,更加细致和坚实地规定了数据处理方(包含控制者和处理者)的责任及数据主体的权利。但是,在规定「同意」事项时,我们注意到,GDPR中的「同意」可能包含区别于「明确同意」的「默示同意」(一般同意)。
因为,根据95令第7条的规定,同意必须是明确的;但GDPR第6条的表述中删除了「明确」。与此同时,GDPR第9条第2款规定,特殊类型的数据在获得数据「明确同意」时,其处理不受相关限制。鉴此,我们理解GDPR中的「同意」在未被要求为「明确同意」时,具有「默示同意」的含义。
当然,若某一项同意被GDPR认定为需要「明确同意」的,则该等同意的标准应符合相关要求,即符合GDPR第7条关于同意的条件,即:
● 同意必须是基于数据主体自由意志作出,且证明责任归属于数据控制者;
● 数据主体作出的书面声明不仅包含同意的,则同意应当与其他事项明显区分;
● 该书面声明应使用清楚简单的语言,且不得违反GDPR的相关规定,否则无效。
第7条 同意的条件
1.当数据处理必须基于数据主体的同意时,数据控制者应当证明数据主体已经对处理其个人数据的行为予以同意。
2.如果数据主体是通过书面声明的方式表示同意的,而该声明还涉及其他事项,则同意在形式上应当满足:明显区分于其他事项,以明了且易获取的形式,使用清楚简单的语言。(该声明中任何与本条例规定相违背的内容不发生法律约束力)
3.数据主体有权在任何时候撤销其同意。该撤销不具有溯及力。在作出同意的意思表示之前,应将上述事项明确告知数据主体。撤销同意和作出同意应一样容易。
4.在评估时应当尽最大可能考虑数据主体的同意是否是基于自由意志作出,尤其是在包含服务条款的合同的履行是以数据主体同意其个人数据被处理为条件,而该数据处理又不为履行合同所必要。
第9条 对特殊类型个人数据的处理
1.禁止在个人数据处理中泄露种族或民族起源、政治观点宗教信仰、哲学信仰、工会成员资格等个人信息,禁止以识别自然人身份为目的对个人基因数据、生物特征数据的处理,禁止对健康数据、性生活、性取向等相关数据进行处理。
2.上述第1款的规定不适用于以下情况:
(A) 数据主体明确同意数据控制者出于一个或多个特定目的对其个人数据进行处理,但按照欧盟或成员国法律的规定第1款的禁止性规定可能不取决于数据主体同意的除外;
4. GDPR中需要「明确同意」的事项
综上,我们认为有必要区分GDPR中的「明确同意」和「一般同意」事项,以确保企业获得了标准不同且合乎GDPR标准的「同意」。经整理GDPR全文,我们列举了两种同意的内含事项:
◆ 一般性同意的事项包括:
- 同意在具体目的下处理个人数据;
第6条 数据处理的合法性( Lawfulness of processing)
1.只有符合以下情况之一的个人数据处理行为才是合法的:(A) 数据主体已经对基于一个或多个具体目的而处理其个人数据的行为表示同意;
- 数据收集时的目的在数据处理时发生变化的,需要数据主体同意;
第6条 数据处理的合法性( Lawfulness of processing)
4.当非基于数据收集的目的而进行的数据处理行为没有依据数据主体的同意或没有遵守作为民主社会中保障本条例第23条第1款的目标的必要且适当措施的欧盟或成员国法律时,为查明基于该目的所进行的数据处理是否符合最初收集个人数据时的目的,数据控制者尤其应当考虑以下情形:
(A) 意图实施的后续处理行为的目的与收集个人数据时的目的之间的联系;
(B) 个人数据被收集时的情形,尤其是关于数据主体与数据控制者之间的关系;
(C) 个人数据的性质,尤其是所处理的个人数据是否属于本条例第9条所规定的特殊种类,或所处理的个人数据是否与本条例第10条规定的与刑事定罪与犯罪相关联;
(D) 意图实施的后续处理行为会对数据主体造成的可能后果;
(E) 存在适当的保障措施,其中可能包括加密措施或假名化机制。
- 数据主体行使限制处理权后再次处理数据
第18条 限制处理权
1.发生以下情形时,数据主体有权限制数据控制者的处理行为:
(A) 当数据主体对个人数据的准确性提出质疑,数据控制者需要一段时间核实数据的准确性
(B) 数据处理违法、数据主体仅要求限制数据使用而反对清除个人数据;
(C) 当数据控制者基于处理目的不再需要个人数据,但这些个人数据是数据主体提起诉讼或应诉所必要的;
(D) 数据主体可以根据第21条第1款规定行使拒绝权直到确认了控制者的合法理由优于数据主体。
2.除存储外,在本条第1款规定的数据处理受限制的情况下,仅得在经数据主体同意后处理数据,或为提起诉讼或应诉,或为保护其他自然人、法人权利,或为欧盟或成员国重要公共利益而处理数据。
- 处理小于16岁的儿童数据时,需要获得监护人的同意或授权;
第8条 信息社会服务中儿童同意的适用条件
1.在向儿童直接提供信息社会服务的情形中适用本条例第6条第1款(A)项的规定时,只有对年龄不小于16周岁的儿童的个人数据进行的处理行为才是合法的。对年龄不满16周岁的儿童,处理行为只有或至少在获取了该儿童的监护人的同意或授权时才是合法的。
成员国出于特定目的可以在法律上规定更加低的年龄界限,但是不得低于13周岁。
数据主体行使数据限制处理权后的再次处理数据。
◆ 明确同意事项包括:
- 敏感数据处理(禁止在个人数据处理中泄露种族或民族起源、政治观点宗教信仰、哲学信仰、工会成员资格等个人信息,禁止以识别自然人身份为目的对个人基因数据、生物特征数据的处理,禁止对健康数据、性生活、性取向等相关数据进行处理)
第9条 对特殊类型个人数据的处理
1.禁止在个人数据处理中泄露种族或民族起源、政治观点宗教信仰、哲学信仰、工会成员资格等个人信息,禁止以识别自然人身份为目的对个人基因数据、生物特征数据的处理,禁止对健康数据、性生活、性取向等相关数据进行处理。
2.上述第1款的规定不适用于以下情况:
(A) 数据主体明确同意数据控制者出于一个或多个特定目的对其个人数据进行处理,但按照欧盟或成员国法律的规定第1款的禁止性规定可能不取决于数据主体同意的除外;
- 当数据被用于数据画像时;
第22条 自动化的个人自决,包括识别分析( Automated individual decision - making , including profiling )
1.数据主体有权不受仅基于自动化处理行为得出的决定的制约,以避免对个人产生法律影响或与之相类似的显著影响,该自动化处理包括识别分析。
2.第1款的规定不适用以下决定:
(A) 为缔结、履行以数据主体和数据控制者为当事人的合同所必要;
(B) 经数据控制者遵守的欧盟或成员国法律授权,且该法律规定了适当的措施以保障数据主体的权利、自由和合法利益;
(C) 基于数据主体明确同意。
- 个人数据出境时,在缺乏本条例第45条第3款规定的充分保护标准或者缺乏本条例第46条规定的适当保护措施,包括公司约束规则在内时,将个人数据转移到第三国或国际组织,且数据主体在被告知这种转移行为由于缺乏充分的保护标准和适当的保护措施可能会对其带来的风险时,仍作出明确同意的,个人数据方可出境。
第49条 特殊情形下的例外规定
1.在缺乏本条例第45条第3款规定的充分保护标准或者缺乏本条例第46条规定的适当保护措施,包括公司约束规则在内时,将个人数据转移到第三国或国际组织应当满足以下条件之一:
(A) 数据主体在被告知这种转移行为由于缺乏充分的保护标准和适当的保护措施可能会对其带来的风险后仍明确同意转移的;
来源:知乎 www.zhihu.com
作者:享法
【知乎日报】千万用户的选择,做朋友圈里的新鲜事分享大牛。 点击下载
没有评论:
发表评论