文章
GDPR研究系列(2)——数据主体的新权力
GDPR赋予了数据主体多项权力,并要求组织加以落实。根据IAPP的调查,数据控制者认为实施GDPR最大的挑战来自于主体的被遗忘权、可携权和明示同意三个方面。这篇文章将简述这些要求,以及组织可能的应对?
老权力,新含义
GDPR在数据保护指令(95/46/EC)基础上增加了对于数据主体的新权力和保护,并且对有些权力,如被遗忘权和数据可携权,赋予了新的含义,这就对组织提出了新的责任要求。
访问权、纠正权、拒绝权、限制处理权和告知
在开始处理个人数据之前,组织必须向其所要处理的个人数据的主体提供信息。根据GDPR的规定,主体有权请求访问自己的个人数据。此外,处理目的、个人数据类型、数据接收者以及所收集的个人信息的副本都应该可被获取。 当个人数据不准确或不完整时,主体有权利要求更正。如果不准确的数据被传输到第三方,组织同样应通知这些第三方更正相关数据,除非能说明技术不可行或代价过于高昂。组织必须在一个月内对所有请求进行响应;若请求实在复杂,响应时间可延长两个月。数据主体也有反对的权利——如果当事人反对某项数据处理活动,组织必须终止此类活动;如果组织确实需要继续处理,其必须有充分的法律依据和理由来说明违背数据主体意愿的必要性。
被遗忘权
被遗忘权(GDPR中也称之为删除权)已经讨论了很久,对其运用也有诸多误解。简单来说就是当出现下列情形时,数据主体可以要求组织在一个月内删除其个人数据:
- 个人数据对于最初目的而言已不再需要
- 数据主体撤回了同意声明
- 数据主体反对处理
- 数据处理不合法
如果满足上述一个或多个的原因,组织必须采取合理的步骤来删除个人信息,也包括要求相关第三方删除此类数据。如果组织公开了个人数据,其同样要通知处理这些个人数据的相关方。然而,被遗忘权不是绝对的。删除请求可以被拒绝,例如在言论自由和信息自由的情况下或出于公众利益而进行的处理。
数据可携权
数据可携权是GDPR中新增的。该权力使得数据主体可以在不同的服务提供者中获取和复用他们的个人数据。数据主体有权要求以一种结构化的、通用的、机器可读的形式复制他们的个人数据。数据主体也可以选择将他们的数据通过电子化的方式传输给其他控制者。
可以看出“数据可携性”包含两层含义:1)组织收集和存储数据的能力;和 2)组织接收有关数据主体的数据并允许另一控制者接收移植数据的能力。数据可携性要求既包括技术设计要求,也包括数据主体权利要求。从技术角度看,数据控制者需要保证其用来收集和存储个人主体信息的系统、以及所连接的产品、应用和设备具有移植和传输个人数据的附加功能。在某些情况下,这将要求控制者调整或重新设计这些系统、产品、应用程序和设备。此外,新的移植功能必须以结构化、通用和机器可读的格式导出数据,使得数据重用成为可能。
从数据主体角度看,数据可携权为数据主体行使其对自身数据的更多控制创造了条件。它使个人能够接收有关其提供给控制者的个人数据。
需要注意的是数据可携权不是绝对和孤立的,是更大范围的数据主体权力的一部分,如访问、纠正或删除个人数据,有权反对基于自动化手段的决策,以及就个人数据泄露事件通知数据主体,等等。同样,数据控制者需要实施支持流程来遵循这些要求。对于数据控制者,执行数据携带请求的过程可能和响应其它数据主体权力的动作类似:首先可能需要让主体访问其个人信息,以便让他知道正在处理的个人数据;第二,如果主体要求,必须纠正错误; 第三,如果主体要求将数据转移到另一个服务提供商,则可能需要删除所有个人数据(如果符合既定的保留时间和法律合同要求)。因此,在处理数据可移植性相关请求时,可能会影响三个其他数据主体权力。需要注意,访问权、纠正权和删除权与数据可携权不同,这里只意味着数据控制者使用相同的流程来处理这些权力。通常来说,如果组织能执行数据可携权,基本上其已有能力执行许多数据主体权力;反之,如果组织已经有了执行访问、纠正和删除请求的能力,它离实现数据可携权也仅有一步之遥了。
艰难的实践
数据可携性的实现可以被分成两个阶段:
- 首先,要调整相关系统来满足数据可携的请求。系统必须提供访问,删除,限制和修正个人数据的功能。
- 其次,需要有结构化的流程以顺利实现请求。为了在规定的时间内及时响应,各部门(如客服、IT和法务)之间的沟通非常重要。
这意味着组织必须有能力为其客户提供其拥有的所有关于数据主体个人数据的拷贝,以及将数据传至另一个数据控制者或服务提供商的能力。组织所拥有的个人数据被解释为数据主体主动和被动提供的所有数据,如数据主体通过使用服务或设备向组织提供的信息(例如,来自健身跟踪APP的位置数据或心跳信息等)。因此,需要收集的数据量可能非常巨大。此外,数据必须以可重用的方式提供。以电子邮件为例——所提供的电子邮件必须保留所有元数据以允许有效的重用,而仅以PDF格式提供电子邮件显然是不够的,因为这种结构不能被直接重用。由于很多企业在设计其系统时并未事先考虑隐私保护的因素,所以在这些企业中实现个人数据可携性要求的代价可能是极其高昂的。
巨大的影响
数据可携权会对组织的业务产生巨大影响,因为它改变了数据主体和数据控制者之间的关系。数据主体可以在不同的平台间直接管理他们的数据。如果不能成为数据主体的首选平台,组织不仅有义务把数据主体的数据传送给竞争对手,还可能被要求删除其多年来收集到的有价值的数据。这很可能加剧互联网行业赢家通吃的效应,所以组织在设计业务策略是必须加以重视。
