打开微信,扫一扫二维码
订阅我们的微信公众号
打开微信,扫一扫二维码
订阅我们的微信公众号
更深入的数据合规与保护要求:数据安全留销规则
IXCDC
数据安全留销规则
一、初步分析:GDPR 对数据安全留销的规定
(一) 数据留存的内涵
1. 数据留存的概念和基本原则
数据留存意指数据的保留和存储,是数据处理的一种方式,应符合数据处理的实体原则和相关程序要求。GDPR第二章,即第5至11条确认了数据保护相关的原则。其中,第5条是个人数据处理原则,包括七个小原则:合法性、合理性和透明性;目的限制;数据最小化;准确性;限期储存;数据的完整性与保密性;可问责性。在第5条的框架下,第6至11条的内容则包括:处理的合法性;同意的条件; 信息社会服务中适用儿童同意的条件;对特殊类型个人数据的处理;处理涉及犯罪定罪与违法的个人数据;不需要识别的处理。
2. 数据留存的存储期限
GDPR第5条所确认的个人数据处理原则中,e款即第5个小原则直指数据的存储,其针对的是“可识别数据”。对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施。在数据留存环节,原则性的规定是限期储存的最小必要性规定,克减条款需满足为实现特定目的的指向和采取特定措施的要求。【18】
特定措施具体的要求是,为了实现公共利益、科学或历史研究或统计目而处理数据时,应当采取符合本条例的恰当防护措施,保障数据主体的权利与自由。
这些防护措施应当确保,为了保证数据最小化原则,已经采取技术与组织性的措施。这些措施可以包括匿名化,如果匿名化也能实现上诉目的。如果在进一步处理中实现对数据主体无法识别也可以实现上诉目的,那就应当采取这种方式处理。
(二) 数据销毁的内涵和被遗忘权
1. 数据销毁的一般情形
数据销毁意指对数据的删除和销毁,其权利基础在于是数据主体的被遗忘权。即,当数据主体不希望个人数据被处理且数据控制者无合法理由保存该数据时,数据主体有权要求删除数据。
GDPR第17条确认了数据主体的被遗忘权。
其中,第1款是数据主体行使被遗忘权的一般性条款,当具有如下情形之一时,控制者有责任及时销毁个人数据:
① 个人数据对于实现其被收集或处理的相关目的不再必要;
② 处理是根据第6(1)条(a)点,或者第9(2)条(a)点而进行的,并且没有处理的其他法律根据,数据主体撤回在此类处理中的同意;
③ 数据主体反对根据第21(1)条进行的处理,并且没有压倒性的正当理由可以进行处理,或者数据主体反对根据第21(2)条进行的处理;
④ 已经存在非法的个人数据处理;
⑤ 为了履行欧盟或成员国法律为控制者所设定的法律责任,个人数据需要被擦除;
⑥ 已经收集了第8(1)条所规定的和提供信息社会服务相关的个人人数据。
第2款是对数据控制者就能力可行性这一方面的保护,也是被遗忘权的告知义务当控制者已经公开个人数据,并且负有第1段所规定的擦除个人数据的责任,控制者应当考虑可行技术与执行成本,采取包括技术措施在内的合理措施告知正在处理个人数据的控制者们,数据主体已经要求他们擦除那些和个人数据相关的链接、备份或复制。
2. 对数据主体被遗忘权行使完毕的告知义务
第17条第2款是对数据控制者就能力可行性这一方面的保护,也是被遗忘权的告知义务当控制者已经公开个人数据,并且负有第1段所规定的擦除个人数据的责任,控制者应当考虑可行技术与执行成本,采取包括技术措施在内的合理措施告知正在处理个人数据的控制者们,数据主体已经要求他们擦除那些和个人数据相关的链接、备份或复制。
3.数据销毁后对其他数据接收者的传达义务
进行数据销毁时,控制者应承担对其他通过链接、拷贝复制而得到此个人信息的数据接收者的传达义务。《通用数据保护法案》第19条规定,如控制者要对数据进行销毁,除非被证明不可能完成或者包含不成比例的工作量,数据控制者应主动对向其披露个人数据的接收者通知相关数据销毁事宜。如果数据主体请求,控制者应当告知数据主体其他数据接收者。
4.被遗忘权行使的例外条款
数据主体行使被遗忘权存在5种例外情形。《通用数据保护法案》第17条第二款规定数据主体在以下几种情况下不得阻碍数据控制着对其个人数据的运用:(1)为了行使言论和信息自由的权利;(2)为了遵守欧盟及成员国法律处理的法定义务,或为了公共利益或在行使被授予控制者的官方权限时执行任务;(3)为了公共卫生领域的公共利益的原因;(4)为了公共利益的存档目的、科学或历史研究目的或统计目的;(5)为了设立、行使或捍卫合法权利。【19】
二、进一步探讨:被遗忘权
(一) 被遗忘权的内涵
在被遗忘权的学理讨论中,Bert-Jaap Koops认为被遗忘权至少有三大内涵,删除权、无过错记录及言论自由。GDPR关于被遗忘权的规定采取“一般原则+例外条款”的设置,即可行使遗忘权的情况是基本原则,不可行使的情况为例外。相较其他国家对被遗忘权的规定,GDPR的门槛是较低的,不需要确保数据主体和控制者之间利益的平衡。
除第17条以外,GDPR第4条对于控制者、个人信息的定义同样被遗忘权相关。个人信息是直接或间接识别自然人的任何咨询,包括直接信息、网络信息和间接信息。间接信息的纳入在最大程度确立被遗忘权的有效范围。
(二) 案例分析
欧洲法院在2014年最早提出了“被遗忘权”。欧洲法院裁定,人们可以要求Google等搜索引擎从出现在其名字搜索项下的网页结果中删除不充分或不相关的信息。Google则表示,自裁定后收到了845501个删除链接的请求,并删除了被要求删除的330万个链接中的45%。
而在这一案例中,可总结出被遗忘权适用情形的三个特点。
被遗忘权人所要求删除的信息是合法流通的网络信息,因非法流通的网络信息可适用现有规则调整,无需至被遗忘权的处理步骤;
被遗忘权人申请删除的相对人原则上指向信息的信息控制者,在实际操作中,申请人大多只是对搜索网络提出上述要求并一定程度上能获得支持;
删除所针对的信息是“不必要的、不相关的、过时的”信息,这是被遗忘权行使的关键参考点,而这种抽象的表达在实践中难以操作,不仅是因为欧盟数据保护机构所发布的一系列指南文件,同样包括通常意义上标准的判断和诸多例外情形。
三、内容延伸
(一) Uniontrad Company案
1. 案情背景
Uniontrad Company因安装摄像头,过度处理员工个人数据,受到法国数据保护监管机构处罚。Uniontrad公司是一家简化的股份制公司,主要业务活动是免费翻译相关文件法国数据保护监管机构(CNIL)收到了多起有关在Uniontrad公司场所安装视频监视设备的投诉,于2018年2月16日对公司场所进行了检查。在检查过程中,CNIL注意到公司办公场所存在三台摄像机,其中包括安装在翻译人员办公室的一台摄像机。拍摄了六个工作站和一个装有公司工作文件的柜子的相关情况。视频监视系统处理个人图像的信息并未向雇员进行任何正式告知。翻译员办公室中安装的摄像头会对工作站进行持续性监控,且图像保存时间超出了公司指示的目的所必需的时间,此外,公司采取的对计算机等访问措施无法确保数据的安全性和机密性。
2. 探讨评析
Uniontrad的相关行为违反GDPR对数据安全留销的规定。第一,违反第5条c款的“目的限制原则”;第二,违反第5条e款的“存储限制原则”,即对个人数据的保留期限实行不超过收集目的所需的期限的政策。同时,这一行为并不满足克减条款。
(二)Taxa案
1. 案情背景
2018年,丹麦数据保护机构对位于哥本哈根的出租车预订公司Taxa进行审计。调查发现,Taxa公司虽然已实施了数据保留政策,但却未能完全执行,其在没有正当理由的情况下将约900万客户电话号码保留了五年。【20】
2. 探讨分析
在调查过程中,Taxa公司辩解其删除了每个客户的姓名和地址,仅保留了他们的电话号码。保留的合法目的在于电话号码会被用作用户的账号,虽匿名号码足以满足此目的,然而,Taxa公司的计算机系统并没有能力能力将匿名号码逐一同特定人对应。
虽然看似满足GDPR的克减条款,但丹麦数据保护机构表示,如果仅由于技术能力的限制使其难以遵守GDPR规定,Taxa公司也不能设置超过作为必要时间的三年的删除期限。其在行政处罚决定书中认为,Taxa公司以三种方式违反了GDPR第5条:目的限制、数据最小化和存储限制。
事实上,GDPR对数据留存的要求有宽有严。其和其他国家的隐私相关法类似,都要求最小限制(必要性)原则:为实现收集、处理信息的最初目的才可以保留个人数据。而其困难之处则在于执行信息存储的规定期限和及时删除的要求。这指向,企业的隐私领导者应设立数据保留政策(或修改已有的政策)和数据销毁政策,以便于指导何时和怎么删除或销毁数据(例如数据处理的法律依据过期时)。
[18] https://m.aisixiang.com/data/112527.html
[19] 李爱君:《个人数据权利归属》,http://ifls.cupl.edu.cn/info/1029/1205.htm -2018
[20] https://mp.weixin.qq.com/s/Ouk18PhShzK8iy_tgjHbOQ
地址:江苏省南京市建邺区云龙山路89号龙湖天街2号楼1301
电话:(025)83707073
咨询及合作:请发送邮件至xeoninfo@163.com
应聘及实习:请发送邮件至xeonhr@163.com
投诉或特别情况:请发送邮件至主任合伙人邮箱xeonzxy@163.com