打开微信,扫一扫二维码
订阅我们的微信公众号
打开微信,扫一扫二维码
订阅我们的微信公众号
更深入的数据合规与保护要求:敏感数据的特别规定
IXCDC
敏感数据的特别规定
一、初步分析:GDPR对特殊类型数据的规定
(一)GDPR对特殊类型数据的确认
在GDPR立法动机中,认定敏感数据数据所指的是特殊种类的个人性质数据,第51条则进一步指出,个人性质数据的敏感性,是从基本权利和自由的角度而言的,因此值得特殊的保护。在欧盟委员会官网,表述“下列个人数据被视为‘敏感’数据,并受特定处理条件的约束”:揭示种族或民族血统、政治观点、宗教或哲学信仰的个人数据;工会会员资格;基因数据,仅用于识别人类身份而处理的生物特征数据;健康相关数据;关于一个人的性生活或性取向的数据。
基因数据、生物识别数据、有关健康的数据等内容均在第4条定义中确认。【22】同时,第9条确认对特殊类型个人数据处理的方式,第一款概括性第提到对于显示种族或民族背景、基因数据、为了特定识别自然人的生物性识别数据等类型的数据,应当禁止处理;【23】第10条确认处理涉及犯罪定罪与违法的个人数据。
涉及犯罪、定罪与违法的个人数据管控是最严格的,当且仅当个人数据处理为官方机构控制,或者当欧盟或成员国的法律授权进行处理,并且采取了恰当的措施保障数据主体的权利与自由。任何犯罪、定罪的全面性登记只能由官方机构进行。
(二)GDPR对特殊类型数据的处理
对除第10条(犯罪定罪与违法数据)外的其他类型数据,仍有两类克减。对于基因数据、生物性识别数据或健康相关数据的处理,成员国可以维持原有规定,或者作出新的规定,包括对处理基因数据、生物性识别数据或健康相关数据进行限定;其他特殊类型数据则设置有克减条款(第一类数据也涵盖在内)。这些克减条款严格遵守GDPR设立的原则。
部分条款是对同意原则的贯彻。a款,是同意原则的贯彻,即征得数据主体的明确同意,但因为是特殊类型数据,仍保留有“依照欧盟或成员国的法律规定,数据主体无权解除第1段中所规定的禁令的除外”的表述;e款或是对“隐私期待可能性”的回应,即可以对数据主体已经“明显公开”的相关个人数据进行处理。
部分条款是对必要性原则的贯彻,如b款,其设立时考虑到优先层是雇佣关系的存在,在企业管理员工的过程中,需要收集身份证信息、健康信息,在特殊岗位需要收集婚姻信息、生理信息等内容,其表述是“处理对于控制者履行责任以及行使其特定权利是必要的”;c款指向仍是必要性,即在数据主体无法表达同意的前提下,如保护其核心利益是必要的,则应允处理;
部分条款是对公共利益的回应,g款是针对公共利益的规定,这一条款同步要求对实现目标是相称的;j款也是对公共利益的回应,即“对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的”。对公共利益的回应的部分,基本的表述都会加上“必要的、处理采取了与其期望目的所相称的处理、尊重数据保护权的核心要素,并且对数据主体的基本权利与利益采取了合适与特定的措施”的表述。
部分条款是对特殊行业需要的回应,f款是司法需要的处理,即“辩护法律性主张必要时,或法院在司法活动中进行的”;h款指向医疗需要,即“处理对于预防性医学或临床医学目的是必要的”;i款同样是对公共健康的回应,例如“处理对于预防严重的跨境健康威胁是必要的”,“为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的”等内容;d款是出于对基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的进行的正当性活动的需要。
二、进一步探讨:处理个人敏感数据的规则
处理敏感个人数据时有额外的规则,不仅必须根据GDPR第6条记录处理的合法依据,还必须根据第9条。 第6条规定,组织必须援引下列合法依据之一: 与个人的合同:例如,提供他们要求的商品或服务,或履行员工合同规定的义务; 遵守法律义务:出于特定目的处理数据是法律要求; 重要利益:例如,处理数据将保护某人的身体完整性或生命(数据主体或其他人的); 公共任务:例如,为公共利益完成官方职能或任务。这通常涵盖公共机构,例如政府部门、学校和其他教育机构、医院和警察; 合法利益:当私营部门组织有真正合法的理由(包括商业利益)在未经同意的情况下处理个人数据时,前提是它不会被对个人权利和自由的负面影响所抵消; 同意:当数据主体对将要收集的个人数据及其用途做出明确解释时,当数据主体同意处理时。第9条规定,组织必须仅在以下情况下处理敏感的个人数据:在社会保障领域需要这些信息;已获得同意,同意要求更严格的形式;组织提供更多的信息、并使其更清晰的数据将如何使用等内容。
三、内容延伸
IBM和Ponemon Institute合作发布的2020年数据泄露成本报告显示,数据泄露的全球平均成本达到386万美元。【24】它还指出了网络安全的一大弱点,表明未发现或未控制漏洞的平均时间为280天。迄今为止最大的敏感数据泄露事件影响了30亿用户账户。在雅虎数据泄露始于2013年,导致黑客收集了10亿个用户凭据,包括他们的电子邮件地址、密码以及安全问题和答案。另一组黑客在2014年针对雅虎,这一次影响了5亿用户。直到2016年,也就是最初的违规事件发生三年后,这两项事件才被宣布。
[22]https://www.sohu.com/a/234587888_810106
[23]https://zhuanlan.zhihu.com/p/387259737
[24]https://mp.ofweek.com/security/a956714051017
地址:江苏省南京市建邺区云龙山路89号龙湖天街2号楼1301
电话:(025)83707073
咨询及合作:请发送邮件至xeoninfo@163.com
应聘及实习:请发送邮件至xeonhr@163.com
投诉或特别情况:请发送邮件至主任合伙人邮箱xeonzxy@163.com