GDPR的推出对数字时代个人数据保护具有重要意义,它赋予数据主体七项数据权利,极大地保障了个人对其数据的控制权。GDPR第三章规定,数据主体享有的七项数据权利分别是:访问权、更正权、删除权(“被遗忘权”)、限制处理权、可携带权、反对权,以及不受制于自动化决策的权利。
01访问权
GDPR第15条规定,数据主体有权要求数据控制者告知其个人数据是否正在被处理;如果是,数据主体有权获取其个人信息以及以下相关信息:
(1)处理目的;
(2)正在处理的数据类别;
(3)将接收其数据的第三方或第三方的类别,尤其是位于欧盟以外的第三方或国际组织;
(4)如果有的话,须告知数据的预估存储期限;如果没有,也应告知用户影响存储期限的决定因素;
(5)告知用户拥有更正权、被遗忘权、限制处理权、反对权;
(6)用户有权向监管机构投诉;
(7)如果个人数据不是从数据主体处收集,应告知数据来源;
(8)告知其数据将被用于自动化决策,以及有关自动化决策逻辑的有用信息、决策的重要性及预估后果。
GDPR规定,如果个人数据被传输到欧盟以外的第三国或“国际组织”,数据主体有权被告知与这一传输有关的现行保障措施。
数据控制者应免费提供一份正在处理的个人数据的副本。如果数据主体索要多份副本,数据控制者可以按照管理成本收取合理费用。如果数据主体通过电子方式提出请求,数据应当以常用的电子形式提供。
02更正权
GDPR第16条规定,“数据主体有权要求控制者对其不准确的个人数据做出更正,并不得无故拖延。考虑到处理目的,数据主体有权要求将不完整的个人数据补充完整,包括以提供补充说明的方式。”
简言之,用户可在两种情况下要求企业更正个人数据:1)数据不准确;2)数据不完整。 在收到用户提交的更正数据请求后,企业应及时响应,在收到用户请求一个月之内完成更正。此外,GDPR也规定,企业不仅有义务配合用户进行个人数据的更正处理,还必须及时通知用户具体的更正情况。如果拒绝用户的更正请求,也应告知拒绝理由。
如果企业与第三方共享该用户的个人信息,企业也应通知第三方做出相应的信息更正。
03删除权(“被遗忘权”)
删除权也被称作“被遗忘权”,它起源于2014年欧盟法院的一则判决。2010年,西班牙公民冈萨雷斯向西班牙数据保护机构SDPA提出申请,希望删除谷歌搜索引擎上有关他的负面信息。1998年,西班牙公民冈萨雷斯因无力偿还债务被没收房产,拍卖广告被刊登在《先锋报》上。2010年,此时冈萨雷斯已还清债务,但他发现,如果在谷歌搜索他的名字,会出现指向《先锋报》报道的链接。冈萨雷斯认为,由于这些信息不再有相关性,希望可以删除报道和谷歌链接。2014年,历经四年裁决,欧盟法院支持冈萨雷斯保护其被遗忘权的诉讼请求,这也使之成为欧盟被遗忘权第一案。
GDPR第17条规定,数据主体有权要求控制者及时删除其个人数据,控制者有义务及时删除个人数据,不得无故拖延。但删除权并非任何情况下都可使用,GDPR对删除权的行使条件也作出了明确的规定,必须满足以下情形:
(1)当个人数据不再为收集或处理它们的用途所需时;
(2)数据主体撤回了同意,并且没有其他合法理由再进行处理时;
(3)如果数据主体基于其合法权益对处理提出反对,且控制者无任何优先于其利益诉求的处理法律依据时;
(4)根据控制者对欧盟或其成员国的法律义务,控制者必须删除数据时;
(5)收集的数据是用于“信息社会服务”时;
(6)当数据被非法处理而违反条例时。
同时,GDPR也进一步限制了删除权的行使条件:
(1)为了保护言论自由和信息自由;
(2)为遵从欧盟或其成员国的法律义务;
(3)基于公共卫生的理由;
(4)为归档、科学或历史研究;
(5)为提出、行使或维护法律主张。
必须要注意的是,完全删除以电子信息形式存储的数据是有困难的,因此企业应确保拥有合适的存储系统来响应用户的删除请求。即使无法删除用户个人数据,企业也应至少采取措施确保该用户数据不会再被处理。
谷歌删除权页面
04限制处理权
GDPR第18条规定,只有在以下四种情形下,用户才有权限制企业处理其个人数据:
(1)数据不准确。数据主体对个人数据的准确性提出质疑,因此限制其处理,直到控制者能够证实其准确性;
(2)数据处理非法。对该数据的处理属于非法,但数据主体不希望其数据被删除,而是要求对其使用做出限制;
(3)需作为证据留存。对于控制者的处理目的来说不再需要此个人数据,但数据主体要求保留该数据以用于提出、行使和维护其法律主张(这一情况可能要求从事某些行业的控制者保留以往客户的记录);
(4)企业其他合法主张。个人依据其反对权,反对对其数据进行处理。在控制者寻求继续处理的合法理由时可使用该限制。
企业可以采取一些方法来响应用户的限制处理请求。例如,可以暂时将该用户数据迁移至另一套处理系统中,使该用户数据无法被用户获取,或者暂时从网站上撤下相关数据。
05可携带权
GDPR第20条规定,“数据主体应有权以结构化的、常用的和机器可读的格式接收其提供给控制者的个人数据,并有权将这些数据传递给另一个控制者,而不受提供此个人数据的控制者的阻碍。”
用户行使数据可携带权需满足两个前提条件。
首先,必须是征得用户同意后采集的数据,如勾选《用户协议》便视作与数据控制者达成协议,同意其收集数据。要注意的是,控制者基于公共利益、政府授权以及履行法定义务等取得的用户数据,不属于可携带数据的范畴,比如政府因疫情防控需要获取的居民行程信息。
其次,必须是以自动化方式采集的数据。也就是说,用户通过提交纸质材料提交的个人数据不属于可携带数据的范畴。
相比于备受争议的被遗忘权,可携带权在全球范围内的接受度要高得多。美国加州的CCPA和我国的《个人信息保护法》也都将数据可携带权列为数据主体享有的权利之一,国内多家互联网产品也开始支持导出个人信息。可携带权的落地也将有助于数据流动,发挥更大价值。
微信个人信息导出页面
06拒绝权
GDPR第21条规定,数据主体有权拒绝控制者处理其个人数据。当出现这种情况时,必须暂停处理活动,或由控制者来证明其“处理的法律依据较之数据主体的利益、权利和自由优先,或其处理是为了提出、行使或维护有关的法律主张。”
GDPR列举了三种拒绝权的适用情形:基于科学研究或统计目的的数据处理的场景、基于直接营销的目的、用于提供信息社会服务。
07不受制于自动化决策的权利
GDPR第22条规定,“数据主体有权不受仅基于自动化决策所做决定的影响,包括那些会对他们产生法律效力或类似重大影响的特征分析”。
自动化决策是指利用计算机技术、算法程序、深度学习或神经网络替代人类处理关键数据,并自动生成决策的行为。当一个决定完全依靠自动化决策来完成,且这个决定可能会对该用户带来法律效力时,用户有权免受其限制。
GDPR也列出三种可以使用自动化决策的情形:
(1)有欧盟或其他成员国某项法律的授权;
(2)数据主体与控制者之间签订合同;
(3)个人明确表示了同意。
但是,在任何情况下,自动化决策应配有相应的保障措施,确保把潜在的风险因素考虑在内,避免对用户的权益造成损失。例如,用户应有权干预相关决策和发表观点,在得到自动化决策评估后应得到解释,且有权质疑这一决策。
以某购物网站的cookies偏好选择为例,用户在首次进入网站时便会出现cookies设置弹窗,用户可自主选择是否同意网站将收集到的个人信息用于自动化推荐等业务。
某购物网站上设置cookies偏好选项
08合规建议
每个数据主体都有权向监管机构投诉。根据违反GDPR的严重程度,企业会被判处不同等级的罚款金额,侵犯数据主体的权利被认为是严重违规行为,可能会导致2000万欧元或4%全球年营业额的最高行政处罚。出海企业应充分理解GDPR赋予数据主体的权利,并采取相应的组织手段和技术手段确保数据主体权利不受侵犯。
