DGPR原则
lawfulness指data processing必须有合法基础,符合第七条的规定。
fairness意在规范data subject和data controller的关系,后者必须以及时、透明、全面、易理解,且符合前者意愿的方式,就process的过程及潜在危害通知前者。EU handbook里说“the principle of fairness goes beyond transparency obligations and could also be linked to processing personal data in an ethical manner.”,这是一个有高度但落实需要很强技术的原则。
transparency贯穿始终,controller在收集、处理数据事前、事中、事后都有义务keep data subject informed的义务,范围与fairness基本一致,且不能对此义务设置不合理的限制。Haralambie v. Romania( No. 21737/03, 27 October 2009 )案中,公民向公权力机构要求获得其持有个人信息的情况,而公权力机构表明请求作出的五年后才能提供信息。对此,ECtHR认为获取公权力机构持有的个人信息情况对于data subject的利益至关重要,文件的数量过多或者文档系统的问题都无法合法化该迟延行为,公权力机构负有提供有效程序义务使个人能在合理的时间内获取信息。
purpose limitation要求data processing的目的事前必须清晰界定,且过程中必须符合设定的具体目的,即使发生了变化,新的目的必须满足compatible的条件(Article 6(4) GDPR),否则应具备新的legal basis, 这主要是为规范数据滥用。well-defined/explicit/ specified /legitimate purpose是提升透明度、可预测性、用户控制力的重要前提,这要求controller对自身的行为操作审慎界定,也让data subject更好了解过程。
data minimization要求信息收集的范围以达成目的为限。在 Digital Rights Ireland( C-293/12 and C-594/12)一案中, CJEU认为尽管Data Retention Directive旨在维护公共利益、预防和治理犯罪,然而不加区分、不设限制地对所有人、所有电子通讯与交流信息进行收集的做法显然超出了原先的目的。
重点条文解析
1.Article 6 lawfulness of processing
2.Article 7 consent rule
3.A9 Special data & legal basis
4.Article 13 right of information
当data controller收集信息时,需要向DS提供部分的信息,大致分为强制性提供、必要性提供、补充性提供。
这里的信息提供给并不以DS主张为前提,controller应该主动提供。此外,为了限制权利滥用、追求效率,A13(4)规定“Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information.”
第14款则规定controller在收集数据前该提供哪些信息。
5.Article 15 right of access
本条规定DS享有权利知道其数据是否、在何处进行processing,并有权获得相关信息(与第13条类似)。
DS有权要求提供复印件(controller只能收取合理费用),当DS要求电子形式时则必须提供该形式。
Q:A13-15的关系
6.Article 17 right to be forgotten
data subject有权要求controller及时删除个人数据,但这不是绝对权利,必须满足一定条件。具体而言,只有当data subject的基本权利比其他人利益或公众知情权更加重要时,该权利主张才能成立。
涉及到权利平衡,必然需要落实到个案的具体分析。从信息内容的性质来看,如果与个人私密生活相关,与公共利益无关,那么数据保护与隐私则更重要;如果当事人为公众人物或者所涉信息涉及公众知情权,那么数据保护与隐私则极有可能会受限。
Camera di Commercio di Lecce v. Manni(CJEU, C-398/15)一案中,由于公司的法律事务并不因破产而完全终结,且考虑到第三方的知情权、商业社会对于法律风险的可预期性,法院认为原告基于其与破产公司相关联的信息将影响到potential client并不足以使其主张成立。
Google Spain v Costeja (ECJ C-131/12)一案中,法院基于时间长度、危害程度、 认定原告的主张成立。
search engine 认定为controller?
利益平衡是什么做的?
【具体内容是什么?guideline的逻辑是什么?】Article 29 Working Party (2014), Guidelines on the implementation of the CJEU judgment on “Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/12, WP 225, Brussels, 26 November 2014
7.Article 20 right to restrain profiling
7.Article 20 right of portability
基于私法关系上的data processing 在技术可行的情况下实现不同data controller之间的转移,加强DS的控制力,同时也有利于打破垄断。
8.Article 21 right to object
right to object to personal data processing并非是一般性的权利,在具体情境下才能行使。(ECtHR, M.S. v. Sweden, No. 20837/92, 27 August 1997; ECtHR, Leander v. Sweden, No. 9248/81, 26 March 1987; ECtHR, Mosley v. the United Kingdom, No. 48009/08, 10 May 2011)
为了保障DS的权利,第四款规定了controller必须告知DS该权利,时间点为至少“ at the time of the first communication with the data subject”,形式“clearly and separately from any other information.”,效果“explicitly brought to the attention of the data subject”,否则controller便违反了义务。
Article 22 right to object to automatic-profiling
The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.
Art4(4) ▪‘Profiling' means any form of automated
processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements
条件
1[过程]当决策是完全自动化作出,不涉及人为因素;自动化决策指通过自动化的方式对于个人的某些方面进行评估。
2[结果]决策的结果产生了法律后果或者类似程度的后果,例如信用评价、招聘结果、工作表现、可靠性分析、警察对犯罪嫌疑的判断……总体而言,决策结果需要造成一定程度的影响。(脑补:单身A男对相亲网站通过大数据给自己匹配的对象都不满意,这样程度的影响是不是稍微低一些?)
3[效果]该权利是blanket prohibition 还是objection?
根据Article 29 Working Party, 这项权利相当于原则性禁止条款,并不要求data subject采取主动方式对决策进行反对。然而GDPR 22(2) 列举了三种可进行自动化决策的情况:(1)履行合同之必须 (2)法律许可且确保安全保障 (3)data subject明确同意 。
因此,当data subject在所列三种情况之外,对于决策有异议,自然便可主张该权利,那么面临以上三种情况,该如何解决呢?
GDPR 22(2) 的文本为“Paragraph 1 shall not apply if the decision......" ,似乎意味着该项权利不能行使,而GDPR 22(3)该规定即使在以上三种情况中,data controller 也必须采取必要措施保障data subject的权利与利益,至少包括obtain human intervention on the part of the controller/ to express his or her point of view/contest the decision.【如何理解?权利的边界问题】
此外,GDPR 22(4)规定自动化决策不能基于第九条的特殊数据,除非得到符合第九条第2款中(a)明确的同意或者(g)公共利益限制。
因此,GDPR并不禁止profiling,因为data subject可以通过“explicit consent”(A6(1)、A22(2)(c)),事后也可以通过利益权衡 (A22(2)(a))使得profiling合法化,法律也可以事先合法化。