GDPR解读（3）：处理个人数据的基本原则（6+1）

GDPR第5条规定了六项处理个人数据的原则以及一项对数据控制者的问责制（也可以合称为七项原则）。

这六项原则具体包括：

• 合法（lawfulness）、公正（fairness）、透明（transparency）：个人数据应当以合法、公正、透明的方式处理（注：如果数据处理可能引起对某些数据主体的歧视，如价格歧视，可视为公正性受到影响；透明则主要体现在保障用户的知情权和明示同意方面）。
• 限定目的（purpose limitation）：收集的数据只能用于限定的目的。
• 数据最小化（data minimisation）：仅收集必要的数据（注：例如某计算器应用需要读取用户的通讯录，则明显不符合数据最小化原则）。
• 准确（accuracy）：个人数据应当准确（注：例如消费记录和余额显示，如果数据不准，明显会给用户带来恐慌）。
• 留存期限限制（storage limitation）：已达成数据处理目的，不再需要留存的数据应在合理的留存期到期后及时清理。
• 完整性和保密性（integrity and confidentiality）：采取适当的技术或组织措施来防止未授权的访问，防止数据被破坏或丢失。

问责制（accountability），即数据控制者有责任且能够证明自身合规，包括隐私保护政策文件、实施的技术与组织措施、处理个人数据的记录、任命DPO、隐私保护设计（Privacy by Design）、PIA（隐私影响评估报告）、通过隐私保护认证、遵守已批准的行为准则等，在必要时提供给监管机构。

本文地址： https://www.janusec.com/articles/privacy/1579940799.html （转载请注明出处）

评论区(共0条评论)