GDPR解读(5):数据主体的8项权利

U2      2020-01-30 10:17      1015     

GDPR规定了数据主体(即自然人,例如用户、客户、商业联系人、雇员、前雇员、求职者等,不包括法人主体)的8项权利:

  1. 知情权 (Right to be Informed)
  2. 访问权 (Right of access)
  3. 更正权 (Right to rectification)
  4. 删除权 (或"被遗忘权",Right to erasure, or "right to be forgotten")
  5. 限制处理权 (Right to restriction of processing)
  6. 可携带权 (或迁移权,Right to data portability)
  7. 反对权 (Right to object)
  8. 不受制于自动化决策(含画像)(Right not to be subject to automated decision-making, include profiling)
GDPR

以下详细内容摘自《数据安全架构设计与实战》一书GDPR介绍部分。

1.知情权

GDPR对“如何保障数据主体的知情权”提出了透明性以及形式上的要求,即隐私声明(或隐私通知)应具备什么要求,以及应当包含哪些内容。

收集个人数据时,一种方式是直接向数据主体(即自然人本人)收集,第二种方式是通过其他渠道获取。

当直接向数据主体收集时,控制者应向数据主体提供:

  • 控制者及法定代表人、数据保护官(DPO)的身份、联系方式。
  • 个人数据的种类。
  • 处理个人数据的目的和法律依据(GDPR规定了六种法律依据,分别是数据主体同意、法定义务、合同义务、保护数据主体或他人的核心利益、公共利益、数据控制者或第三方的合法利益,至少需要具备其中的一种);
  • 数据是否向第三者或第三国转移、接收者是谁。
  • 存储期限或标准。
  • 保护措施。
  • 声明数据主体有权访问、更正、删除个人数据,以及限制、拒绝、撤销同意的权利。
  • 向监管机构投诉等权利。
  • 提供个人数据对于法律或合同的必要性,数据主体是否有义务提供个人数据,或者不提供此类数据可能造成的影响,如不能处理交易等。

当通过其他渠道间接获取时,应向数据主体提供:

  • 除上述最后一条(法律或合同的必要性)之外的其他所有信息。
  • 数据的来源。

且需要在一个月内通知数据主体,并一次性告知上述信息;如果个人数据是用于跟数据主体沟通,可以在第一次沟通时通知。

2.访问权 

数据主体有权获取如下信息:

  • 确认其个人数据是否被处理、处理的目的(用途)、数据类别、存储期限或标准。
  • 权利信息(更正、删除、限制、拒绝的权利)。
  • 个人数据的副本。

3.更正权

数据主体有权更正错误的个人数据。

4.删除权

数据主体有权删除自己的数据。

典型场景:用户有注销账号的权利,控制者有配合删除其个人数据的义务。

5.限制处理权

在特定场景下,数据主体有权要求数据控制者限制对他的个人数据的使用。在数据主体认为其个人数据还需要保留,但数据控制者不得使用时,可提出限制处理请求。

典型场景:

  • 数据不准确:某用户发现自己的燃气费自动扣款金额不对,要求暂停自动扣款,待核实后再决定是否恢复。
  • 处理数据的行为没有法律依据,或者使用了非法的手段。
  • 数据虽然已不再需要用于原来的目的,但有可能需要作为法律证据保留,这时用户可要求限制处理,但并不删除。
  • 处理数据的法律依据是为了公共利益,或数据控制者及第三方的合法利益。

6.可携带权

数据主体有权要求将自己的数据,转移到另一家数据控制者,数据控制者应当配合。

一个典型的场景:博客的主人,有权将自己发布的博文,搬家到另外一家服务提供商。

7.反对权

数据主体有权撤回之前自己的同意,但是不影响在撤回之前基于用户同意所做的处理。

如果处理数据的法律依据是出于公共利益,或者数据控制者及第三方的合法利益(即处理个人数据的六个法律依据中的最后两个),用户有权提出反对,数据控制者须立即停止这部分的数据处理。

例如商家为了促销,发送营销邮件或拨打用户电话,用户有权提出反对,要求商家不再骚扰自己。又如,某应用会根据用户的浏览记录,推送相关的广告,如果用户对这一做法表示反感,可以行使反对权,拒绝定向广告。

特别说明:电子隐私法对于数字营销有进一步的约束,需要获取数据主体的明示同意。

8.不受制于自动化决策(含画像)

数据主体拥有不受制于自动化决策的权利,因为自动化决策算法本身过于复杂,比如神经网络,对大众来说不够透明也难以理解,用户不清楚自己的数据是如何被处理的,决策的结果可能影响到自己的基本权利和自由。比如某用户通过在线申请某银行的信用卡时,该银行于用户画像自动做出驳回信用卡申请的动作,那么该用户有权反对、投诉这一决策,并要求人工干预。

特别说明:自动化决策(含画像)需要获得用户的明示同意。

本文地址: https://www.janusec.com/articles/privacy/1580350655.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.