版权归原作者所有,如有侵权,请联系我们

[科普中国]-数据保护指令

科学百科
原创
科学百科为用户提供权威科普内容,打造知识科普阵地
收藏

数据保护指令是欧盟于1995年通过的规定处理欧盟内部的个人数据的指令。它是欧盟隐私和人权法的重要组成部分。

2016年4月通过的“ 通用数据保护条例”已取代数据保护指令,并于2018年5月25日开始实施。

背景向右隐私是法律在欧洲高度发达的区域。1欧洲联盟(欧盟)的所有成员国也是“欧洲人权公约”(ECHR)的签署国。“欧洲人权公约”第8条规定了尊重一个人的“私人和家庭生活,他的家和他的通信”的权利,但受到某些限制。在欧洲人权法院已经给这篇文章在其判例中一个非常宽泛的解释。

1980年,为了在整个欧洲建立全面的数据保护系统,经济合作与发展组织(经合组织)发布了“理事会关于保护个人数据隐私和跨境流动指南的建议”。经合组织关于保护个人数据的建议的七项原则是:

通知 - 数据主体在收集数据时应给予通知;

目的 - 数据仅应用于所述目的,不得用于任何其他目的;

未经数据主体同意,不得披露同意数据;

应保护安全收集的数据免受任何潜在的滥用;

应告知披露数据主体谁正在收集他们的数据;

应允许访问数据主体访问其数据并对任何不准确的数据进行更正

问责制 - 数据主体应该有一种方法可以让数据收集者对不遵守上述原则负责。

在经合组织准则,然而,非约束性和数据隐私法仍然在欧洲差别很大。与此同时,美国在赞同经合组织的建议的同时,并未在美国实施这些建议。然而,所有七项原则都纳入了欧盟指令。

内容该指令规定了个人数据的处理,无论这种处理是否自动化。

范围个人数据被定义为“与已识别或可识别的自然人有关的任何信息(”数据主体“);可识别的人是可以直接或间接识别的人,特别是通过参考识别号或一个或多个特定于他的身体,生理,心理,经济,文化或社会身份的因素。

这个定义意味着非常广泛。当有人能够将信息链接到某个人时,即使持有该数据的人不能建立此链接,数据也是“个人数据”。“个人数据”的一些例子是:地址,信用卡号,银行对账单,犯罪记录等。

概念处理是指“对个人数据执行的任何操作或一组操作,无论是否通过自动方式,例如收集,记录,组织,存储,改编或更改,检索,咨询,使用,通过传输,传播进行披露或以其他方式提供,对齐或组合,阻止,擦除或破坏;“ 。

合规责任在于“控制人”的肩上,这意味着自然或人为的人,公共权力机构,机构或任何其他单独或与他人共同确定个人数据处理目的和方式的机构;

数据保护规则不仅适用于欧盟内部建立控制器,也适用于控制器使用位于欧盟内部的设备以处理数据的情况。(第4条)来自欧盟以外的欧盟处理数据的控制者必须遵守数据保护法规。原则上,与欧盟居民进行的任何在线商业交易都会处理一些个人数据,并且会使用欧盟的设备来处理数据(即客户的计算机)。因此,网站运营商必须遵守欧洲数据保护规则。该指令是在互联网取得突破之前编写的,迄今为止,关于这一主题的判例很少。

原则除非满足某些条件,否则不应处理个人数据。这些条件分为三类:透明度,合法目的和相称性。

1)透明度

数据主体有权在处理其个人数据时获得通知。控制人必须提供他的姓名和地址,处理目的,数据的接收者以及确保处理公平所需的所有其他信息。

只有在满足下列条件之一时才能处理数据(第7条):

当数据主体表示同意时。

当处理是履行或签订合同所必需的。

在处理是否符合法律义务时。

当需要处理以保护数据主体的重要利益时。

处理是为了执行为公共利益或行使控制权或披露数据的第三方的官方权力而执行的任务所必需的。

对于控制人或披露数据的第三方或当事方所追求的合法利益,处理是必要的,除非这些利益被数据主体的基本权利和自由的利益所覆盖。数据主体有权访问与他处理的所有数据。数据主体甚至有权要求纠正,删除或阻止不完整,不准确或未按照数据保护规则处理的数据。

2)合法目的

个人数据只能出于指定的明确和合法目的进行处理,并且不得以与这些目的不相容的方式进一步处理。个人数据必须具有防止滥用和尊重“欧盟法律保障的数据所有者的某些权利”的保护。

3)比例

个人数据只能在与其收集和/或进一步处理的目的相关且足够,相关且不过量的情况下进行处理。数据必须准确,并在必要时保持最新;必须采取一切合理步骤,以确保在考虑到收集目的或进一步处理的目的后,删除或纠正不准确或不完整的数据;不应将数据保存在允许识别数据主体的时间长于收集数据或进一步处理数据的目的所需的数据中。会员国应为长期存储的个人数据制定适当的保障措施,以供历史,统计或科学使用。

如果敏感的个人数据(可能是:宗教信仰,政治观点,健康,性取向,种族,过去组织的成员资格)正在处理中,则需要额外的限制。数据主体可以随时反对处理个人数据以进行直接营销。基于算法的决策产生法律效果或显着影响数据主体可能不仅仅基于数据的自动处理。在使用自动决策程序时,应提供上诉形式。

本词条内容贡献者为:

李航 - 副教授 - 西南大学