相关立法中的“数据主体”及法律适用范围
“数据主体”解释
《通用数据保护条例》(GDPR)第4条 第1款 “个人数据”指的是任何已识别或可识别的自然人(“数据主体”)。《中华人民共和国个人信息保护法》第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。由此可见,在欧盟和中国数据主体指的都是个人数据或叫做个人信息所归属的自然人。《加州消费者隐私法案》(CCPA)对消费者的定义是“根据加州法规,属于加州居民的自然人”。可见,美国加州的立法规定的他们的“数据主体”(也就是消费者的概念)也是自然人。基本可以断定,数据主体就是拥有个人信息或个人数据的自然人,但是范围根据立法原则和立法机构的管辖区域而有所不同。
数据主体权利对比
| 权利项 | GDPR | 《中华人民共和国个人信息保护法》 | 解释 |
|---|---|---|---|
| 知情权 | 第12条 | 第44条 | 数据处理前的告知义务,例如平台服务协议、隐私政策文本等 |
| 反对权 | 第21条 | 第44条 | 决定权 |
| 拒绝权 | - | 第44条 | 决定权 |
| 限制处理权 | 第13条 | 第44条 | 决定权 |
| 删除权 | 第17条 | 第47条 | - |
| 更正权 | 第16条 | 第46条 | 更正、补充个人信息 |
| 查询权 | 第15条 | 第45条 | 访问权,获取副本、复制个人信息 |
| 数据可携带权 | 第20条 | 第45条 | |
| 自动化决策 | 第22条 | 第24条 | 不受自动化决策限制的权利,不接受自动推送,精准营销 |
| 撤回同意 | 第7条 | 第16条 | 取消同意的权利 |
| 死者近亲属权 | - | 第49条 | 查阅、复制、更正、删除 |
适用范围探讨
《通用数据保护条例》(GDPR)采用的是“属人原则”,即在欧盟境外处理欧盟公民的个人信息,依然要受到GDPR的约束管辖。首先在欧盟境内处理个人信息是一定适用GDPR的,这个范围包括欧盟28个成员国(英国已经脱欧,但仍然适用)以及冰岛、挪威、列支敦士登共31个国家。单独提及瑞士,瑞士有自己的联邦数据保护法案,该法案曾参照GDPR做了修改,因此,可以看做实行类似GDPR的地区。在欧盟域外,GDPR的适用方案特别提及“面向”和“监控”两个词,涉及到这两个行为的则适用GDPR。回到中国企业来看,那些需要适用GDPR呢,尝试进行一些适用可能性的列举:
一、在欧盟境内拥有业务的中国公司(拥有法人资质的分支机构或子公司、拥有办公室或代表处、拥有雇员或代理人都算),无论其数据处理行为是否发生在欧盟。针对个案判断时,普遍要求该等商业存在的经营活动与数据处理活动有着不可分割的联系,但并不要求商业存在实质参与数据处理活动。
二、并非在欧盟及上文提到的冰岛、挪威、列支敦士登境内,但面向欧盟境内的自然人的。根据GDPR序言第十四条 “本条文所提供的保护应适用于与所处理数据有关的自然人,无论其国籍或居住地点如何”,可以推得:目标指向标准的适用不受数据主体的国籍、居住地或其他法律地位的限制,只要在数据处理活动发生时,数据主体位于欧盟领土内,即属于条例所述“欧盟境内数据主体”。当然,目前来看约束目标是故意针对欧盟境内个人的处理活动而非无意的、偶然的数据处理活动。例如一家中国公司的推送服务仅针对中国人服务,当中国人去欧盟旅游期间继续试用这个服务所引发的数据处理不受GDPR约束。根据《数据安全架构设计与实战》的解读,下列事项可能涉及面向欧盟数据主体,从而受到GDPR的影响:
- 提供的产品或服务指定向欧盟或至少一个成员国提供(比如在Google Play应用市场的德国区发布)
- 在搜索引擎中投放面向欧盟用户的营销广告
- 提及欧盟境内的专用地址或专用电话号码
- 使用欧盟或成员国的顶级域名,如“.eu”、“.de”
- 提供从一个或多个欧盟成员国出发的旅行指令
- 使用一个或多个欧盟国家特定的语言文字(比如意大利语)或货币支付(比如欧元、英镑等)
- 提供欧盟成员国内的货物交付
- 面向欧盟用户的点击付费广告
- 内容存在向欧盟用户提供服务的暗示或证据(比如使用其产品或服务的欧盟客户名称或Logo)
《中华人民共和国个人信息保护法》
《中华人民共和国个人信息保护法》根据属地原则,其数据主体包含在中华人民共和国境内的所有自然人,包括外国国籍人士。同时,《中华人民共和国个人信息保护法》也规定了相应的域外管辖权,在我国境外处理我国境内自然人个人信息的活动,有下列情形之一的,也适用《中华人民共和国个人信息保护法》:
- 以向境内自然人提供产品或者服务为目的;
- 具有明确可识别的、向境内自然人提供产品胡总服务目的;
- 无法明确识别信息处理者的目的,但事实上向境内自然人提供了产品或服务。
- 分析、评估境内自然人的行为(应当是指提供数字画像等技术手段形成的针对境内自然人的详细、全方位的分析、评估);
- 法律、行政法规规定的其他情形。
数据控制者
数据控制者是《通用数据保护条例》(GDPR)中的独有概念,《中华人民共和国个人信息保护法》没有这一概念。《通用数据保护条例》第4条 第7款指的是那些决定(无论是单独决定还是共同决定)个人数据处理目的与方式的自然人或法人、公共机构、规制机构(政府机构)或其他实体。联合数据控制者:当两个或两个以上控制者共同决定处理的方式和目的时,他们就成为了联合数据控制者。根据要求,联合数据控制者须通过一种正式安排的形式,在他们彼此之间分配好数据保护合规责任,并且有关安排必须如实反映他们各自相对于数据主体的角色。而数据主体必须知悉有关安排的主要内容。
数据控制者应当:
- 1、考虑到处理的性质,范围,背景和目的以及给自然人权利和自由带来的不同可能性和严重程度的风险,数据控制者应当采取适当的技术和组织措施,以确保并证明处理符合本条例规定。这些措施应在必要时予以审查和更新。
- 2、在处理活动相适当的情况下,第1款所述措施应包括数据控制者实施的适当数据保护政策。
- 3、遵守本条例第40条所述的经批准的行为守则或第42条所述的经批准的认证机制,可以作为数据控制者遵守其义务的证明要素。
数据处理者
几种处理者
数据处理者是《通用数据保护条例》(GDPR)中的概念,《通用数据保护条例》第4条 第8款 指的是那些为数据控制者而处理个人数据的自然人、法人、公共机构、规制机构(政府机构)或其他实体。《中华人民共和国个人信息保护法》中规定个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。可见对于我国《个保法》,GDPR中的数据控制者和数据处理者都算个人信息处理者。我国的个人信息处理者一般分为以下几类:
- 一般个人信息处理者(包含共同个人信息处理者)
- 基础性互联网平台、服务用户数量巨大以及业务类型复杂的个人信息处理者(欧盟DMA中的“守门人”)规定了特殊义务
- 受委托的处理者
《个保法》一般义务:
- 设立个人信息处理的内部制度、技术和流程措施
- 设立个人信息保护负责人和境内代表的组织措施
- 个人信息泄露事件报告义务
“守门人”特殊义务
- 建立合规制度体系,成立由外部成员组成的独立机构进行监督
- 遵循公开、公正、公平的原则,制定平台规则,明确个人保护义务
- 严重违法法律、行政法规处理个人信息的平台内提供者,停止提供服务
- 定期发布个人信息保护社会责任报告、接受社会监督
参考文献
- 《数据合规 入门、实战与进阶》
- 《GDPR解读(1):简介与适用范围》
- 出海企业需注意:欧洲《通用数据保护条例》(GDPR)适用地域范围解析
如有侵权请联系:admin#unsafe.sh