欧盟GDPR(又称《通用数据保护条例》)的实施引起了各方的高度关注,除了各主体的权利义务规定外,该条例中规定的原则作为条例适用的方向性指引,也必须得到足够的重视。
一、欧盟GDPR的原则之一:个人数据处理原则
个人数据的处理问题作为欧盟GDPR的重点规制对象,其相关原则的规定被放在了该条例原则部分的首要位置。欧盟GDPR在个人数据处理问题上设置了六条原则。首先是合法性、合理性和透明性,其要求在对个人数据的处理过程中,无论是收集、传递还是使用,均要求符合法律规定,符合合理及透明性的要求。第二是目的限制,意谓在个人数据的处理问题上必须满足正当目的的要求,其后续的数据处理也不得违反初始目的的要求,但以科学研究为目的进行的后续数据处理不被视为违反初始目的。第三是数据最小化要求,即对于个人数据的处理数量以满足该业务需要的最小数量为限,不得收集任何非必须的个人数据。第四是准确性要求,明确在对个人数据的使用过程中,必须保持数据的真实准确,在个人数据更新时必须及时同步更新或者及时删除,以确保可靠。第五是限期储存原则,即要求在个人数据处理完毕,不再为业务所需时,必须及时采取删除措施,清楚该个人数据的存在痕迹。同时,欧盟GDPR明确了可以超期储存的个人数据情形,包括为实现公共利益、进行科学或者历史研究、为保障数据主体的权利和自由,同时要求必须采用该条例所规定的合理技术与组织措施方可进行。最后是数据完整性与保密性的原则要求,明确个人数据处理过程中,知道该数据者必须经过严格授权,避免数据被非法处理或者不当泄露。
二、欧盟GDPR的原则之一:控制者所应遵循的原则
在个人数据处理问题上,个人数据控制者的角色十分重要。因此,欧盟GDPR对个人数据控制者在个人数据处理问题上设置了所应遵循的原则性规定。根据该条例,控制者除应遵循前述对个人数据处理所应遵循的原则外,还必须具有“可问责性”,也即能够在个人数据处理发生问题时及时追责到特定主体,以承担依法应承担的责任。再者,控制者作为个人数据处理者,其在处理过程中必须满足处理的合法性。依照欧盟GDPR规定,其必须满足至少一项条件规定时,处理才被认定为是合法行为。这些条件包括数据主体的同意、该处理对于完成数据主体所参与的契约是必须的、该处理是控制者为履行法定义务所必须的、该处理对于保护数据主体或者其他特定根的核心利益也是必须的、处理的目的在于满足社会公共利益的需要或者由官方授权等。可见,在控制者对个人数据的处理问题上,必须满足上述条件的至少其中一种,其处理行为才能够被认定为合法有效。最后,对于个人数据的处理,依照欧盟GDPR规定,控制者的处理行为必须符合欧盟法或者控制者所属的成员国法律的具体要求,才能够被认定为合法。同时,欧盟GDPR还对控制者进行个人数据处理的目的做了详尽的解读,以确保控制者在对个人数据处理过程中必须满足合理合法的要求,减少个人数据在处理过程中可能面临的潜在威胁,实现该条例的核心目的——保护个人数据处理及自由流动。
欧盟GDPR对于个人数据在处理以及自由流动上的规制保护十分详尽,无论是专有名词的范围界定抑或是各方主体所应秉持的原则性规定,均明确了其对个人数据采取保护态度的立法原意。随着我国信息相关立法的不断完善以及与欧盟整体、各成员国之间往来的日益频繁,对欧盟GDPR的充分掌握十分必要。
