1、中国境内的欧盟个人数据管不管?
GDPR不适用于欧盟国家公民在欧盟范围外接受服务时提供自己的个人信息的情况。在欧盟境外,只需要遵守服务提供地的法律即可。
2、GDPR中的个人数据指的是哪些数据?
个人数据是指任何指向一个已识别或可识别的自然人的信息。并不适用于有关诸如公司、基金会以及机构等法律实体的信息。
经过假名化处理的数据可以使识别个人更加困难,从而降低隐私风险,但其仍属于个人数据。如果个人数据可以被真正地匿名化处理,那么经过匿名处理的数据不受GDPR规制。
需要注意的是,匿名和假名不是一回事。
如果某人匿名,人们就没法根据他的名字来识别他,所以如果他做了很多事情,人们也没法知道这件事情是不是同一个人做的。而如果某人用了假名,虽然人们不能根据名字识别他,但如果他用同样的假名做了很多事情,别人就会知道这些事情是同一个人做的。所以严格来讲,使用假名不属于匿名。
在对数据进行匿名化处理时,应当:
1、去除个人信息中的唯一标识信息,或者将实际的数据值替换为其他数据
2、不要认为匿名就安全了,因为人们可以将个人的相关信息与公共记录进行匹配,从而识别出其身份
3、互联网和便携式智能设备让个人的使用习惯和位置变得更容易追踪,服务供应商可以将这些数据与其他数据关联,从而识别出个人身份
3、在线活动识别符(Online Identifier)具体包括什么?
包括与个人使用的设备、应用、工具及互联网协议等相关的信息。
因为对于这些在线活动识别符所留下的痕迹,当与服务器所接收的特殊识别符或其他信息相结合后,可以用来对个人进行画像并识别个人。
4、什么是履行合同之必要?
GDPR第6条规定了处理数据的6种合法事由,其中包括数据主体为履行合同之必要,或者在合同订立前应数据主体的要求而采取某些与订立合同相关的行动而处理数据。
企业应记录此类决策,即处理数据的行为对于合同来说是必要的,记录中应当包括企业隐私通知中所披露的处理目的及合法事由。
5、什么场景下可以使用数据控制者的正当利益作为数据处理合法事由?
可以将:对于客户或雇员数据的使用、推广营销、欺诈防护、集团内部转移、IT安全、向政府机关披露与可能的刑事犯罪行为或安全威胁有关的信息等,列为正当利益。
当企业可以合理期待的方式使用数据,并且这种方式在对数据主体隐私方面的影响最小,那么正当利益可能是最为适当的合法事由。
6、如何理解自动化决策与用户画像?
针对个人的自动化决策是指通过自动化手段做出的决定,没有任何人工参与。但它并不一定涉及到用户画像。
用户画像是根据用户在互联网留下的痕迹加工成一系列用户标签,是通过收集、汇聚、分析个人信息,对某特定自然人的个人特征,如职业、经济、健康、教育、个人喜好、信用及行为等方面做出分析或预测,形成其个人特征模型的过程。用户画像的应用场景包括两个方面,一个是用于产品开发和行业分析,另一个是用于精准的营销活动。
GDPR限制企业进行对数据主体产生法律影响或具有类似重要影响的完全自动化决策,包括基于用户画像的自动化决策。
对于个性化推荐,通常有以下评价指标:
| 指标类别 | 指标含义 | 可解决的问题 |
|---|---|---|
| 准确性指标 | 评价推荐结果的准确性,包括平均绝对误差、标准平均绝对误差及召回率等指标 | 应用该指标能够帮助算法设计者解决“推荐商品、内容、项目是否为用户所喜好”的问题 |
| 覆盖率指标 | 评价算法能够向用户推荐的商品、内容、项目,覆盖全部商品、内容、项目的比例 | 应用该指标能够帮助算法设计者解决“推荐的商品、内容、项目是否为用户所满意”的问题,解决推荐的结果过于热门、单一、重复等降低用户满意度和体验的问题 |
| 多样性指标 | 体现在两个层次:一是用户间多样性,评价算法对不同用户推荐不同商品、内容、项目的能力;另一个是用户内多样性,评价算法对一个用户推荐商品、内容、项目的多样性 | 同上 |
| 新颖性指标 | 评价推荐流行度低或冷门商品、内容、项目的能力 | 同上 |
7、数据控制者和数据处理者的义务有何区别?
| 数据控制者 | 数据处理者 |
|---|---|
| 1.确保数据处理的合法基础(第6条及第9条,如果涉及敏感个人数据) 2.符合基本的处理原则:有限目的、数据最小化/存储限制、完整性和保密(第5条) 3.遵守并协助数据主体权利,例如,访问、更正、删除、限制、反对及可携权(第15、16、17、18、20及21条) 4.保存数据处理活动的记录(第30条) 5.数据泄露强制通知(72小时之内向监管机关通知)以及通信要求 6.确保数据处理者为符合GDPR要求而提供“足够的保障”,并确保所有处理活动都根据规定了特定强制性内容的书面协议而进行(第28条) 7.实施与数据处理风险相适应的安全措施(第24及32条),并确保“从设计着手保护隐私”(第25条) 8.进行数据安全影响评估,并就高风险处理咨询监管机关(第35条) 9.没有合法基础的情况下,不得将个人数据转移至欧洲经济区之外(第49条) | 1.确保未获得处理者授权的主体不得处理个人数据,除非根据数据处理者的指示(第29条) 2.保存数据处理活动的记录(第30条) 3.实施与数据处理风险相适应的安全措施(第32条) 4.“没有不当拖延”地通知数据控制者数据泄露事件(第33条) 5.确保所有处理活动都根据规定了特定强制性内容的书面协议而进行(第28条) 6.没有合法基础的情况下,不得将个人数据转移至欧洲经济区之外(第49条) |
8、如何设定数据保护官?
GDPR第37条规定了数据控制者和数据处理者应当任命DPO的情形,包括:
(1) 公权力部门或机构进行数据处理活动的;
(2) 数据处理的核心活动涉及对数据主体进行经常性大规模系统化监测的;
(3) 大规模处理特殊类别个人数据或与刑事违法行为相关的个人数据的。
除上述情形之外,GDPR并未要求企业在其他情形下也进行DPO的设置。
GDPR并未对“大规模”的概念进行定义。第29条工作组发布的指引认为,“无论是处理的数据量还是涉及到的数据主体数量方面,均无法给出准确的数字。”
企业应当以一定的可为公众所知的形式公布DPO的联系方式,确保监管机构能够及时与DPO取得联系。
9、数据处理者如何履行问责义务(accountability)?
问责义务包含两个关键要素。首先,问责制原则明确规定,企业有责任遵守GDPR。其次,企业必须能够证明自身的合规性。
企业可以进行以下几方面工作:
1、实施数据保护内部政策
2、采用“从设计角度并默认保护数据”方法
3、每当数据控制者使用数据处理者来代表他们处理个人数据时,需要签订一份书面合同,规定各方的责任和义务
4、根据GDPR第30条的要求,大多数企业组织必须保留其个人数据处理活动的记录,包括处理目的、数据共享和留存等内容。
5、采取技术和组织方面的措施
6、记录和报告个人数据泄露事件
7、开展数据保护影响评估
10、中国企业可适用的数据出境方式是什么?
根据GDPR的规定,将欧盟境内个人数据转移至其他司法管辖区时应区分安全和非安全两类第三方司法管辖区。通过充分性认定的司法管辖区包括:安道尔、阿根廷、加拿大(仅包括商业组织)、法罗群岛、根西岛、以色列、马恩岛、瑞士、乌拉圭和美国(如果数据接受者适用隐私盾)、日本。以上司法管辖区的数据转移被明确允许。
对于其他司法管辖区,应确保数据接收方能够提供充分的数据保护。相关机制包括签署标准合同条款、集团公司内部采纳“约束性公司规则”、遵守欧盟委员会公布的通常适用的行为规则或通过数据处理程序认证。
对于中国企业,常见的数据出境方式是由欧盟境内的主体与境外数据接收主体签订标准合同条款,并根据此条款进行数据跨境转移。
11、如何确定主监管机构?
即便在欧盟设有多个营业实体,但仍需要确立出一个主营业实体。主营业实体设立地的欧盟成员国的监管机关将有资格成为主监管机关。主监管机关将对公司进行GDPR的相关执法。如果个人数据处理操作仅与另一成员国的某一企业有关,或仅对另一成员国的个人有影响,则其他成员国的监管机关仍有执法权,除非主监管机关决定处理该问题。同样,如果有关违法行为违反成员国本国法律,当地的监管机关也有执法权。
12、欧洲数据保护委员会和各国监管机构如何配合执法
欧洲数据保护委员会是一个独立的欧盟机构,致力于在整个欧盟范围内数据保护规则的统一适用,并促进欧盟数据保护机构之间的合作、争议协调、意见提供等。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
