欧洲数据保护法律与法规核心概念
1. 引言:持续演变的概念
数据保护法的历史已久,但其核心概念至今仍在不断演变与讨论中。这主要是由两大因素驱动:
- 技术发展
新技术的出现(如互联网追踪、用户画像技术)不断挑战传统定义的边界。
- 商业模式变化
业务外包(Outsourcing)的普及和服务提供商自主性的增强,使得“控制者”(Controller)与“处理者”(Processor)之间的界限变得模糊。
尽管存在这些挑战,《通用数据保护条例》(GDPR)的核心概念在很大程度上继承自其前身——1995年的《数据保护指令》(Data Protection Directive)。然而,GDPR也针对一些曾引起广泛争议的问题进行了明确,例如:
- 线上标识符
明确将IP地址、Cookies等用于构建个人线上行为画像的“线上标识符”(Online Identifiers)纳入个人数据的范畴。
- 核心角色定义
尽管界限模糊,但立法者选择不改变“控制者”和“处理者”的既有定义,而是依赖于监管机构和法院通过案例和指南来提供更具体的解释。
本笔记将重点梳理以下几个核心概念:
个人数据 (Personal Data)
特殊类型个人数据 (Special Categories of Personal Data)
数据控制者 (Controller)
数据处理者 (Processor)
处理活动 (Processing)
2. 个人数据 (Personal Data)
个人数据是整个数据保护法的基石,其定义被刻意设计得非常宽泛,以适应技术的快速发展。
2.1 GDPR的官方定义
根据GDPR第4条第(1)款的定义:
“个人数据”(Personal Data)是指与一个已识别或可识别的自然人(数据主体)相关的任何信息。可识别的自然人是指能够被直接或间接识别的个人,特别是通过参照诸如姓名、身份证号码、位置数据、线上标识符等标识符,或参照一个或多个与其身体、生理、遗传、心理、经济、文化或社会身份相关的特定因素。
2.2 构成个人数据的四大要素
为了准确判断某项信息是否属于个人数据,可以将其拆解为以下四个关键组成部分进行分析。这些要素源于前欧盟“第29条工作组”(WP29)在《关于“个人数据”概念的意见 4/2007》中确立的框架,该意见对于理解GDPR下的个人数据定义仍然具有高度参考价值。
a) 任何信息 (Any Information)
这个要素强调了信息的形式无关性和内容多样性。
- 形式
不限于文本,它可以是图像、声音、视频或任何其他形式的媒介。
- 内容
- 客观信息
如姓名、出生日期、DNA序列。
- 主观信息
如个人观点、工作表现评价、用户评论。
- 真实性无关
无论信息是真是假,甚至是诽谤性的,只要它与某个人相关,就可能被视为个人数据。
- 客观信息
b) 相关的 (Relating to)
信息必须“关于”某一个体。判断是否“相关”,通常考虑以下三个维度:
- 内容 (Content)
信息的内容直接描述了用户的某些方面(例如,“张三的身高是180cm”)。
- 目的 (Purpose)
信息的处理目的是为了评估、分析或影响某一个体(例如,收集网站浏览历史以向特定用户推送个性化广告)。
- 结果 (Result)
对信息的处理会对该个体的权利和利益产生影响(例如,基于信用评分数据决定是否批准某人的贷款申请)。
只要满足以上三者之一,该信息通常就被视为与个人“相关”。
c) 已识别或可识别的 (Identified or Identifiable)
这是判断的核心,区分了两种状态:
- 已识别 (Identified)
信息本身或结合其他信息可以直接确定数据主体的身份,例如直接包含姓名和身份证号。
- 可识别 (Identifiable)
信息本身虽然不能直接识别,但可以通过合理可能使用的一切手段(all the means reasonably likely to be used)与其他信息结合后识别出特定个人。
- 直接识别
通过姓名等直接标识符。
- 间接识别
通过一个或多个间接标识符的组合,如职位、工作地点、兴趣爱好等。
- “合理可能”的判断标准
需要综合考虑获取额外信息所需的时间、成本、技术,以及处理数据的目的。如果识别过程需要付出不合比例的努力,则该数据可能被视为匿名数据。
- 直接识别
d) 自然人 (Natural Person)
数据保护法保护的是在世的自然人(living human beings)。
- 不包括法人
公司、政府机构等法律实体的数据(如公司注册号、对公账户)不属于个人数据,但与该公司员工相关的信息(如员工姓名、邮箱)则属于个人数据。
- 不直接保护逝者数据
GDPR本身不适用于已故人士的数据。但是,其序言(Recital 27)鼓励成员国自行立法对此类数据提供保护。
2.3 线上标识符 (Online Identifiers) 的明确化
GDPR明确将线上标识符视为个人数据,这是对《数据保护指令》的重要补充,以应对数字时代的需求。
- IP地址
无论是静态还是动态IP地址,只要服务提供商有合法途径将其与特定用户关联起来,就被视为个人数据(参见欧盟法院 Breyer 案)。
- Cookie ID
用于追踪用户浏览行为的Cookie标识符。
- 广告ID
移动设备上的广告标识符(如Google的AAID,苹果的IDFA)。
- 设备指纹
通过收集浏览器、操作系统、插件等信息生成的唯一设备标识。
这些标识符之所以被视为个人数据,是因为它们可以被用来区分和追踪特定的设备或用户,并对其进行分析和画像,从而对个体产生影响。
3. 特殊类型个人数据 (Special Categories of Personal Data)
特殊类型个人数据,通常被称为“敏感数据”,是指那些如果被泄露或滥用,可能对个人的基本权利和自由造成重大风险的数据。因此,GDPR对其处理设定了原则上禁止、例外允许的更严格规则。
3.1 GDPR第9条定义的范围
根据GDPR第9条,特殊类型个人数据包括:
揭示种族或民族出身的信息
揭示政治观点的信息
揭示宗教或哲学信仰的信息
揭示工会成员身份的信息
为唯一识别自然人而处理的遗传数据 (Genetic Data)
为唯一识别自然人而处理的生物识别数据 (Biometric Data)
关于健康的数据 (Data concerning health)
关于自然人性生活或性取向的数据
3.2 处理的严格条件
原则上禁止处理这些数据,但存在一些明确的例外情况,例如:
数据主体给出了明确同意 (Explicit Consent)。
为了履行雇佣法、社会保障法规定的义务。
为了保护数据主体或其他人的重大利益 (Vital Interests)。
由非营利机构在合法活动中处理。
数据是数据主体明显公开的。
为了建立、行使或捍卫法律主张。
基于重大的公共利益。
4. 数据处理中的核心角色
GDPR定义了数据处理活动中的两个核心角色:数据控制者和数据处理者。准确区分这两个角色对于确定各方的法律责任至关重要。
4.1 数据控制者 (Controller)
定义:单独或与他人共同决定个人数据处理的目的 (Why) 和方式 (How) 的自然人、法人、公共机构、行政机关或其他非法人组织。
- 核心特征
拥有决策权。控制者是数据处理活动的发起者和负责人。
- 判断标准
是谁决定为什么要收集这些数据?(例如,为了进行市场营销、完成订单、提供服务)
是谁决定处理哪些数据?处理多长时间?与谁共享?
- 示例
一家电商公司收集客户信息以完成订单并发货,该公司是控制者。
一家公司为其员工处理工资单,该公司是其员工数据的控制者。
两个公司合作开展联合营销活动,共同决定数据处理的目的和方式,它们是共同控制者 (Joint Controllers)。
4.2 数据处理者 (Processor)
定义:代表 (on behalf of) 控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
- 核心特征
仅根据控制者的指示行事,没有独立的决策权。
- 判断标准
它是否是为他人提供服务的第三方?
它是否只遵循控制者的书面指令来处理数据?
- 示例
为电商公司提供云存储服务的云服务商(如AWS, Azure)。
处理公司工资单的第三方会计师事务所。
代表客户群发营销邮件的电子邮件营销平台。
关键区别:控制者是“决策者”,而处理者是“执行者”。他们的关系必须通过一份具有法律约束力的合同(即“数据处理协议”DPA)来确立。
5. 处理活动 (Processing)
与“个人数据”一样,“处理”的定义也极其宽泛,几乎涵盖了对数据进行的任何操作。
5.1 GDPR的官方定义
根据GDPR第4条第(2)款的定义:
“处理”(Processing)是指对个人数据或一组个人数据进行的任何一项或一系列操作,无论是否通过自动化手段,例如:收集、记录、组织、构造、存储、改编或修改、检索、咨询、使用、通过传输、传播或以其他方式提供、排列或组合、限制、删除或销毁。
5.2 关键点解读
- 操作范围极广
从数据的创建(收集)到销毁(删除)的全生命周期内的任何行为都算作“处理”。
- 自动化与否无关
无论是通过计算机系统自动执行,还是手动进行纸质文件归档,都属于处理活动。
- 单一操作即构成处理
仅仅是“存储”数据,即使从不访问,也构成一种处理活动。
- 示例
在网站上收集用户填写的注册表单。
将员工信息存储在数据库中。
通过摄像头监控办公室入口。
分析客户购买记录以了解消费习惯。
将含有个人数据的硬盘进行物理销毁。
知识点自测选择题
请根据以上笔记内容,选择每个问题的最佳答案。
1. 关于GDPR与其前身1995年《数据保护指令》的关系,以下哪项描述是正确的?
A. GDPR完全颠覆了1995年指令的所有核心概念。
B. GDPR在很大程度上保留了1995年指令的核心概念,但进行了一些重要澄清。
C. GDPR显著缩小了个人数据的定义范围,使其更加严格。
D. GDPR首次提出了“数据控制者”和“数据处理者”的概念。
2. 为什么“数据控制者”和“数据处理者”的界限在现代商业实践中变得越来越模糊?
A. 因为数据泄露事件越来越频繁。
B. 因为加密技术的使用越来越广泛。
C. 因为业务外包的普及和云服务提供商等第三方的高度自主性。
D. 因为个人数据被用于了更多的商业目的。
3. 根据GDPR,以下哪项最准确地描述了“个人数据”?
A. 仅指个人的姓名、地址和身份证号码。
B. 任何与已识别或可识别的自然人相关的信息。
C. 仅指以数字格式存储的个人信息。
D. 任何与公司或组织相关的信息。
4. 在判断“任何信息 (Any Information)”这一要素时,以下哪项是不需要考虑的?
A. 信息的格式(如文本、图片或声音)。
B. 信息的真实性(信息是否准确无误)。
C. 信息的内容是客观事实还是主观评价。
D. 以上都需要考虑。
5. 某购物网站收集了一名用户的浏览历史,目的是为了向其推荐可能感兴趣的商品。这些浏览历史被视为与该用户“相关”的个人数据,这主要符合以下哪个判断维度?
A. 内容 (Content):浏览历史直接描述了用户的身份。
B. 目的 (Purpose):处理这些信息的目的是为了评估和影响该用户。
C. 结果 (Result):用户的信用评分会因此降低。
D. 以上都不符合。
6. 一个数据集中只包含某个大城市所有居民的邮政编码,没有其他任何信息。在通常情况下,这是否构成个人数据?
A. 是,因为邮政编码是位置数据。
B. 否,因为仅凭一个大城市的邮政编码无法合理地识别出具体个人。
C. 是,任何与地理位置有关的数据都自动成为个人数据。
D. 否,因为它不包含任何姓名或ID号码。
7. GDPR主要保护以下哪一类主体的相关数据?
A. 在世的自然人。
B. 已故的自然人。
C. 公司和法人组织。
D. 政府机构。
8. 根据GDPR,以下哪项不属于“线上标识符”(Online Identifier)的例子?
A. 网站的Cookie ID。
B. 用户的家庭住址。
C. 移动设备的广告ID (如IDFA)。
D. 动态IP地址。
9. 一家医院收集了病人的病历信息。这些信息属于以下哪一类数据?
A. 普通个人数据。
B. 匿名数据。
C. 特殊类型个人数据。
D. 公开数据。
10. 处理特殊类型个人数据的默认规则是什么?
A. 默认允许处理,除非有特殊禁令。
B. 必须获得数据主体的书面同意才能处理。
C. 原则上禁止处理,除非满足特定的合法例外条件。
D. 只要进行了匿名化处理就可以自由使用。
11. 一家服装零售公司决定收集顾客的邮箱地址以发送促销邮件。该公司聘请了一家邮件营销服务商来实际发送这些邮件。在这个场景中,服装零售公司扮演什么角色?
A. 数据处理者 (Processor)
B. 数据主体 (Data Subject)
C. 数据控制者 (Controller)
D. 共同控制者 (Joint Controller)
12. 在上一个问题的情景中,邮件营销服务商扮演什么角色?
A. 数据处理者 (Processor)
B. 数据主体 (Data Subject)
C. 数据控制者 (Controller)
D. 数据保护官 (DPO)
13. 区分“数据控制者”和“数据处理者”的核心标准是什么?
A. 谁拥有数据的所有权。
B. 谁对数据处理的目的和方式拥有决策权。
C. 谁的技术能力更强。
D. 谁是数据的最终使用者。
14. 根据GDPR对“处理”(Processing) 的定义,以下哪项活动不属于处理?
A. 在服务器上存储客户数据库,但从不访问。
B. 手动将一份包含个人信息的纸质文件归档到文件柜中。
C. 仅仅是查看屏幕上显示的个人数据。
D. 以上所有活动都属于处理。
15. 以下哪项不属于特殊类型个人数据?
A. 某个人的工会成员身份。
B. 某个人的银行账户余额。
C. 某个人的宗教信仰。
D. 某个人的遗传数据。