Tag Archives: 数据

英国脱欧背景下的个人数据保障

如果您公司的供应商、母公司、子公司或者合作商在英国境内,那么您很可能存在向英国传输个人数据的情况。因此,我们强烈建议您了解英国最终脱离欧盟之后哪些行为是合法的,以确保能够继续合法传输信息和维持商业联系,不违反数据保护法或受到严重惩罚。

英国脱离欧盟之后,向英国传输个人数据的行为将被视为国际数据传输行为,因为英国将变为第三方国家(非欧盟成员,非欧洲经济区成员)。

《欧盟通用数据保护条例》(以下简称GDPR是目前全球隐私保护领域最严格的立法。就这一点而言,向欧洲经济区以外地区传输数据,意味着其安全和保障水平变低。因此,一般规则是,向欧盟以外传输数据行为只有满足以下条件方属合法

  • 接收数据方所在国家取得“充足性决定(Adequacy Decision)”:欧盟委员会分析该国隐私立法,认定能否提供充分保证符合欧盟标准,正如今年1月24日通过的对日本的充足性决定。但是,虽然英国是为保持与GDPR规定一致才修改了其国内法,欧盟数据保护委员会(EDPB,取代前第29条工作组)已经表明,现阶段英国还没有取得充足性决定,事实上,该决定的通过过程可能花费很长时间,而在此期间,无法停止向英国传输数据。
  • 应当采用合适的保障措施:即使数据接收国尚未获得充足性决定,如果能够提供合适的保障措施,仍然可以进行数据传输行为,主要措施包括:
    • 标准条款(Standard clauses:合同条款列明数据接收方必须采取适当措施保障所提供保护等级符合欧盟标准。
    • 有约束力的公司规则(Binding Corporate Rules:更为公众熟知的是其简称BCR,是指由企业集团(a group of enterprises)制定和执行的一系列有法律约束力的规则或者行为规范,为集团内的数据传输安全提供充分保障。
  • 行为规范(Codes of conduct)和认证机制:这些机制是GDPR引入的新功能。行为规范是行业自律规则。与BCR类似,但适用于商业行业协会(a business sector)而非企业集团。此外,GDPR提供了在数据保护领域(例如盖章或者贴标等)创建认证机制的可能性,作为保证符合所适用法律的一种方式。EDPB目前正在制定一系列指令协调这类情况。
  • 至少可适用一种法律减损规定:GDPR也留下了一定回旋余地,该条例规定,即使国际数据传输的接收方被认定为不安全或者未提供合适的数据传输安全保障,如果属于条例明确列出的例外情形,仍然允许进行数据传输。EDPB已经作出过警告,由于这些属于例外情形,必须进行严格解释,且只能例外适用,以确保该例外情形不会变为常规规定。

因此,尽管数据传输取决于欧盟的决定和,以及与英国有业务联系的欧洲其他国家的公司的准备和快速响应,即使在英国脱欧之时尚未达成协议,或者该协议并未包括数据保护条款,也并不意味着从欧盟向外传输个人数据完全被切断

作者:Fernando DíazRuth Benito

访问我们的网站:http://www.elzaburu.es/en

西班牙新数据保护法的九个基本问题(下)

数字权利(Digital rights

除数据保护领域外,《西班牙数据保护法》第十章有关数字权利的一系列规定在该领域专业人士中引起了争议,例如互联网的中立性,互联网通用访问,教育领域的推广,以及将被遗忘权扩展至社交媒体领域等等。

劳动相关(Labour-related

在劳动关系领域,《西班牙数据保护法》为劳动者提供充分保护,要求用人单位调整企业内部规范,增加以下内容:

  1. 使用数字设备和计量访问相应内容时,注意保护隐私
  2. 数字断连,保证工作之外的空余时间。
  3. 加强对有效视频监控和录音的监管。
  4. 地理定位系统中的劳动者隐私权。

数字继承(Digital inheritance

除另有遗嘱外,死者的继承人、利益相关人和/或委托人可以访问死者在社交网络和数字平台上的内容,并可以指示相应服务提供者对相应内容进行使用、修改、终止和移除等操作。

《西班牙新数据保护法的九个基本问题(上)》(Nine basic issues concerning the new Data Protection Act (II))

 

作者:Ruth BenitoFernando Díaz

访问我们的网站:http://www.elzaburu.es/en

公共管理机构被允许访问SIM卡数据的条件

公共管理机构访问电子数据用以确认使用被盗手机激活的SIM卡用户信息:由于并非对基本权利的严重干涉,因此非严重刑事犯罪情形下即可以允许访问。

2015年2月16日,Hernández Sierra向西班牙警察局报案称受到暴力抢劫,受害人受了伤并且钱包和手机也被盗。警察局要求电子通讯服务运营商提供2015年2月16日至27日之间使用被盗手机IMEI码激活的所有电话号码信息,以及使用该IMEI码激活的SIM对应电话号码所有者或者使用者的个人信息,包括姓氏、名字以及,必要情况下,他们的地址信息等。2015年5月5日,刑事法庭驳回警察局的上述要求。

地方检察院不服法院的驳回决定,提起上诉,并引用最高法院2010年7月26日对类似案件的一项判决。塔拉戈纳省上诉法院决定中止审理程序,回顾《刑事诉讼法》修正案(2015年10月5日颁布的关于加强程序正当和规范技术调查措施的第13/2015号组织法)相关规定,并请求欧洲法院(Court of Justice of European Union)对以下两个问题作出初步裁定

1.《欧盟基本权利宪章(第2000/C 364/01号)》第7条和第8条规定,只有犯罪行为达到一定严重程度,才能成为干涉基本权利的正当理由,此处的“严重程度”是否只考虑所涉犯罪行为最终可能判处的刑罚,还是也需要考虑犯罪行为对受害人造成的伤害程度和/或合法利益受损情况?

2.如果遵循欧洲法院2014年4月8日“Digital Rights Ireland and Other”案(案件号:C-293/12和C-594/12)判决中的做法,使用欧盟宪法原则作为严格审查指令的标准,仅依可能被判处刑罚确定犯罪行为的严重程度,那么最低标准是什么?规定至少三年以上有期徒刑的一般条款是否符合要求?

欧洲法院在其2018年10日2日的裁定(案件号:C-207/16)中对上述两个问题作出解释

在该份裁决中,欧洲法院指出按照比例原则(principle of proportionality,只有预防、调查、侦查和起诉严重刑事犯罪,才能成为严重干涉基本权利的正当理由。但是,如果对基本权利的干涉不严重的话,预防、调查、侦查和起诉一般刑事犯罪即可构成正当理由。

西班牙警察局要求访问的数据仅仅是特定时间区间内使用被盗手机激活的SIM卡所有者的身份信息。没有SIM卡通讯和位置信息,就无法确定使用该SIM卡进行通讯的日期、时间、持续时间或者通讯接收者、通讯位置、特定时间区间内与特定人的通讯频率等信息。获知上述数据并不能因此准确刻画出数据所有者的准确私人生活,所以不构成对该自然人基本权利的严重干涉。

正如《欧洲议会和理事会2002年7月12日关于个人数据处理和电子通讯中的隐私保护相关内容的指令(第2002/58/EC号)》第15(1)条第一句话所说,为预防、调查、侦查和起诉一般刑事犯罪目的,允许访问上述数据,无需达到严重犯罪级别。

因此,依照前述宪章条款,为确认使用被盗手机激活的SIM卡所有者身份目的公共管理机构访问诸如姓氏、名称、以及必要情况下的地址等数据,不构成严重干涉信息所有者基本权利,在预防、调查、侦查和起诉刑事犯罪过程中访问上述信息,不必限于为打击严重犯罪目的。

我们期望这一裁定能够改变西班牙法院抵触在预防、调查、侦查和起诉刑事犯罪过程中使用技术调查措施,在不妨碍查明案件事实的前提下,鼓励法院比较权衡各方利益。

作者:  Juan José Caselles

访问我们的网站: http://www.elzaburu.es/en

S.O.S安全漏洞事件

5月25日以来,我们每天都会收到有关顶级公司安全漏洞导致客户数据大量曝光的新闻报道。

尽管听起来不可思议,但事实上自2016年4月27日《欧洲议会和理事会关于个人数据处理和自由传输过程中保护自然人的条例》(以下简称“《GDPR条例》”)实施以来,安全漏洞事件的数量并未增加。实际上,直到现在,根据我国法律(西班牙),除公共电子通信服务提供商外,其他实体没有义务报告安全漏洞事故。现在《GDPR条例》将这一义务执行人范围扩展至存在数据处理活动的所有单位。

安全漏洞事件(security incident)是指,内部或者外部原因导致,个人数据遭到故意或过失破坏、丢失或篡改等。为避免发生此类事件,企业应当着重留意:(1)制定安全漏洞事件管理制度;(2)建立安全事件风险评估方式;以及,(3)根据安全事件特征和对数据主体造成的风险等级,判断是否应当向监管机构和数据主体报告。

依据《GDPR条例》规定,当安全事件可能对数据主体带来风险时,必须在察觉(有实际证据)安全事件发生之后72小时内通知有关监管机构。如果该安全事件可能使数据主体面临高风险时,应当在监管机构的监管下,同时通知受安全事件影响的数据主体,声明所述通知不会影响未决调查的结果,以及调查结果将在稍后阶段发布等。

此外,建立及时响应机制并努力减少安全事件的后续影响也至关重要,应当采取安全措施防止再次发生访问、篡改或者读取相关数据等情况。

只有采取预防措施才有可能有效避免实际执行上述各种法律义务。尽采取一切措施避免出现安全漏洞,防止发生未经授权读取和修改相关数据,以及制定安全事件响应流程等。

欧洲数据保护委员会(前“第29条工作组”)发布《报告安全漏洞事件指南》,对该主题下相关疑问作出解答。2018年6月19日,西班牙数据保护局也公布了《管理和报告安全漏洞事件指南》,涉及监测、管理和评估通知安全漏洞事件等方面的问题。

作者:Martín BelloCristina Espín

访问我们的网站:http://www.elzaburu.es/en

检索

Formulario de suscripcion

Sí, soy humano*

Se ha enviado un mensaje de confirmación; por favor, haga clic en el enlace de confirmación para verificar su suscripción.
El email ya esta en uso
Tienes que escribir un email
Tienes que cliquear el captcha
El captcha no es correcto

点击收听我们的电台节目

Archivo