以小编个人为例,我在下载任何手机APP,或者登录任何网页的时候,几乎都懒得看弹窗中列出的条款的,那些密密麻麻的蝇头小字真的很让小编失去耐心,索性为了快速进入使用界面直接勾选“同意”选项。
当然,不否认还是有人会很细心的查看用户使用条款的,这些细心的用户,他们在使用任何APP或者其他任何需要阅读条款同意后才能使用的网页时,都会以十分仔细的态度审视条款中所列出的内容,不会轻易同意个人网络数据被随意获取。毕竟现在网络数据传播很快,一旦个人隐私数据泄露,会面临各种骚扰甚至人身、财务安全问题,烦不胜烦。
但实际生活中仍有不少人有着跟小编一样的“懒”习惯,据2019年CNCERT监测分析发现,仅在目前下载量较大的千余款移动 App 中,每款应用平均申请25项权限,其中申请了与业务无关的拨打电话权限的 App量占比超过 30%;每款应用平均收集20项个人信息和设备信息,包括社交、出行、招聘、办公、影音等;大量App存在探测其他 App或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在安全威胁。(内容来源:《2019 年上半年我国互联网网络安全态势》)
由上可知,还是有不少的企业在利用自己的为用户服务的“特权”想方设法的去收集用户的个人数据,毕竟互联网大数据时代,数据便是资源,资源多数跟金钱挂钩。但如果企业就此认为,在提供服务的过程中,个人用户很被动——即用户个人已经同意设备在使用中收集数据信息,便无权再过问数据使用方式及处理权,更无权对数据收集数量说不!那么企业就大错特错了。
想必大家都知道,最近国外的互联网科技企业不太好过,Facebook被罚了50亿美元,包括谷歌,亚马逊,苹果等在内的科技巨头都在欧盟《通用数据保护条例》(GDPR)出台后不同程度的受到了法律的约束甚至制裁。GDPR条例在第三章对数据主体的权利进行了详细的说明,并赋予了数据主体(个人)对个人数据处理的主动权利。
按照GDPR条例的规定,个人数据侵权事件中,并非是企业通过“同意”收走了个人的有效数据信息,个人就必须被动接受其结果?众所周知GDPR条例实行的主要目的是要保护个人数据隐私安全,企业收集用户个人数据必须遵守GDPR条例规定或者相关法律法规,即时用户为使用设备勾选了“同意”条款,用户也有权在个人数据被侵犯时主动行使“擦除权和被遗忘权”并有权拿起法律武器自卫,例如:
2019年8月9日消息,据路透社报道,联邦上诉法院驳回Facebook希望撤销一项集体诉讼的申请。该诉讼声称,Facebook“未经用户同意”,非法收集并存储数百万用户的生物识别数据。上诉法院的裁决,或将使Facebook需要就人脸识别技术向原告支付可能高达数十亿美元的损害赔偿。Facebook称,公司计划继续上诉。“我们使用面部识别技术一事早已公开披露,人们可以随时随地启动或禁用该功能,”一名发言人在邮件中写道。
言外之意,是用户没有选择禁用该功能,不能算是“未经用户同意”。
那么按照GDPR规定,数据主体(个人)可以使用哪些条款来维权?
首先,GDPR条例在第三章第十七条中规定个人有擦除权或被遗忘权(Right to erasure‘right to be forgotten’),GDPR第三章数据主体的权利,第17条原文如下:
1、如果能满足下列其中一项理由,则数据主体有权要求数据管理者删除有关他/她的个人资料,而数据管理者亦有义务并不无故拖延地删除有关他/她的个人资料:
(a)就收集或以其他方式处理个人资料的目的而言,已不再需要该等个人资料;
(b)根据第6条第(1)款第(a)点或第9条第(2)款第(a)点进行处理所依据的同意,如无其他法律依据进行处理,则该资料当事人有权撤回该同意;
(c)第21条第(1)款所述的资料当事人对该等处理有异议,而该等处理并无凌驾性的合法理由,或该等资料当事人对该等处理有异议;
(d)个人资料已被非法处理;
(e)必须删除个人数据,以遵守数据控制者所适用的联盟或成员国法律中的法律义务;
(f)收集的个人资料与第8条第(1)款所述的信息社会服务的提供有关。
2、如数据管理者已公开该个人资料,并根据第1段规定有义务删除该等个人资料,数据管理者应考虑到现有的技术和执行成本,采取合理步骤,包括技术措施,通知处理该个人资料的其他数据控制者、数据接收者。
由上可知,删除权是个人数据对收集目的已无必要、数据主体撤回同意、数据主体拒绝处理、个人数据被非法处理等情况下将数据完全删除的权利。而“被遗忘权”更侧重于已公开的个人数据。数据主体行使被遗忘权时,可以要求这些数据控制者删除该个人数据的任何链接、副本或复制件。且数据控制者在公开数据后负有删除义务时,有义务向其他数据控制者、数据接收者发出通知。
其次,按照GDPR的规定企业数据管理者在收集用户个人数据信息时,应遵守与个人数据有关的原则,在此企业最好不要抱着侥幸的心理,抓住用户“同意”的把柄来做文章,事实上,在处理个人数据时,“同意”并不是一个灵丹妙药,且应始终选择“同意”作为处理个人数据的最后一个选项。特别是考虑到欧洲数据保护当局已明确表示“如果数据管理者选择依赖“同意”处理任何部分(数据),他们必须做好尊重该选择的准备,并在个人撤回“同意”时停止处理该部分(数据)。此处可参考SCA上篇文章:《GDPR个人“同意”后才能收集用户信息,要怎样操作才合规?》
最后,数据管理者收集用户个人数据信息时,必须在合法的原则下进行,GDPR第二章个人数据处理原则中有6条规定,分别是“合法、公正和透明”原则、“目的限制”原则、数据最少化”原则、“准确性”原则、“储存限制”原则和“完整性和保密性原则”;第一项及第二项原则,即“责任原则”(GDPR第5条)。这些充分体现在了GDPR的具体条文中。
虽然,按照GDPR条例的主要目的是保护个人数据隐私安全,但是不可避免,数据环境下,个数据隐私保护一直是个热门话题,据2019年8月15日消息,微软修改隐私条款和相关内容,承认员工和供应商会收听Skype和Cortana的语音数据和录音,来改善微软产品和服务的语音识别、翻译、意图理解等功能。例如,在保存用户数据方面,微软在隐私条款中表示:当您与Cortana或其他使用微软语音服务的应用程序交谈时,微软会存储您的录音副本(即语音数据),这可能包括由微软员工和供应商录制的录音。
Skype服务条款中明确表示,用户的语音数据可能被微软员工或供应商记录或收集
此前Facebook、谷歌、微软、苹果、亚马逊等公司均已承认有此操作。
由此可知,保护个人隐私数据安全,个人一定要有网络安全意识,有必要在使用各种APP或网页时阅读相关条款规定,主动保护个人隐私数据。随着网络和隐私领域的相关立法和普及,企业为了更好的发展,也应遵守并学习相关法律法规。
最后,无论你是否担心,自己为了快速进入需要使用的APP界面,而随手勾选的“已阅读”、“同意”等按钮正在悄悄给自己未来的生活埋下个人数据泄露的隐患?还是很多企业还在抓着个人“习惯”在大做文章?相信通过上文您已对各自权利范围有了大致的了解,法制社会,法律是社会活动的准绳,网络时代学习、了解GDPR,对个人,对企业都有帮助。
PS:文章由SCA安全通信联盟整理,欢迎批评指正。SCA始终关注安全通信和身份认证领域,为信息安全领域提供中立、专业的认证咨询服务。如对文章内容存有问题或讨论更多关于GDPR的问题,欢迎关注SCA官方微信公众号“奥航智讯”留言回复。
更多GDPR有关的内容请查看下方链接:
对GDPR数据保护官你知道多少?
