整理人:何渊,上海交通大学数据法律研究中心执行主任,DataLaws主理人。经授权转载。
欧盟《通用数据保护条例》第5条(文末附全文)概述了数据控制者及数据处理者对个人数据的处理要求。丹麦数据保护机构Datatilsynet对Taxa公司的处罚案就如何执行GDPR第5条的数据最小化、目的限制及存储限制等原则提供了很好的指导。
案情
2018年秋天,丹麦数据保护机构对出租车公司Taxa 4x35进行了审计。调查发现,Taxa公司虽然已实施了数据保留政策,但却未能完全执行。这家位于哥本哈根的出租车预订公司Taxa在没有正当理由的情况下将约900万客户电话号码保留了五年。
具体来说,Taxa公司虽然删除了每个客户的姓名和地址,但保留了他们的电话号码。Taxa公司声称该电话号码被用作“帐号”,因此该公司有保留其合法目的。Taxa公司也承认电话号码本身不是必需的,匿名号码足以满足此目的。然而,Taxa公司的计算机系统并没有能力将电话号码转换为不会被归类为个人数据的新的唯一ID。
对此,丹麦数据保护机构表示,如果仅由于技术能力的限制使其难以遵守GDPR规定,Taxa公司也不能设置超过作为必要时间的三年的删除期限。基于此,2019年3月,丹麦数据保护机构对Taxa处以120万瑞典克朗(180,000美元)的罚款,这是丹麦基于GDPR的第一笔罚款。
丹麦数据保护机构在行政处罚决定书中认为,Taxa公司以三种方式违反了GDPR第5条:目的限制、数据最小化和存储限制。
目的限制
GDPR第5条第1款(b)项要求出于合法目的收集数据,并且在与该目的不符的事项中不得进一步处理。Taxa公司将客户的电话号码转换为“匿名”帐号时违反了该原则。Taxa公司也承认电话号码不是必需的,只需要一个与出租车数据相关的帐号即可。
这似乎与我们可以理解的“目的限制”背后的意图相反。目的限制通常是指阻止以其他方式使用个人数据,由于个人数据是个人信息,因此正是由于这种目的而保留了其价值。在这里,情况恰恰相反。Taxa公司未将电话号码视为个人数据,并且显然无意使用电话号码来联系或亲自识别单个客户。相反,它打算将其作为一种匿名方式来跟踪数据以满足业务目的。丹麦数据保护机构明确认为,无论Taxa公司打算如何处理个人数据,都必须遵循GDPR第5条规定的“目的限制”原则。
数据最小化
GDPR第5条第1款(c)项要求个人数据是充分及相关的,并且仅限于与处理目的有关的必要信息。Taxa公司辩称,它已通过删除与电话号码相关的名称来满足最小化要求,并且其系统没有技术能力将有关出租车的匿名数据从电话号码转化为唯一ID。丹麦数据保护机构认为,计算机系统创建新帐号的困难不是借口,并且毫不含糊地说,与将个人数据迁移到新的匿名数据结构相关的成本并不能证明继续使用电话号码是合理的。
储存限制
GDPR第5条第1款(e)项要求将个人数据的保存形式允许识别数据主体的时间不超过处理个人数据所必需的时间。Taxa公司有一项数据保留政策,即规定在出租车中收集的数据后两年。但是,在两年结束时,Taxa仅删除了与该游乐设施相关的名称,但保留了与该游乐设施相关的所有出租车数据(日期、起始和结束位置的GPS坐标、距离、付款),并将客户的电话号码再使用三年。
存储时间表仅在遵循时才有效。隐私专业人员需要确保保留时间表不会超过必要的时间,并且一旦时间到期,所有个人数据都将被删除或匿名化。如果未将与出租车相关的数据链接到个人数据,则可以保留该数据。确保在保留计划末尾保留的所有数据均已删除所有个人数据。
附:GDPR第5条 与个人数据处理相关的原则
1. 个人数据应:
(a) 以合法、公正、透明的方式处理与数据主体有关的(“合法性、公平性和透明性”);
(b) 为特定的、明确的、合法的目的收集,并且不符合以上目的不得以一定的方式进行进一步的处理;为公共利益、科学,或历史研究目的,或统计目的而进一步处理,按照第89条第(1)款,不应被视为不符合初始目的(“目的限制”);
(c) 充分、相关以及以该个人数据处理目的之必要为限度进行处理(“数据最小化”);
(d) 准确,必要,及时;为了个人数据被毫不延迟地处理、删除或修正的目的,必须采取一切合理的步骤确保个人数据是不精确的(“精度”);
(e) 在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;为了保护数据主体的权利和自由,依据第89条(1)予以实施本法所要求的适度的技术和组织措施,只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理,个人数据能被长时间存储(“存储限制”)。
(f) 以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”)。
2. 控制者应该负责,并能够证明符合第一项(“问责制”)。
