关于个人信息权利与响应,你知道多少?

简介: 自个人信息保护法实施以来,数据隐私问题越来越被个人、企业和监管部门重视。作为用户的我们,需要关注涉及我们切身利益的个人信息权利,作为数据处理者的企业,则需要积极响应个人信息主体的请求,以保障个人信息主体的权益和维护企业的良好形象。本文将探讨个人信息权利与响应的相关问题。

用户视角下的个人信息权利

首先我们来灵魂三问:

你知道什么是个人信息权利吗?

你知道个人信息权利都有哪些吗?

你知道如何行使个人信息权利吗?

部分网友对此可能略知一二,还有部分网友对此可能一无所知,我们先来看看欧洲相关法律的几个关键词:DSAR、DSR

DSAR:Data Subject Access Request,即数据主体访问请求,是一种特定类型的数据主体请求,通用的说法即访问权,GDPR第15条对其做了更具体、更精确的规定。

DSR:Data Subject Request,即数据主体请求,GDPR中规定的数据主体请求权利包括知情权、访问权、更正权、反对权、与自动化决策有关的权利、被遗忘权(又称“删除权”)、可携权和限制处理权。

我们可以看到,DSAR是DSR的子集,即DSR包括了DSAR,这是在欧洲法律法规体系下经常出现的关键词,在中国法律法规中对应的是个人信息权利请求。那么我们再翻开《个人信息保护法》来了解一番:

知情权
决定权
限制权
拒绝权
查阅权
复制权
可携带权
更正权
补充权
删除权
要求解释和说明权
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

由此可见,个人信息权利指个人对其个人信息所依法享有的知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、删除权、要求解释和说明权。

看完个保法相关法规要求,相信对于问题1、问题2你已经有了答案,那么用户该如何行使个人信息权利呢?

一般来说,行使信息权利需要关注三个方面:行使主体行使内容行使方式。个人信息权利的行使主体应为个人信息主体本人或其代理人,如儿童个人信息权利可由其监护人代为行使(其实个保法第四十九条针对死者的个人信息权利问题也做了说明,我们这里暂不讨论)。正如前文所述,个人信息权利的行使内容则包括知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、删除权、要求解释和说明权。个人对其个人信息处理的知情权与决定权并不需要个人具体行使,应由个人信息处理者在个人信息处理活动中主动保障个人的相关权利,即提供明示告知同意的方式得以实现。除这两项权利外,对于查阅权、复制权、可携带权、更正权、补充权、删除权以及解释说明权,需要由个人通过针对个人信息处理者提出请求的方式来行使。为保障个人信息主体权利请求的行使,《个人信息保护法》第五十条要求个人信息处理者应当建立便捷的受理和处理机制。如个人信息处理者拒绝或在合理期限内不答复个人行使权利的请求的,个人有权依法向人民法院提起诉讼或向履行个人信息保护职责的部门进行投诉、举报。

随着越来越多的用户开始觉醒“隐私意识”,以及监管部门对个人信息方面监管的趋严,那么难题便来到了另一端——个人信息处理者(即企业端),接下来我们来探讨一下企业视角下的个人信息权利响应这一问题。

企业视角下的个人信息权利响应

当用户向个人信息处理者(企业)行使其个人信息权利时,企业有义务给出合理、便捷的行权入口、行权路径以及响应方式,并且需要在合理期限内进行响应。对于大多数企业来说,处理用户的这一请求并及时作出响应不是一件易事,在整个行权响应的工作中,高效、合规地满足用户需求存在诸多挑战。

挑战一:验证行权主体身份难

部分企业可能通过邮箱、电话的方式提供行权入口,导致用户身份验证困难,或者通过在线表单的形式收集用户请求,可能存在误填、漏填的情况,从而导致企业无法进行有效联系用户。另外,由于工作人员的专业度问题、身份验证信息的最小化收集要求等等因素的影响,使得企业在验证行权主体身份时困难重重。

解决方案:建立自动化、标准化的身份验证机制,通过可配置化的统一的行权入口进行行权主体身份信息的收集,将帮助企业更好地进行身份验证工作。

挑战二:行权处理流程复杂

在实际的行权响应与处理工作中,往往需要合规、业务、数据、IT等多部门的同学进行协同处置,如何使得这一过程高效、顺畅的进行成为企业的一大难题。

解决方案:将整个行权处理过程以线上工作流的形式开展,通过可编排的任务节点生成完整的行权工作流,企业可随时根据不同业务需要自定义与之对应的工作流,从而使得跨部门、多人员之间的协同处置变得简单高效。

挑战三:用户数据分散,发现完整用户信息难度大

在企业中,往往存在诸多内部系统和第三方系统,用户信息同时存在与各内部应用与第三方应用中,如何找到数据主体全部信息的位置成为企业行权响应中最大的技术难题。

解决方案:个人主体行权平台需能够对接海量的第三方应用,并且支持自定义接口与内部系统进行对接,从而获取完整的用户个人数据,从而满足行权响应。

挑战四:面对删除请求,企业难以应对

当用户提出删除请求时,企业通过上一个解决方案找到了用户的完整数据,但是如何将这些用户数据进行删除且不影响业务系统的正常运行,对于企业而言是一个巨大的挑战。

解决方案:个人主体行权平台通过数据接口与各系统进行对接,将删除指令通过接口下发给各系统,由各个系统进行删除操作并将执行结果返回给个人主体行权平台,如出现无法删除、系统响应异常等情况,则可在此节点通知对应IT人员,由IT人员人工介入处理,并将最终处理结果进行记录,从而保证删除请求的真正执行。

挑战五:回复用户易于阅读的数据副本并非易事

数据以符合数据库设计的标签存储,但是对于用户来说可读性较差。例如用户的【收货地址】可能存储在数据库中被命名为字段【address1】,而用户的【账单地址】可能存储在数据库中被命名为字段【address2】,在回复用户时显然不能以【address1】、【address2】来透出,将其重命名为【收货地址】、【账单地址】很显然是必要的。

解决方案:行权响应平台在发现个人信息主体的数据时,应同时提供数据识别能力将【address1】识别为【地址】,并结合数据上下文信息将其准确识别为【收货地址】,这样在响应用户时会更加友好。

最后

数据时代下为个人提供了更多的便利,为企业带来了更多的机会,但同时也给个人带来了隐私问题,为企业带来了新的挑战。

用九智汇提供一站式数据合规平台,以科技,促合规,帮助企业解决数据合规中遇到的各种实务难题,和企业一起更好的满足用户的个人主体权利!

阅读原文:

深度分析-《数据视角下的隐私合规》

深度分析-《数据视角下的隐私合规 II》

深度分析-《数据视角下的隐私合规 III》

深度分析-EDPB个人数据泄漏通知指南摘要及合规建议

深度分析:EDPB数据主体权利-访问权指南摘要及合规建议

EDPB关于通过视频设备处理个人数据的指南摘要及合规建议

App隐私合规评估实务和要点

TikTok被罚3.5亿欧元,你应该知道以下几点

没错!非洲肯尼亚刚刚发布了3项隐私处罚

技术分享-动态脱敏

智能网联时代汽车行业数据合规挑战

隐私工程实践路径系列:PIA篇(上)

落地实践-数据分类分级实践难点

数据分类分级-敏感图片识别

深度解读-《个人信息保护合规审计管理办法(征求意见稿)》

隐私工程实践路径系列:PIA篇(下)技术助力

智能网联汽车如何做好用户告知

用九智汇分享:《数字经济合规实务》

数据分类分级-结构化数据识别与分类的算法实践

数据分类分级-隐私管理与保护

“Autosec 安全之星” 用九智汇再获殊荣!

汽车智能网联时代如何解决用户隐私问题?

数据分类分级-敏感数据识别工程实践

用九智汇参编《隐私工程白皮书》正式发布,附下载链接

喜讯!用九智汇入选IAPP中国区服务供应商

这家母公司位于中国的企业因数据问题遭到CNIL处罚!

垦丁律师事务所麻策律师一行到访用九智汇交流合作

用九智汇通过ISO 27001、ISO 27701双重认证

我撒过最多的谎:已阅读并同意相关协议

用九智汇受邀参加WELEGAL与六和律师事务所线下沙龙活动:《数据如何合规出境》

用九智汇入选《数据安全保护义务履行参考案例集》

数字水印在知识产权保护中的应用?

最新!H&M因隐私问题遭到瑞典IMY处罚

第三方SDK合规浅析

关于个人信息权利与响应,你知道多少?

相关文章
|
7月前
|
数据采集 存储 API
电子邮件号码大全违法吗
电子邮件号码大全是包含大量邮件地址的数据库,其获取途径多样,可能涉及法律问题。未经用户同意收集、使用邮件地址在许多地区属违法,如欧洲的GDPR规定。合法使用需用户明确同意,且应提供取消订阅选项。企业应确保用户知情并同意加入邮件列表,以遵循法规。AokSend提供合法的触发式邮件发送服务,支持SMTP/API接口,保证高触达。
|
Web App开发 安全
专家:警惕手机黑客冒充服务商骗取帐户信息
6月2日消息,大多数人觉得使用手机访问银行帐户的方式是比较安全的,但日前安全专家提醒用户,黑客可能会通过冒充服务商获取用户的机密信息,进而威胁用户的银行帐户安全。 据国外媒体报道,业内人士指出,虽然目前使用手机访问帐户的用户尚在少数,因此风险看上去还不是很大,但是值得注意的是,使用手机网络的用户正在迅速增加。
819 0
|
开发者
Facebook对泄露用户信息独立开发者发出警告
北京时间10月19日凌晨消息,据国外媒体报道,周一在《华尔街日报》报道Facebook一些应用软件正在共享用户的身份信息后,该网站向独立开发者发出了严厉警告。 先前有报告称,Facebook的某些应用将用户个人信息不恰当地与广告商和互联网追踪公司分享。
883 0
|
存储 安全 大数据
你的数据安全吗? 点击“同意”,你的隐私已经泄漏...
大数据为大家勾画出一幅信息通畅、高效方便快捷的美丽景象,但身后的交易市场仍处于最初粗放阶段。在大数据上升为国家战略的背景下,数据交易迎来市场和政策的双重机遇,但宽松的监管、客户对隐私的忽略,使数据市场乱象丛生。
1214 0
|
安全
多家银行手机转账现高危漏洞 ,用户资金或被非法窃取
本文讲的是多家银行手机转账现高危漏洞 ,用户资金或被非法窃取,随着智能手机的普及和移动互联网的快速扩张,国内移动支付发展迅猛,各家银行纷纷推出手机银行产品。与此同时,安全问题也不断出现,钓鱼诈骗、信息泄露、资金盗取等问题一直困扰着从业者和用户。
1801 0
|
安全 网络安全 数据安全/隐私保护