在过去的几十年中，互联网变得更加社交化，使得公司和用户之间的沟通变得更加容易。同时，由于公共共享的个人数据量巨大，许多情况下“隐私”一词被低估。用户正在动态地参与到网络内容的生产中，他们经常参与到一场“游戏”中，其中他们的个人信息成为了真正的产品。一个用户不理解他的个人信息是可以公开分享且无需特殊保护的信息，这种情况并不少见。

最近，欧盟更新了个人数据保护领域的规则。历史上，数据保护指令（指令95/46/EC）规范了欧盟内部个人数据的处理。然而，在2016年4月，经过20年后，欧洲议会批准了一项名为GDPR（通用数据保护条例）的新法律。GDPR为现有指令提供了重要的更新，但也将具有更广泛的范围，并为数据控制器和数据处理器带来一些新的要求。它将从2018年5月25日起适用，届时所有在欧盟运营的公司，无论其所在地如何，都应遵守。

我们将发布一系列文章，介绍个人数据保护的重要性，并提供新法规对处理个人数据的业务影响概述。让我们首先分析法规的适用范围：我们将分解“个人信息”和此类数据的“处理”定义，涉及的相关方和地域范围。

个人信息及其处理

1.什么是“个人信息”？

法规已经给出了个人信息定义：第四条（1）：“‘个人信息’是指任何与已识别或可识别的自然人（‘数据主体’）相关的信息；可识别的自然人是指通过参考标识符（如姓名、身份证号码、位置数据、在线标识符或一个或多个特定于该自然人的身体、生理、遗传、精神、经济、文化或社会身份的因素）直接或间接地可被识别的自然人。”。

定义主要基于《指令95/46/EC》（仍然有效），有意定义得较宽泛，以更好地保护个人。事实上：- “任何信息”的表述已经呼吁对声明进行广泛的解释。

从信息的性质来看，它涵盖了有关个人的任何陈述：“客观”信息（如血型）或“主观”信息（如意见或评估），无论其真实性如何。它甚至可能是错误的（这就是为什么条例为我们提供了纠正权）。

在内容上，它包括与个人相关的所有内容：也包括家庭生活、工作关系、经济或社会行为。

考虑到包含该信息的数据格式或媒介，定义是技术中立的：它可能包括以任何形式存在的任何信息，无论是字母、数字、图形、摄影还是声音，当然，也可以是计算机内存中通过二进制代码存储的信息，或者录像带上的信息。另一方面，信息不必包含在结构化数据库或文件中，才被认为是个人数据。

此外，电子文档中包含的免费文本信息也可以被认定为个人数据，前提是满足个人数据定义中的其他标准。例如，电子邮件可以包含“个人数据”。

还应特别提及生物识别数据（即指纹、视网膜模式、面部结构、声音，但还包括手几何形状、静脉模式，甚至某些深深植根的技能或其他行为特征，如手写签名、按键、特定的走路或说话方式）。生物识别数据的一个特点是，它们可以被视为特定个人信息的组成部分，也可以作为将一条信息与个人建立联系的因素（“标识符”，我们将在本文稍后更详细地讨论）。

• 个人数据必须与“自然人”相关：一般来说，当信息涉及该个人时，可以认为信息与个人“相关”。乍一看，这种情况很容易识别。然而，在某些情况下，数据传达的信息首先涉及的是对象，而不是个人。这些对象通常属于某人，或可能受到个人或特定影响，或可能与个人或其他对象保持某种物理或地理上的邻近关系。在这种情况下，只能间接地认为这些信息与这些个人或对象相关（让我们想想个人拥有的房产价值，这可能揭示该主体的财务状况）。
  
  
• “自然人”：指的是人类。与法人（即公司）相关的信息原则上不受条例的涵盖，并受其保护的条款也不适用。然而，只要此类关于法人的信息也可以根据本文中已解释的标准被视为“与”自然人相关，某些数据保护规则仍可能间接适用。
  
  
• 自然人必须是“可识别或可识别的”。识别通常是通过一些特定的信息来实现的，我们可以称之为“标识符”，这些标识符与特定个人有特别优越和紧密的关系（身高、发色）或与个人质量有关，这些质量不能立即感知（职业、职能、姓名等）。

该指令在个人数据定义中提到了“标识符”（作为一个开放列表）以及在条例中提到的“在线标识符”。实际上，根据条例，存在两种潜在的识别方式。一种是通过直接方式，另一种是通过间接方式：本声明的条款明确指出，某些标识符达到识别的程度取决于特定情况下的语境：一个人的全名是一个明显的可能标识符。一个人也可以通过其他信息被识别，包括不同识别元素的组合。

这实际上是一个大量的潜在标识符。以上面提到的在线标识符为例：这可能是cookie，因为cookie已经以多种形式和风味存在，用于多种目的，从网站分析到广告。

GDPR的第30项说明中描述了其他形式的在线标识符，其中明确指出，自然人是可以通过提供（列表并非详尽无遗）在线标识符来识别的

• 设备；
• 应用程序；
• 工具和
• 协议，例如
• IP（互联网协议）地址，
• Cookie标识符，或其他如
• 射频识别（RFID）标签（这使我们想到物联网）。

所有这些在线标识符都可以留下痕迹，当与唯一标识符和/或其他服务器接收到的信息（记住语境和汇总的重要性）结合起来时，可以用来创建数据主体的档案并识别他们。我们选择了在线标识符来展示可能标识符的广泛性，但您可以想象与其他提到的所有因素相关的潜在标识符的广泛性，这几乎与涉及数据主体的任何事物都有关。

根据您的行业和（处理）活动的领域，您需要考虑可能影响数据主体隐私的因素。此外，为了确定是否合理地可能使用手段来识别自然人，应考虑所有客观因素，例如识别的成本和时间，考虑处理时的技术水平和技术的进步。关键是要记住，如上所述的标识符被认为是个人数据，因为与唯一标识符结合可以导致识别数据主体（实际上，在线标识符，再次结合其他标识符，可以并且事实上被用于配置文件，这在GDPR中有明确提及）。

正如您在说明第34条中读到的，遗传数据显然被认为是个人数据。此外，遗传数据被认为是敏感数据，需要特殊保护。同样，个人健康数据也属于此类，包括从遗传数据中提取的信息，但比遗传数据更广泛，如GDPR的第35项说明所述，总结了属于GDPR的个人健康数据的各种形式（以及有特殊保护规则）。所以黄金规则是：语境很重要。数据组合和汇总越多，个人数据就越重要，去识别就越困难，风险和责任就越高——以及潜在的GDPR罚款和处罚。有时一个电子邮件地址就足以识别某人。有时需要结合在线和其他标识符。

最后但同样重要的是，欧盟GDPR不包括匿名数据。然而，它确实涵盖了所谓的假名化个人数据，因为假名化，在安全和分析等领域是一种常用的“策略”，可以被逆转，与匿名数据相反，可以追溯到可识别的自然人，即数据主体。然而，假名化，连同加密一样，是GDPR推荐作为“确保适当安全级别的适当技术和管理措施”的方法之一。

2. “处理”个人数据和隐私风险

在本节中，我们将简要介绍个人数据处理过程，并简要提及可能导致数据泄露的隐私风险。我们将从GDPR本身开始。

即将出台的法规在第4条中定义了“处理”（个人数据）如下：

第4条（2）：“‘处理’意味着对个人数据或个人数据集进行的任何操作或一系列操作，无论是否通过自动化手段，例如收集、记录、组织、结构化、存储、调整或更改、检索、咨询、使用、通过传输、传播或其他方式使可用、调整或组合、限制、擦除或销毁；”

为了更深入地理解处理过程，我们必须了解参与该过程的各个部分。因此，有三个方面可能参与处理过程。即“控制者”、“处理器”和“数据主体”。

1. “控制者”是指自然人、法人、公共当局、机构或其他机构，该机构单独或与他人共同决定个人数据处理的目的和手段。
2. “处理器”是指自然人、法人、公共当局、机构或其他机构，代表控制者处理个人数据。
3. “数据主体”是指特定个人数据所涉及的个人。

我们将给出两个在线服务处理个人数据的例子：一个非自动化处理例子和一个自动化处理例子。

非自动化处理例子：一个在线服务要求用户填写表格并提交其个人信息（姓名、性别、电子邮件等），以便将其存储在在线数据库中。

自动化处理例子：一个在线服务捕获用户的IP和行为，并系统地收集和存储这些信息。

因此，GDPR规范了无论是自动收集还是非自动收集、记录、存储等个人数据。但GDPR关于处理提供的定义还包括一些有趣的观点。仅举一例，我们关注“通过传输的披露”。这可以解释为开发者的功能或非功能需求。

首先，因为将处理数据的服务必须确保在不获得用户事先同意的情况下不向第三方披露任何信息。其次，因为这可能是服务功能部分设计不良的结果，例如通过HTTP上的GET请求。因此，当服务传输用户数据时，未授权的第三方可能很容易捕获用户个人数据，例如通过URL，在未加密或/和匿名化的情况下。

此外，GDPR在第5条中提供了与个人数据处理相关的原则。以下为法规提供的描述：

• 合法性、公正性和透明度：个人数据应合法、公正和透明地处理，与数据主体相关；
• 目的限制：个人数据应收集用于特定的、明确的和合法的目的，并且不得以与这些目的不兼容的方式进一步处理；
• 数据最小化：个人数据应适当、相关，并限于与其处理目的相关的必要数据；
• 准确性：个人数据应准确，并在必要时保持最新。
• 存储限制：个人数据应保持在其形式中，以便在处理个人数据的必要时间内识别数据主体；
• 完整性和保密性：个人数据应以确保适当保护个人数据的方式处理，包括防止未经授权或非法处理，以及防止意外丢失、破坏或损坏，使用适当的技术或组织措施；
• 问责制：控制者应负责，并能够证明其符合GDPR。

根据迄今为止提供的描述，可以很容易地理解个人数据是如何在数据主体的不知情下被在线服务提供商（数据控制器/处理器）处理的。事实上，用户和在线服务提供商之间有许多不同的个人数据共享模型场景。例如，一个用户在同意的情况下将其数据与在线服务提供商共享，以便可以使用其服务。在这种场景中，常见的问题是服务可能要求比实际所需更多的数据，而服务实际上并不需要这些数据。这正是GDPR要求数据最小化的实际点。

另一种不同的个人数据共享模型场景可能是以下情况：一个服务不要求用户提交任何个人数据，但与此同时，该服务通过自动收集可以用来去匿名化或跟踪用户的数据来对用户进行画像，例如出于广告或营销目的。因此，今天，用户可能在不经其同意的情况下被在线服务“监视”和画像，原因有很多。

上述场景也要求用户同意（根据GDPR）服务提供商对其个人数据处理，包括它收集哪些数据、为何收集、如何处理、如何保护、如何转移以及存储多长时间，并在收集任何信息之前进行。

在接下来的文章中，我们将分析个人数据处理的地域范围和法律依据，并解释“敏感个人数据”类别。

法律免责声明 本文章包含关于法律事务的一般信息。信息仅供参考，不构成任何法律建议。您不应将本文章的信息作为替代律师或其他专业法律服务机构法律建议的依据。如果您对任何法律问题有具体疑问，应咨询您的律师或其他专业法律服务机构。您在任何情况下都不得因本网站的信息而延迟寻求法律建议、忽视法律建议或开始或停止任何法律行动。

作者：Alberto Nutricati https://volunteers.joomla.org/joomlers/2349-alberto-nutricati

Achilleas Papageorgiou https://volunteers.joomla.org/joomlers/2399-achilleas-papageorgiou