@
DeutschXP 在#25
简单的说,你可以存储个人数据,但你要告诉用户为什么存储,存多久,并且要随时提供下载和删除功能。
不存在什么不允许定位到具体个人,照这么说网店都别开了,下了订单没办法定位到个人,包裹寄给谁?
-----------------------------------------------------------------------------------------------------------------------------------------
这句话部分对,但对的部分不到 50%
GDPR 我只看了译文,英文太烂了,下面是个人理解
GDPR 对个人数据收集处理大致有三个重点:目的、收集、处理
收集前控制方(甲方)要告知被收集方(乙方),收集的内容和目的(这个目的很重要,下详)
当这个(些)目的属于 非 公共服务、法律规定等等之外的,就要经乙方同意才能收集,并非收集后告知
另外,目的也有最低限度相关规定,那种提几百个目的强制乙方接受也是不被认同的
收集分自动和「手动」,大致意思是例如 IP 之类数据,也属于「个人数据」,但属于服务器本身出于设备安全等等目的自动收集的,而不是程序特意收集,其他如身份、地址、电话之类则是「手动」,超出前面目的告知外的收集行为不被允许
甲方处理(我前面回复所说的「使用」)所收集的数据时,不能超出最初告知乙方的目的,这点非常重要
例如,甲方收集乙方的地址和手机号码,告知的目的仅仅是「送货需要」
如果甲方把这个电话地址用于分析乙方的购买习惯,或向乙方推送优惠信息,这就违反 GDPR 了,因为违反了「不能超出最初目的」这条——征得同意是「送货」,但使用却多了「消息推送」,属于未经同意的目的变更
又例如,如果乙方仅仅是逛网店,收藏一些关注商品,并未下单购买,这个时候也要获取乙方手机号,(我个人觉得)也不符合最低目的,不过这条我不清楚具体如何解读
我相信很多 APP 肆意获取大量权限的行为,在 GDPR 应该是不被允许的,不是一个「已告知」「可删除」就可以免责的
所以#30 才会说「告知和询问」
-----------------------------------------------------------------------------------------------------
另外,汉语中「定位」有两个意思,一个是地理位置确定,另一个是「可以具体确定到……」
香港上世纪末发布隐私条例,里面就是定义可以具体确定到某个人的数据才算隐私数据
解读一下这个定义——是参考当年香港关于隐私条例普法的宣传片理解的
例子:一位女顾客到裁缝店做衣服,量体后,裁缝就把该顾客的三围数字记在便签纸,贴在众人可见的小黑板,这就算侵犯隐私了
一个无记名三围数字不算隐私数据,因为它(只是三个两位数字)不能凭自身就「具体确定到」某个人,当然记名三围数字就完全算了
这个例子中的数据本来不算,但因为这位顾客刚刚量体完毕,裁缝就记下并「公示」,在场的所有人都可以把这些数字的意义和人完全联系起来,就算隐私数据了
网站数据也是一个特殊例子,本来非注册用户的数据(假设没有加入指纹追踪等),并不算隐私数据,因为无指纹、无 ID 的情况下,也是不能「具体确定到」某个人的,但服务器本身会自动记录 IP 和时间。有人说 IP 也不能确定到某个人啊,但网站是不能这样理解的,因为网站不能确定这是个网吧的 IP,还是手机的 IP,如果是后者,就变成「隐私数据」成立了。
就算主观上看 IP 不是具体程序记录,只是服务器行为,但对于乙方,都是甲方在收集记录,是甲方可以控制处理的隐私数据