重要的定義包括
“個人數據”是指與自然人(“數據主體”)相關的任何已被識別或可被識別的信息。
其中,“可識別的自然人”是指可以通過姓名、身份號碼、位置數據、在線識別碼等識別信息,或者通過與自然人的身體、生理、遺傳、心理、經濟、文化或者社會身份等特定相關的壹個或者多個因素,直接或者間接識別的個人。
判斷自然人是否可以被識別,應當考慮數據控制人或者其他人可以合理利用的所有手段。在判斷哪種方法“可能被合理使用”時,應考慮目前的現有技術、技術的發展、鑒定所需的費用和時間等所有客觀因素。
GDPR通過抽象的定義來劃定個人信息的管轄範圍,具有壹定的法律解釋空間。
屬地管轄權+屬人管轄權+保護管轄權
可見其管轄範圍之大,關系之復雜。
默認情況下,13至16歲的兒童在處理個人信息時不具備完全的認知能力,需要監護人的授權,企業才能對其個人信息進行處理。
數據處理以數據主體的“同意”為原則,數據主體有撤回同意的權利,有反對處理敏感數據、直接營銷、用戶畫像的權利,重點是保護用戶的數據。
其中,反對執行公務的權利總是可以在GPDR對數據隱私的巨大保護中看到。
目前國內還沒有成熟的數據保護法規和方案,原有的法律規定已經遠遠落後於當前國內信息產業的發展;壹方面是國情使然,另壹方面是我國在數據建設過程中壹直存在法制建設滯後的現象。
但在目前的國際背景下,我國應該很快研究出臺相關嚴格的數據保護法規。
另外,作為數據系統和應用的研究者,應該開始研究如何在類似GPDR的保護條例下,利用數據發揮其價值,這是壹個值得研究的課題。