美国人解读欧盟通用数据保护条例

抨击欧盟的“一般数据保护条例”(GDPR)似乎已经成为美国活动人士在科技领域最喜欢的爱好之一。有些批评是完全有道理的。但许多关于GDPR“适得其反”或“没有抓住要点”的说法是基于误解，而不是对欧洲数据保护法的准确理解。

因此，几位美国隐私权倡导者因此提出了替代原则或规则…。实际上，其中许多自1995年以来一直是欧盟数据保护法的一部分。

GDPR是美国人无意中解释的，他们批评GDPR的陷阱，同时呼吁GDPR中的实际内容。

如果你有其他例子来说明这一点，请让我知道，这样我就可以把它们添加到这篇文章中。我可能会不时更新这篇帖子，所以请订阅提要以获得通知！

简短的说明：我写这篇文章的目的是帮助你，我的美国或其他地方的读者，更好地理解GDPR的实际内容。我非常尊重下面提到的许多人(其中一些人我认为或曾经认为是个人英雄)。我希望他们可以稍微取笑一下；-)。

1.问题不在于“数据使用”，而在于“数据收集”

斯诺登还对数据隐私当局提出了一些批评，这些当局试图加强对公司处理用户数据方式的监管。他说，欧盟的一般数据保护条例[…]。“放错了问题的位置。”

“问题不在于数据保护，问题在于数据收集，”斯诺登说。来源

爱德华·斯诺登在网络峰会上说：“我认为GDPR不是解决方案，但问题在于数据收集，而不是数据使用。它给人一种虚假的安心感觉。“。您对此有何看法？

[TIM Wu：]我认为他说得有道理，…。这就是我对GDPR的批评。它实际上并不能阻止任何人做任何事情。收集你想要的一切，…。我认为这就是问题的根源。我想他说的有道理。来源。

爱德华·斯诺登(Edward Snowden)和蒂姆·吴(Tim Wu)认为，数据使用方面的法规不足以保护人们。对于他们来说，一个好的监管应该从数据收集开始。

这就是为什么自1995年1日起，欧盟数据保护法不仅对数据的使用进行了监管，而且还对个人数据的收集进行了监管。

更具体地说，GDPR涵盖个人数据的处理。在GDPR中，处理被定义为对个人数据执行的“任何操作”。GDPR第4条第(2)款明确包括数据“收集”。

第五条第(一)款规定了“尽量减少资料”的原则，并规定必须“为特定、明确和合法的目的收集个人资料”。

如果违反这些规定收集个人数据，对侵权负有责任的公司可能被处以高达其全球年营业额4%的罚款(如果更高，则罚款2000万欧元)。当局还可以命令该公司销毁在违规情况下收集的数据-无论这些数据是否曾被使用过。

使用数据伤害人的方式太多了，以至于唯一安全的数据库就是那个从未被收集过的数据库。因此，我建议制定一项法律来阻止系统收集个人数据，而不是欧盟(在GDPR中)主要监管个人数据如何使用的方法。

要做到这一点，最有力的方法，也就是不能随心所欲地搁置一边的方法，就是要求建立系统，这样就不会收集关于个人的数据。基本原则是，如果系统的基本功能可以在没有数据的情况下执行，则必须将系统设计为不收集某些数据。提高效率显然不能被视为收集更多数据的理由。来源。

理查德·斯托尔曼(Richard Stallman)认为，如果没有必要或没有正当理由，法律必须禁止数据收集，而且系统的设计必须不收集某些数据。

这就是为什么自1995年以来，欧盟数据保护法不仅监管数据的使用，还监管个人数据的收集(见上文)。

此外，自2018年以来，GDPR扩大了这套规则，并将数据保护的原则定为“按设计”和“按默认”。

第25条明确规定，系统的设计必须有效地实现数据最小化。此外，技术和组织措施必须在默认情况下确保“只处理每个特定处理目的所需的个人数据。该义务适用于收集的个人数据的数量[…]。.“。

最后一点：理查德·斯托尔曼(Richard Stallman)认为，系统的“提高效率”绝不能成为收集个人数据的正当理由。

第五条第(1)款已经规定，个人资料必须“为特定、明确和合法的目的而收集”。因此，理查德·斯托尔曼对这一原则的解读似乎意味着，“提高效率”可能永远不会被认为是合法的。你同意吗？

欧洲对隐私权立法的做法一直是在个人同意的歌舞伎舞蹈的基础上，增加复杂性的层次，所有需要做的就是对可以收集的数据和可以存储的时间进行一些强有力的法律限制。来源

Maciej认为，将隐私立法建立在个人同意的基础上不是正确的方法，相反，法规应该对数据收集和数据保留提供强有力的法律限制。

正因如此，自1995年以来，个人同意只是容许合法收集个人资料的6个法律基础之一。GDPR第6条要求至少适用六项法律依据中的一项。在许多情况下，“同意”不被视为充分的基础(例如，在雇员与雇主的关系中)。

即使同意可能被认为是充分的，它也必须满足强有力的条件：“通过一项声明或明确的平权行动”表示同意的“自由、具体、知情和毫不含糊的指示”。(第四条第(十一)款)。

如果你认为通过勾选复选框阅读并同意服务条款就足以获得任何事情的同意，或者仅仅浏览网站就意味着接受饼干-那么你就被那些希望GDPR以微弱的个人同意为中心的歌舞伎所误导了。尽管GDPR加强了同意条件，但在线广告和跟踪行业仍在尝试复杂的cookie横幅和设置！

除非已获得明确同意，并且没有欧盟或国家法律排除同意2，或者。

除非第9条第(2)款所列的九项其他豁免中有一项适用(其中许多需要欧盟或国内法)。

根据这项原则，个人资料必须“以可识别资料当事人身份的形式保存，时间不得超过处理个人资料所需的时间”，即当资料不再需要时，必须将其销毁或匿名化。

然而，GDPR允许保留数据的时间更长，特别是出于存档、研究或统计目的--但须满足某些条件(见第5条和第89条等)。

欧盟的GDPR法规用意是好的，但并没有走得太远。它不会提供太多隐私，因为它的规则太宽松了。它们允许收集任何对系统有用的数据，而且很容易想出一种方法来使任何特定的数据对某些东西有用。

GDPR强调要求用户(在某些情况下)同意收集他们的数据，但这并没有多大用处。系统设计者已经成为制造同意的专家(乔姆斯基的话)。大多数用户在没有阅读网站条款的情况下同意了这些条款；一家要求用户交换他们的第一个孩子的公司获得了大量用户的同意。话又说回来，当一个系统对现代生活至关重要时，比如公交车和火车，用户会忽略这些条款，因为拒绝同意太痛苦了，无法考虑。

理查德·斯托尔曼(Richard Stallman)认为，欺骗用户同意收集他们的数据太容易了，也就是说，声称数据“在某种程度上是有用的”太容易了。取而代之的是，我们应该在监听甚至还没有征得同意之前就停止监听。

在个人同意是充分的法律基础的情况下(情况并不总是如此)，GDPR对有效同意所需的内容提出了强有力的法律条件(见上文)，因此不能认为欺骗人们给予同意是“容易的”。

在与合同(例如，在线服务的条款和条件)相关的情况下收集和使用数据时，只能合法处理“必要”的数据。

第6条规定，这种情况下的处理必须是“履行数据主体是当事一方的合同所必需的，或者是为了在订立合同之前应数据主体的请求采取步骤”--因此，认为数据“在某种程度上是有用的”是不够的。

无论如何，个人资料必须为“合法”及明确的目的而处理。不合法的监视必须停止，即使在获得同意或有合同的情况下也是如此。因此，真正的问题是，什么样的监视可以被认为是合法的，或者是不合法的。这不仅是一个法律问题，也是一个政治和社会问题，你的观点可能会有所不同。…。数据保护法不是在真空中存在的。

这确实是一个问题，大多数用户在没有阅读网站条款的情况下就同意了。我对这个问题了如指掌，因为我已经开始了服务条款；我没有读过。当然，服务条款可能包含一些愚蠢的东西-监控和数据权问题只是这方面的众多问题之一-问题的根源在其他地方。

斯托尔曼在这里似乎造成的另一个混乱与同意和合同有关。数据保护法和合同法是两个独立的法律体系，各有其规定。在某些情况下，这些规则堆叠在一起并彼此交互。

然而，同意或同意合同(例如，接受在线服务的条款)仅意味着可以处理履行协议(例如，提供在线服务)严格必需的数据。同意一份合同并不等同于给予“GDPR”第4条第(11)款所指的“同意”意义上的任何加工目的。合同和同意是GDPR规定的两个独立的法律基础(见上文)。

如果你有其他例子来说明这一点，或者对上面的问题或评论，请让我知道！

这篇文章的目的既不是助长一些反美情绪，也不是声称GDPR是完美的，也不是说欧洲的法律通常比美国的法律更好。我不认为那是真的。时间会告诉我们GDPR会有多有效。要评估这一点，两年时间太短了。即便如此，还有一个与GDPR本身没有直接关系的更大背景：执法行动通常很慢；欧洲仍然缺乏为民权提起诉讼的文化，也缺乏强大的非营利组织来激活与美国相当的非营利组织。美国的集体诉讼也与欧洲的司法系统相去甚远(在欧洲，他们并不被视为稻草人)。

然而，我们应该承认这样一个事实，即欧盟法律已经获得了许多关于数据保护权的基本原则。正如上面几乎所有的例子所表明的那样：虽然其意图是批评GDPR，但作者实际上呼吁的原则与GDPR及其之前的1995年指令所阐述的完全相同。

那么，为什么美国还没有制定一项同等的联邦一般数据保护立法呢？美国宪法对美国人的隐私已经有了强有力的保护。美国当局对电子通信内容和数据的访问得到了美国法院的更多保护，特别是美国最高法院最近在卡朋特案中的保护。其中一些保障措施走在了时代的前列，而另一些则让人联想到欧盟最高法院自己的判例法。然而，在美国联邦一级仍然没有相当于GDPR的数据保护法。尽管看起来，有了CCPA(也许还有其他法案)，一些州，如加利福尼亚州，正在向这个方向推进。

1973年，美国一个官方委员会提交了“记录、计算机和公民权利”报告。这份报告的标题几乎与法国1978年的数据保护法(关于计算、记录和自由)相同。同样让我印象深刻的是，本报告的建议在许多方面与GDPR有很大的相似之处(参见“摘要和建议”中的数据主体权利、主要原则和数据管制员义务的清单)。

2016年通过的GDPR重用并扩展了1995年指令的大多数基本定义和原则。对于那些好奇的人来说，欧盟指令和欧盟法规之间的区别在于，指令是一种法律，它应该给欧盟成员国一个要实现的目标，一个方向，这意味着成员国需要在本国法律中实施措施；而法规(如GDPR)是一种直接适用于所有欧盟领土的法律，因此有助于实现欧洲法律的更大协调。↩︎

例如，在法国，禁止一家公司从人身上获取DNA。同意不能凌驾于这一禁令之上。减损可用于医学研究等。请参阅法国数据保护当局关于这方面的书。↩︎