A személyes adatok vagy a DCP (általában "személyes adatok") megfelelnek a francia jogban az azonosított természetes személyre vonatkozó bármely információnak, vagy közvetlenül vagy közvetve azonosíthatók azonosító számra vagy egy vagy több elemre hivatkozva, azt. Az adatokat védeni számos jogi eszköz, például a adatvédelmi törvény, a fájlok és szabadságjogok 1978 és általános rendelet adatvédelemre vagy RGPD (hatályon kívül helyezéséről 95/46 irányelv / EK ) a közösségi és az egyezmény n o 108 a személyes adatok védelméhez való az Európa Tanács . A francia CNIL-hez hasonlóan ma is számos ország rendelkezik a személyes adatok védelméért felelős hatóságokkal , amelyek gyakran független közigazgatási hatóságok (vagy megfelelőik), amelyek felelősek a személyes adatok védelméről szóló törvények érvényesítéséért.
Franciaországban a törvény kimondja, hogy "mindenkinek joga van dönteni és ellenőrizni az őt érintő személyes adatok felhasználását".
Az európai GDPR-rendeletet a személyes adatok védelméről szóló, 2018. június 20-i törvény módosította a hazai jogban. Ezen túlmenően ez a törvény további küldetéseket biztosít a CNIL-nek, valamint fokozott ellenőrzési és szankcionálási hatalmat adatvédelmi kérdésekben.
A különféle, a személyes adatok védelmére vonatkozó jogszabályok alapjául szolgáló szövegekben elfogadott meghatározások alapvetően nem különböznek egymástól, de változó részletességet kínálnak.
Az Európai Unió jogaAz általános adatvédelmi rendelet 4. cikke a személyes adatokat úgy határozza meg, mint „egy azonosított vagy azonosítható természetes személyre vonatkozó bármely információ […]; "azonosítható természetes személynek" minősül, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosítóra, például névre, azonosító számra, helyadatokra, online azonosítóra, vagy egy vagy több azonosítóra hivatkozva. a fizikai, fiziológiai, genetikai, pszichológiai, gazdasági, kulturális vagy társadalmi identitás specifikusabb elemei ”. Ez a meghatározás valamivel részletesebb, mint ami a 95/46 / EK irányelv 2. cikkében szerepelt , amely meghatározta, hogy a személy azonosíthatóvá vált, "különösen azonosító számra vagy egy vagy több konkrét, konkrét elemre hivatkozva. , fiziológiai, pszichológiai, gazdasági, kulturális vagy társadalmi identitás ”.
Francia jobbAz adatvédelmi törvény 2. cikke szerint a személyes adatok "minden olyan információt tartalmaznak, amely egy azonosított természetes személyre vonatkozik, vagy aki közvetlenül vagy közvetve azonosítható egy azonosító számra vagy egy vagy több, a rá jellemző elemre hivatkozva. ”. Hozzáteszi, hogy "annak megállapításához, hogy egy személy azonosítható-e, meg kell fontolni az azonosításának lehetővé tétele érdekében minden olyan eszközt, amely rendelkezésre áll, vagy amelyhez az adatkezelő vagy bármely más személy hozzáférhet". Az átültetés során a francia jogalkotó nem pontosan ismételte az 1995-ös irányelv feltételeit, amely (26) preambulumbekezdésében hozzáteszi, hogy „annak megállapításához, hogy egy személy azonosítható-e, meg kell fontolni az összes ésszerűen megvalósítható eszközt, vagy az adatkezelő vagy egy másik személy által az említett személy azonosítására ”.
Az 1978. január 6-i eredeti adatfeldolgozási törvény és szabadságjogok inkább a „nominatív információkra” hivatkoztak, azokra, amelyek „meghatározzák az érdekelt fél profilját vagy személyiségét” (2. cikk), és „amelyek bármilyen formában lehetővé teszik közvetlenül vagy sem, azon természetes személyek azonosítása, akikre vonatkoznak ”(4. cikk).
Közösségen kívüli törvényAz Európa Tanács 108. számú egyezménye a személyes adatokat a 2. cikkében „minden azonosított vagy azonosítható természetes személyre vonatkozó információként” határozza meg.
A személyes adatok fogalmát tágan definiálják, és a nemzeti bíróságok és hatóságok széles körben alkalmazzák.
Példák a személyes adatokraA személyes adatok minden olyan információ, amely egy azonosított természetes személyre vonatkozik, vagy aki egy vagy több azonosító használatával közvetlenül vagy közvetve azonosítható. Ezek az azonosítók lehetnek közvetlenül nominatív információk, például név, keresztnév, arcfotó, de közvetetten nominatívak is, például születési dátum és hely, lakcím, e-mail cím, álnév, hivatkozási szám, ál-anonimizációs kód vagy a telefonszám, amely az adatok keresztellenőrzésével összekapcsolható az illetővel. Az IP-címet személyes adatoknak is tekintjük, legyenek azok rögzítettek vagy dinamikusak, mert az egyén valódi nevének ismerete nélkül felhasználható az interneten tanúsított viselkedésük nyomon követésére, részletes "profilok" készítésére és ezáltal személyre szabott hirdetések küldésére a böngészési szokásaik és vásárlási előzményeik.
Ezek az adatok lehetnek objektívek, például vércsoport, társadalombiztosítási vagy bankkártyaszám, vagy szubjektívek, például vélemények vagy értékelések (például az ügyfélkezelő szoftver "jegyzettömbjeiben" ) az érintettekről, amelyek nem sőt igaznak kell lenniük.
Az adatoknak nem kell strukturálódniuk vagy akár adatbázisban tárolniuk, hogy személyesek legyenek. Nem feltétlenül kell kihasználniuk annak, aki a birtokában van.
Hasonlóképpen a formátum sem releváns: lehet képek (fényképek, festmények, rajzok), videók (CCTV felvételek), hangok (hangminták), a test egy része (ujjlenyomat, retina vagy vénás).
Másrészt a személyes adatok csak egy természetes személyt érinthetnek, olyan jogi személyekre vonatkozó információk, amelyek nem tartoznak a személyes adatokra vonatkozó előírások hatálya alá. Azonban az olyan fájlok, mint a kereskedelmi és cégnyilvántartás, sok személyes adatot tartalmaznak, ideértve a vezetőkkel kapcsolatos információkat is, többek között meg kell jegyezni, hogy a személyes adatokra vonatkozó előírásokat együtt kell vizsgálni. bizonyos jogok, például a személyes adatok törlésének vagy hozzáférésének joga.
Példa az utas-nyilvántartási (PNR) adatokraAz utasnév-nyilvántartás (PNR ) adatai az együtt utazó utasok utazásának minden részletével kapcsolatos személyes adatok . A CNIL , és annak európai megfelelője a G29 , úgy, hogy a csere az adatok tagállamok közötti, valamint a felhasználásra készült ez felvet bizonyos problémák tekintetében a vonatkozó magánélet , különösen az Egyesült Államokban , amely a törvény ezeket az adatokat kevésbé védi, mint az Európai Unió jogszabályait . Az Európai Tanács 2007. novemberi kerethatározatáról szóló véleményében , amely az EU és az Egyesült Államok közötti, a júliusi, a PNR-adatok cseréjéről szóló megállapodás számos rendelkezését beépítette, a G29 kijelentette: „Az európai PNR-rendszer nem vezethet az általános megfigyelés az összes utas” . 2012 áprilisában az Európai Parlament jóváhagyta az európai légi utasokra vonatkozó információk amerikai hatóságok általi tárolását. 2016 áprilisában az Európai Parlament elfogadta az EU utasnyilvántartási adatokról szóló irányelvet.
Példa az orvosi adatokraAz orvosi adatokat, különösen azok regisztrációja során, az RGPD és az adatvédelmi törvény " érzékeny adatoknak " tekinti . Csak bizonyos esetekben gyűjthetők, jogszabályok szabályozzák, például egy kórházi beteg számítógépes orvosi aktájához . A 2003-as Babusiaux- jelentés azt javasolta, hogy névtelenítés után küldjék el őket a CPAM-nak (elsődleges egészségbiztosítási pénztárak), a kölcsönös társaságoknak és a biztosító társaságoknak . Az orvosok egy kisebb része fellázadt az orvosi dokumentumok számítógépesítése ellen, amikor a Carte Vitale életbe lépett , az orvosi titoktartás védelmének szükségességére hivatkozva . Az "egészségbiztosításról szóló törvény" (2004. augusztus 13.) előírja az Egészségügyi Adatintézet (IDS, közérdekű csoport , 2007-ben működő ) létrehozását, amelyre szintén a törvény egyszerűsítéséről és minőségének javításáról szóló 2011. évi törvény vonatkozik. ); összefogja az államot, a nemzeti egészségbiztosítási pénztárakat , a kiegészítő egészségbiztosítási szervezetek Országos Szakszervezetét és az egészségügyi szakemberek Országos Szakszervezetét, és biztosítania kell a betegség kockázatkezeléséhez használt információs rendszerek következetességét és minőségét; ez „tesz elérhetővé tagjai, a Főhatóság az Egészségügyi , regionális szakszervezetek az egészségügyi szakemberek és egyes szervek által kijelölt rendelet az Államtanács céljából a betegségek kockázatának kezelése vagy egészségügyi problémák nyilvános adatokat az információs rendszerek tagjai, az államtanács rendeletével meghatározott névtelenséget garantáló feltételek mellett, amelyet az Informatikai és Szabadságjogi Nemzeti Bizottsággal folytatott konzultációt követően hoztak ”, és éves jelentést tesz közzé.
Példa az AIDS-reFranciaországban az 1990-es évek végén Bernard Kouchner egészségügyi államtitkár javasolta az AIDS felvételét a kötelező fertőző betegségek listájába , ami a szeropozitív emberek kötelező, de anonimizált deklarálását vonja maga után . Ezt a megközelítést támogatják az AIDS ellen küzdő egyesületek , mindaddig, amíg az adatokat anonimizálták.
Jean-Baptiste Brunet, az Európai AIDS-ellenőrző Központ igazgatója is támogatja ezt az elképzelést, ellentétben a Nemzeti AIDS Tanáccsal, amely hangsúlyozza az „ egyéni szabadságjogok megsértésének kockázatát ”, valamint a „kötelező intézkedések, amelyek nincsenek közvetlenül a betegek érdeke "" a kötelezettség automatikus eszközt, illuzórikus szankciórendszert jelentene az előírások be nem tartása esetén, vagy akár a közegészségügyi törvénykönyv jogszabályi módosítását ".
1999 májusában egy rendelet előírja az AIDS kötelező bejelentését az egészségügyi felügyeletről szóló 1998. évi törvény alapján . Újabb rendelet, -tól 1999. május 6aggodalmát fejezte ki az AIDS ellen 1999 nyarán küzdő egyesületek miatt, mert a személyes adatok esetleg a megkülönböztetés kockázatával beépíthetők a Közegészségügyi Felügyeleti Intézet által végrehajtott automatizált feldolgozásba . A miniszter ezt követően bejelentette, hogy módosítják ezt a rendeletet, és a CNIL 2009 szeptemberében elhalasztja az egészségügyi felügyeleti intézet automatizált feldolgozásának végrehajtását.
Példa biometrikus adatokraA biometria „azonosítási technológiára utal, amely abból áll, hogy a morfológiai vagy viselkedési jellemzőket digitális ujjlenyomatokká alakítja át. Célja egy személy egyediségének tanúsítása testének megváltoztathatatlan és kezelhetetlen részének mérésével ”. A 2016/679 sz. Egyezmény meghatározása szerint "az egyén fizikai, fiziológiai vagy viselkedési vonatkozású sajátos technikai feldolgozásából származó személyes adatok, amelyek lehetővé teszik vagy megerősítik egyedi azonosítását, például arcképek vagy ujjlenyomat-adatok" (4. cikk (14) bekezdés) .
Használatához a szóban forgó jellemzőknek meg kell felelniük bizonyos kumulatív követelményeknek: egyedieknek, egyetemeseknek, állandónak és mérhetőeknek kell lenniük. A biometrikus azonosító vagy hitelesítő eszköz által valószínűleg használt test jellemzői különösen az ujjlenyomat , a kéz körvonala, a retina , az írisz és az ujj vénás hálózatának elemzése . vagy az arc, az arc geometriája, egészen a DNS-ig . A beiratkozás során ezekből a jellemzőkből kinyert összes biometrikus adat személyes adat.
A biometrikus adatok vannak kitéve egy sajátos, a francia jog szerint, mivel a törvény n o 2004-801 2004. augusztus 6, amely úgy tűnik, a 25. cikk Az adatvédelmi törvény, ami a kezelés előzetes engedélyével CNIL. A személyes adatok védelméről szóló általános szabályozás azokat a „személyes adatok különleges kategóriáinak” minősíti (9. cikk (1) bekezdés), amelyek kezelése elvileg tilos.
A személyes adatokat néha helytelenül „érzékeny adatoknak” nevezik, szemben az nem azonosító adatokkal, ami összetévesztéshez vezet a „személyes adatok különleges kategóriáival”, amelyeket általában „érzékeny adatoknak” neveznek. Ezért a személyes adatok "közvetlenül vagy közvetetten feltárják a személyek faji vagy etnikai származását, politikai, filozófiai vagy vallási véleményét vagy szakszervezeti tagságát, vagy ezek egészségre vagy szexuális életre vonatkoznak." (A módosított 8. cikk Adatvédelmi törvény). A rendelet kiegészíti a „genetikai adatokat” és „a biometrikus adatokat a természetes személy egyedi azonosítása céljából” (9. cikk).
A másik félrevezetés a „személyes adatok” elnevezése, különösen azért, mert a személyes adatokat nagyon jól lehet nyilvánosságra hozni anélkül, hogy elveszítenék a törvény által biztosított védelmet. Ennek ellenére egyértelműen el kell különíteni (ami nem annyira egyértelmű az angolszász országokban, ahol a személyes adatok védelme és a magánélet hasonló használata történik) a személyes adatok védelmét és a magánélet tiszteletben tartását, mivel ez utóbbi tágabb fogalom, de mindazonáltal összefüggő. A személyes adatok gyűjtése, felhasználása és feldolgozása valóban súlyosan befolyásolhatja az ember hírnevét, imázsát, érzelmi és társadalmi személyes életét vagy pszichológiáját.
Másrészt a „személyes adatok” rövidített név általános használatban van, és általánosan elfogadott.
Adatvédelem, nyilvános adatokTársadalmaink az interneten és a közösségi médián keresztül szemtanúi lehetnek a magánélet szemléletének kibővítéséről. Naponta rengeteg információt és adatot osztunk meg, néha tudatosan Facebook, Instagram vagy Twitter profiljainkon, néha önkéntelenül a nyomok által, amelyeket bizonyos webhelyekről származó sütik elfogadása hagy. Digitális profiljainkon történő információk közzétételével és megosztásával vállaljuk, hogy először megosztjuk ezen adatok tagságát a hálózatunkkal (barátainkkal, követőinkkel stb.), Majd a platformmal és minden olyan személlyel, aki hozzáfér ezekhez a profilokhoz. Ez az információ, még az egész világgal megosztva is, személyes adat marad. A személyes adatok online tőkekezelés céljából történő stratégiai nyilvánosságra hozatalának új formái semmiképpen sem jelentenek felmentést a magánéletről ; a magánéletünk védelmének szükségessége továbbra is fennáll. A társadalmi médiában többféle motiváció van az önkiadásra. A megfigyelt közösségi hálózattól függően a társadalmi tőke kezelésének több módja jelenik meg. Mindez lehetővé teszi a felhasználó online bemutatásának beállítását, egyesek lehetővé teszik a kiválasztott részletek összesítését különböző, többé-kevésbé intim szférákban. Antonio Casilli szociológus szerint a közösségi médiában a társadalmi tőke fogalma "anyagi, információs vagy érzelmi erőforrások megszerzését jelöli az IKT által közvetített kapcsolatok révén". A társadalmi tőke ezen közzététele és kezelése költségekkel jár, például a magánélet elvesztése miatt ; Az önmagad megismertetése különösen azt jelenti, hogy feláldozd magánéleted egy részét a kapcsolatok vonzása érdekében. Antonio Casilli szerint továbbra is „a megosztott adatok egyike sem privát vagy nyilvános, ez bizonyos értelemben azt a jelet jelenti, amelyet a felhasználók a környezetüknek (itt, személyes online hálózatuk tagjainak) küldenek annak érdekében, hogy visszajelzést kapjanak ( visszajelzés). ) az említett környezetről. " A magánélet akkor a több fél közötti megállapodás keresésére épül; a szereplők készek szembesülni az érdekeikkel, és adni és kapni a potenciálisan intim információk feltárása szempontjából. A bizalmas jelleg , az intimitás és a magánélet nem csupán az egyén sajátosságaitól függ, hanem kontextusossá válik, ezért kollektív konzultáció tárgyát képezi.
Azok az adatok, amelyek névtelenítése folyamatban voltak , nem minősülnek személyes adatnak. Az általános adatvédelmi rendelet (26) preambulumbekezdése szerint „nem szükséges adatvédelmi elveket alkalmazni az anonim információkra, azaz az olyan információkra, amelyek nem azonosított természetes személyre vonatkoznak vagy azonosíthatók, vagy a névtelenné tett személyes adatokra oly módon, hogy az adatok az alany nem vagy már nem azonosítható. Ezért ez a rendelet nem vonatkozik az ilyen névtelen információk feldolgozására, beleértve statisztikai vagy kutatási célokat is. ”
Meg kell különböztetni a "valóban anonimizált" adatokat és az "ál-anonimizált" adatokat ("bizalmas" hivatkozási kód használatával), amelyeket gyakran használnak olyan területeken, mint az orvosi kutatás. "Az ál-anonimizált (vagy kódolt) adatok továbbra is személyes adatok, és ezért a személyes adatokra vonatkozó előírások hatálya alá tartoznak.
Másrészt a személyes adatok gyűjtése, még akkor is, ha ezeket azonnal anonimizálják, továbbra is olyan adatfeldolgozás, amelyre az adatvédelem elvei vonatkoznak.
Az anonimizálási technikák hatékonyságát azonban néhány kutató megkérdőjelezi. Massachusetts állam dolgozóinak anonimizált orvosi adatait (kórházi látogatások, orvosi konzultációk) "azonosították" azzal, hogy keresztezték őket ugyanazon város választói névjegyzékével. A kormányzó az állam maga is újra azonosították, amely mindössze hat ember osztozik ugyanazon a születési dátum, akik közül három férfi volt, és ezek közül csak az egyik ugyanazokkal a postai irányítószám, ki összesen 54.000 lakos. És hét irányítószám. Az anonimizálás hatékonysága az információk részletességétől is függ, mert kis mintákon vagy nagyon finom, akár néhány egyedig terjedő részletesség esetén az anonimizálás nem válik érvényessé.
Nemrégiben az MIT kutatóinak tanulmánya azt mutatta, hogy négy földrajzi hely elegendő az egyének 95% -ának azonosításához egy 1,5 millió embert számláló telefonos adatbázisban .
A személyes adatok a felhasználásukból adódó potenciális gazdasági értéken keresztül a vállalat immateriális javainak részét képezik , és ezek középpontjában állnak annak, amit egyesek, többek között intézményi szinten is, „adatgazdaságnak” neveztek. Számos üzleti modell a személyes adatok felhasználásán alapul, köztük azok, amelyek ingyenes szolgáltatások nyújtásából állnak a felhasználóik által szolgáltatott adatokért cserébe, amelyeket főként a marketing személyre szabására és a viselkedési célzásra használnak .
A legutóbbi botrányok (azaz a Facebook-Cambridge Analytica ) azt is megmutatták, hogy a személyes adatokat politikai célokra használják fel annak érdekében, hogy közvetlenül vagy közvetve befolyásolják a választók politikai döntéseit a nagyobb választásokon.
Ezen túlmenően a közösségek vagy közigazgatások által előállított személyes adatok, amelyek korábban anonimizálási eljárás alá kerültek, általános érdekű célokból terjeszthetők a nyílt adatokra vonatkozó politikák keretében .
Mivel a személyes adatok információkat nyújtanak, különösen az érintett személyek személyazonosságáról, viselkedéséről, szokásairól vagy preferenciáiról, felhasználásuk ütközik az Európai Egyezmény által védett magán- és családi élet tiszteletben tartásához való joggal . alapvető szabadságjogok (8. cikk (1) bekezdés), az Európai Alapjogi Charta (7. cikk) és a Polgári Törvénykönyv (9. cikk).
Bizonyos esetekben az adatvédelmi törvény által érintett személyek számára felajánlott jogok gyakorlása konfliktusokat okoz más alapvető szabadságokkal, például a véleménynyilvánítás szabadságával vagy a tájékoztatáshoz való joggal, különösen az elfelejtéshez való jog megvalósításakor .
Google-ügyHa a személyes adatok kiszivárogása néha külső szervezetek általi feltörés eredménye, az is előfordulhat, hogy ezek önkéntesek a tulajdonosok részéről, a felhasználók megbüntetésének kockázatával. 2014 augusztusában a Google egy Gmail e-mail felhasználót jelentett a helyi hatóságoknak, miután gyermekpornográfiai fényképet küldött e-mail mellékletként. A Google azonban a használati feltételekben világosan mondja: „Automatizált rendszereink elemzik az Ön tartalmát (beleértve az e-maileket is) annak érdekében, hogy felajánlhassuk Önnek […] Ez az elemzés a küldés, fogadás és a tartalomtárolás során történik”.
Ha senki sem vitathatja ennek az akciónak az érdemét, ez a hír kiemeli a Google által végrehajtott cserék hatalmas ellenőrzését. Ez a módszer szintén ellentmond a CNIL 29. cikkének, amely kimondja, hogy: "A személyes adatokhoz való hozzáférés biztonsági célokból nem elfogadható egy demokratikus társadalomban, mivel hatalmas és feltétel nélküli. Az illetékes nemzeti hatóságok által történő adatok megőrzését, hozzáférését és felhasználását arra kell korlátozni, ami a demokratikus társadalomban feltétlenül szükséges és arányos. Jelentős és tényleges garanciáknak kell alávetni őket.
A személyes adatok automatikus feldolgozásáról szóló első törvényt a hesseni tartományi tartomány 1970- ben fogadta el . A személyes adatok védelmére vonatkozó első nemzeti törvény az 1973. május 11-i svéd Datalagen volt.
Az adatvédelmi törvény 1. cikke kimondja, hogy "mindenkinek joga van dönteni és ellenőrizni a rá vonatkozó személyes adatok felhasználását". Az ezen a területen létező különféle jogi jogi aktusok egy sor olyan alapelvet határoznak meg, amelyeket a személyes adatok kezeléséért felelős személynek tiszteletben kell tartania az érintett alapvető jogainak védelme érdekében, aki olyan jogokat élvez, amelyek lehetővé teszik számára, hogy megőrizze az ellenőrzést a személyes adatai felett. .
A személyes adatok védelmére vonatkozó francia pozitív törvény a módosított adatvédelmi törvényből áll, amely biztosítja a 95/46 / EK irányelv átültetését . 2018. május 25-én az Európai Unió egész területén hatályba lépett az általános adatvédelmi rendelet , mivel ez a közvetlen alkalmazás szabványa, amelyet nem kell átültetni. Ennek ellenére 2017. december 13-án törvényjavaslatot nyújtottak be a Miniszterek Tanácsának annak érdekében, hogy az adatvédelmi törvényt hozzá lehessen igazítani e rendelet rendelkezéseihez, különös tekintettel a számos nyitó záradék által engedélyezett nemzeti döntésekre. közösségi szöveg (az adatkezeléshez való hozzájárulás minimális kora, érzékeny adatok rendszere stb.).
Összefoglalva: a személyes adatok védelméről szóló törvény előírja, hogy az adatkezelő betartsa a következő elveket:
Az érintetteknek joguk van információkhoz, az adatok helyesbítéséhez vagy akár törléséhez (amelyet néha „elfelejtéshez való jognak” vagy „a jegyzékből való törlésnek” neveznek), hogy ellenezzék vagy korlátozzák az adatkezelést, valamint a rendelettel a igényelheti az adatok hordozhatóságát (ezt „ hordozhatósághoz való jognak ” nevezik ).
svájciAz 1992. június 19-i szövetségi adatvédelmi törvény (jelenlegi állapotában 2011. január 1 - jén ) nagyon szigorú adatvédelmet hozott létre azzal, hogy gyakorlatilag minden olyan adatkezelést megtiltott, amelyet az érintett nem kifejezetten engedélyezett. Különösen előírják, hogy:
Ezenkívül bármely magánszemély írásban kérheti a társaságot (egy iratkezelő) a rá vonatkozó adatok helyesbítését vagy törlését. A vállalatnak harminc napon belül válaszolnia kell.
Az egész rendszer egy szövetségi adatvédelmi és átláthatósági tisztviselő felügyelete alatt áll .
Kína2012 óta és az ANP Állandó Bizottságának „határozata” mellett, amely az internetről származó adatok védelmének megerősítését szorgalmazza, és a „személyes adatok” első meghatározását javasolja, az utóbbi védelmével kapcsolatos rendelkezések sok szöveget átitattak. szektorális, 2017-ig, és a kiberbiztonságról szóló törvény (CSL, 2017) megalkotása, egyfajta kerettörvény, mivel szövegek sokasága egészíti ki. Ezen alapok között: (1) elméletileg önkéntes, de a gyakorlatban nagyrészt kötelező szabvány (személyes adatok biztonsági előírása vagy „PISS”), amely meghatározza a meghozatal, a tárolás, a felhasználás, a megosztás, az átadás és a közzététel tekintetében meghozandó intézkedéseket. személyes adatok kezelése (2018. május); (2) a személyes adatok határokon átnyúló továbbítását szabályozó új rendelettervezet (2019 június).
Mindezt a jogi és szabályozási rendszert nagyrészt a GDPR ihlette. Bár a GDPR gyakran átfogóbb és pontosabb, és hogy más kiindulópontból indul ki (az egyéni jogok védelme, míg a CSL ragaszkodik a nemzetbiztonság megőrzéséhez), a két rendszer sok ponton egyetért, többek között a következőkben: 1) az adatgyűjtés előtt be kell szerezni a felhasználó hozzájárulását (a kiberbiztonságról szóló kínai törvény még „kifejezett” hozzájárulást is igényel); (2) bizonyos elvek, például a begyűjtött információk minimalizálása a kitűzött célhoz kapcsolódóan; a tárolási idő minimalizálása stb. ; (3) a felhasználók joga az adatokhoz való hozzáférésre és azok helyesbítésének vagy törlésének kérésére; (4) az adatok harmadik felekkel való megosztásának korlátozása (a PISS ezt csak akkor engedélyezi, ha „szükséges”, és feltéve, hogy a címzett képes biztosítani annak biztonságát); (5) a személyes adatok transznacionális továbbítására vonatkozó szerződéses megközelítés elfogadása.
Jelentős különbségek azonban továbbra is fennállnak. Bizonyos esetekben a kínai törvények szigorúbbnak bizonyulnak, mint a GDPR. Így: (1) a kiberbiztonságról szóló törvény a határokon átnyúló transzferekből származó nyereség legfeljebb tízszeresének büntetését szigorúbb ellenőrzés alá vonja Kínában: a felhasználónak tájékoztatást kell adnia és bele kell járulnia a kényes adatok bármilyen kimenetéhez , kockázatértékelési jelentést kell benyújtani és a hatóságoknak jóvá kell hagyniuk stb. ; (2) a személyes adatok biztonsága szempontjából a kínai korpusz sokkal előíróbb a végrehajtandó eszközök tekintetében; éves ellenőrzés és képzés, vészhelyzeti tervek kidolgozása, teljes munkaidős „adatbiztonsági tiszt” beosztás létrehozása bizonyos kritériumoknak megfelelő szervezeteknél, bármilyen biztonsági megsértés bejelentése a hatóságoknak stb. Azonban az "elfelejtéshez való jogot" Kínában nem ismerik el, és az adatok felhasználói kérésre történő törlése több feltételhez kötött (beleegyezés hiánya, illegális gyűjtés vagy felhasználás stb.). PISS ”szabvány. Ezenkívül nincs külön hatóság, amely felelős lenne a személyes adatok védelméért, annak ellenére, hogy a hálózatüzemeltetőknek és szolgáltatóknak meg kell osztaniuk az összegyűjtött adatokat felügyeleti adminisztrációikkal és közbiztonsági szerveikkel.
Hatékony csatorna hiányában, amely lehetővé teszi az állampolgárok számára jogaik érvényesítését, e törvénycsomag végrehajtása főként a kormány kezdeményezésére történik, és továbbra is nagyon tökéletlen. Az első "kampány" a kínai digitális óriásokat célozta meg: Alibaba, Tencent, Sina, Baidu stb. 2018-ban a bűnügyi és rosszindulatú magatartás (lopás, személyes adatok értékesítése) került a középpontba, a Közbiztonsági Minisztérium vezetésével. Majd 2019-ben a legnépszerűbb mobiltelefonos alkalmazásokon annak felmérésére, hogy illegálisan vagy túlzott mennyiségben gyűjtöttek-e adatokat. Pénzügyi és büntetőjogi szankciókat terveznek, de legtöbbször a vállalatokat utasítják korrekciós intézkedések végrehajtására, és egyes esetekben az alkalmazásokat offline állapotba hozzák. A végrehajtás továbbra is nagyrészt vertikális, a hatóságok kezdeményezésére. Ez a kampánylogika automatikusan változó intenzitású megvalósítást eredményez az idő múlásával, a szereplőktől és az ágazatoktól függően. A törvény ráadásul alkalmas arra, hogy az állam körülményeihez és felsőbbrendű érdekeihez igazodjon. Például: 2020 februárjában a COVID-19 járvány leküzdése érdekében a kínai kormány általánosította a Tencent és az Alibaba által kidolgozott megoldások alkalmazását a potenciálisan érintett személyek nyomon követésére. A New York Times szerint az Alibaba alkalmazása automatikusan megosztotta az adatokat a rendőrséggel, anélkül, hogy erről értesítette volna a felhasználókat.
Amerikai egyesült államokEzeket az adatokat el lehet adni, ha az érintett nem fejezi ki kifejezetten egyet nem értését. Ez a helyzet például a bérszámfejtési szoftver adataival.
A Nemzeti Informatikai és Szabadságbizottság az informatikai és szabadságjogokról szóló törvény alkalmazásáért és az egyének jogainak tiszteletben tartásáért felelős független közigazgatási hatóság. Ehhez támogatja az adatkezelőket, tájékoztatja az érintetteket jogaikról, fogadja és kivizsgálja azokat a panaszokat, amelyek szankciókhoz vezethetnek.
A digitális integritás egy kialakulóban lévő jogi fogalom, amelynek célja az adatvédelem jobb biztosítása az információs önrendelkezési jog garantálásával. Az alapjogokba bevezetve a digitális integritáshoz való jogot javasolják valamennyi digitális jog igazolására, ideértve az adatvédelmet is.
A begyűjtési módszerek különösen diverzifikálódtak a digitális technológiákkal. Ezek a módszerek terjedhetnek az információk gyűjtésétől az egyének által önként kitöltött űrlapon keresztül a nyomok rögzítéséig (böngészési szokások, a kapcsolódási cím földrajzi helye, a megkérdezett helyek, az egyénekkel vagy hálózatokkal kialakított kapcsolatok stb.).
A kizsákmányolás módjait maguk az egyének is megtehetik, információk keresésével a keresőmotoron vagy az online közösségi hálózatokon, vagy szervezetek: célzott marketing, a lakosság felsorolása államok szerint, kéretlen kereskedelmi e-mailek ( spam ) tömeges küldése stb. . A főbb webes szereplők ( Google , Amazon ) és a közösségi hálózatok ( Facebook , Twitter ) üzleti modellje nagyrészt a felhasználók személyes adatainak felhasználásán alapul.
Pierre Bellanger 2014-ben javasolja egy tulajdonjog megalkotását: a hálózatokon lévő digitális nyomának. Ez a jog feltételezné, hogy az európai állampolgároktól származó bármilyen adatgyűjtés vagy -feldolgozás megfelel az európai jognak, de ezen túlmenően ezen adatoknak az Unión kívülre történő kivitele adóköteles: „dataxe”.
Az adatvédelmi hatóságok szövetsége, az AFAPDP cáfolja egy ilyen tulajdonjog létrehozását. 2018. október 18-án a párizsi közgyűlésben ülésező egyesület megszavazza azt a határozatot, amely kimondja, hogy "a személyes adatok az emberi személy alkotó elemei, aki ezért elidegeníthetetlen jogokkal rendelkezik felettük". Ezt az állásfoglalást a CNIL javasolta .
A személyes adatok megosztása és kiszivárogtatása az adatbiztonság és a magánélet megsértése, amely súlyos következményekkel járhat az érintett személyekre nézve. Ezek azonban gyakoriak:
Elise Lucet a 202 májusában a France 2- n bemutatott dokumentumfilmben: Készpénzügyi nyomozás : "Személyes adataink aranyat érnek" rávilágítanak a franciaországi személyes adatok védelmének hibáira.
Tábornok
Műszaki szempontok
Jogi szempontok
Vélemények