将所收集的数据与提供的服务加以对比,有助于了解该公司是否遵循了数据最小化原则。该原则规定所收集的个人数据必须适当、相关且仅限于与处理该数据的目的密切相关的必要数据。
从需要个人数据的实体的角度看,有两种方式:一个是强制注册;另一个是企业和机构自愿选择是否分享所请求的信息。
2、优点
该措施是将数字通信中的个人数据处理的直接控制权归还给数据所有人,因此,这是强化意识和授权情况知情权的一项强有力的措施。而且,该系统也有助于解决数字服务用户对平时扩散数据缺乏留意的状况。该平台还将为人们行使访问权、为人们请求纠正或删除其个人数据提供支持。
在此情况下,各实体具有是否对其所收集和处理的个人数据实行强制性注册并向所有用户提供相关信息这两种情况。在以上两种情况下,尤其是不强制各实体进行注册的情况下,加入该平台的企业和实体将赢得更高声誉和信任。
一旦企业具备了数据政策和个人数据管理体系,用户即可直接核查该企业对个人数据的处理方式,并因此与该企业建立基于透明和信任的新型关系。
3、风险及缓解措施
最明显的风险是各企业不订购该数据管理门户,可通过上节所述的强制性措施加以解决。由于平台只显示所收集数据的类型(而非实际数据;例如门户网站将显示“生日数据”,而非具体生日信息如“1984年8月18日”),因此目前尚未出现安全问题加剧的迹象。
另一个潜在的风险是,各企业提供信息的积极性较低,因为公开信息对企业没有直接利益。因此可建立一个由指定的欧盟专家管理的控制系统,用以发布各种违规举报,确保各企业通过门户网站传达的信息与提供服务期间所收集的实际数据的一致性。
2.平衡措施2——伦理数据管理协议
1、概述
第二项平衡措施的目标与第一项类似,即增加透明度,使人们了解公、私大数据拥有者对于欧盟法律的遵守程度。但该措施并非由用户直接采取的行动,而更类似于企业、机构或任何其他出于商业、科学研究或其他原因拥有和处理大量(个人)数据的主体的自觉行为。
初步设想是设计一个可靠的欧洲认证体系,在数据保护领域进行各种企业认证。欧盟立法委员在《一般数据保护条例》(第42条)中大致论述了该项措施,研究小组已与各相关方进行了讨论,以了解该项措施的适用范围。
自愿认证须基于《一般数据保护条例》的主要原则,特别是以下原则:数据最小化;特别谨慎对待敏感数据和健康数据;尊重被遗忘的权利;数据可移植性;数据保护成为默认和规定状态。
为建立一个适用于各类企业及其所提供服务的通用体系,按照数据最小化原则确定质量标准,进行专门的“行业研究”,确定支持各项服务所需的数据类型,同时明确要求临时存储于企业服务器数据的时间跨度(数据保留延迟)以及预先规定的用途。
换言之,该设想有必要进行行业研究,以阐明如何在过程中运用欧盟标准和原则。可由国际标准化组织按照新的欧盟法规进行标准的设计。
2、优点
从客户的角度看,经过个人数据伦理管理的标准化程序认证后所获得的标识是该企业值得信赖的保证。
而私营企业想积极获得个人数据管理认证的原因是:首先,这是展示企业从事商业活动中,对法律和公民权利的尊重。第二,企业可将隐私权和数据保护作为一项资产,从而推动企业其他经济目标的完成。最直接的受益是此举可提升公司的声誉,对本企业与客户及其他企业之间的关系均有积极作用。此外,认证对于企业而言也是作为一种手段,用来定期检查其对欧盟法规的遵守情况。
3、风险及缓解措施
主要风险是各企业对该认证的参与度不高。将该项认证作为某些特定欧洲或国家投标项目的强制性标准可作为一种激励手段,改善上述状况。申请认证的企业通常重视认证过程而非最终结果,针对这一问题,应制定严格的认证流程标准,以防止认证工作流于形式。
3.平衡措施3——数据管理声明
1、概述
第三项平衡措施建立在自愿的基础上。这一设想的出发点在于,当今社会,企业的成功越来越仰仗于企业股东、客户、员工和公众的信任。为增强各利益方的信心,一些企业或愿意声明将如何收集、利用和销售商业活动中获得的个人数据。