数据主体的八项权利

数据主体的八项权利

随着组织继续收集和处理大量个人数据，数据主体权利已成为现代隐私立法的基石。这些权利旨在让个人控制自己的个人信息，并要求组织对数据处理负责。无论您的公司处理客户数据还是管理企业系统，了解数据主体权利对于保持合规性和培养利益相关者的信任都至关重要。

目前，不同地区已经出台了多项法规，包括通用数据保护条例(GDPR)在欧盟，加州消费者隐私法案（CCPA)、弗吉尼亚州消费者数据隐私法案（CDPA)、纽约金融服务部网络安全监管局 (NYDFS）、巴西的 Lei Geral de Proteção de Dados Pessoais 等。根据联合国贸易和发展会议 (UNCTAD) 的数据，137 个国家中有 194 个国家已实施立法以确保数据保护和隐私。

被遗忘的权利

GDPR 将被遗忘权或删除权定义为：“数据主体有权要求毫不拖延地删除其个人数据，并且如果数据不再需要、同意被撤回、提出异议、数据被非法处理或法律合规要求删除，则控制者必须遵守”。

这个看似简单的要求实际上相当复杂，因为组织必须首先能够在企业数据孤岛中找到所需数据，甚至将其隐藏为数据库表中的孤立对象。这时敏感数据发现工具就可以派上用场了，它简化了从孤立的企业数据库中提取所需敏感数据的过程。

整改权

GDPR 将“更正权”定义为：“数据主体有权要求控制者在不无故拖延的情况下更正与其相关的不准确个人数据。” 这项权利不仅增强了个人对个人数据的控制，还有助于组织维护数据完整性。

全面的搜索和发现能力再次成为数据处理者的必备能力，但由于整改过程也要求更新数据，因此处理者需要基于角色的访问控制来限制对敏感个人信息的特权访问。

反对权

反对权赋予个人随时要求数据处理者停止处理其个人数据的权力。即使数据处理是基于合法利益，个人也可以反对此类处理。

反对权包括选择加入和选择退出的方法，消费者可以通过这些方法表达对其数据处理方式的担忧。元数据管理和数据目录提高了控制者和数据处理者的可视性和控制力，使他们能够在多云环境中搜索数据的所有实例并将其从处理中删除。

数据最小化权利

限制处理或数据最小化的权利可确保控制者和数据处理者将个人数据的收集和处理限制在必要的范围内。此权利可确保数据收集与既定目的相关且充分。

元数据管理和数据目录可帮助管理员探索其数据环境以确认要处理的数据范围，而信息生命周期管理 (ILM) 提供数据保留策略，以确保在不再需要数据时将其清除（删除）。

数据转移权

数据主体有权以结构化、常用且机器可读的格式接收提供给控制者的个人数据。他们还有权不受阻碍地将这些数据传输给另一个控制者，前提是处理是基于同意或合同并通过自动化方式进行的。

随着组织在多云环境中存储更多数据，万维网联盟（W3C）引入了开源数据管理标准以增强互操作性。如果没有数据可移植性，个人数据就会被限制在其存储的平台上。W3C 的云原生架构通过以标准格式存储数据解决了这个问题，使其易于跨不同平台访问。

知情权

知情权确保消费者了解所收集的个人数据以及数据的处理方式，包括保留期限和任何数据共享协议的披露。

直接从个人收集个人数据的组织可以告知他们其用途。当数据来自第三方来源时，他们仍然必须通知个人。这可以通过分层、仪表板和在数据收集后一个月内及时通知（电子邮件或警报）来实现。

不被分析的权利

在人工智能和机器学习用于自动化决策的时代，这项权利可确保个人不会受到仅由自动化流程做出的、对他们有重大影响的决策的影响，例如贷款审批或信用评分。组织必须实施保障措施并在必要时提供人工干预，以减轻偏见或不公平结果的风险。

访问权

访问权是指数据处理者允许个人访问其系统中存储的个人数据。例如，个人可以提交主体权利请求 (SRR) 表格以获取有关其个人数据的信息。

这包括有关其数据如何处理、涉及的数据类别以及任何已收到其数据的第三方的信息。组织必须及时（通常在一个月内）回复此类请求，以便个人验证其数据的准确性并了解其用途。