pitrou
(Antoine Pitrou)
1
您好,
在一个公共的 Discourse 实例上,一名用户最近请求删除其用户账户,版主通过使用 Discourse 的匿名化功能进行了回复。
然而,我很快注意到,新分配的用户 ID 可以在高级搜索表单中使用,以查找该发帖人的所有过往消息。这类帖子很容易包含有助于识别用户并将其在线活动与“匿名化”账户与其现实生活联系起来的数据(例如姓氏、年龄、居住地提及……)。
这会造成一个问题,因为它未能满足这些发帖人保护其隐私权的要求。他们甚至可能认为他们的要求得到了满足,而实际上信息仍然存在,并且其他人很容易发现。此外,也许他们在使用该账户时还是未成年人,这会造成额外的问题。
虽然我不是律师,但这至少在某些欧洲国家的法律下是不合规的——包括我认为我作为法国公民(对于阅读此文本的法语使用者,这里是我们官方数据隐私保护机构的专用页面链接:https://www.cnil.fr/fr/comprendre-mes-droits/le-droit-leffacement-supprimer-vos-donnees-en-ligne)所居住的国家。普遍认为,删除用户数据确实意味着*删除*任何可能有助于识别用户的*数据*(不一定是完整的官方姓名或明确的标识符:任何提及个人特征的内容,无论多么不精确,都足够了)。
考虑到您可能不希望管理员和版主浏览请求匿名化的用户的过往所有发帖历史,并手动清除这些帖子内容中任何可能包含个人信息的内容,我认为唯一合理的解决方案是物理删除该用户的所有帖子以及后续帖子中对其的任何引用。
此外,如果担心这会扰乱过往的讨论,也许您想为用户和版主提供两个选项:浅层匿名化(当前行为)和完全删除(如上所述)。
附言: 我不会提供原始 Discourse 实例的链接,因为这只会冒着公开某位要求被遗忘的人的风险。当然,我可以私下发送给 Discourse 的维护者。
piffy
2
有一个完全擦除账户的选项。你只需要删除所有帖子,然后删除账户。
此外,如果你想保留帖子但不想与特定用户关联,你可以匿名化该账户,然后将其与系统账户或其他可以作为所有匿名用户占位符的账户合并。
注意:该警告只是一个可以被覆盖的设置。
Heliosurge
(Dan DeMontmorency)
3
Discourse 确实有一个可以使用的选项。
合并账户
只需将每个新匿名账户与每个新匿名账户合并。
当然,完全删除或设置一组关键字可能有助于移除可能的标识符。但上述方法会使使用消息链更加困难。
另一个也许可以提出的功能请求是,让 Anonymize(匿名化)功能将匿名用户个人资料设置为私有。这样用户个人资料将不可见。
我也不是律师,但对 GDPR 合规的基本理解(非国家特定)是,可以通过执行一项政策来维持,即不发布任何个人身份信息在论坛帖子中。
这确实需要积极监控来维持,但只要这样做,匿名功能实际上就不需要来满足 GDPR。用户账户可以被永久暂停,只要他们的用户 ID 名称和卡不识别他们,那么就没有维护个人数据。(编辑:公开视图中没有个人数据,但数据库仍然有电子邮件+IP地址,除非账户被匿名化)。
如果论坛管理员不自愿满足所有要求,这可能是一个挑战,那么唯一能做的就是举报他们,可能会有监管机构发出引用或电话来强制执行合规。
编辑:账户确实需要被匿名化,才能从数据库中清除 IP 地址/电子邮件,这对于 GDPR 很重要,但这些信息永远不会像用户名那样被系统公开显示,而用户名可能是合法的可识别姓名。
此外,一旦某些内容在公共互联网上发布超过两个月,就可能制作公共或非公共的存档,因此仅仅删除原始的讨论帖子并不能改变这一点。如果人们希望匿名或能够完全匿名化账户,那么在论坛帖子中注意不要分享个人信息非常重要。
Jagster
(Jakke Flemming)
5
您的句子应继续为:…that is collected by system.
包括法国,因为那是欧盟层面的事务,而不是国家层面的。
pitrou
(Antoine Pitrou)
6
就我个人而言,这与任何真实论坛的实际发帖模式不符。即使在相对非个人化的环境中(例如开源社区),有些人仍然偶尔会发布个人信息,这些信息在用户名匿名化后,可能或多或少地帮助读者识别他们。
换句话说,我认为你所描述的那种论坛实际上并不存在。
谢谢你提供这个信息。我不是版主,但我会转达这些信息。
正如您所指出的,这些法律有多种解释。
Discourse 提供了多种选项,论坛管理员可以自行决定如何执行他们对法律的解释。
我们有多个客户在其站点上集成了 GDPR 删除请求,其中一些客户会直接删除帖子和账户,一些会进行匿名化处理。还有一些是手动处理的。
但他们如何处理是他们的决定——我们不是论坛的数据所有者——他们才是。如果他们觉得我们处理匿名化不够好(他们确实这么觉得),我们会进行处理(我们已经处理了)。
如果您觉得您所谈论的站点的匿名化处理不够充分,最好直接与他们沟通。
thoka
(Thomas Kalka)
8
嗯。让网站维护者负责个人在论坛对话网中交织的痕迹,感觉很奇怪。
我不知道“IOW”是什么意思,但我确实在美国的一个论坛上看到过这种做法,该论坛涉及FTC合规以及针对欧洲用户的GDPR。我身在美国,而非欧盟。
在Meta,不签名帖子是一种政策,因为用户卡充当了签名,用户可以在其中放置指向自己网站的链接和一些个人联系信息,只要这些信息仅限于用户卡,而无需发布在帖子中。
人们常常忘记这是政策,因此需要积极的版主来维持,也许这并非普遍做法,但确实存在。
pitrou
(Antoine Pitrou)
10
这很有用,谢谢!
是的,我知道 
我就是这么做的,对方建议我到 meta.discourse.org 上询问,因此才有了这个帖子 
谢谢,还有一个缩写“IME”,那个也是个谜。
我特别指的是直接的个人联系信息,这正是FTC和GDPR所监管的。
像“我住在瑞典”这样的陈述不必为了符合GDPR规定而进行审查。
HAWK
(Hawk)
13
在我看来,这表明相关论坛的管理员并未意识到可用的功能。我可以绝对肯定地告诉你,我们提供了使用 Discourse 以符合 GDPR 要求的方式所需的所有工具。他们如何选择使用这些工具是他们的自由裁量权。
Heliosurge
(Dan DeMontmorency)
14
“IME” 我认为意思是“举个例子”。
欧盟的情况很有趣,因为网站管理员有责任“阻止”不符合GDPR的欧盟IP。我可能记错了一些细节。
pitrou
(Antoine Pitrou)
17
虽然“我住在瑞典”的辨识度不够高,但“我14岁,住在瑞典这个小村庄里”可能就足够了。
据我理解,《通用数据保护条例》的定义比“直接个人联系信息”要广泛得多,法国等国在《通用数据保护条例》出台前制定的国家法律也是如此。
请参阅 What is considered personal data under the EU GDPR? - GDPR.eu
特别是这个例子:
世界上有数百万个罗伯特,但当你提到“罗伯特”这个名字时,你通常是在试图引起你面前那个人的注意。通过在名字中添加另一个数据点(在本例中是邻近性),你就有足够的信息来识别一个特定个体。这些数据点就是标识符。
Jagster
(Jakke Flemming)
18
不,一点也不是。
而且GDPR根本不是为此而设的。用户可以随意透露个人信息。
Heliosurge
(Dan DeMontmorency)
20
默认情况下,所有匿名化功能仅从数据库中删除账户的 IP 地址、电子邮件和用户名,但这并不能保证保护某人的匿名性,具体取决于他们在未经编辑的网站上发布了多少内容。
对于您描述的情况,如果网站管理员未能履行其对法国《通用数据保护条例》(GDPR) 和其他相关法律的责任,最好向法国当局报案。
。不熟悉的缩写我经常需要去谷歌搜索。