上次我亲自审查时,Discourse 主要不依赖基于同意的处理,它主要是合法利益。
特别是,为了其他参与者的利益,保留您与他人进行的对话内容具有重要的合法利益,这使得不立即删除所有账户帖子是合理的。
7 个赞
免责声明:我可能会忽略 Discourse 方面的一些内容。
保存对话内容的重大利益相关
实际上,我看不出有任何“超过”用户意愿的有效利益,如果用户希望如此,他们应该拥有清晰的记录。我们需要在宪法、平台利益和用户的隐私权之间进行权衡。
这份欧盟文件也讨论了 GDPR 下的合法利益(第 4 页):
第 7 条 [第 6 条?] 要求个人数据只能在满足该条列出的六个法律依据之一的情况下进行处理。特别是,个人数据只能基于:
(a) 数据主体的明确同意;或——简而言之——处理对于:
(b) 履行与数据主体的合同;
(c) 遵守控制者承担的法律义务;
(d) 保护数据主体的重大利益;
(e) 执行一项为公众利益而进行的任务;或
(f) 控制者追求的合法利益,但需与数据主体的权利和利益进行额外的权衡测试。
我假设他们讨论的是GDPR 第 6 条,特别是第 1 款(可能是因为六和七随着时间互换了)。
只有在满足以下条件之一时,处理才合法:
(a) 数据主体已同意为其一个或多个特定目的处理其个人数据;
(b) 处理对于履行数据主体作为一方的合同是必要的,或为了在签订合同前应数据主体的要求采取措施;
(c) 处理对于遵守控制者承担的法律义务是必要的;
(d) 处理对于保护数据主体或另一自然人的重大利益是必要的;
(e) 处理对于执行一项为公众利益而进行的任务或行使赋予控制者的官方权力是必要的;
(f) 处理对于控制者或第三方追求的合法利益是必要的,除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒,特别是当数据主体是儿童时。
那么,让我们一起做一个权衡测试。我们拥有用户基本的(隐私)权利,只有在非常特殊且充分的理由或用户同意的情况下才能限制。然后,我们有 Discourse 保持对话的利益。从实际角度来看,如果用户发布了他们的照片并“删除”(在此处被假名化)他们的账户,他们将无法完全删除例如多次发布的(个人)照片。另一个方面是,其他平台很可能不会保留对话数据,而且对于大多数对话来说,没有理由保留旧的对话。如果涉及到另一种方法来成功地从帖子中删除私人信息等,并且是自动化的,我认为你可以将权衡测试放在你这边,但从那个角度来看,用户的利益超过了平台的利益。
“艺术表达或新闻表达”(第 11 页)不适用于平台上的纯粹随机内容。作者需要是(业余)艺术家或(业余)记者,并且仅适用于符合标准的个人(新闻、艺术)帖子。与公众利益(例如国家安全)和言论自由(例如政治或有争议的观点帖子)相同。
我们还应该看一下这个(第 11 页):
合法利益依据以及除同意以外的其他依据,需要进行**“必要性”测试**。这严格限制了它们各自适用的范围。[…]
尽我最大的努力,我找不到任何指向必要性的单点,仅仅说删除已删除账户的旧帖子会破坏对话(这些对话多年来几乎没有被触动过)可能不是一个有效的理由。可以争辩说,用户可以跳过被删除的帖子或根本看不到它们,而且大多数情况下,其他用户的引用会间接透露之前帖子的内容,包括引用。
更重要的是用户的删除请求,这明确使用了反对权,不仅消除了同意,而且在大多数情况下甚至消除了合法利益。
最后但同样重要的是,这是最重要的一点(第 17 页):
由于用户数据的处理最终由用户自行决定,因此重点在于数据主体同意的有效性和范围。
更普遍地说,目前用户被剥夺了 GDPR 中的删除权,而 GDPR 应该像之前引用的那样,提供一个简单的(完全)删除方法,就像你可以轻松注册一样。此外,随着删除,同意消失了,而且由于我们(至今)未能确立合法利益,这将是一种非法的 डेटा 处理(没有合法利益,没有同意)。
但斯蒂芬说过:
言论自由的范围更广。重申我之前所说的:
第 1 款和第 2 款不适用于处理是必要的情况:
- 为行使言论和信息自由权;
Recital 65 #5
然而,个人数据的进一步保留应是合法的,当其是为了行使言论和信息自由权所必需时
(这意味着即使数据主体已撤回其同意,个人数据的保留也是合法的)
并且论坛所有者可以利用这一点来保留实际的论坛帖子。
(来源:荷兰互联网律师 Arnoud Engelfriet,请参阅荷兰语文章)
5 个赞
哦,我明白了,您试图重建我的陈述。我仔细阅读了您的陈述,并进一步思考,得出的结论是,您的陈述并未涵盖个人身份信息(PII)与您的身份相同且反之亦然的特殊情况,或者与两者都需要保护的信息相关联的情况。虽然乍一看这似乎有矛盾,但这确实是可能的。
我的简短陈述涵盖了这些情况。我试图包含像《通用数据保护条例》(GDPR)和《隐私法》等法律的理解和意图。虽然我明白乍一看这可能看起来用词不当,但这更清晰地代表了事实,因此我礼貌地不同意您的评估。我可能还是错了^^
我将添加第 65 条的开头几行,重点是我强调的部分。
尤其是一个数据主体应该有权要求删除其个人数据并且不再进行处理,前提是该个人数据对于收集这些数据的目的而言不再是必需的
所以我们来看看:
- 我成为一个论坛的成员
- 我发帖是为了参与讨论
- …
- 我想删除我的个人数据
“该个人数据对于收集这些数据的目的而言不再是必需的”这句话是真的吗?
→ 不,我提交给论坛作为我帖子一部分的个人数据对于参与讨论的目的而言仍然是必需的。
我有权删除我的个人数据吗?
→ 不,因为它对于参与讨论的目的而言仍然是必需的。
一旦你不想再参与其中,你就不能改变处理的理由。
这条解释是为了这个原因而存在的。它是为了阐明这个确切的案例。
1 个赞
首先,“表达和信息自由权”在第 17(3a) 条中仅由用户行使。
《通用数据保护条例》第 17(3) 条仅规定:
“[…] 在处理“必要”的范围内不适用”
这表明我们需要进行必要性测试,并结合平衡测试。这也在《通用数据保护条例》第 6 条中定义,该条也独立适用。
这意味着如果处理是必要的,就可以进行。如上所示,这是不必要的。
“为行使表达和信息自由权而保留个人数据应是合法的”
这仅适用于服务器端、非公开日志,这些日志将作为维护安全(日志)的合法利益,并且如果用户希望保留其个人意愿的帖子、艺术或新闻表达,而当用户反对/撤回同意时,则不适用。
“这可以用于论坛所有者保留实际论坛帖子”
该法律的意图以及欧盟律师自身的解释与这一想法相矛盾。没有任何迹象表明可以这样做。甚至荷兰律师在文章下的评论也认为,当用户发布一些随机帖子时,无论其内容如何,无论是新闻/艺术性与否,都属于新闻表达。例如,1000 个表情符号帖子不属于新闻范畴,也不属于法律意义上的意见。
用户可以要求删除其姓名,没有必要保留其姓名。这将是一个过于宽泛的法律漏洞,可能被任何人滥用。因此,这不太可能是正确的解释。
在此上下文中,“用户数据”是什么意思 
提示:这与开发人员和编码人员理解“数据”一词的方式不同。
《通用数据保护条例》(GDPR) 过去不是,将来也永远不会是定义版权等一切事物的替代品。获取某人所有帖子、照片等的副本的权利并非出于版权原因,而是(在我看来是一种糟糕的方式)试图为事实上的垄断设置障碍。
该文本不受保护。我的电子邮件受保护。两者都是不同类型的数据。
1 个赞
我喜欢你引用的方式,但你忽略了一个基本方面,我想补充一下:
但是,个人数据的进一步保留在必要时应是合法的,用于行使言论和信息自由权、遵守法律义务、执行公共利益中的任务或行使控制者拥有的官方权力,理由是公共卫生领域的公共利益、公共利益的存档目的、科学或历史研究目的或统计目的,或用于建立、行使或辩护法律索赔。
仅仅继续进行之前已证明不必要的帖子对话,不属于任何合法的利益,而且该段确实表明其范围并非如此之广。
特别是,数据主体应有权要求删除其个人数据,并在不再需要这些个人数据以用于收集或以其他方式处理这些个人数据的目的时,不再处理这些个人数据,或者数据主体已撤回其同意或反对处理有关其的个人数据,或者其个人数据的处理不以其他方式符合本条例。3 这一权利尤其在数据主体作为儿童给予同意但未充分意识到处理所涉及的风险,并且后来希望删除此类个人数据,尤其是在互联网上时是相关的。4 即使不再是儿童,数据主体也应能够行使该权利 […]
所以
参与讨论的目的
既不是公共利益,也不是言论自由,也不是官方权力、公共卫生、科学或存档目的。也没有涉及法律索赔的行使或辩护。
此处写得更精确
- 法定和政府目的
- 司法和议会目的
- 机会均等或待遇均等
- 高层种族和民族多样性
- 防止或侦测非法行为
- 保护公众
- 监管要求
- 新闻、学术、艺术和文学
- 防止欺诈
- 怀疑恐怖主义融资或洗钱
- 为有特定残疾或医疗状况的个人提供支持
- 咨询
- 保护儿童和风险人群
- 保护某些个人的经济福祉
- 保险
- 职业养老金
- 政党
- 民选代表回应请求
- 向民选代表披露
- 向民选代表通报囚犯情况
- 公布法律判决
- 体育反兴奋剂
- 体育行为标准
这些都不适用于 Discourse。
特别是当帖子包含非常敏感的信息时,这些信息需要被删除,没有理由保留它们。如前所述。
正是如此。这就是GDPR。这与内容本身无关,甚至与账户删除由谁、如何处理无关。我的论坛只是另一个个人项目。GDPR甚至不适用(但当然我还是遵循它,为什么不呢)。
那是一份英国文件,不是GDPR的一部分。
我同意你的观点,如果特定的帖子包含特定的个人身份信息(PII),用户可以要求从帖子中删除特定的个人身份信息,因为在这种情况下,用户的利益将超过论坛所有者的利益,因为在保留帖子的同时删除特定的个人身份信息不会破坏对话。
2 个赞
这是英国文件,不属于 GDPR。
这是英国根据《通用数据保护条例》第 65 条的规定对“公共利益”的解读。
有关于此的判例法。
第一个案例是关于一名男子向他的前伴侣发送枪支表情符号。她感到死亡威胁并对他提起了诉讼。法院作出了有利于她的裁决。
在第二个案例中,以色列小法院在 Dahan v. Haim 案中裁定“表情符号可以证明房东/租户案件中的意图”,因为它在该特定案件中可以被解释,并且是否暗示了意图。更完整的阅读可以在这里找到。
与第一个案例一样,第二个案例并未判断表情符号是否属于言论自由或信息自由。这两个案例都不适用于欧盟的 GDPR 及其国际变体,在以色列的案例中,它超出了他们的管辖范围,而 GDPR 甚至不属于其中,所以是的,你已经展示了两个表情符号可以被解释的案例,但它们过于模糊,无法普遍适用于判例法,甚至不适用于 GDPR 解释中的国际法。
_
我同意你的观点,如果特定帖子包含特定的 PII,用户可以要求从帖子中删除特定的 PII,因为在这种情况下,用户的利益将超过论坛所有者的利益,因为在保留帖子的同时删除特定的 PII 不会对对话造成破坏。
很高兴我们至少部分达成一致!当用户删除其帐户时,您希望如何区分所有帖子?因此,自动删除所有内容会更简单。GDPR 还使平台有责任进行区分,并使删除过程尽可能简单——就像注册一样。单独标记单个帖子,如果它们有成千上万个,则严重违反了 GDPR 的意图,并侵犯了用户的利益。
这比我发布的判例法更不相关。(顺便说一句,你也没有将你的陈述限制在 GDPR 上,如果你发表广泛的陈述,你就会得到广泛的回应)。
对于希望跟上大量被删除帖子的讨论的人来说,情况并非如此。
不
没有人说单独标记帖子是可行的方法。有什么问题是“请在我的所有帖子中搜索并将我的地址和电话号码替换为***”?
有趣的是,GDPR 确实处理了处理者不被“过度请求”淹没的利益。
1 个赞
我的论坛只是另一个个人项目
嗯,即便如此,Discourse 也是“Civilized Discourse Construction Kit, Inc”公司旗下的一个公司。
即使你运行自己的论坛,在自己的服务器上,并且不适用 GDPR,用户的国家(或地点,视具体情况而定)的法规仍然适用。
最终别无选择。
这与内容本身无关,甚至与谁来处理账户删除无关,如何处理也无关。
如上所示,这很重要。如果适用 GDPR,你必须证明 a) 有兴趣或同意 b) 必要或合法利益 c) 保存或处理信息的目的。如果你没有同意,也没有合法利益,或者超出目的范围使用,你将面临法律风险,因为你实际上是在违法。
几乎所有法律的意图都非常明确,你仍然必须遵守。无论你是否喜欢。我的意思是,你可以承担法律风险或合规风险,一些公司和个人会在他们的风险评估中这样做,但这很可能会让你付出金钱或自由(在一定时间内)。你的选择^^
比我发布的判例更不相关。
那么,您认为像英国政府(它部分地 1:1 复制了 GDPR)这样的国际机构的法律解释,并且仍在应用它,在您看来是“不相关”的吗?
因为它“不相关”,所以可以发布两个完全不相关的帖子?那么,表情符号是否构成威胁以及是否暗示了意图?这完全不能反驳我的观点。
对于那些想关注有很多帖子被删除的讨论的人来说,这并不方便。
不,仍然有许多用户通过各种引用间接显示内容,并且平台的利益不应超过用户的隐私利益。权衡测试和必要性测试(请阅读上面的内容,特别是欧盟文件)。
“请在我的所有帖子中搜索并将我的地址和电话号码替换为 ***”有什么问题?
因为它违反了 GDPR 的意图,并且您作为管理员不想这样做。您不想花费两个小时或更长时间阅读用户的所有 5000 篇帖子,无论其中是否包含 PII 或其他身份信息。所以,要么尽可能简单地处理,这是法律要求的(请阅读上面的内容),要么做得糟糕并辛苦处理……^^
有趣的是,GDPR 确实处理了处理者的利益,以防止被“过多的请求”淹没。
对任何法律的滥用在大多数情况下都受到国家立法的保护。通常,您会使用禁令来处理这种情况。它们可以使您免除处理此类恶意请求的责任。
另外,还有一个小小的补充:我们这里讨论的不仅仅是明显的个人身份信息(PII)或身份信息,即使它间接指向PII或身份信息,你也必须将其删除,所以不仅仅是电话号码或发布的照片上的人脸。间接关联也必须删除,因为《通用数据保护条例》(GDPR)也适用于它们。
这是正确的。如果欧盟以外的任何国家复制了欧盟的法规并添加了自己的法律解释,那么对于(欧盟法规的)解释来说,这是无关紧要的。原因是这种解释是在(第三国的法律体系)的背景下做出的,而不是在欧盟的背景下。此外,这还可能导致在这样的讨论中不合理地断章取义。
用户有责任指出这些。不能合理地期望论坛所有者做出这种解释,因为他们无法做到。他们可能不知道所有可以指向我身份的引用。此外,这种间接的PII不限于用户发布的帖子,例如,如果你在这里发布我的家庭住址,那么我可以要求删除。但我不能问Meta管理员“嘿,伙计们,把我的家庭住址从所有帖子中删除”。他们会要求我a)指出具体的帖子,或者b)给我我的家庭住址并执行搜索和替换。
发出搜索和替换命令不需要“阅读所有帖子”。
3 个赞
那么,我们说的是哪个?GDPR 还是例如加利福尼亚州?因为 GDPR 在这个话题上经常被提及。
不,不是这样的。
这并不难。GDPR 保护我免受 CDCK 的侵害,使他们不能随意处理我的个人数据/信息。GDPR 不关心我在这里写了什么。这是完全不同的情况。
真的,就是这么简单。即使在德国也是如此。
不。
3 个赞
用户有责任指出这些。
不。GDPR 要求处理者/收集者跟踪收集到的数据。这实际上是 GDPR 的意图。
他们可能不知道所有可以指向我身份的引用。
正是如此,这也是我指出的问题。
搜索和替换仅适用于已知链接和逐字内容,但作为符合 GDPR 的提供商,您还必须确保删除间接链接。当用户提出异议或撤销同意时。
这对于(对)欧盟法规(的解释)无关紧要。
我不同意,首先,(国际)法律不是这样运作的,其次,这表明英国政府(在 GDPR 法规下)是如何解释 GDPR 的这一方面的。此外,英国有兴趣使国家立法与国际立法协调一致。这就是为什么阅读他们如何解释它很有趣,而且他们像其他国家及其机构一样这样做了。
GDPR 经常在这个话题上弹出
我的意思是,这可能有原因,即使有些人可能不愿意看到它。
此时我们正在讨论 GDPR。正式来说,GDPR 是国际法的一部分,而不是成员国的国内立法。它适用于 GDPR 适用的用户,例如平台上的德国人。为此,请查阅 GDPR 第 1-3 条,即地域范围、事项范围。您的“私人版块”将受 GDPR 第 2(2) 条的管辖(参见 gdpr-info[.]eu/art-[n]-gdpr)。
GDPR 第 1 条使意图更加清晰:
(1) 本法规规定了与自然人个人数据处理相关的规则,以及与个人数据自由流动相关的规则。
(2) 本法规保护自然人的基本权利和自由,特别是保护个人数据的权利。
(3) 出于保护自然人个人数据处理的理由,不得限制或禁止欧盟内个人数据的自由流动。
GDPR 保护我免受 CDCK […] GDPR 不关心我在这里写了什么
现在你有第二次猜测的机会。
其他国家和国际立法:
如果您查看《加州消费者隐私法》(CCPA),其中有许多其他例外情况等。但他们确保尽可能贴近 GDPR。但这“仅仅”是州立法。
您需要查看 欧盟-美国数据隐私框架,该框架是多年前被宣布无效的欧盟隐私盾的继承者。它明确引用了 REGULATION (EU) 2016/679(第 1 页 (1))作为基础。请查看第 6 页的 2.2.3(20) 和 (22) 部分,我们再次看到选择原则,以及之前阐述的必要性、目的和有限保留时间范围。
不。
虽然我不知道您推理的背景,但我不同意,因为我阅读和链接的文档表明恰恰相反。
祝好
/E:我不得不删除我的其他链接,因为“新会员每帖只能链接两次”。为什么呢……
/E1:现在我什么都不能发了^^
如果有人想看看我是否正确阅读了欧盟-美国数据隐私框架,请看这里 katten[.]com/key-principles-and-considerations-for-participation-in-the-eu-us-data-privacy-framework
有关 CCPA,请查阅 oag.ca[.]gov/privacy/ccp
在重新阅读了所有法律后,我得出的结论是我的论证可能是正确的。我可能仍然是错的,请随时反驳我的中心论点。例如,通过指出与此相反的判例法或相应法律中与我的评估相矛盾的部分。
我们在 Discourse 上,所以我认为我们可以讨论这个问题。希望我们都能更深入地了解保护我们的法律,从而使 Discourse 变得更好。一个好的讨论平台应该更遵守法律并更好地保护我们的隐私。
给我一个按钮即可匿名或删除我的帐户及其帖子。后者是首选。
您(Discourse)应该让用户能够管理自己的数字足迹。而不是设置障碍来希望人们继续使用他们的帐户。与众多提供按钮来在帐户内自动执行此操作的软件公司相比,论坛并没有什么特别之处。
请匿名或删除此帐户及其帖子。 谢谢。