2018 年 5 月,欧盟的《通用数据保护条例》将生效,欧盟公民将获得有关其数据的额外权利。除此之外,数据控制者(收集用户数据的组织)将承担额外的义务。
有趣的是,赋予用户的一项新权利是数据可移植性。维基百科是这样定义的:
一个人应能够将他们的个人数据从一个电子处理系统传输到另一个电子处理系统,而不受数据控制者的阻止。此外,数据必须由控制者以结构化和常用的电子格式提供。GDPR 第 18 条规定了数据可移植性的权利。法律专家在该措施的最终版本中看到了一项“新权利”,该权利“超出了第 18 条规定的两个控制者之间数据可移植性的范围”。
就本问题而言,以智能健康追踪器(例如 FitBit)为例。我能否从 FitBit 智能设备导出数据,然后将数据导入竞争对手的智能设备?
此外,如果我设计自己的与互联网同步的物联网设备,我将如何遵守此规定?
我觉得这个很难回答,问三个律师得四个答案,更何况是以后的事情。但是,我认为,并不是每个设备(在技术意义上)都需要遵守此规则。
考虑智能设备在没有外部或基于云的数据服务的情况下工作的用例,例如智能家居系统,其中物联网设备向所述家中的中央节点报告,但不上传任何内容。在这种情况下,根本就没有数据控制者。
另一方面,如果系统使用数据控制者的数据服务来收集、处理和存储用户数据(例如提到的 FitBit),则应要求它们使您能够掌握这些数据并将其与其他提供商一起使用。我认为电子处理系统不一定是您的设备(跟踪器本身),而是该提供商提供的外部数据服务。这(对我而言)还意味着您以结构化且常用的电子格式获取此数据的权利不需要第一个提供商以第二个提供商的文件格式向您提供数据,如果他们的格式是专有的且不常用. 从技术角度来看,我们希望有一个通用 API 来允许这种数据交换,但我敢说,我们将不得不等待一段时间以及相当多有争议的法院判决。
此外,如果我设计自己的与互联网同步的物联网设备,我将如何遵守此规定?
如果它是 DIY 并且只有你使用它,你很可能会没事。如果您开始将其转变为一项业务,那么包括此在内的大量法规将打击您。