公布“全球地质雷达”执行情况

Question

我知道这个职位，GDPR显然没有强制执行特定的标准来保护合理的数据。例如，基于这个职位，也不需要加密或散列本地数据库中的登录数据。

然而，GDPR使服务用户有权知道服务数据库中存储了哪些数据，以及它们在此数据库中的用途。基于这两点，我想知道:单个用户是否有权知道登录用户名如何存储在服务的数据库中？像https://haveibeenpwned.com/这样的服务将可能的漏洞显示为他们所知道的一个指标，这是否取决于礼貌，例如，如果我的电话提供商透露：“我们用sha512sum /blake2来保护您的登录凭证哈希。”或者，欧洲是否有公司自愿在其合同/网站上披露其应用密码学的这一部分？

如果这个问题不适合当前的论坛，我愿意将这个问题转移到law.stackexchange。

Answer 1

这可能是一个应该在Law.SE中提出的问题，但无论如何，我会尝试写一个快速的答案。

据我所知，用户无权知道任何技术细节，也无权知道安全控制是如何实现的。然而，我相信数据控制器和数据处理器有权要求他们所依赖的其他数据处理器提供具体的技术细节。换句话说，作为一个用户，你无权问StackExchange他们是如何破解密码的。但是，例如，StackExchange可能有权询问他们的主机提供商是否以及如何加密他们的硬盘。

我的观点是基于这样一个事实:我认为我从未见过专门讨论数据主题(用户)的章节中提到过这样的权利，但我在专门讨论数据处理器的部分中看到了一些相关的内容。

以下是第28条(处理器)的摘录，重点是：

3.处理器的处理应受根据联盟或成员国法律订立的合同或其他法律行为的管辖，该合同或其他法律行为对控制人具有约束力，并规定了处理的主题和时间、处理的性质和目的、个人数据的类型和数据主体的类别以及控制人的义务和权利。该合同或其他法律行为应特别规定，处理器: ... (c)采取第32条所要求的一切措施(注:第32条是“处理的安全”)； ... (f)协助控制人确保遵守第32至36条规定的义务，同时考虑到加工的性质和处理器可获得的信息； ... (h)向主计长提供所有必要的信息，以证明其遵守本条规定的义务，并允许并有助于由主计长或由主计长授权的另一名审计员进行审计，包括检查。

Answer 2

不，知道控制器(就全球地质雷达而言)如何在技术上确保保密的权利是不存在的。

然而，GDPR为服务用户提供了知道服务数据库中存储了哪些数据以及它们在此数据库中的用途的权利。

数据主体(第15条)的访问权规定，控制器应告知您他们处理哪一项个人数据的一般目的。它没有提到任何关于数据库或技术规范的内容。

第32条说，控制器“应实施适当的技术和组织措施，以确保安全水平与风险相适应。”这包括“确保处理系统和服务的保密性、完整性、可用性和复原力的能力”。

这在两种情况下都很重要:当控制器收缩处理器来处理数据时(参见第28条.1)，或者当控制器必须证明它们实施了应对风险的措施时(例如，在数据泄露之后)。

然而，没有义务告诉你(数据主体)任何具体的技术细节。