经过@@DPO社群中热心同学的@@努力@@,英国@@Information Commissioner’s Office《数据共享@@@@行为守则@@@@@@》(征求意见稿@@)中译文出炉了@@。现将译者序言@@贴出来@@。
译者序言@@
ICO《数据共享@@@@行为守则@@@@@@》
——基于源发驱动型的@@数据安全生态治理@@
2019年@@7月@@16日@@,英国@@数据保护机构@@ICO就@@《数据共享@@@@行为守则@@@@@@》的@@修订情况公开向社会征求意见@@(简称@@:守则@@)。守则@@是基于@@GDPR与英国@@数据保护法@@(DPA 2018)而编制的@@实践指南@@,旨在提供相关数据合规的@@指引@@。截止@@8月@@初@@,ICO已经收到了@@101条反馈意见@@。
众所周知@@,数据共享@@@@既是数字经济与产业发展的@@核心环节@@,更是数据主体@@权益保护的@@重大课题@@。数据融合对经济的@@促进与对个人隐私的@@@@“侵入性@@”效应同样@@显著@@。更为显著的@@问题是@@,企业@@、组织@@间的@@数据共享@@@@活动外界感知度相对较低@@,对数据主体@@权益可能造成的@@后果归因难且潜伏期长@@,传统的@@@@“检查@@—执法@@”监管机制难以发挥有效作用@@。
在这一@@背景下@@,ICO对守则@@修订的@@核心思路以@@“问责制@@”为出发点@@,以保护数据主体@@权益为核心@@,通过@@推动组织@@间开展@@数据保护影响评估@@@@(DPIA)、订立数据共享@@@@协议@@来落实企业@@@@、组织@@的@@@@数据保护主体@@责任@@:即@@企业@@@@、组织@@需要提供@@DPIA评估文档@@、共享@@协议等存档资料@@,表明数据共享@@@@活动对数据主体@@@@、组织@@等各方带来或@@可能带来的@@收益与损害@@,并对这些利益进行了认真的@@权衡@@,通过@@法律协议明确数据共享@@@@各方的@@责任与义务@@,以证明相关数据共享@@@@活动符合@@GDPR等数据保护法律的@@要求@@。
具体而言@@,守则@@对数据共享@@@@活动提出了相关具体要求@@,主要归纳为以下六@@点@@:
一@@、开展@@数据保护影响评估@@
作为数据保护法规@@“可规则性@@”原则@@的@@核心抓手@@,守则@@强调即@@使在法律上并未强制要求组织@@开展@@数据保护影响评估@@的@@情况下@@,在数据共享@@@@活动中@@,组织@@主动遵循@@ DPIA 程序也是非常必要@@的@@@@,因为数据共享@@@@可能会导致对个人的@@高风险@@。
开展@@DPIA也是在数据共享@@@@前组织@@所需考虑的@@第一@@步@@,除了@@GDPR中规定的@@应当开展@@@@DPIA的@@四@@种情形外@@,对于数据匹配@@(data matching)、不可见的@@处理@@@@(invisible processing)、在发生数据泄露时可能对个人造成伤害的@@信息处理@@等情形均需要开展@@@@DPIA。
通过@@DPIA对数据共享@@@@活动进行评估@@,应当综合考虑@@:
数据共享@@@@目的@@@@;
共享@@数据类型@@;
目的@@实现是否可以通过@@不共享@@数据或@@共享@@匿名化数据方式达成@@;
共享@@数据对个人信息主体@@可能造成的@@侵害@@;
共享@@数据对社会和个人潜在的@@收益与风险@@;
不共享@@数据是否会造成损害@@;
是否有任何法定限制或@@其他因素对数据共享@@@@的@@限制@@;
谁会访问这些共享@@数据@@;
共享@@数据是持续性的@@还是临时性@@;
共享@@数据的@@方式@@;
共享@@数据是否已经达成目的@@@@,是否需要继续共享@@数据@@;
动态重新审查@@DPIA,是否有新的@@变化@@。
二@@、订立数据共享@@@@协议@@
订立数据共享@@@@协议@@是证明组织@@满足@@GDPR"可归责性@@”要求的@@重要有效途径@@。因为数据共享@@@@协议可以帮助所有各方明确各自的@@角色@@,明确规定数据共享@@@@的@@目的@@@@@@,涵盖数据共享@@@@各阶段将要处理@@的@@事情以及确定数据共享@@@@的@@标准@@。
在订立数据共享@@@@协议@@中@@,应当包含下列内容@@:
数据共享@@@@的@@目的@@@@:为何数据共享@@@@是必要@@的@@@@、共享@@数据的@@具体目的@@@@、为个人或@@者社会带来的@@好处@@;
哪些组织@@会参与数据共享@@@@@@:列明所有参与数据共享@@@@的@@组织@@@@,及其@@DPO和其他关键员工的@@联系方式@@,在与另一@@个数据控制者共享@@数据时@@,还应当列明自身的@@责任@@,并将相关情况告知数据主体@@@@;
共享@@数据的@@类型@@:详细说明共享@@数据的@@类型@@@@,对于某些数据还应当仅允许特定员工访问@@;
明确数据的@@共享@@的@@合法性基础@@:是以同意作为披露数据的@@合法基础@@,那么协议可以提供一@@份同意书的@@模板@@,并解决有关拒绝或@@撤回同意的@@问题@@;
记录敏感或@@特殊类别数据@@:如果@@共享@@数据设计特殊或@@敏感数据@@,必须根据@@@@GDPR或@@DPA的@@规定记录相应的@@处理@@条件@@。
数据共享@@@@协议在满足上述条件外@@,还应当能够应对数据共享@@@@时出现的@@主要实际问题@@,以确保参与数据共享@@@@的@@组织@@满足共享@@数据最小化原则@@@@,确保数据共享@@@@准确@@,使用兼容格式的@@数据集@@,共同的@@保留或@@删除共享@@数据规则@@,共同的@@技术和组织@@安全规划@@,处理@@公众请求@@、投诉@@、询问的@@程序@@,协议有效期限以及协议终止的@@程序@@。
定期复查数据共享@@@@协议@@,特别是在出现新情况或@@新的@@数据共享@@@@理由时@@。
三@@、贯彻@@“问责制@@”原则@@
根据@@GDPR问责制@@原则@@@@,如组织@@进行或@@参与数据共享@@@@@@,须能证明你遵守@@GDPR有关保障数据主体@@权利的@@规定@@。
作为贯彻@@问责制@@原则@@@@的@@一@@部分@@,在适当的@@情况下@@,组织@@必须制订数据保护政策@@,并采用@@“设计及默认方式保护数据@@”( “data protection by design and default”)的@@方法@@,保护数据主体@@权利@@。即@@:采取适当的@@技术和制度规范来确保数据保护原则@@的@@落实@@,并保护数据主体@@个人权利@@。
确保关键文档的@@留存@@,例如大型企业@@@@、组织@@需要保留数据处理@@@@(共享@@)活动的@@记录@@,并定期对记录进行复盘@@。
DPIA是问责制@@的@@组成部分@@,签署数据共享@@@@协议有助于企业@@或@@组织@@证明符合问责制@@的@@要求@@。
四@@、确定共享@@数据的@@合法性基础@@
GDPR确定了六@@项进行数据处理@@活动的@@合法性基础@@,数据共享@@@@前应至少确定一@@个合法性基础@@。
根据@@问责原则@@@@,企业@@或@@组织@@必须能够显示在开始数据共享@@@@之前已经考虑并确定数据共享@@@@的@@合法性基础@@。
GDPR中的@@大多数合法基础要求处理@@是@@“必要@@”的@@。评估合法性基础涉及@@DPIA,这要求企业@@同时考虑必要@@性和比例性@@。
五@@、确保数据共享@@@@的@@公平性和透明度@@,保障数据主体@@法定权利@@
公平和透明是@@GDPR中数据处理@@原则@@的@@核心@@。
不能以会对他们产生不合理不利影响的@@方式使用他们的@@数据@@。
必须确保共享@@个人数据是合理和相称的@@@@,以及共享@@个人数据的@@情况不会出人意料或@@令人反感@@,除非有充分的@@理由@@。
确保个人知道他们的@@数据正在如何被共享@@@@、处理@@,哪些组织@@在共享@@或@@获取@@、访问这些数据@@,除非适用豁免或@@例外情形@@。
共享@@数据之前@@,必须以可访问和易于理解的@@方式告知将如何处理@@他个人数据@@。
六@@、安全地处理@@个人数据@@
安全措施必须与数据处理@@的@@性质@@、范围@@、背景和目的@@以及对个人权利和自由构成的@@风险向适应@@,并考虑最新技术和实施成本@@。
通过@@守则@@对数据处理@@活动做出的@@规范指引可以发现@@,对数据共享@@@@等处理@@活动的@@监管措施是通过@@问责制@@等制度安排@@,激发企业@@@@、组织@@的@@@@“源发驱动力@@”,通过@@数据保护影响评估@@、共享@@协议等具体措施@@,将监管的@@重点由监督审查转向敦促企业@@@@、组织@@“负责任@@”地开展@@数据处理@@与共享@@活动@@。
长期以来@@,数据安全评估@@、隐私保护合规评审都被认为是增加了企业@@@@、组织@@的@@@@负担@@,而在问责制@@原则@@@@下@@,这些不仅是法律规定的@@合规要求@@,更是在出现可能侵犯数据主体@@权益的@@情形出现后@@,数据保护机构评判责任的@@重要依据@@。
数据保护机构会基于风险的@@执法@@方法@@,根据@@比例原则@@进行评判@@:如果@@企业@@@@、组织@@未开展@@@@DPIA,未能通过@@协议等方式约束数据共享@@@@方的@@责任@@,导致数据主体@@权利受损@@,则可能面临@@2000万欧元或@@全球营业额@@4%的@@罚款@@。因为企业@@@@、组织@@无法证明其切实落实了保护数据主体@@权益的@@法律要求@@。反之@@,如果@@在数据共享@@@@前认真进行了@@ DPIA,通过@@合同@@、协议等形式严格约束并认真落实@@,在安全事件@@、违约情形或@@第三@@方因素导致的@@数据主体@@权益受损的@@情况下@@,则会根据@@比例原则@@合理界定其应当承担的@@责任边界与程度@@。正如@@ICO在守则@@中表明的@@@@:“我们将始终按照我们的@@监管行动政策@@,以有针对性和比例的@@方式使用我们的@@权力@@。”“我们将一@@如既往地执法@@@@,同时确保商业企业@@不受繁文缛节的@@约束@@,或@@担心制裁将被不成比例地使用@@。”
同样@@,数据共享@@@@组织@@之间签署协议@@,本身并不会确保一@@定符合法律要求@@,或@@可以免除法律责任@@,但是@@这些是数据保护机构接到有关投诉@@后去审查和考虑的@@重要因素@@。ICO在守则@@中明确提到@@:“起草和遵守协议本身并不向你提供任何形式的@@法律保障@@,使你免于根据@@数据保护立法或@@其他法律采取行动@@。但是@@,如果@@ICO收到关于你的@@数据共享@@@@的@@投诉@@@@,它将考虑这一@@点@@。”
通过@@这样的@@制度设计@@,企业@@、组织@@内部的@@合规控制流程不再仅仅是付出而无法收回的@@@@“沉没成本@@”(Sunk Cost),而更可以将通过@@这些程序获得的@@@@“沉默利益@@”(笔者将其定义为@@:通过@@DPIA等风险控制活动而规避的@@潜在安全风险@@)显现出来@@,激发企业@@@@、组织@@以@@“负责任@@”的@@方式开展@@数据处理@@活动意愿@@。亦言之@@,通过@@制度设计促使企业@@@@、组织@@内部可以从风险控制流程中获得实际的@@@@、可见的@@收益@@,风险与合规评估由单纯的@@成本付出活动转变为利益收益活动@@,形成自发推动并严格落实数据保护措施的@@@@“源发驱动力@@”。
近期@@,我国就@@@@《数据安全管理办法@@》等法律法规公开征求意见@@,全国信息安全标准化委员会也于@@2018年@@7月@@公布@@《个人信息安全影响评估指南@@》(征求意见稿@@)。个人信息安全影响评估对于国内而言仍是刚刚起步@@,数据监管体系与方式也在探索之中@@,此次@@@@ICO发布的@@@@《数据共享@@@@行为守则@@@@@@》不仅仅是一@@份合规指引性文件@@,更是一@@种构建数据治理@@生态的@@方法@@论@@。我国当前数据经济蓬勃发展的@@背景下@@,这种新型的@@数据安全治理模式@@,也许值得行业与监管部门去共同探索@@。
《数据共享@@@@行为守则@@@@@@》发布未满@@1个月@@@@,期间笔者还在徒步穿越@@130公里的@@乌孙古道@@,评述中的@@很多观点@@与思想都是在这条苍凉的@@古道途中形成并记录的@@@@,且囿于个人能力@@,有诸多不周延之处@@,仅做抛砖之用@@。(田申@@)
附件下载@@:
英国@@Information Commissioner’s Office《数据共享@@@@行为守则@@@@@@》(征求意见稿@@)中文版@@.pdf
