經(jīng)過DPO社群中熱心同學(xué)的努力,英國(guó)Information Commissioner’s Office《數(shù)據(jù)共享行為守則》(征求意見稿)中譯文出爐了?,F(xiàn)將譯者序言貼出來。

  譯者序言

  ICO《數(shù)據(jù)共享行為守則》

  ——基于源發(fā)驅(qū)動(dòng)型的數(shù)據(jù)安全生態(tài)治理

  2019年7月16日,英國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)ICO就《數(shù)據(jù)共享行為守則》的修訂情況公開向社會(huì)征求意見(簡(jiǎn)稱:守則)。守則是基于GDPR與英國(guó)數(shù)據(jù)保護(hù)法(DPA 2018)而編制的實(shí)踐指南,旨在提供相關(guān)數(shù)據(jù)合規(guī)的指引。截止8月初,ICO已經(jīng)收到了101條反饋意見。

  眾所周知,數(shù)據(jù)共享既是數(shù)字經(jīng)濟(jì)與產(chǎn)業(yè)發(fā)展的核心環(huán)節(jié),更是數(shù)據(jù)主體權(quán)益保護(hù)的重大課題。數(shù)據(jù)融合對(duì)經(jīng)濟(jì)的促進(jìn)與對(duì)個(gè)人隱私的“侵入性”效應(yīng)同樣顯著。更為顯著的問題是,企業(yè)、組織間的數(shù)據(jù)共享活動(dòng)外界感知度相對(duì)較低,對(duì)數(shù)據(jù)主體權(quán)益可能造成的后果歸因難且潛伏期長(zhǎng),傳統(tǒng)的“檢查—執(zhí)法”監(jiān)管機(jī)制難以發(fā)揮有效作用。

  在這一背景下,ICO對(duì)守則修訂的核心思路以“問責(zé)制”為出發(fā)點(diǎn),以保護(hù)數(shù)據(jù)主體權(quán)益為核心,通過推動(dòng)組織間開展數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)、訂立數(shù)據(jù)共享協(xié)議來落實(shí)企業(yè)、組織的數(shù)據(jù)保護(hù)主體責(zé)任:即企業(yè)、組織需要提供DPIA評(píng)估文檔、共享協(xié)議等存檔資料,表明數(shù)據(jù)共享活動(dòng)對(duì)數(shù)據(jù)主體、組織等各方帶來或可能帶來的收益與損害,并對(duì)這些利益進(jìn)行了認(rèn)真的權(quán)衡,通過法律協(xié)議明確數(shù)據(jù)共享各方的責(zé)任與義務(wù),以證明相關(guān)數(shù)據(jù)共享活動(dòng)符合GDPR等數(shù)據(jù)保護(hù)法律的要求。

  具體而言,守則對(duì)數(shù)據(jù)共享活動(dòng)提出了相關(guān)具體要求,主要?dú)w納為以下六點(diǎn):

  一、開展數(shù)據(jù)保護(hù)影響評(píng)估

  作為數(shù)據(jù)保護(hù)法規(guī)“可規(guī)則性”原則的核心抓手,守則強(qiáng)調(diào)即使在法律上并未強(qiáng)制要求組織開展數(shù)據(jù)保護(hù)影響評(píng)估的情況下,在數(shù)據(jù)共享活動(dòng)中,組織主動(dòng)遵循 DPIA 程序也是非常必要的,因?yàn)閿?shù)據(jù)共享可能會(huì)導(dǎo)致對(duì)個(gè)人的高風(fēng)險(xiǎn)。

  開展DPIA也是在數(shù)據(jù)共享前組織所需考慮的第一步,除了GDPR中規(guī)定的應(yīng)當(dāng)開展DPIA的四種情形外,對(duì)于數(shù)據(jù)匹配(data matching)、不可見的處理(invisible processing)、在發(fā)生數(shù)據(jù)泄露時(shí)可能對(duì)個(gè)人造成傷害的信息處理等情形均需要開展DPIA。

  通過DPIA對(duì)數(shù)據(jù)共享活動(dòng)進(jìn)行評(píng)估,應(yīng)當(dāng)綜合考慮:

  1. 數(shù)據(jù)共享目的;

  2. 共享數(shù)據(jù)類型;

  3. 目的實(shí)現(xiàn)是否可以通過不共享數(shù)據(jù)或共享匿名化數(shù)據(jù)方式達(dá)成;

  4. 共享數(shù)據(jù)對(duì)個(gè)人信息主體可能造成的侵害;

  5. 共享數(shù)據(jù)對(duì)社會(huì)和個(gè)人潛在的收益與風(fēng)險(xiǎn);

  6. 不共享數(shù)據(jù)是否會(huì)造成損害;

  7. 是否有任何法定限制或其他因素對(duì)數(shù)據(jù)共享的限制;

  8. 誰會(huì)訪問這些共享數(shù)據(jù);

  9. 共享數(shù)據(jù)是持續(xù)性的還是臨時(shí)性;

  10. 共享數(shù)據(jù)的方式;

  11. 共享數(shù)據(jù)是否已經(jīng)達(dá)成目的,是否需要繼續(xù)共享數(shù)據(jù);

  12. 動(dòng)態(tài)重新審查DPIA,是否有新的變化。

  二、訂立數(shù)據(jù)共享協(xié)議

  訂立數(shù)據(jù)共享協(xié)議是證明組織滿足GDPR"可歸責(zé)性”要求的重要有效途徑。因?yàn)閿?shù)據(jù)共享協(xié)議可以幫助所有各方明確各自的角色,明確規(guī)定數(shù)據(jù)共享的目的,涵蓋數(shù)據(jù)共享各階段將要處理的事情以及確定數(shù)據(jù)共享的標(biāo)準(zhǔn)。

  在訂立數(shù)據(jù)共享協(xié)議中,應(yīng)當(dāng)包含下列內(nèi)容:

  1. 數(shù)據(jù)共享的目的:為何數(shù)據(jù)共享是必要的、共享數(shù)據(jù)的具體目的、為個(gè)人或者社會(huì)帶來的好處;

  2. 哪些組織會(huì)參與數(shù)據(jù)共享:列明所有參與數(shù)據(jù)共享的組織,及其DPO和其他關(guān)鍵員工的聯(lián)系方式,在與另一個(gè)數(shù)據(jù)控制者共享數(shù)據(jù)時(shí),還應(yīng)當(dāng)列明自身的責(zé)任,并將相關(guān)情況告知數(shù)據(jù)主體;

  3. 共享數(shù)據(jù)的類型:詳細(xì)說明共享數(shù)據(jù)的類型,對(duì)于某些數(shù)據(jù)還應(yīng)當(dāng)僅允許特定員工訪問;

  4. 明確數(shù)據(jù)的共享的合法性基礎(chǔ):是以同意作為披露數(shù)據(jù)的合法基礎(chǔ),那么協(xié)議可以提供一份同意書的模板,并解決有關(guān)拒絕或撤回同意的問題;

  5. 記錄敏感或特殊類別數(shù)據(jù):如果共享數(shù)據(jù)設(shè)計(jì)特殊或敏感數(shù)據(jù),必須根據(jù)GDPR或DPA的規(guī)定記錄相應(yīng)的處理?xiàng)l件。

  數(shù)據(jù)共享協(xié)議在滿足上述條件外,還應(yīng)當(dāng)能夠應(yīng)對(duì)數(shù)據(jù)共享時(shí)出現(xiàn)的主要實(shí)際問題,以確保參與數(shù)據(jù)共享的組織滿足共享數(shù)據(jù)最小化原則,確保數(shù)據(jù)共享準(zhǔn)確,使用兼容格式的數(shù)據(jù)集,共同的保留或刪除共享數(shù)據(jù)規(guī)則,共同的技術(shù)和組織安全規(guī)劃,處理公眾請(qǐng)求、投訴、詢問的程序,協(xié)議有效期限以及協(xié)議終止的程序。

  定期復(fù)查數(shù)據(jù)共享協(xié)議,特別是在出現(xiàn)新情況或新的數(shù)據(jù)共享理由時(shí)。

  三、貫徹“問責(zé)制”原則

  根據(jù)GDPR問責(zé)制原則,如組織進(jìn)行或參與數(shù)據(jù)共享,須能證明你遵守GDPR有關(guān)保障數(shù)據(jù)主體權(quán)利的規(guī)定。

  作為貫徹問責(zé)制原則的一部分,在適當(dāng)?shù)那闆r下,組織必須制訂數(shù)據(jù)保護(hù)政策,并采用“設(shè)計(jì)及默認(rèn)方式保護(hù)數(shù)據(jù)”( “data protection by design and default”)的方法,保護(hù)數(shù)據(jù)主體權(quán)利。即:采取適當(dāng)?shù)募夹g(shù)和制度規(guī)范來確保數(shù)據(jù)保護(hù)原則的落實(shí),并保護(hù)數(shù)據(jù)主體個(gè)人權(quán)利。

  確保關(guān)鍵文檔的留存,例如大型企業(yè)、組織需要保留數(shù)據(jù)處理(共享)活動(dòng)的記錄,并定期對(duì)記錄進(jìn)行復(fù)盤。

  DPIA是問責(zé)制的組成部分,簽署數(shù)據(jù)共享協(xié)議有助于企業(yè)或組織證明符合問責(zé)制的要求。

  四、確定共享數(shù)據(jù)的合法性基礎(chǔ)

  GDPR確定了六項(xiàng)進(jìn)行數(shù)據(jù)處理活動(dòng)的合法性基礎(chǔ),數(shù)據(jù)共享前應(yīng)至少確定一個(gè)合法性基礎(chǔ)。

  根據(jù)問責(zé)原則,企業(yè)或組織必須能夠顯示在開始數(shù)據(jù)共享之前已經(jīng)考慮并確定數(shù)據(jù)共享的合法性基礎(chǔ)。

  GDPR中的大多數(shù)合法基礎(chǔ)要求處理是“必要”的。評(píng)估合法性基礎(chǔ)涉及DPIA,這要求企業(yè)同時(shí)考慮必要性和比例性。

  五、確保數(shù)據(jù)共享的公平性和透明度,保障數(shù)據(jù)主體法定權(quán)利

  公平和透明是GDPR中數(shù)據(jù)處理原則的核心。

  不能以會(huì)對(duì)他們產(chǎn)生不合理不利影響的方式使用他們的數(shù)據(jù)。

  必須確保共享個(gè)人數(shù)據(jù)是合理和相稱的,以及共享個(gè)人數(shù)據(jù)的情況不會(huì)出人意料或令人反感,除非有充分的理由。

  確保個(gè)人知道他們的數(shù)據(jù)正在如何被共享、處理,哪些組織在共享或獲取、訪問這些數(shù)據(jù),除非適用豁免或例外情形。

  共享數(shù)據(jù)之前,必須以可訪問和易于理解的方式告知將如何處理他個(gè)人數(shù)據(jù)。

  六、安全地處理個(gè)人數(shù)據(jù)

  安全措施必須與數(shù)據(jù)處理的性質(zhì)、范圍、背景和目的以及對(duì)個(gè)人權(quán)利和自由構(gòu)成的風(fēng)險(xiǎn)向適應(yīng),并考慮最新技術(shù)和實(shí)施成本。

  通過守則對(duì)數(shù)據(jù)處理活動(dòng)做出的規(guī)范指引可以發(fā)現(xiàn),對(duì)數(shù)據(jù)共享等處理活動(dòng)的監(jiān)管措施是通過問責(zé)制等制度安排,激發(fā)企業(yè)、組織的“源發(fā)驅(qū)動(dòng)力”,通過數(shù)據(jù)保護(hù)影響評(píng)估、共享協(xié)議等具體措施,將監(jiān)管的重點(diǎn)由監(jiān)督審查轉(zhuǎn)向敦促企業(yè)、組織“負(fù)責(zé)任”地開展數(shù)據(jù)處理與共享活動(dòng)。

  長(zhǎng)期以來,數(shù)據(jù)安全評(píng)估、隱私保護(hù)合規(guī)評(píng)審都被認(rèn)為是增加了企業(yè)、組織的負(fù)擔(dān),而在問責(zé)制原則下,這些不僅是法律規(guī)定的合規(guī)要求,更是在出現(xiàn)可能侵犯數(shù)據(jù)主體權(quán)益的情形出現(xiàn)后,數(shù)據(jù)保護(hù)機(jī)構(gòu)評(píng)判責(zé)任的重要依據(jù)。

  數(shù)據(jù)保護(hù)機(jī)構(gòu)會(huì)基于風(fēng)險(xiǎn)的執(zhí)法方法,根據(jù)比例原則進(jìn)行評(píng)判:如果企業(yè)、組織未開展DPIA,未能通過協(xié)議等方式約束數(shù)據(jù)共享方的責(zé)任,導(dǎo)致數(shù)據(jù)主體權(quán)利受損,則可能面臨2000萬歐元或全球營(yíng)業(yè)額4%的罰款。因?yàn)槠髽I(yè)、組織無法證明其切實(shí)落實(shí)了保護(hù)數(shù)據(jù)主體權(quán)益的法律要求。反之,如果在數(shù)據(jù)共享前認(rèn)真進(jìn)行了 DPIA,通過合同、協(xié)議等形式嚴(yán)格約束并認(rèn)真落實(shí),在安全事件、違約情形或第三方因素導(dǎo)致的數(shù)據(jù)主體權(quán)益受損的情況下,則會(huì)根據(jù)比例原則合理界定其應(yīng)當(dāng)承擔(dān)的責(zé)任邊界與程度。正如ICO在守則中表明的:“我們將始終按照我們的監(jiān)管行動(dòng)政策,以有針對(duì)性和比例的方式使用我們的權(quán)力?!薄拔覀儗⒁蝗缂韧貓?zhí)法,同時(shí)確保商業(yè)企業(yè)不受繁文縟節(jié)的約束,或擔(dān)心制裁將被不成比例地使用?!?/strong>

  同樣,數(shù)據(jù)共享組織之間簽署協(xié)議,本身并不會(huì)確保一定符合法律要求,或可以免除法律責(zé)任,但是這些是數(shù)據(jù)保護(hù)機(jī)構(gòu)接到有關(guān)投訴后去審查和考慮的重要因素。ICO在守則中明確提到:“起草和遵守協(xié)議本身并不向你提供任何形式的法律保障,使你免于根據(jù)數(shù)據(jù)保護(hù)立法或其他法律采取行動(dòng)。但是,如果ICO收到關(guān)于你的數(shù)據(jù)共享的投訴,它將考慮這一點(diǎn)?!?/strong>

  通過這樣的制度設(shè)計(jì),企業(yè)、組織內(nèi)部的合規(guī)控制流程不再僅僅是付出而無法收回的“沉沒成本”(Sunk Cost),而更可以將通過這些程序獲得的“沉默利益”(筆者將其定義為:通過DPIA等風(fēng)險(xiǎn)控制活動(dòng)而規(guī)避的潛在安全風(fēng)險(xiǎn))顯現(xiàn)出來,激發(fā)企業(yè)、組織以“負(fù)責(zé)任”的方式開展數(shù)據(jù)處理活動(dòng)意愿。亦言之,通過制度設(shè)計(jì)促使企業(yè)、組織內(nèi)部可以從風(fēng)險(xiǎn)控制流程中獲得實(shí)際的、可見的收益,風(fēng)險(xiǎn)與合規(guī)評(píng)估由單純的成本付出活動(dòng)轉(zhuǎn)變?yōu)槔媸找婊顒?dòng),形成自發(fā)推動(dòng)并嚴(yán)格落實(shí)數(shù)據(jù)保護(hù)措施的“源發(fā)驅(qū)動(dòng)力”。

  近期,我國(guó)就《數(shù)據(jù)安全管理辦法》等法律法規(guī)公開征求意見,全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)也于2018年7月公布《個(gè)人信息安全影響評(píng)估指南》(征求意見稿)。個(gè)人信息安全影響評(píng)估對(duì)于國(guó)內(nèi)而言仍是剛剛起步,數(shù)據(jù)監(jiān)管體系與方式也在探索之中,此次ICO發(fā)布的《數(shù)據(jù)共享行為守則》不僅僅是一份合規(guī)指引性文件,更是一種構(gòu)建數(shù)據(jù)治理生態(tài)的方法論。我國(guó)當(dāng)前數(shù)據(jù)經(jīng)濟(jì)蓬勃發(fā)展的背景下,這種新型的數(shù)據(jù)安全治理模式,也許值得行業(yè)與監(jiān)管部門去共同探索。

  《數(shù)據(jù)共享行為守則》發(fā)布未滿1個(gè)月,期間筆者還在徒步穿越130公里的烏孫古道,評(píng)述中的很多觀點(diǎn)與思想都是在這條蒼涼的古道途中形成并記錄的,且囿于個(gè)人能力,有諸多不周延之處,僅做拋磚之用。(田申)

  附件下載:

  英國(guó)Information Commissioner’s Office《數(shù)據(jù)共享行為守則》(征求意見稿)中文版.pdf

責(zé)任編輯:qinpeng