經(jīng)過DPO社群中熱心同學的努力,英國Information Commissioner’s Office《數(shù)據(jù)共享行為守則》(征求意見稿)中譯文出爐了。現(xiàn)將譯者序言貼出來。

  譯者序言

  ICO《數(shù)據(jù)共享行為守則》

  ——基于源發(fā)驅(qū)動型的數(shù)據(jù)安全生態(tài)治理

  2019年7月16日,英國數(shù)據(jù)保護機構(gòu)ICO就《數(shù)據(jù)共享行為守則》的修訂情況公開向社會征求意見(簡稱:守則)。守則是基于GDPR與英國數(shù)據(jù)保護法(DPA 2018)而編制的實踐指南,旨在提供相關數(shù)據(jù)合規(guī)的指引。截止8月初,ICO已經(jīng)收到了101條反饋意見。

  眾所周知,數(shù)據(jù)共享既是數(shù)字經(jīng)濟與產(chǎn)業(yè)發(fā)展的核心環(huán)節(jié),更是數(shù)據(jù)主體權(quán)益保護的重大課題。數(shù)據(jù)融合對經(jīng)濟的促進與對個人隱私的“侵入性”效應同樣顯著。更為顯著的問題是,企業(yè)、組織間的數(shù)據(jù)共享活動外界感知度相對較低,對數(shù)據(jù)主體權(quán)益可能造成的后果歸因難且潛伏期長,傳統(tǒng)的“檢查—執(zhí)法”監(jiān)管機制難以發(fā)揮有效作用。

  在這一背景下,ICO對守則修訂的核心思路以“問責制”為出發(fā)點,以保護數(shù)據(jù)主體權(quán)益為核心,通過推動組織間開展數(shù)據(jù)保護影響評估(DPIA)、訂立數(shù)據(jù)共享協(xié)議來落實企業(yè)、組織的數(shù)據(jù)保護主體責任:即企業(yè)、組織需要提供DPIA評估文檔、共享協(xié)議等存檔資料,表明數(shù)據(jù)共享活動對數(shù)據(jù)主體、組織等各方帶來或可能帶來的收益與損害,并對這些利益進行了認真的權(quán)衡,通過法律協(xié)議明確數(shù)據(jù)共享各方的責任與義務,以證明相關數(shù)據(jù)共享活動符合GDPR等數(shù)據(jù)保護法律的要求。

  具體而言,守則對數(shù)據(jù)共享活動提出了相關具體要求,主要歸納為以下六點:

  一、開展數(shù)據(jù)保護影響評估

  作為數(shù)據(jù)保護法規(guī)“可規(guī)則性”原則的核心抓手,守則強調(diào)即使在法律上并未強制要求組織開展數(shù)據(jù)保護影響評估的情況下,在數(shù)據(jù)共享活動中,組織主動遵循 DPIA 程序也是非常必要的,因為數(shù)據(jù)共享可能會導致對個人的高風險。

  開展DPIA也是在數(shù)據(jù)共享前組織所需考慮的第一步,除了GDPR中規(guī)定的應當開展DPIA的四種情形外,對于數(shù)據(jù)匹配(data matching)、不可見的處理(invisible processing)、在發(fā)生數(shù)據(jù)泄露時可能對個人造成傷害的信息處理等情形均需要開展DPIA。

  通過DPIA對數(shù)據(jù)共享活動進行評估,應當綜合考慮:

  1. 數(shù)據(jù)共享目的;

  2. 共享數(shù)據(jù)類型;

  3. 目的實現(xiàn)是否可以通過不共享數(shù)據(jù)或共享匿名化數(shù)據(jù)方式達成;

  4. 共享數(shù)據(jù)對個人信息主體可能造成的侵害;

  5. 共享數(shù)據(jù)對社會和個人潛在的收益與風險;

  6. 不共享數(shù)據(jù)是否會造成損害;

  7. 是否有任何法定限制或其他因素對數(shù)據(jù)共享的限制;

  8. 誰會訪問這些共享數(shù)據(jù);

  9. 共享數(shù)據(jù)是持續(xù)性的還是臨時性;

  10. 共享數(shù)據(jù)的方式;

  11. 共享數(shù)據(jù)是否已經(jīng)達成目的,是否需要繼續(xù)共享數(shù)據(jù);

  12. 動態(tài)重新審查DPIA,是否有新的變化。

  二、訂立數(shù)據(jù)共享協(xié)議

  訂立數(shù)據(jù)共享協(xié)議是證明組織滿足GDPR"可歸責性”要求的重要有效途徑。因為數(shù)據(jù)共享協(xié)議可以幫助所有各方明確各自的角色,明確規(guī)定數(shù)據(jù)共享的目的,涵蓋數(shù)據(jù)共享各階段將要處理的事情以及確定數(shù)據(jù)共享的標準。

  在訂立數(shù)據(jù)共享協(xié)議中,應當包含下列內(nèi)容:

  1. 數(shù)據(jù)共享的目的:為何數(shù)據(jù)共享是必要的、共享數(shù)據(jù)的具體目的、為個人或者社會帶來的好處;

  2. 哪些組織會參與數(shù)據(jù)共享:列明所有參與數(shù)據(jù)共享的組織,及其DPO和其他關鍵員工的聯(lián)系方式,在與另一個數(shù)據(jù)控制者共享數(shù)據(jù)時,還應當列明自身的責任,并將相關情況告知數(shù)據(jù)主體;

  3. 共享數(shù)據(jù)的類型:詳細說明共享數(shù)據(jù)的類型,對于某些數(shù)據(jù)還應當僅允許特定員工訪問;

  4. 明確數(shù)據(jù)的共享的合法性基礎:是以同意作為披露數(shù)據(jù)的合法基礎,那么協(xié)議可以提供一份同意書的模板,并解決有關拒絕或撤回同意的問題;

  5. 記錄敏感或特殊類別數(shù)據(jù):如果共享數(shù)據(jù)設計特殊或敏感數(shù)據(jù),必須根據(jù)GDPR或DPA的規(guī)定記錄相應的處理條件。

  數(shù)據(jù)共享協(xié)議在滿足上述條件外,還應當能夠應對數(shù)據(jù)共享時出現(xiàn)的主要實際問題,以確保參與數(shù)據(jù)共享的組織滿足共享數(shù)據(jù)最小化原則,確保數(shù)據(jù)共享準確,使用兼容格式的數(shù)據(jù)集,共同的保留或刪除共享數(shù)據(jù)規(guī)則,共同的技術和組織安全規(guī)劃,處理公眾請求、投訴、詢問的程序,協(xié)議有效期限以及協(xié)議終止的程序。

  定期復查數(shù)據(jù)共享協(xié)議,特別是在出現(xiàn)新情況或新的數(shù)據(jù)共享理由時。

  三、貫徹“問責制”原則

  根據(jù)GDPR問責制原則,如組織進行或參與數(shù)據(jù)共享,須能證明你遵守GDPR有關保障數(shù)據(jù)主體權(quán)利的規(guī)定。

  作為貫徹問責制原則的一部分,在適當?shù)那闆r下,組織必須制訂數(shù)據(jù)保護政策,并采用“設計及默認方式保護數(shù)據(jù)”( “data protection by design and default”)的方法,保護數(shù)據(jù)主體權(quán)利。即:采取適當?shù)募夹g和制度規(guī)范來確保數(shù)據(jù)保護原則的落實,并保護數(shù)據(jù)主體個人權(quán)利。

  確保關鍵文檔的留存,例如大型企業(yè)、組織需要保留數(shù)據(jù)處理(共享)活動的記錄,并定期對記錄進行復盤。

  DPIA是問責制的組成部分,簽署數(shù)據(jù)共享協(xié)議有助于企業(yè)或組織證明符合問責制的要求。

  四、確定共享數(shù)據(jù)的合法性基礎

  GDPR確定了六項進行數(shù)據(jù)處理活動的合法性基礎,數(shù)據(jù)共享前應至少確定一個合法性基礎。

  根據(jù)問責原則,企業(yè)或組織必須能夠顯示在開始數(shù)據(jù)共享之前已經(jīng)考慮并確定數(shù)據(jù)共享的合法性基礎。

  GDPR中的大多數(shù)合法基礎要求處理是“必要”的。評估合法性基礎涉及DPIA,這要求企業(yè)同時考慮必要性和比例性。

  五、確保數(shù)據(jù)共享的公平性和透明度,保障數(shù)據(jù)主體法定權(quán)利

  公平和透明是GDPR中數(shù)據(jù)處理原則的核心。

  不能以會對他們產(chǎn)生不合理不利影響的方式使用他們的數(shù)據(jù)。

  必須確保共享個人數(shù)據(jù)是合理和相稱的,以及共享個人數(shù)據(jù)的情況不會出人意料或令人反感,除非有充分的理由。

  確保個人知道他們的數(shù)據(jù)正在如何被共享、處理,哪些組織在共享或獲取、訪問這些數(shù)據(jù),除非適用豁免或例外情形。

  共享數(shù)據(jù)之前,必須以可訪問和易于理解的方式告知將如何處理他個人數(shù)據(jù)。

  六、安全地處理個人數(shù)據(jù)

  安全措施必須與數(shù)據(jù)處理的性質(zhì)、范圍、背景和目的以及對個人權(quán)利和自由構(gòu)成的風險向適應,并考慮最新技術和實施成本。

  通過守則對數(shù)據(jù)處理活動做出的規(guī)范指引可以發(fā)現(xiàn),對數(shù)據(jù)共享等處理活動的監(jiān)管措施是通過問責制等制度安排,激發(fā)企業(yè)、組織的“源發(fā)驅(qū)動力”,通過數(shù)據(jù)保護影響評估、共享協(xié)議等具體措施,將監(jiān)管的重點由監(jiān)督審查轉(zhuǎn)向敦促企業(yè)、組織“負責任”地開展數(shù)據(jù)處理與共享活動。

  長期以來,數(shù)據(jù)安全評估、隱私保護合規(guī)評審都被認為是增加了企業(yè)、組織的負擔,而在問責制原則下,這些不僅是法律規(guī)定的合規(guī)要求,更是在出現(xiàn)可能侵犯數(shù)據(jù)主體權(quán)益的情形出現(xiàn)后,數(shù)據(jù)保護機構(gòu)評判責任的重要依據(jù)。

  數(shù)據(jù)保護機構(gòu)會基于風險的執(zhí)法方法,根據(jù)比例原則進行評判:如果企業(yè)、組織未開展DPIA,未能通過協(xié)議等方式約束數(shù)據(jù)共享方的責任,導致數(shù)據(jù)主體權(quán)利受損,則可能面臨2000萬歐元或全球營業(yè)額4%的罰款。因為企業(yè)、組織無法證明其切實落實了保護數(shù)據(jù)主體權(quán)益的法律要求。反之,如果在數(shù)據(jù)共享前認真進行了 DPIA,通過合同、協(xié)議等形式嚴格約束并認真落實,在安全事件、違約情形或第三方因素導致的數(shù)據(jù)主體權(quán)益受損的情況下,則會根據(jù)比例原則合理界定其應當承擔的責任邊界與程度。正如ICO在守則中表明的:“我們將始終按照我們的監(jiān)管行動政策,以有針對性和比例的方式使用我們的權(quán)力?!薄拔覀儗⒁蝗缂韧貓?zhí)法,同時確保商業(yè)企業(yè)不受繁文縟節(jié)的約束,或擔心制裁將被不成比例地使用。”

  同樣,數(shù)據(jù)共享組織之間簽署協(xié)議,本身并不會確保一定符合法律要求,或可以免除法律責任,但是這些是數(shù)據(jù)保護機構(gòu)接到有關投訴后去審查和考慮的重要因素。ICO在守則中明確提到:“起草和遵守協(xié)議本身并不向你提供任何形式的法律保障,使你免于根據(jù)數(shù)據(jù)保護立法或其他法律采取行動。但是,如果ICO收到關于你的數(shù)據(jù)共享的投訴,它將考慮這一點?!?/strong>

  通過這樣的制度設計,企業(yè)、組織內(nèi)部的合規(guī)控制流程不再僅僅是付出而無法收回的“沉沒成本”(Sunk Cost),而更可以將通過這些程序獲得的“沉默利益”(筆者將其定義為:通過DPIA等風險控制活動而規(guī)避的潛在安全風險)顯現(xiàn)出來,激發(fā)企業(yè)、組織以“負責任”的方式開展數(shù)據(jù)處理活動意愿。亦言之,通過制度設計促使企業(yè)、組織內(nèi)部可以從風險控制流程中獲得實際的、可見的收益,風險與合規(guī)評估由單純的成本付出活動轉(zhuǎn)變?yōu)槔媸找婊顒?,形成自發(fā)推動并嚴格落實數(shù)據(jù)保護措施的“源發(fā)驅(qū)動力”。

  近期,我國就《數(shù)據(jù)安全管理辦法》等法律法規(guī)公開征求意見,全國信息安全標準化委員會也于2018年7月公布《個人信息安全影響評估指南》(征求意見稿)。個人信息安全影響評估對于國內(nèi)而言仍是剛剛起步,數(shù)據(jù)監(jiān)管體系與方式也在探索之中,此次ICO發(fā)布的《數(shù)據(jù)共享行為守則》不僅僅是一份合規(guī)指引性文件,更是一種構(gòu)建數(shù)據(jù)治理生態(tài)的方法論。我國當前數(shù)據(jù)經(jīng)濟蓬勃發(fā)展的背景下,這種新型的數(shù)據(jù)安全治理模式,也許值得行業(yè)與監(jiān)管部門去共同探索。

  《數(shù)據(jù)共享行為守則》發(fā)布未滿1個月,期間筆者還在徒步穿越130公里的烏孫古道,評述中的很多觀點與思想都是在這條蒼涼的古道途中形成并記錄的,且囿于個人能力,有諸多不周延之處,僅做拋磚之用。(田申)

  附件下載:

  英國Information Commissioner’s Office《數(shù)據(jù)共享行為守則》(征求意見稿)中文版.pdf

責任編輯:qinpeng