经过DPO社群中热心同学的努力,英国Information Commissioner’s Office《数据共享行为守则》(征求意见稿)中译文出炉了。现将译者序言贴出来。
译者序言
ICO《数据共享行为守则》
——基于源发驱动型的数据安全生态治理
2019年7月16日,英国数据保护机构ICO就《数据共享行为守则》的修订情况公开向社会征求意见(简称:守则)。守则是基于GDPR与英国数据保护法(DPA 2018)而编制的实践指南,旨在提供相关数据合规的指引。截止8月初,ICO已经收到了101条反馈意见。
众所周知,数据共享既是数字经济与产业发展的核心环节,更是数据主体权益保护的重大课题。数据融合对经济的促进与对个人隐私的“侵入性”效应同样显著。更为显著的问题是,企业、组织间的数据共享活动外界感知度相对较低,对数据主体权益可能造成的后果归因难且潜伏期长,传统的“检查—执法”监管机制难以发挥有效作用。
在这一背景下,ICO对守则修订的核心思路以“问责制”为出发点,以保护数据主体权益为核心,通过推动组织间开展数据保护影响评估(DPIA)、订立数据共享协议来落实企业、组织的数据保护主体责任:即企业、组织需要提供DPIA评估文档、共享协议等存档资料,表明数据共享活动对数据主体、组织等各方带来或可能带来的收益与损害,并对这些利益进行了认真的权衡,通过法律协议明确数据共享各方的责任与义务,以证明相关数据共享活动符合GDPR等数据保护法律的要求。
具体而言,守则对数据共享活动提出了相关具体要求,主要归纳为以下六点:
一、开展数据保护影响评估
作为数据保护法规“可规则性”原则的核心抓手,守则强调即使在法律上并未强制要求组织开展数据保护影响评估的情况下,在数据共享活动中,组织主动遵循 DPIA 程序也是非常必要的,因为数据共享可能会导致对个人的高风险。
开展DPIA也是在数据共享前组织所需考虑的第一步,除了GDPR中规定的应当开展DPIA的四种情形外,对于数据匹配(data matching)、不可见的处理(invisible processing)、在发生数据泄露时可能对个人造成伤害的信息处理等情形均需要开展DPIA。
通过DPIA对数据共享活动进行评估,应当综合考虑:
数据共享目的;
共享数据类型;
目的实现是否可以通过不共享数据或共享匿名化数据方式达成;
共享数据对个人信息主体可能造成的侵害;
共享数据对社会和个人潜在的收益与风险;
不共享数据是否会造成损害;
是否有任何法定限制或其他因素对数据共享的限制;
谁会访问这些共享数据;
共享数据是持续性的还是临时性;
共享数据的方式;
共享数据是否已经达成目的,是否需要继续共享数据;
动态重新审查DPIA,是否有新的变化。
二、订立数据共享协议
订立数据共享协议是证明组织满足GDPR"可归责性”要求的重要有效途径。因为数据共享协议可以帮助所有各方明确各自的角色,明确规定数据共享的目的,涵盖数据共享各阶段将要处理的事情以及确定数据共享的标准。
在订立数据共享协议中,应当包含下列内容:
数据共享的目的:为何数据共享是必要的、共享数据的具体目的、为个人或者社会带来的好处;
哪些组织会参与数据共享:列明所有参与数据共享的组织,及其DPO和其他关键员工的联系方式,在与另一个数据控制者共享数据时,还应当列明自身的责任,并将相关情况告知数据主体;
共享数据的类型:详细说明共享数据的类型,对于某些数据还应当仅允许特定员工访问;
明确数据的共享的合法性基础:是以同意作为披露数据的合法基础,那么协议可以提供一份同意书的模板,并解决有关拒绝或撤回同意的问题;
记录敏感或特殊类别数据:如果共享数据设计特殊或敏感数据,必须根据GDPR或DPA的规定记录相应的处理条件。
数据共享协议在满足上述条件外,还应当能够应对数据共享时出现的主要实际问题,以确保参与数据共享的组织满足共享数据最小化原则,确保数据共享准确,使用兼容格式的数据集,共同的保留或删除共享数据规则,共同的技术和组织安全规划,处理公众请求、投诉、询问的程序,协议有效期限以及协议终止的程序。
定期复查数据共享协议,特别是在出现新情况或新的数据共享理由时。
三、贯彻“问责制”原则
根据GDPR问责制原则,如组织进行或参与数据共享,须能证明你遵守GDPR有关保障数据主体权利的规定。
作为贯彻问责制原则的一部分,在适当的情况下,组织必须制订数据保护政策,并采用“设计及默认方式保护数据”( “data protection by design and default”)的方法,保护数据主体权利。即:采取适当的技术和制度规范来确保数据保护原则的落实,并保护数据主体个人权利。
确保关键文档的留存,例如大型企业、组织需要保留数据处理(共享)活动的记录,并定期对记录进行复盘。
DPIA是问责制的组成部分,签署数据共享协议有助于企业或组织证明符合问责制的要求。
四、确定共享数据的合法性基础
GDPR确定了六项进行数据处理活动的合法性基础,数据共享前应至少确定一个合法性基础。
根据问责原则,企业或组织必须能够显示在开始数据共享之前已经考虑并确定数据共享的合法性基础。
GDPR中的大多数合法基础要求处理是“必要”的。评估合法性基础涉及DPIA,这要求企业同时考虑必要性和比例性。
五、确保数据共享的公平性和透明度,保障数据主体法定权利
公平和透明是GDPR中数据处理原则的核心。
不能以会对他们产生不合理不利影响的方式使用他们的数据。
必须确保共享个人数据是合理和相称的,以及共享个人数据的情况不会出人意料或令人反感,除非有充分的理由。
确保个人知道他们的数据正在如何被共享、处理,哪些组织在共享或获取、访问这些数据,除非适用豁免或例外情形。
共享数据之前,必须以可访问和易于理解的方式告知将如何处理他个人数据。
六、安全地处理个人数据
安全措施必须与数据处理的性质、范围、背景和目的以及对个人权利和自由构成的风险向适应,并考虑最新技术和实施成本。
通过守则对数据处理活动做出的规范指引可以发现,对数据共享等处理活动的监管措施是通过问责制等制度安排,激发企业、组织的“源发驱动力”,通过数据保护影响评估、共享协议等具体措施,将监管的重点由监督审查转向敦促企业、组织“负责任”地开展数据处理与共享活动。
长期以来,数据安全评估、隐私保护合规评审都被认为是增加了企业、组织的负担,而在问责制原则下,这些不仅是法律规定的合规要求,更是在出现可能侵犯数据主体权益的情形出现后,数据保护机构评判责任的重要依据。
数据保护机构会基于风险的执法方法,根据比例原则进行评判:如果企业、组织未开展DPIA,未能通过协议等方式约束数据共享方的责任,导致数据主体权利受损,则可能面临2000万欧元或全球营业额4%的罚款。因为企业、组织无法证明其切实落实了保护数据主体权益的法律要求。反之,如果在数据共享前认真进行了 DPIA,通过合同、协议等形式严格约束并认真落实,在安全事件、违约情形或第三方因素导致的数据主体权益受损的情况下,则会根据比例原则合理界定其应当承担的责任边界与程度。正如ICO在守则中表明的:“我们将始终按照我们的监管行动政策,以有针对性和比例的方式使用我们的权力。”“我们将一如既往地执法,同时确保商业企业不受繁文缛节的约束,或担心制裁将被不成比例地使用。”
同样,数据共享组织之间签署协议,本身并不会确保一定符合法律要求,或可以免除法律责任,但是这些是数据保护机构接到有关投诉后去审查和考虑的重要因素。ICO在守则中明确提到:“起草和遵守协议本身并不向你提供任何形式的法律保障,使你免于根据数据保护立法或其他法律采取行动。但是,如果ICO收到关于你的数据共享的投诉,它将考虑这一点。”
通过这样的制度设计,企业、组织内部的合规控制流程不再仅仅是付出而无法收回的“沉没成本”(Sunk Cost),而更可以将通过这些程序获得的“沉默利益”(笔者将其定义为:通过DPIA等风险控制活动而规避的潜在安全风险)显现出来,激发企业、组织以“负责任”的方式开展数据处理活动意愿。亦言之,通过制度设计促使企业、组织内部可以从风险控制流程中获得实际的、可见的收益,风险与合规评估由单纯的成本付出活动转变为利益收益活动,形成自发推动并严格落实数据保护措施的“源发驱动力”。
近期,我国就《数据安全管理办法》等法律法规公开征求意见,全国信息安全标准化委员会也于2018年7月公布《个人信息安全影响评估指南》(征求意见稿)。个人信息安全影响评估对于国内而言仍是刚刚起步,数据监管体系与方式也在探索之中,此次ICO发布的《数据共享行为守则》不仅仅是一份合规指引性文件,更是一种构建数据治理生态的方法论。我国当前数据经济蓬勃发展的背景下,这种新型的数据安全治理模式,也许值得行业与监管部门去共同探索。
《数据共享行为守则》发布未满1个月,期间笔者还在徒步穿越130公里的乌孙古道,评述中的很多观点与思想都是在这条苍凉的古道途中形成并记录的,且囿于个人能力,有诸多不周延之处,仅做抛砖之用。(田申)