經(jīng)過(guò)DPO社群中熱心同學(xué)的努力,英國(guó)Information Commissioner’s Office《數(shù)據(jù)共享行為守則》(征求意見(jiàn)稿)中譯文出爐了�,F(xiàn)將譯者序言貼出來(lái)。
譯者序言
ICO《數(shù)據(jù)共享行為守則》
——基于源發(fā)驅(qū)動(dòng)型的數(shù)據(jù)安全生態(tài)治理
2019年7月16日����,英國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)ICO就《數(shù)據(jù)共享行為守則》的修訂情況公開(kāi)向社會(huì)征求意見(jiàn)(簡(jiǎn)稱(chēng):守則)��。守則是基于GDPR與英國(guó)數(shù)據(jù)保護(hù)法(DPA 2018)而編制的實(shí)踐指南�����,旨在提供相關(guān)數(shù)據(jù)合規(guī)的指引����。截止8月初�,ICO已經(jīng)收到了101條反饋意見(jiàn)。
眾所周知����,數(shù)據(jù)共享既是數(shù)字經(jīng)濟(jì)與產(chǎn)業(yè)發(fā)展的核心環(huán)節(jié),更是數(shù)據(jù)主體權(quán)益保護(hù)的重大課題���。數(shù)據(jù)融合對(duì)經(jīng)濟(jì)的促進(jìn)與對(duì)個(gè)人隱私的“侵入性”效應(yīng)同樣顯著。更為顯著的問(wèn)題是���,企業(yè)��、組織間的數(shù)據(jù)共享活動(dòng)外界感知度相對(duì)較低����,對(duì)數(shù)據(jù)主體權(quán)益可能造成的后果歸因難且潛伏期長(zhǎng),傳統(tǒng)的“檢查—執(zhí)法”監(jiān)管機(jī)制難以發(fā)揮有效作用����。
在這一背景下,ICO對(duì)守則修訂的核心思路以“問(wèn)責(zé)制”為出發(fā)點(diǎn)���,以保護(hù)數(shù)據(jù)主體權(quán)益為核心�,通過(guò)推動(dòng)組織間開(kāi)展數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)���、訂立數(shù)據(jù)共享協(xié)議來(lái)落實(shí)企業(yè)����、組織的數(shù)據(jù)保護(hù)主體責(zé)任:即企業(yè)��、組織需要提供DPIA評(píng)估文檔��、共享協(xié)議等存檔資料�,表明數(shù)據(jù)共享活動(dòng)對(duì)數(shù)據(jù)主體、組織等各方帶來(lái)或可能帶來(lái)的收益與損害���,并對(duì)這些利益進(jìn)行了認(rèn)真的權(quán)衡�,通過(guò)法律協(xié)議明確數(shù)據(jù)共享各方的責(zé)任與義務(wù)��,以證明相關(guān)數(shù)據(jù)共享活動(dòng)符合GDPR等數(shù)據(jù)保護(hù)法律的要求。
具體而言�,守則對(duì)數(shù)據(jù)共享活動(dòng)提出了相關(guān)具體要求,主要?dú)w納為以下六點(diǎn):
一�、開(kāi)展數(shù)據(jù)保護(hù)影響評(píng)估
作為數(shù)據(jù)保護(hù)法規(guī)“可規(guī)則性”原則的核心抓手,守則強(qiáng)調(diào)即使在法律上并未強(qiáng)制要求組織開(kāi)展數(shù)據(jù)保護(hù)影響評(píng)估的情況下��,在數(shù)據(jù)共享活動(dòng)中��,組織主動(dòng)遵循 DPIA 程序也是非常必要的�����,因?yàn)閿?shù)據(jù)共享可能會(huì)導(dǎo)致對(duì)個(gè)人的高風(fēng)險(xiǎn)��。
開(kāi)展DPIA也是在數(shù)據(jù)共享前組織所需考慮的第一步�,除了GDPR中規(guī)定的應(yīng)當(dāng)開(kāi)展DPIA的四種情形外,對(duì)于數(shù)據(jù)匹配(data matching)�����、不可見(jiàn)的處理(invisible processing)�、在發(fā)生數(shù)據(jù)泄露時(shí)可能對(duì)個(gè)人造成傷害的信息處理等情形均需要開(kāi)展DPIA�。
通過(guò)DPIA對(duì)數(shù)據(jù)共享活動(dòng)進(jìn)行評(píng)估,應(yīng)當(dāng)綜合考慮:
數(shù)據(jù)共享目的�����;
共享數(shù)據(jù)類(lèi)型;
目的實(shí)現(xiàn)是否可以通過(guò)不共享數(shù)據(jù)或共享匿名化數(shù)據(jù)方式達(dá)成��;
共享數(shù)據(jù)對(duì)個(gè)人信息主體可能造成的侵害����;
共享數(shù)據(jù)對(duì)社會(huì)和個(gè)人潛在的收益與風(fēng)險(xiǎn);
不共享數(shù)據(jù)是否會(huì)造成損害�����;
是否有任何法定限制或其他因素對(duì)數(shù)據(jù)共享的限制��;
誰(shuí)會(huì)訪問(wèn)這些共享數(shù)據(jù)�;
共享數(shù)據(jù)是持續(xù)性的還是臨時(shí)性;
共享數(shù)據(jù)的方式�����;
共享數(shù)據(jù)是否已經(jīng)達(dá)成目的��,是否需要繼續(xù)共享數(shù)據(jù)���;
動(dòng)態(tài)重新審查DPIA�,是否有新的變化。
二��、訂立數(shù)據(jù)共享協(xié)議
訂立數(shù)據(jù)共享協(xié)議是證明組織滿(mǎn)足GDPR"可歸責(zé)性”要求的重要有效途徑���。因?yàn)閿?shù)據(jù)共享協(xié)議可以幫助所有各方明確各自的角色��,明確規(guī)定數(shù)據(jù)共享的目的�����,涵蓋數(shù)據(jù)共享各階段將要處理的事情以及確定數(shù)據(jù)共享的標(biāo)準(zhǔn)��。
在訂立數(shù)據(jù)共享協(xié)議中����,應(yīng)當(dāng)包含下列內(nèi)容:
數(shù)據(jù)共享的目的:為何數(shù)據(jù)共享是必要的���、共享數(shù)據(jù)的具體目的�����、為個(gè)人或者社會(huì)帶來(lái)的好處����;
哪些組織會(huì)參與數(shù)據(jù)共享:列明所有參與數(shù)據(jù)共享的組織����,及其DPO和其他關(guān)鍵員工的聯(lián)系方式,在與另一個(gè)數(shù)據(jù)控制者共享數(shù)據(jù)時(shí)���,還應(yīng)當(dāng)列明自身的責(zé)任��,并將相關(guān)情況告知數(shù)據(jù)主體�;
共享數(shù)據(jù)的類(lèi)型:詳細(xì)說(shuō)明共享數(shù)據(jù)的類(lèi)型����,對(duì)于某些數(shù)據(jù)還應(yīng)當(dāng)僅允許特定員工訪問(wèn);
明確數(shù)據(jù)的共享的合法性基礎(chǔ):是以同意作為披露數(shù)據(jù)的合法基礎(chǔ)�,那么協(xié)議可以提供一份同意書(shū)的模板,并解決有關(guān)拒絕或撤回同意的問(wèn)題�;
記錄敏感或特殊類(lèi)別數(shù)據(jù):如果共享數(shù)據(jù)設(shè)計(jì)特殊或敏感數(shù)據(jù),必須根據(jù)GDPR或DPA的規(guī)定記錄相應(yīng)的處理?xiàng)l件����。
數(shù)據(jù)共享協(xié)議在滿(mǎn)足上述條件外,還應(yīng)當(dāng)能夠應(yīng)對(duì)數(shù)據(jù)共享時(shí)出現(xiàn)的主要實(shí)際問(wèn)題�����,以確保參與數(shù)據(jù)共享的組織滿(mǎn)足共享數(shù)據(jù)最小化原則,確保數(shù)據(jù)共享準(zhǔn)確�,使用兼容格式的數(shù)據(jù)集,共同的保留或刪除共享數(shù)據(jù)規(guī)則���,共同的技術(shù)和組織安全規(guī)劃���,處理公眾請(qǐng)求、投訴�、詢(xún)問(wèn)的程序,協(xié)議有效期限以及協(xié)議終止的程序�����。
定期復(fù)查數(shù)據(jù)共享協(xié)議�����,特別是在出現(xiàn)新情況或新的數(shù)據(jù)共享理由時(shí)��。
三�、貫徹“問(wèn)責(zé)制”原則
根據(jù)GDPR問(wèn)責(zé)制原則,如組織進(jìn)行或參與數(shù)據(jù)共享�����,須能證明你遵守GDPR有關(guān)保障數(shù)據(jù)主體權(quán)利的規(guī)定。
作為貫徹問(wèn)責(zé)制原則的一部分���,在適當(dāng)?shù)那闆r下,組織必須制訂數(shù)據(jù)保護(hù)政策����,并采用“設(shè)計(jì)及默認(rèn)方式保護(hù)數(shù)據(jù)”( “data protection by design and default”)的方法,保護(hù)數(shù)據(jù)主體權(quán)利���。即:采取適當(dāng)?shù)募夹g(shù)和制度規(guī)范來(lái)確保數(shù)據(jù)保護(hù)原則的落實(shí)�����,并保護(hù)數(shù)據(jù)主體個(gè)人權(quán)利����。
確保關(guān)鍵文檔的留存���,例如大型企業(yè)�、組織需要保留數(shù)據(jù)處理(共享)活動(dòng)的記錄�,并定期對(duì)記錄進(jìn)行復(fù)盤(pán)���。
DPIA是問(wèn)責(zé)制的組成部分,簽署數(shù)據(jù)共享協(xié)議有助于企業(yè)或組織證明符合問(wèn)責(zé)制的要求�����。
四��、確定共享數(shù)據(jù)的合法性基礎(chǔ)
GDPR確定了六項(xiàng)進(jìn)行數(shù)據(jù)處理活動(dòng)的合法性基礎(chǔ)��,數(shù)據(jù)共享前應(yīng)至少確定一個(gè)合法性基礎(chǔ)���。
根據(jù)問(wèn)責(zé)原則��,企業(yè)或組織必須能夠顯示在開(kāi)始數(shù)據(jù)共享之前已經(jīng)考慮并確定數(shù)據(jù)共享的合法性基礎(chǔ)��。
GDPR中的大多數(shù)合法基礎(chǔ)要求處理是“必要”的����。評(píng)估合法性基礎(chǔ)涉及DPIA��,這要求企業(yè)同時(shí)考慮必要性和比例性��。
五�、確保數(shù)據(jù)共享的公平性和透明度�����,保障數(shù)據(jù)主體法定權(quán)利
公平和透明是GDPR中數(shù)據(jù)處理原則的核心���。
不能以會(huì)對(duì)他們產(chǎn)生不合理不利影響的方式使用他們的數(shù)據(jù)。
必須確保共享個(gè)人數(shù)據(jù)是合理和相稱(chēng)的�����,以及共享個(gè)人數(shù)據(jù)的情況不會(huì)出人意料或令人反感�,除非有充分的理由�。
確保個(gè)人知道他們的數(shù)據(jù)正在如何被共享、處理����,哪些組織在共享或獲取、訪問(wèn)這些數(shù)據(jù)��,除非適用豁免或例外情形�。
共享數(shù)據(jù)之前,必須以可訪問(wèn)和易于理解的方式告知將如何處理他個(gè)人數(shù)據(jù)���。
六��、安全地處理個(gè)人數(shù)據(jù)
安全措施必須與數(shù)據(jù)處理的性質(zhì)���、范圍���、背景和目的以及對(duì)個(gè)人權(quán)利和自由構(gòu)成的風(fēng)險(xiǎn)向適應(yīng),并考慮最新技術(shù)和實(shí)施成本�。
通過(guò)守則對(duì)數(shù)據(jù)處理活動(dòng)做出的規(guī)范指引可以發(fā)現(xiàn),對(duì)數(shù)據(jù)共享等處理活動(dòng)的監(jiān)管措施是通過(guò)問(wèn)責(zé)制等制度安排�,激發(fā)企業(yè)、組織的“源發(fā)驅(qū)動(dòng)力”�����,通過(guò)數(shù)據(jù)保護(hù)影響評(píng)估�����、共享協(xié)議等具體措施�����,將監(jiān)管的重點(diǎn)由監(jiān)督審查轉(zhuǎn)向敦促企業(yè)�����、組織“負(fù)責(zé)任”地開(kāi)展數(shù)據(jù)處理與共享活動(dòng)。
長(zhǎng)期以來(lái)���,數(shù)據(jù)安全評(píng)估���、隱私保護(hù)合規(guī)評(píng)審都被認(rèn)為是增加了企業(yè)、組織的負(fù)擔(dān)�����,而在問(wèn)責(zé)制原則下�����,這些不僅是法律規(guī)定的合規(guī)要求���,更是在出現(xiàn)可能侵犯數(shù)據(jù)主體權(quán)益的情形出現(xiàn)后,數(shù)據(jù)保護(hù)機(jī)構(gòu)評(píng)判責(zé)任的重要依據(jù)�����。
數(shù)據(jù)保護(hù)機(jī)構(gòu)會(huì)基于風(fēng)險(xiǎn)的執(zhí)法方法�����,根據(jù)比例原則進(jìn)行評(píng)判:如果企業(yè)、組織未開(kāi)展DPIA�,未能通過(guò)協(xié)議等方式約束數(shù)據(jù)共享方的責(zé)任,導(dǎo)致數(shù)據(jù)主體權(quán)利受損���,則可能面臨2000萬(wàn)歐元或全球營(yíng)業(yè)額4%的罰款�。因?yàn)槠髽I(yè)����、組織無(wú)法證明其切實(shí)落實(shí)了保護(hù)數(shù)據(jù)主體權(quán)益的法律要求。反之����,如果在數(shù)據(jù)共享前認(rèn)真進(jìn)行了 DPIA,通過(guò)合同�����、協(xié)議等形式嚴(yán)格約束并認(rèn)真落實(shí)�,在安全事件、違約情形或第三方因素導(dǎo)致的數(shù)據(jù)主體權(quán)益受損的情況下��,則會(huì)根據(jù)比例原則合理界定其應(yīng)當(dāng)承擔(dān)的責(zé)任邊界與程度����。正如ICO在守則中表明的:“我們將始終按照我們的監(jiān)管行動(dòng)政策���,以有針對(duì)性和比例的方式使用我們的權(quán)力。”“我們將一如既往地執(zhí)法�����,同時(shí)確保商業(yè)企業(yè)不受繁文縟節(jié)的約束�����,或擔(dān)心制裁將被不成比例地使用�。”
同樣,數(shù)據(jù)共享組織之間簽署協(xié)議���,本身并不會(huì)確保一定符合法律要求��,或可以免除法律責(zé)任����,但是這些是數(shù)據(jù)保護(hù)機(jī)構(gòu)接到有關(guān)投訴后去審查和考慮的重要因素�����。ICO在守則中明確提到:“起草和遵守協(xié)議本身并不向你提供任何形式的法律保障��,使你免于根據(jù)數(shù)據(jù)保護(hù)立法或其他法律采取行動(dòng)��。但是����,如果ICO收到關(guān)于你的數(shù)據(jù)共享的投訴,它將考慮這一點(diǎn)�����。”
通過(guò)這樣的制度設(shè)計(jì)��,企業(yè)�����、組織內(nèi)部的合規(guī)控制流程不再僅僅是付出而無(wú)法收回的“沉沒(méi)成本”(Sunk Cost)����,而更可以將通過(guò)這些程序獲得的“沉默利益”(筆者將其定義為:通過(guò)DPIA等風(fēng)險(xiǎn)控制活動(dòng)而規(guī)避的潛在安全風(fēng)險(xiǎn))顯現(xiàn)出來(lái),激發(fā)企業(yè)�、組織以“負(fù)責(zé)任”的方式開(kāi)展數(shù)據(jù)處理活動(dòng)意愿。亦言之��,通過(guò)制度設(shè)計(jì)促使企業(yè)、組織內(nèi)部可以從風(fēng)險(xiǎn)控制流程中獲得實(shí)際的����、可見(jiàn)的收益,風(fēng)險(xiǎn)與合規(guī)評(píng)估由單純的成本付出活動(dòng)轉(zhuǎn)變?yōu)槔媸找婊顒?dòng)�����,形成自發(fā)推動(dòng)并嚴(yán)格落實(shí)數(shù)據(jù)保護(hù)措施的“源發(fā)驅(qū)動(dòng)力”�����。
近期�,我國(guó)就《數(shù)據(jù)安全管理辦法》等法律法規(guī)公開(kāi)征求意見(jiàn),全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)也于2018年7月公布《個(gè)人信息安全影響評(píng)估指南》(征求意見(jiàn)稿)�。個(gè)人信息安全影響評(píng)估對(duì)于國(guó)內(nèi)而言仍是剛剛起步,數(shù)據(jù)監(jiān)管體系與方式也在探索之中�,此次ICO發(fā)布的《數(shù)據(jù)共享行為守則》不僅僅是一份合規(guī)指引性文件,更是一種構(gòu)建數(shù)據(jù)治理生態(tài)的方法論���。我國(guó)當(dāng)前數(shù)據(jù)經(jīng)濟(jì)蓬勃發(fā)展的背景下�����,這種新型的數(shù)據(jù)安全治理模式,也許值得行業(yè)與監(jiān)管部門(mén)去共同探索。
《數(shù)據(jù)共享行為守則》發(fā)布未滿(mǎn)1個(gè)月����,期間筆者還在徒步穿越130公里的烏孫古道,評(píng)述中的很多觀點(diǎn)與思想都是在這條蒼涼的古道途中形成并記錄的����,且囿于個(gè)人能力,有諸多不周延之處��,僅做拋磚之用���。(田申)
