【前言】2016年,威斯汀研究中心(the Westin Research Center)發表了一系列文章,分析了對歐盟通用數據保護條例的十大運營影響的分析。現在,隨著2018年5月25日,GDPR實施的最後期限即將到來,IAPP將發佈一個系列,以展示我們的成員在預期的GDPR實現中所做的常見的實際組織反應。以下是專家認為的最有效的十項應對GDPR的行動方案:
1) 進行數據清點和映射
2)為數據處理和跨境轉移建立合法的基礎
3)建立和維護一個數據治理系統,包括設立負責人
4) 進行數據保護影響評估,以及設計和默認數據保護
5) 準備、進行數據保存,記錄保存的政策和系統
6) 滿足信息透明度要求和履行通信義務
7) 配置系統,並進行適當的處理以滿足數據主體的權利
8) 時刻為數據洩漏通知做準備
9) 一個完善的供應商管理(處理者)協議
10) 建立與數據保護部門溝通的系統和渠道
本文是該系列的第4部分,主要討論隱私風險分析,包括風險管理程序如數據保護影響評估(DPIAs),以及默認和設計數據保護。前三篇文章討論的數據映射和清點、數據處理的合法基礎以及數據治理系統在本篇文章中均有涉及。
數據保護影響評估、設計和默認保護
(Data protection impact assessments and data protectionby default and by design)
一、數據處理風險評估
GDPR中規定的數據保護方法存在一定的風險。控制者或處理者的法律責任取決於數據處理風險的可能性和嚴重性。立法法案說明第76條規定,應在客觀基礎上進行風險評估,即確定數據處理是否涉及風險或涉及高風險。"當初步風險評估表明個人隱私權利存在潛在的高風險時,控制者有義務根據GDPR進行數據保護影響評估。
風險評估不僅要定期進行,而且還要在開始新的數據處理和應用新的處理工具時進行。立法法案說明第75條認為風險"能導致身體、物質或非物質的損害,特別是:在處理過程中可能產生歧視、身份盜竊或欺詐、財務損失、名譽受損、個人資料的秘密性喪失、未經授權的撤銷假名、或其他重大經濟或社會不利因素……"
在開始數據保護影響評估之前,首先要進行風險評估。因為不是所有的數據處理都需要DPIAs。此外,不能把所有的行動都歸為數據保護影響評價,因為可能會觸發不合理的監管合規義務並削弱數據保護影響評估的運行意義。
數據保護影響評估、隱私影響評估(PIAs)和風險評估之間的區別並不明顯。考慮到數據處理的複雜性以及風險本身的概念,業界人士常常把三者混為一談,這是可以理解的。本篇文章中的"風險評估"是指數據處理的初始分析,主要目的是確定風險級別以及是否應該進行數據保護影響評估。
二、如何進行數據處理風險評估
風險評估可以通過各種方式進行,包括人工處理、電子表格、電子郵件和麵對面的會議,以及為此類活動開發的工具。它們通常涉及一套標準的問題,旨在確定數據主體的權利和自由面臨的高風險。根據英國信息專員辦公室的建議,在進行DPIA之前應該搞清楚以下問題:
(1)項目是否涉及新的個人信息的收集?
(2)項目是否要求個人提供有關自己的信息?
(3)項目是否包括可能對個人產生重大影響的行動或決策?
(4)組織應該考慮到風險的來源(例如,非法訪問、個人數據丟失、重新定位、基於數據的歧視等),並預計風險的可能性和嚴重性。雖然沒有標準的行為程序,但是可以參考CNIL的隱私風險管理方法和NIST的風險管理框架。
(5)其他風險分析框架,例如未來隱私論壇對自動決策的潛在危害的分析,適用於特定企業處理。
如果項目涉及侵犯隱私的新技術 (例如生物測定或面部識別),或收集的信息涉及隱私 (例如,健康或犯罪記錄),或會以侵犯隱私的方式聯繫當事人,則可能需要進行數據保護影響評估。
三、何時需要數據保護影響評估?
2018年5月25日GDPR生效之後,數據保護影響評估成為了某些組織的強制性義務,這些組織從事"很可能會對自然人的權利和自由造成極大風險"的數據處理。
GDPR提供了一份非常詳盡的列表,要求強制進行數據保護影響評估。例如:數據處理涉及自動化處理數據以便對個人進行系統和廣泛的評估,對大規模敏感數據的處理,或者是"大規模的公共訪問區域的系統監控" 。"相反地,在一些情況下,企業免除數據保護影響評估的義務。當數據處理已獲授權或處理的法律依據是歐盟或成員國法律時,組織不需要進行數據保護影響評估。不太可能導致高風險的數據處理也不需要進行數據保護影響評估。
第29條工作小組(WP29)提供了幾條經驗法則,可作為判斷數據處理符合"高風險"的依據。也就是說,如果組織從事下列任何一種數據處理活動,就應該考慮數據保護影響評價:
(1)分析、評估數據主體或為數據主體評分(如用於預測目的)。
(2)自動化決策
(3)系統化監控
(4)處理敏感數據或高度個人化的數據
(5)大規模數據處理
(6)匹配或組合數據集
(7)處理弱勢數據主體的個人數據
(8)使用新方案或應用新技術處理個人數據。
四、如何實施數據保護影響評價
數據保護影響評價的第一個任務就是進行初步的風險評估,即系統地評估組織的數據處理及其目的。初步風險評估的結果以及數據清點和數據映射可以作為DPIA的起點。如果數據處理的法律依據沒有記錄在案,那麼應該在此階段明確處理的法律依據。
GDPR並沒有明確定義數據保護影響評價,但它認為DPIA至少應包含詳細的處理目的描述、數據處理活動的"必要性和相稱性的評估"、"評估數據主體的權利和自由的風險"以及"為應對風險而設想的措施"。
數據保護影響評價是公司用來管理數據處理風險的工具。控制者應"徵詢數據主體或其代表的意見",並與他們數據保護官進行商議,同時進行數據保護影響評價。充分考慮信息生命週期各個階段(從收集到保存到傳播)所特有的不同風險是至關重要的。
數據保護影響評估應該由內部人員和外部人員共同參與。愛爾蘭數據保護專員(DPC)建議,精通相關業務項目的人應該領導數據保護影響評估。愛爾蘭數據保護專員(DPC)還建議,缺乏數據保護經驗和專業知識的組織以及可能涉及眾多數據主體的高風險項目最好使用外部DPIA專家。此外它強調,"廣泛的內部協商"有利於數據處理的人員(如開發人員、工程師和公共關係團隊)獲得反饋,也有利於更好地與外部利益相關者就DPIAs的結果進行溝通。
數據保護官員常常在數據保護影響評價中使用技術工具。例如,Avepoint和OneTrust都為IAPP成員提供了PIA和DPIA自動化工具,可以用來定製特定問題、標記風險、生成指標和報告。
進行DPIA的組織一旦發現並記錄了數據風險,應著手確定並實施應對措施。一般而言,風險處理包括各種措施,如:
(1)決定不進行產生風險的活動;消除風險來源;改變風險的可能性或後果;
(2)避免風險;
(3)承擔風險;或與另一方或各方分擔風險(例如通過承包或融資)。
然而,風險緩解措施本身也帶來了新的風險,因此認識這些風險也很重要。例如,創建第三方關係來處理風險(例如,與身份提供者進行身份驗證服務的契約),如果第三方未能或不充分履行其所約定的功能、錯誤管理數據或不遵守相關的法律法規,就會增加組織的風險。
由於每個組織的數據處理都是唯一的,所以沒有兩個完全一樣的數據保護影響評價。因此,應該採取具體措施來減輕DPIA中識別到的風險,這不僅取決於所確定的威脅,還取決於該組織本身的數據保護方案和性質。具體的安全和隱私措施包括訪問控制、隱私意識和法律培訓以及在發生不利事件時制定應急計劃。對數據進行加密、將個人數據保持在最小值、重新識別數據是控制者或處理者減輕風險的具體措施。與決策者交流和分享風險評估的結果可以幫助減少組織的風險暴露。
立法法案說明第84條,如果控制者不能通過適當的措施來降低數據處理的風險,那麼在進行數據處理之前,必須與監管機構協商。為此建立一個與DPA溝通的渠道很重要。這將是本系列的後續文章的主題。
在控制者和處理者之間,確保DPIAs的最終責任落到數據控制者上。然而,正如第29條工作組所解釋的那樣,"處理者應該協助控制者執行DPIA並提供任何必要的信息。為了達到DPIA的目的,第35條規定"在評估數據處理影響風險時應充分考慮遵守經批准的行為守則"。
綜上所述,公司應該定期進行DPIAs。在GDPR中,控制者必須不斷地嚴格評估其處理活動所帶來的風險,以便確定哪種類型的處理"可能會對自然人的權利和自由造成高風險"。
五、設計和默認數據保護
除了要求數據控制者進行數據保護影響評估外,GDPR還強制要求控制者設計和默認數據保護。
GDPR第25條列出了這些義務,"適當的技術和組織措施,如匿名化,旨在實現數據保護原則,例如數據最小化,……並將必要的保障措施納入到處理中。"這些措施應遵循目的限制原則,即個人數據只有對於特定目的的數據處理是必要的時,才可以在默認情況下被處理"。"收集的數據量,數據處理的範圍,以及存儲和可訪問性的時間是默認數據保護的基本考慮因素。
雖然"設計數據保護"和"默認數據保護"是重疊的,並且經常是交替使用的,但它們之間還是有區別的。Ruth Boardman認為了默認數據保護的常見例子是社交媒體的設置。正如Facebook的用戶所知,一個帖子可以與所有好友(以及任何被標記的朋友)分享,也可以與特定的朋友群體分享,也可以讓Facebook上的所有人都能看到。默認情況下的數據保護意味著系統被預先配置為最有利於隱私的設置(例如,只有特定的朋友才會共享帖子),除非數據主體自願或主動地改變它。從本質上講,默認情況下的數據保護構建了一個數據處理操作,"為了保護他們的隱私,個人需要採取行動"。這種措施是默認內置在系統中的。
實踐中我們常常看到,正如數據處理風險評估和DPIAs建立在數據清點和映射的結果上一樣,設計的數據保護也建立在數據處理風險評估和DPIAs的結果之上。實際上,設計的數據保護應該"取決於隱私風險",尤其是DPIAs識別出的風險。
然而,設計的數據保護並不是簡單地將補丁應用到已識別的隱私風險上。正如傑森克羅克在IAPP白皮書中所言,"設計的數據保護的本質是一開始就要考慮到隱私,而不是在侵犯隱私後想出一堆解決方案。""設計的數據保護被認為是一種整體的或戰略性的設計方法,而不是針對隱私威脅的措施清單,它需要從一開始就促進隱私和數據保護。""事實上,組織應該通過設計程序來創建數據保護,而不是努力去控制所有可能的細節。"
最後,設計的數據保護需要了解業務和隱私程序。應該考慮到當前項目的成熟度、行業、組織收集的個人信息類型,以及它們的風險水平。此外,設計的數據保護不僅要考慮到隱私環境(包括立法、監管、行業和司法的隱私要求),還要考慮組織的文化。對於大型組織來說,保持定期內部審計也是必不可少的。他們通常擁有信息或能夠進行實況調查,以幫助隱私專業人員利用可用資源。
六、結論
企業並非一定要通過設計和默認數據保護程序將數據保護理念植入到數據管理程序中。隱私專業人士應根據組織的規模、需求以及其運營所在的行業,確定最佳方案。
雖然《通用數據保護條例》中的數據影響風險評估要求和默認、設計數據保護的要求會讓人生畏,但公司可以在各個團隊中分配運營責任來減少監管負擔,包括產品、工程、技術、客戶服務、人力資源、業務開發等等。
總之,數據保護決不是一次性工作,它要求公司在一開始,就持續採用不斷更新的步驟、方法、產品、提升計劃和解決方案來予以實現。
作者∣Muge Fazlioglu,布盧明頓印第安納大學的Maurer法學院法律和社會科學博士,她是應用網絡安全研究中心的研究員,同時也是法律、倫理和應用研究中心的研究員,並擔任法律研究和寫作課程的助教。她的主要研究方向是隱私、數據保護、通信法律、風險管理和信息技術使用的社會文化方面。她對影響數據保護的個人層面因素進行跨學科和比較研究。她的博士論文研究了基於風險的隱私和數據保護方法以及在歐盟和美國風險管理中信息敏感性的作用。她的研究發表在國際數據隱私法和各種會議上,包括國際交流協會和阿姆斯特丹隱私會議。Muge Fazlioglu同時還持有瑞典斯德哥爾摩大學的法學碩士學位,以及來自土耳其馬爾馬拉大學的法學碩士學位。
翻譯∣陳德志律師、孫清律師助理
閱讀更多 百律 的文章
