沙 龙 出 品 数据保护官沙龙（DPO Salon）公益出品 官 英国 Information Commissioner’s Office 数 据 保 护 《数据共享行为守则》（征求意见稿） 中译文 翻译：刘笑岑 田申 审校：曾海泉 蒋艾莉 2019 年 8 月 署名-非商业性使用-禁止演绎 2.5 中国大陆 1 译者序言 ICO《数据共享行为守则》 出 品 ——基于源发驱动型的数据安全生态治理 龙 2019 年 7 月 16 日，英国数据保护机构 ICO 就《数据共享行为守则》的修订情 况公开向社会征求意见（简称：守则）。守则是基于 GDPR 与英国数据保护法（DPA 2018）而编制的实践指南，旨在提供相关数据合规的指引。截止 8 月初，ICO 已经 收到了 101 条反馈意见。 官 沙 众所周知，数据共享既是数字经济与产业发展的核心环节，更是数据主体权益 保护的重大课题。数据融合对经济的促进与对个人隐私的“侵入性”效应同样显 著。更为显著的问题是，企业、组织间的数据共享活动外界感知度相对较低，对数 据主体权益可能造成的后果归因难且潜伏期长，传统的“检查—执法”监管机制难 以发挥有效作用。 据 保 护 在这一背景下，ICO 对守则修订的核心思路以“问责制”为出发点，以保护数 据主体权益为核心，通过推动组织间开展数据保护影响评估（DPIA）、订立数据共 享协议来落实企业、组织的数据保护主体责任：即企业、组织需要提供 DPIA 评估 文档、共享协议等存档资料，表明数据共享活动对数据主体、组织等各方带来或可 能带来的收益与损害，并对这些利益进行了认真的权衡，通过法律协议明确数据共 享各方的责任与义务，以证明相关数据共享活动符合 GDPR 等数据保护法律的要 求。 具体而言，守则对数据共享活动提出了相关具体要求，主要归纳为以下六点： 数 1.开展数据保护影响评估 1) 作为数据保护法规“可规则性”原则的核心抓手，守则强调即使在法律上 并未强制要求组织开展数据保护影响评估的情况下，在数据共享活动中， 组织主动遵循 DPIA 程序也是非常必要的，因为数据共享可能会导致对个 人的高风险。 2) 开展 DPIA 也是在数据共享前组织所需考虑的第一步，除了 GDPR 中规定的 应当开展 DPIA 的四种情形外，对于数据匹配（data matching）、不可见 的处理（invisible processing）、在发生数据泄露时可能对个人造成伤 2 害的信息处理等情形均需要开展 DPIA。 3) 通过 DPIA 对数据共享活动进行评估，应当综合考虑： 数据共享目的； b) 共享数据类型； c) 目的实现是否可以通过不共享数据或共享匿名化数据方式达成； d) 共享数据对个人信息主体可能造成的侵害； e) 共享数据对社会和个人潜在的收益与风险； f) 不共享数据是否会造成损害； g) 是否有任何法定限制或其他因素对数据共享的限制； h) 谁会访问这些共享数据； i) 共享数据是持续性的还是临时性； j) 共享数据的方式； k) 共享数据是否已经达成目的，是否需要继续共享数据； l) 动态重新审查 DPIA，是否有新的变化。 沙 龙 出 品 a) 官 2.订立数据共享协议 护 1) 订立数据共享协议是证明组织满足 GDPR"可归责性”要求的重要有效途 径。因为数据共享协议可以帮助所有各方明确各自的角色，明确规定数据 共享的目的，涵盖数据共享各阶段将要处理的事情以及确定数据共享的标 准。 保 2) 在订立数据共享协议中，应当包含下列内容： 数据共享的目的：为何数据共享是必要的、共享数据的具体目 的、为个人或者社会带来的好处； b) 哪些组织会参与数据共享：列明所有参与数据共享的组织，及其 DPO 和其他关键员工的联系方式，在与另一个数据控制者共享数据 时，还应当列明自身的责任，并将相关情况告知数据主体； c) 共享数据的类型：详细说明共享数据的类型，对于某些数据还应 当仅允许特定员工访问； d) 明确数据的共享的合法性基础：是以同意作为披露数据的合法基 础，那么协议可以提供一份同意书的模板，并解决有关拒绝或撤 回同意的问题； e) 记录敏感或特殊类别数据：如果共享数据设计特殊或敏感数据， 数 据 a) 3 必须根据 GDPR 或 DPA 的规定记录相应的处理条件。 3) 数据共享协议在满足上述条件外，还应当能够应对数据共享时出现的主要 实际问题，以确保参与数据共享的组织满足共享数据最小化原则，确保数 据共享准确，使用兼容格式的数据集，共同的保留或删除共享数据规则， 共同的技术和组织安全规划，处理公众请求、投诉、询问的程序，协议有 效期限以及协议终止的程序。 4) 定期复查数据共享协议，特别是在出现新情况或新的数据共享理由时。 出 品 3.贯彻“问责制”原则 1) 根据 GDPR 问责制原则，如组织进行或参与数据共享，须能证明你遵守 GDPR 有关保障数据主体权利的规定。 龙 2) 作为贯彻问责制原则的一部分，在适当的情况下，组织必须制订数据保护 政策，并采用“设计及默认方式保护数据”（ “data protection by design and default”）的方法，保护数据主体权利。即：采取适当的技 术和制度规范来确保数据保护原则的落实，并保护数据主体个人权利。 沙 3) 确保关键文档的留存，例如大型企业、组织需要保留数据处理（共享）活 动的记录，并定期对记录进行复盘。 官 4) DPIA 是问责制的组成部分，签署数据共享协议有助于企业或组织证明符合 问责制的要求。 4.确定共享数据的合法性基础 护 1) GDPR 确定了六项进行数据处理活动的合法性基础，数据共享前应至少确定 一个合法性基础。 保 2) 根据问责原则，企业或组织必须能够显示在开始数据共享之前已经考虑并 确定数据共享的合法性基础。 据 3) GDPR 中的大多数合法基础要求处理是“必要”的。评估合法性基础涉及 DPIA，这要求企业同时考虑必要性和比例性。 5.确保数据共享的公平性和透明度，保障数据主体法定权利 数 1) 公平和透明是 GDPR 中数据处理原则的核心。 2) 不能以会对他们产生不合理不利影响的方式使用他们的数据。 3) 必须确保共享个人数据是合理和相称的，以及共享个人数据的情况不会出 人意料或令人反感，除非有充分的理由。 4) 确保个人知道他们的数据正在如何被共享、处理，哪些组织在共享或获 取、访问这些数据，除非适用豁免或例外情形。 5) 共享数据之前，必须以可访问和易于理解的方式告知将如何处理他个人数 4 据。 6.安全地处理个人数据 安全措施必须与数据处理的性质、范围、背景和目的以及对个人权利和自由构 成的风险向适应，并考虑最新技术和实施成本。 出 品 通过守则对数据处理活动做出的规范指引可以发现，对数据共享等处理活动的 监管措施是通过问责制等制度安排，激发企业、组织的“源发驱动力”，通过数 据保护影响评估、共享协议等具体措施，将监管的重点由监督审查转向敦促企业、 组织“负责任”地开展数据处理与共享活动。 长期以来，数据安全评估、隐私保护合规评审都被认为是增加了企业、组织的 负担，而在问责制原则下，这些不仅是法律规定的合规要求，更是在出现可能侵犯 数据主体权益的情形出现后，数据保护机构评判责任的重要依据。 护 官 沙 龙 数据保护机构会基于风险的执法方法，根据比例原则进行评判：如果企业、组 织未开展 DPIA，未能通过协议等方式约束数据共享方的责任，导致数据主体权利 受损，则可能面临 2000 万欧元或全球营业额 4%的罚款。因为企业、组织无法证明 其切实落实了保护数据主体权益的法律要求。反之，如果在数据共享前认真进行了 DPIA，通过合同、协议等形式严格约束并认真落实，在安全事件、违约情形或第三 方因素导致的数据主体权益受损的情况下，则会根据比例原则合理界定其应当承担 的责任边界与程度。正如 ICO 在守则中表明的：“我们将始终按照我们的监管行 动政策，以有针对性和比例的方式使用我们的权力。”“我们将一如既往地执 法，同时确保商业企业不受繁文缛节的约束，或担心制裁将被不成比例地使 用。” 据 保 同样，数据共享组织之间签署协议，本身并不会确保一定符合法律要求，或可 以免除法律责任，但是这些是数据保护机构接到有关投诉后去审查和考虑的重要因 素。ICO 在守则中明确提到：“起草和遵守协议本身并不向你提供任何形式的法律 保障，使你免于根据数据保护立法或其他法律采取行动。但是，如果 ICO 收到关 于你的数据共享的投诉，它将考虑这一点。” 数 通过这样的制度设计，企业、组织内部的合规控制流程不再仅仅是付出而无法 收回的“沉没成本”（Sunk Cost），而更可以将通过这些程序获得的“沉默利 益”（笔者将其定义为：通过 DPIA 等风险控制活动而规避的潜在安全风险）显现 出来，激发企业、组织以“负责任”的方式开展数据处理活动意愿。亦言之，通 过制度设计促使企业、组织内部可以从风险控制流程中获得实际的、可见的收益， 风险与合规评估由单纯的成本付出活动转变为利益收益活动，形成自发推动并严格 落实数据保护措施的“源发驱动力”。 近期，我国就《数据安全管理办法》等法律法规公开征求意见，全国信息安全 标准化委员会也于 2018 年 7 月公布《个人信息安全影响评估指南》（征求意见 5 稿）。个人信息安全影响评估对于国内而言仍是刚刚起步，数据监管体系与方式也 在探索之中，此次 ICO 发布的《数据共享行为守则》不仅仅是一份合规指引性文 件，更是一种构建数据治理生态的方法论。我国当前数据经济蓬勃发展的背景下， 这种新型的数据安全治理模式，也许值得行业与监管部门去共同探索。 数 据 保 护 官 沙 龙 出 品 《数据共享行为守则》发布未满 1 个月，期间笔者还在徒步穿越 130 公里的乌 孙古道，评述中的很多观点与思想都是在这条苍凉的古道途中形成并记录的，且囿 于个人能力，有诸多不周延之处，仅做抛砖之用。（田申） 6 出 品 数据共享行为守则 数 据 保 护 官 沙 龙 （征求意见稿） 1 目录 前言...............................................................................................................................................................4 摘要