查看原文
其他

他山之石: EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(上)

陈际红 等 中伦视界 2020-09-01

作者:陈际红 吴佳蔚 杨润

2019年11月13日,欧盟数据保护委员会(European Data Protection Board,EDPB)发布了《关于GDPR第25条设计和默认的数据保护指南》公开征求意见稿(以下简称《指南》)(Guidelines 4/2019 on Article 25 Data Protection by Design and by Default,version for public consultation),对GDPR第25条的条文内容进行了解析,并就设计和默认的数据保护如何实现进行了阐释。于10月份新近发布的《个人信息安全规范》征求意见稿亦在最新版本中做出了与之相类似的个人信息安全工程的规定。从产品、服务开发之初即考虑数据保护的相关要求并在数据处理的全生命周期内贯彻设计和默认隐私保护,正在成为下一阶段企业深入合规所应关注的重点。在下文中,我们将对指南内容进行重点介绍,并结合行业实践及我国相关规定为企业如何践行设计和默认的数据保护、提升数据保护合规能力提出相应建议。


基本概念



GDPR第25条所规定的设计和默认的数据保护(Data Protection by Design and by Default,以下简称为“DPbDD”)源于设计的隐私保护(Privacy By Design)的概念,该概念最早由Dr. Ann Cavoukian在20世纪70年代提出,并在90年代纳入第95/46/EC号欧盟数据保护指令(RL 95/46/EC Data Protection Directive)[1]。相较于此前将设计的隐私保护作为一种推荐的良好实践,GDPR则将DPbDD作为一项法律要求。尽管设计的隐私保护(Privacy By Design)与设计的数据保护(Data Protection by Design)并不完全相同,其较为成熟的原则及实践在个人数据保护的语境下仍可适用[2]



设计的数据保护(Data Protection by Design)


GDPR第25条第(1)款规定:考虑到行业最新水平、实施成本及处理的性质、范围、目的和内容以及处理给自然人的权利与自由造成的影响,数据控制者应当在决定数据处理方式以及进行处理时以有效的方式采取适当的组织和技术措施,例如采取匿名化措施实施数据最小化原则,并实施必要的保障措施以符合本条例要求,保护数据主体权利。


据此,设计的数据保护是指在任何系统、服务、产品或流程的设计阶段以及全生命周期中充分考虑数据保护问题,从本质上来说,就是要将数据保护集成到数据处理活动和业务实践当中。


默认的数据保护(Data Protection by Default)


GDPR第25条第(2)款规定:数据控制者应当采取适当的技术和组织措施,以确保在默认情况下仅在具体目的的必要范围内处理个人数据。该义务适用于收集的个人数据的数量、处理范围、存储期限及数据的可访问性。尤其需要注意的是,所采取的措施应当确保在默认情况下非经数据主体的介入,其个人数据不得被不特定数量的自然人访问。


据此,默认的数据保护是指在默认情况下仅处理目的所需的个人数据,与目的限制原则及数据最小化原则息息相关。默认的数据保护要求在数据处理开始前确定所要处理的数据,以适当的方式充分告知数据主体并在整个处理过程中仅在目的范围内进行处理。


设计的隐私保护基本理念


实现设计的隐私保护并不以牺牲产品经济效益为代价,应当遵循以下基本理念[3]

点击图片可查看大图


《指南》主要内容



EDPB发布的《指南》进一步明确了GDPR第25条的内容及实践要求,主要包括适用范围、条文分析、如何通过DPbDD实现数据保护基本原则、认证、实施与推荐等六个方面,可概括为两个部分:《指南》回答了哪些问题?《指南》推荐了哪些措施?


《指南》回答了哪些问题?


1.履行DPbDD义务应达到何种效果?


根据GDPR第25条及序言第78条,《指南》指出履行DPbDD义务有两大目的:实现数据保护原则以及保护数据主体权利和自由。《指南》中说明,法律法规不规定具体的技术和组织措施,数据控制者所采取的措施可实际有效地实现上述目的并且可论证说明其有效性即可。


2.何种数据处理角色需履行DPbDD义务?


根据GDPR第25条的规定,DPbDD义务明确适用于数据控制者(因其有权决定数据处理的目的及方式),EDPB在《指南》中认为数据处理者及技术提供者(technology provider)同样需参考以协助数据控制者充分履行合规义务。


3.何时需履行DPbDD义务?


从时机上看,无论是在设计数据处理活动之初决定处理的目的及方式时,还是在数据处理活动全流程中,均需履行DPbDD义务以实现持续合规。


4.履行DPbDD义务时需考虑何种因素?


履行DPbDD义务,尤其是实现设计的数据保护,应当充分考虑如下因素:①先进性:即所采取的措施是否处于行业的最新水平,在数据处理活动全流程中均需持续评估其先进性;②实施成本:即财务、时间、人力等成本,《指南》强调高额成本不能成为不合规的理由;③数据处理活动本身:即数据处理活动的性质、范围、内容及目的;以及④数据处理活动可能给数据主体基本权利和自由造成影响的风险。GDPR是风险控制的法案,应当采取与风险程度相适应的技术和组织措施。


5.企业如何得益于履行DPbDD义务?


根据《指南》,若企业作为数据控制者,在规划、确定数据处理方式的最初阶段即考虑DPbDD的要求,可更好地履行各项基本原则、实现GDPR合规;数据控制者可针对所设涉及的数据处理活动进行DPbDD认证并以此作为市场竞争优势。若企业作为数据处理者或技术提供者,可更好地协助数据控制者履行合规义务;数据控制者提出DPbDD要求的,可充分实现并以此作为竞争优势。


6.如何取得相关认证?


根据GDPR第25条第(3)款及《指南》,数据控制者据GDPR第42条取得的DPbDD认证可作为相应的合规证明。根据GDPR第42条及EDPB于2019年6月4日发布的《关于依据GDPR第42、43条进行认证及确定认证标准的指南》3.0版(Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation),认证可以由各个成员国数据保护机构进行,也可以由第三方进行,需结合数据处理活动所在国家或地区的实际情况判断认证机构及认证标准。

[注] 

[1] (46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processing; whereas it is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected.

[2] UK ICO(Information Commission’s Office)-Guide to the General Data Protection Regulation (GDPR)-Accountability and governance-Data Protection by design and default

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/

[3] Ann Cavoukian, Ph.D. Information & Privacy Commissioner Ontario, Canada. Privacy by Design: The 7 Foundational Principles, Jan 2011 https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdfAnn Cavoukian, Ph.D. Information & Privacy Commissioner Ontario, Canada. Operationalizing Privacy by Design. A guide to implementing strong privacy practices, Dec 2012 http://www.ontla.on.ca/library/repository/mon/26012/320221.pdf


预告:下篇中我们将重点介绍《指南》推荐的合规措施以及对企业的合规启示,敬请期待。



The End

 作者简介

陈际红  律师


北京办公室  合伙人

业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网

吴佳蔚


北京办公室  知识产权部

杨润


北京办公室  知识产权部

作者往期文章推荐:

《《密码法》的“放管”之道》

《执法风暴下的大数据爬虫合规之路》

《当数据合规遇见资本市场:从墨迹IPO被否谈起 (下)》

《当数据合规遇见资本市场:从墨迹IPO被否谈起 (上)》

《未成年人个人信息保护:案例、监管与合规》

《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》

《国家安全更聚焦 |《网络安全审查办法(征求意见稿)》出新招》

《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》

《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》

等保2.0国家标准颁布,看十大“硬核”变化

《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》

《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》

《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》

《四部门重拳出击App个人信息乱象,企业如何有效应对?》

《电商法元年面面观 | 新时期跨境电商企业合规要点图鉴》

《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》

《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》

《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》

《盘点2018 | 致敬数据合规元年,网络安全年度法律评论》

《新机遇 新挑战 | 公安机关网络安全执法的常态化之路》

《PIA指南来了 | 数据保护合规,企业应该怎么做?》

《挑战与应对 | 企业视角的GDPR,几个重要看点》

《企业如何适用<个人信息安全规范>》

《<网络安全法>执法案件汇总及执法重点分析》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存