他山之石: EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(下)
作者:陈际红 吴佳蔚 杨润
前情回顾
2019年11月13日,欧盟数据保护委员会(European Data Protection Board,EDPB)发布了《关于GDPR第25条设计和默认的数据保护指南》公开征求意见稿(以下简称《指南》)(Guidelines 4/2019 on Article 25 Data Protection by Design and by Default,version for public consultation),上文中我们就设计的默认的数据保护基本概念及《指南》回答了那些问题进行了介绍与分析,以下将在此基础上重点关注《指南》推荐了哪些措施及对企业的合规启示。
《指南》推荐了哪些措施?
《指南》重点介绍了如何通过DPbDD实现对数据保护基本原则的充分遵守,针对各项数据保护基本原则提出DPbDD的关键要素(key elements)。《指南》列出的各项关键要素对于企业选取适当的技术和组织措施具有十分重要的参考意义。
1.透明性原则
点击图片可查看大图
2.合法性原则
点击图片可查看大图
3.公平性原则
点击图片可查看大图
4.目的限制原则
点击图片可查看大图
5.数据最小化原则
点击图片可查看大图
6.准确性原则
点击图片可查看大图
7.存储限制原则
点击图片可查看大图
8.完整性与保密性
点击图片可查看大图
合规启示
DPbDD对于个人数据保护合规意义重大,一直以来都是个人数据保护相关规范制定的重点话题之一。除《指南》以外,西班牙数据保护机构AEPD(Agencia Española de Protección de Datos)在EDPB发布《指南》前不久发布了《设计的隐私保护指南》(A Guide to Privacy by Design)。此外,作为国际隐私管理最新成果的ISO 27701(ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南)中也将设计和默认的隐私保护作为控制者和处理者的义务之一。
无独有偶,全国信息安全标准化技术委员会(SAC/TC260)于2019年5月28日提出的《信息安全 个人信息安全工程指南》(征求意见稿)也充分体现了设计和默认的隐私保护的精神,通过对需求分析、产品设计、产品开发、测试审核、发布等阶段个人信息保护的具体要求,进而确保产品本身即可满足个人信息保护的相关要求。
从设计源头实现合规,DPbDD强调产品本身即合规的理念是个人数据保护合规工作的大势所趋,企业在进行个人数据保护合规工作、搭建个人数据保护体系的过程中可参考《指南》及相关规范、标准,在产品设计之初即充分考虑并落实各项合规要求,在业务发展的同时平衡隐私保护的理念,向用户提供合规产品,建立用户信任,提高市场竞争能力。
点击阅读
他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(上)
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
吴佳蔚
北京办公室 知识产权部
杨润
北京办公室 知识产权部
作者往期文章推荐:
《他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(上)》
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |《网络安全审查办法(征求意见稿)》出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。