查看原文
其他

第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

朱玲凤 网安寻路人 2020-02-26

众所周知,无论是欧盟个人数据保护95指令还是《通用数据保护条例》GDPR,第29条工作组发布的指导意见最为权威。经过DPO社群中热心同学的努力,第四份第29条工作组的指导意见——《关于自动化个人决策目的和识别分析目的准则》的中文翻译现在推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来





译者序言

 

在2018年5月生效的GDPR中首次规定了识别分析(profiling)和自动化决策。识别分析和自动化决策在人工智能和大数据发展领域具有重要的作用。比如,通过行为分析制定人群画像,进而进行定向广告。再比如,通过对驾驶行为分析车主的驾驶习惯等,进而判断保险费率等。在未来很长的一段时间内,该两项行为的运用会更加广泛。


但是,如本准则中第29条工作组所指出的识别分析与自动化决策可能给个人权利和自由带来重大的风险。比如算法本身的复杂与不透明,导致用户不理解自己的个人数据如何被处理并推荐。再比如单独地自动化决策可能产生法律或类似重大影响,如贷款是否批准等。


因此,GDPR对识别分析和自动化决策做了对数据主体保护的特殊法律规则,包括透明性要求、数据处理的特定法律基础、用户权利等。本准侧中对特殊规定进行了阐释。


首先,本准则对识别分析与自动化决策的定义进行了分别阐释。识别分析核心在于对自然人某些方面的分析进而预测自然人的行为、特征等。单独地自动化决策核心在于无人工干预仅通过技术手段作出决策。识别分析和自动化决策的范围有不同之处但也可能有重叠。如自动化决策不必然通过识别分析,识别分析后也不必然需要作出自动化决策。


其次,本准侧阐述了针对自动化决策的特殊规定。GDPR第22条作为基本规则,作出了禁止性规定,指出“数据主体有权不接受单独地基于自动化处理得出决定的制约。这种自动化处理包括会对他或她产生法律影响或近似重大影响的识别分析。”仅在第22条规定的例外条件下可以实施,并需要保障用户的知情权(告知存在自动化决策、涉及的逻辑以及处理的后果)、访问权以及不受自动化决策影响的权利,且采取安全保障措施。


再次,本准则阐述了识别分析和自动化决策的一般规定:


  1. 数据保护原则,包括合法、公平和透明(即要求该类活动提升对用户的透明度,且保证处理公平合法),进一步处理与目的限制(若该类活动超过原收集目的的则应当另行获得处理的合法基础),数据最小化(数据收集和使用应当限于最小化而不能为了未来的识别分析、自动化决策收集更多数据),准确性(应当有验证和确保数据持续准确的措施),存储限制(在目的履行后应当删除,而不能为了机器学习而长期保存用户数据);

  2. 处理的合法基础,包括同意等;

  3. 特殊类型的数据,如性取向、政治信仰等,需要注意的是包括识别分析推导出的此特殊类型数据;

  4. 数据主体的权利,包括知情权(告知识别分析以及基于画像作出决策);访问权(提供用于识别分析的个人数据以及用于创建画像的数据等);更正权、删除权(二者适用于创建画像的数据以及画像本身或者评分本身);限制处理权;拒绝权(除非有高于数据主体的利益外的合理理由用户有权拒绝以及拒绝定向广告)。


最后,本准侧还针对儿童的识别分析的特殊规定以及数据控制者在识别分析和自动化场景下的数据保护影响评估。


此外,本准侧附录来列举了良好实践建议,作为参考。


我们作为公司法务,位于隐私数据合规一线工作者,建议各位参考本准则确定本公司是否存在识别分析和自动化决策,建议在隐私政策或隐私说明中阐述此类活动,提升透明度等,并在内部建立用户权利实现、数据保护影响评估等措施。我们将会持续关注此类活动指引的立法动态,法律与实践的结合下的进一步发展,也非常欢迎大家来信与我们讨论(请发邮件至zhulingfeng@xiaomi.com)。

                                                                                             朱玲凤




下载第29条工作组《关于自动化个人决策目的和识别分析目的准则》中文全文翻译,请点击文末左下角的“阅读原文”。

 



关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存