第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)
众所周知,无论是欧盟个人数据保护95指令还是《通用数据保护条例》GDPR,第29条工作组发布的指导意见最为权威。经过DPO社群中热心同学的努力,第四份第29条工作组的指导意见——《关于自动化个人决策目的和识别分析目的准则》的中文翻译现在推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来
译者序言
在2018年5月生效的GDPR中首次规定了识别分析(profiling)和自动化决策。识别分析和自动化决策在人工智能和大数据发展领域具有重要的作用。比如,通过行为分析制定人群画像,进而进行定向广告。再比如,通过对驾驶行为分析车主的驾驶习惯等,进而判断保险费率等。在未来很长的一段时间内,该两项行为的运用会更加广泛。
但是,如本准则中第29条工作组所指出的识别分析与自动化决策可能给个人权利和自由带来重大的风险。比如算法本身的复杂与不透明,导致用户不理解自己的个人数据如何被处理并推荐。再比如单独地自动化决策可能产生法律或类似重大影响,如贷款是否批准等。
因此,GDPR对识别分析和自动化决策做了对数据主体保护的特殊法律规则,包括透明性要求、数据处理的特定法律基础、用户权利等。本准侧中对特殊规定进行了阐释。
首先,本准则对识别分析与自动化决策的定义进行了分别阐释。识别分析核心在于对自然人某些方面的分析进而预测自然人的行为、特征等。单独地自动化决策核心在于无人工干预仅通过技术手段作出决策。识别分析和自动化决策的范围有不同之处但也可能有重叠。如自动化决策不必然通过识别分析,识别分析后也不必然需要作出自动化决策。
其次,本准侧阐述了针对自动化决策的特殊规定。GDPR第22条作为基本规则,作出了禁止性规定,指出“数据主体有权不接受单独地基于自动化处理得出决定的制约。这种自动化处理包括会对他或她产生法律影响或近似重大影响的识别分析。”仅在第22条规定的例外条件下可以实施,并需要保障用户的知情权(告知存在自动化决策、涉及的逻辑以及处理的后果)、访问权以及不受自动化决策影响的权利,且采取安全保障措施。
再次,本准则阐述了识别分析和自动化决策的一般规定:
数据保护原则,包括合法、公平和透明(即要求该类活动提升对用户的透明度,且保证处理公平合法),进一步处理与目的限制(若该类活动超过原收集目的的则应当另行获得处理的合法基础),数据最小化(数据收集和使用应当限于最小化而不能为了未来的识别分析、自动化决策收集更多数据),准确性(应当有验证和确保数据持续准确的措施),存储限制(在目的履行后应当删除,而不能为了机器学习而长期保存用户数据);
处理的合法基础,包括同意等;
特殊类型的数据,如性取向、政治信仰等,需要注意的是包括识别分析推导出的此特殊类型数据;
数据主体的权利,包括知情权(告知识别分析以及基于画像作出决策);访问权(提供用于识别分析的个人数据以及用于创建画像的数据等);更正权、删除权(二者适用于创建画像的数据以及画像本身或者评分本身);限制处理权;拒绝权(除非有高于数据主体的利益外的合理理由用户有权拒绝以及拒绝定向广告)。
最后,本准侧还针对儿童的识别分析的特殊规定以及数据控制者在识别分析和自动化场景下的数据保护影响评估。
此外,本准侧附录来列举了良好实践建议,作为参考。
我们作为公司法务,位于隐私数据合规一线工作者,建议各位参考本准则确定本公司是否存在识别分析和自动化决策,建议在隐私政策或隐私说明中阐述此类活动,提升透明度等,并在内部建立用户权利实现、数据保护影响评估等措施。我们将会持续关注此类活动指引的立法动态,法律与实践的结合下的进一步发展,也非常欢迎大家来信与我们讨论(请发邮件至zhulingfeng@xiaomi.com)。
朱玲凤
下载第29条工作组《关于自动化个人决策目的和识别分析目的准则》中文全文翻译,请点击文末左下角的“阅读原文”。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点