第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)
众所周知,对于《通用数据保护条例》GDPR的解释和实施,欧洲数据保护委员会(European Data Protection Board,EDPB),包括其前身——第29条工作组,所发布的指导意见最为权威。经过DPO社群中热心同学的努力,第八份“EDPB及第29条工作组”的指导意见——“《关于第2016/679号条例下的透明度准则的指引》”的中文全文翻译,现在推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来。
译者序言
第29条数据保护工作组在2017年11月通过并于2018年4月修订了《关于第2016/679号条例下的透明度准则的指引》,用于对GDPR中个人数据处理的透明度义务进行解释并提供实践性指导。
根据GDPR(第5条第(1)款(a)项),除了必须合法公平地处理数据的要求之外,还需要将透明度作为体现这些原则的基本方面。透明度与公平原则和GDPR项下的问责制有着内在的联系。根据GDPR第5.2条下的问责制原则,控制者必须始终保证个人数据是在遵循透明度的要求下进行处理的。与此同时,问责制也要求数据处理行为的透明度,以便数据控制者能够证明其遵守了GDPR规定的义务数据控制者有义务实施技术和组织措施,以确保并能够证明处理是按照GDPR要求进行的。
如果非要从GDPR的诸多原则中选择一个最重要的,译者会毫不犹豫地选择“透明度要求”,故不惴浅陋对本指引进行了翻译,以供各位前进同行参考。译者将其核心要点摘列如下:
一、透明度的含义
GDPR中没有对透明度进行定义。关于数据处理背景下透明度原则的含义和效果,GDPR的 Recital 39做出了介绍:“对于自然人来说,收集,使用,咨询或者以其他方式处理有关他们的个人数据以及处理个人数据的程度都应该是透明的。透明原则要求与这些处理个人数据有关的任何信息和通信都应当易于获取和易于理解,并且使用清晰明了的语言。该原则特别涉及数据主体关于控制者身份和处理目的的信息,确保对有关自然人数据处理的公正性和透明度,以及使数据主体明确知晓及确认其数据正在被处理。
二、透明度义务的核心内容
根据GDPR第5.2条下的问责制原则,控制者必须始终保证个人数据是在遵循透明度的要求下进行处理的。与此同时,问责制也要求数据处理行为的透明度,以便数据控制者能够证明其遵守了GDPR规定的义务。透明度是GDPR中的首要义务,主要体现下以下三个核心领域:
(1)向数据主体提供与公平处理有关的信息;
(2)数据控制者如何与数据主体就其在GDPR下的权利进行沟通;
(3)数据控制者如何促进数据主体对其权利的行使。
三、GDPR中透明度的构成要素
GDPR中有关透明度原则的关键条款见第三章(数据主体的权利),主要涉及数据主体权利。第12条规定:向数据主体提供所需信息的一般规则(第13条至第14条);与行使权利的数据主体进行沟通(第15条至第22条);以及与数据泄露有关的告知(第34条)。特别是第12条要求有关的信息或沟通必须遵守以下规则:
必须简明扼要,透明,易懂,易于获取(第12.1条);
必须使用清晰明了的语言(第12.1条);
向儿童提供信息时,明确和简明的语言尤为重要(第12.1条);
必须使用书面形式“或者通过其他方式,包括在适当情况下,通过电子手段”(第12.1条);
在数据主体要求的情况下,可以口头提供(第12.1条);
通常必须免费提供(第12.5条)。
四、数字环境中的分层方法和分层隐私声明/通知
在数字环境中,考虑到需要向数据主体提供的信息量,数据控制者可以选择使用多种方法来确保透明度,例如可以采用分层方法。
WP29特别建议,应使用分层隐私声明/通知链接到必须提供给数据主体的各类信息,而不是在屏幕上的单个通知中显示所有此类信息,以防止信息疲劳。分层隐私声明/通知可以帮助解决信息完整性和可理解性之间的紧张关系,特别是允许用户可以直接链接到声明/通知中他们希望阅读的部分。
应该注意的是,分层隐私声明/通知不仅仅是需要多次点击才能获得相关信息的嵌套页面。隐私声明/通知第一层的设计和布局应使数据主体能够清楚地了解他们在个人数据被处理时可获得的信息,以及他们在何处/如何在私声明/通知的各个层面中找到详细信息。同样重要的是,分层通知的不同层中包含的信息是一致的,不能在这些层内提供相互冲突信息。
五、透明度信息的提供方式
提供透明度信息的另一种可能的方式是使用“推送”和“拉取”通知。“推送”通知涉及提供“即时”的透明度信息通知,而“拉取”通知则有助于通过权限管理,隐私面板和“了解更多”教程等方法访问信息。这些为数据主体提供了更多以用户为中心的透明度体验。
通过单一的隐私面板,数据主体可以从中查看其“隐私信息”,并通过允许或者阻止相关服务以某种方式使用其数据来管理其隐私偏好。当数据主体在各种不同的设备上使用相同的服务时,这一点尤其有用,因为无论数据主体如何使用服务,它都允许他们可以访问和控制自己的个人数据并通过隐私面板手动调整其隐私设置,还可以通过仅反映针对该特定数据主体发生的处理类型来使隐私声明/通知的个性化变得更容易。将隐私面板整合到现有的服务架构中(例如,使用与其他服务相同的设计和品牌)是可取的,因为它将确保访问和使用是直观的,并且可以有助于鼓励用户参与了解该信息,与他们在使用其他服务中的方式别无二致。这可以是一种有效的方式来证明“隐私信息”是服务的必要和不可或缺的一部分,而不是冗长的法律术语列表。
即时通知用于在与数据主体最相关的时间节点以临时方式提供特定的“隐私信息”。该方法对于在整个数据收集过程中的各个节点提供信息非常有用; 它有助于将信息的提供分散到易于理解的模块中,并减少对单个缺乏场景难以理解的隐私声明/通知的依赖。 例如,如果数据主体在线购买产品,则可以在伴随相关文本字段的弹出窗口中提供简要的说明信息。请求数据主体的电话号码的字段信息,可以解释为:例如,该数据只是为了购买的目的而收集,并且该数据仅将被披露给递送服务。
“透明度”可以说是贯穿整个GDPR合规过程中的最核心义务之一,更是控制者在数据保护方面的决心、努力和智慧的最佳体现,它要求控制者如实披露与处理有关的信息,并保证数据主体获取相关信息以及行使权利的便捷性,弥合专业知识和公众认知;避免损伤公众信任。同时W29更鼓励控制者在透明度的基础上积极探索数据保护的最佳实践,通过技术和模式创新促进全行业整体个人信息保护水平的提升。但正因为“透明度”要求的持续性和全面性,其更像是一个保障控制者落实GDPR中相应义务的整体性义务,也是各大互联网企业在进行GDPR合规工作中面临的最大挑战之一。
今年1月,法国数据监管机构CNIL对谷歌开出5000万欧元的巨额罚单,其中一个理由就是认为谷歌公司的行为违反了欧盟于2016年通过的《通用数据保护条例》中有关透明度的相关规则。主要理由包括:
第一,在落实GDPR第12条的规定时,提供信息的方法应当“容易获取”。谷歌公司未提供用户数据的便捷访问渠道,这造成用户无法理解和管理其个人信息的使用。
第二,在根据第13条要求向用户提供交流信息时,信息过于分散在不同文件中,用户必须通过多次点击才能获取不同的文件信息,过于碎片化。
谷歌一直被认为是数据合规领域的行业标杆,即便如此也会在履行透明度义务方面受到质疑甚至重罚,因此我们有必要对于这一GDPR中的“首要义务”进行反复研读和最佳实践的探索。“义务千万条,透明第一条;落实不到位,亲人两行泪。”
刘笑岑 田申
下载EDPB及第29条工作组“《关于第2016/679号条例下的透明度准则的指引》”中文全文翻译,请点击文末左下角的“阅读原文”。【提取码: bs4z】
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点