经过DPO社群中热心同学的努力，英国Information Commissioner’s Office《数据共享行为守则》（征求意见稿）中译文出炉了。现将译者序言贴出来。

译者序言

ICO《数据共享行为守则》

——基于源发驱动型的数据安全生态治理

2019年7月16日，英国数据保护机构ICO就《数据共享行为守则》的修订情况公开向社会征求意见（简称：守则）。守则是基于GDPR与英国数据保护法（DPA 2018）而编制的实践指南，旨在提供相关数据合规的指引。截止8月初，ICO已经收到了101条反馈意见。

众所周知，数据共享既是数字经济与产业发展的核心环节，更是数据主体权益保护的重大课题。数据融合对经济的促进与对个人隐私的“侵入性”效应同样显著。更为显著的问题是，企业、组织间的数据共享活动外界感知度相对较低，对数据主体权益可能造成的后果归因难且潜伏期长，传统的“检查—执法”监管机制难以发挥有效作用。

在这一背景下，ICO对守则修订的核心思路以“问责制”为出发点，以保护数据主体权益为核心，通过推动组织间开展数据保护影响评估（DPIA）、订立数据共享协议来落实企业、组织的数据保护主体责任：即企业、组织需要提供DPIA评估文档、共享协议等存档资料，表明数据共享活动对数据主体、组织等各方带来或可能带来的收益与损害，并对这些利益进行了认真的权衡，通过法律协议明确数据共享各方的责任与义务，以证明相关数据共享活动符合GDPR等数据保护法律的要求。

具体而言，守则对数据共享活动提出了相关具体要求，主要归纳为以下六点：

一、开展数据保护影响评估

• 作为数据保护法规“可规则性”原则的核心抓手，守则强调即使在法律上并未强制要求组织开展数据保护影响评估的情况下，在数据共享活动中，组织主动遵循 DPIA 程序也是非常必要的，因为数据共享可能会导致对个人的高风险。

• 开展DPIA也是在数据共享前组织所需考虑的第一步，除了GDPR中规定的应当开展DPIA的四种情形外，对于数据匹配（data matching）、不可见的处理（invisible processing）、在发生数据泄露时可能对个人造成伤害的信息处理等情形均需要开展DPIA。

• 通过DPIA对数据共享活动进行评估，应当综合考虑：

1. 数据共享目的；

2. 共享数据类型；

3. 目的实现是否可以通过不共享数据或共享匿名化数据方式达成；

4. 共享数据对个人信息主体可能造成的侵害；

5. 共享数据对社会和个人潜在的收益与风险；

6. 不共享数据是否会造成损害；

7. 是否有任何法定限制或其他因素对数据共享的限制；

8. 谁会访问这些共享数据；

9. 共享数据是持续性的还是临时性；

10. 共享数据的方式；

11. 共享数据是否已经达成目的，是否需要继续共享数据；

12. 动态重新审查DPIA，是否有新的变化。

    
    

二、订立数据共享协议

• 订立数据共享协议是证明组织满足GDPR"可归责性”要求的重要有效途径。因为数据共享协议可以帮助所有各方明确各自的角色，明确规定数据共享的目的，涵盖数据共享各阶段将要处理的事情以及确定数据共享的标准。

• 在订立数据共享协议中，应当包含下列内容：

1. 数据共享的目的：为何数据共享是必要的、共享数据的具体目的、为个人或者社会带来的好处；

2. 哪些组织会参与数据共享：列明所有参与数据共享的组织，及其DPO和其他关键员工的联系方式，在与另一个数据控制者共享数据时，还应当列明自身的责任，并将相关情况告知数据主体；

3. 共享数据的类型：详细说明共享数据的类型，对于某些数据还应当仅允许特定员工访问；

4. 明确数据的共享的合法性基础：是以同意作为披露数据的合法基础，那么协议可以提供一份同意书的模板，并解决有关拒绝或撤回同意的问题；

5. 记录敏感或特殊类别数据：如果共享数据设计特殊或敏感数据，必须根据GDPR或DPA的规定记录相应的处理条件。

• 数据共享协议在满足上述条件外，还应当能够应对数据共享时出现的主要实际问题，以确保参与数据共享的组织满足共享数据最小化原则，确保数据共享准确，使用兼容格式的数据集，共同的保留或删除共享数据规则，共同的技术和组织安全规划，处理公众请求、投诉、询问的程序，协议有效期限以及协议终止的程序。

• 定期复查数据共享协议，特别是在出现新情况或新的数据共享理由时。

  
  

三、贯彻“问责制”原则

• 根据GDPR问责制原则，如组织进行或参与数据共享，须能证明你遵守GDPR有关保障数据主体权利的规定。

• 作为贯彻问责制原则的一部分，在适当的情况下，组织必须制订数据保护政策，并采用“设计及默认方式保护数据”（ “data protection by design and default”）的方法，保护数据主体权利。即：采取适当的技术和制度规范来确保数据保护原则的落实，并保护数据主体个人权利。

• 确保关键文档的留存，例如大型企业、组织需要保留数据处理（共享）活动的记录，并定期对记录进行复盘。

• DPIA是问责制的组成部分，签署数据共享协议有助于企业或组织证明符合问责制的要求。

四、确定共享数据的合法性基础

• GDPR确定了六项进行数据处理活动的合法性基础，数据共享前应至少确定一个合法性基础。

• 根据问责原则，企业或组织必须能够显示在开始数据共享之前已经考虑并确定数据共享的合法性基础。

• GDPR中的大多数合法基础要求处理是“必要”的。评估合法性基础涉及DPIA，这要求企业同时考虑必要性和比例性。

五、确保数据共享的公平性和透明度，

保障数据主体法定权利

• 公平和透明是GDPR中数据处理原则的核心。

• 不能以会对他们产生不合理不利影响的方式使用他们的数据。

• 必须确保共享个人数据是合理和相称的，以及共享个人数据的情况不会出人意料或令人反感，除非有充分的理由。

• 确保个人知道他们的数据正在如何被共享、处理，哪些组织在共享或获取、访问这些数据，除非适用豁免或例外情形。

• 共享数据之前，必须以可访问和易于理解的方式告知将如何处理他个人数据。

六、安全地处理个人数据

安全措施必须与数据处理的性质、范围、背景和目的以及对个人权利和自由构成的风险向适应，并考虑最新技术和实施成本。

通过守则对数据处理活动做出的规范指引可以发现，对数据共享等处理活动的监管措施是通过问责制等制度安排，激发企业、组织的“源发驱动力”，通过数据保护影响评估、共享协议等具体措施，将监管的重点由监督审查转向敦促企业、组织“负责任”地开展数据处理与共享活动。

长期以来，数据安全评估、隐私保护合规评审都被认为是增加了企业、组织的负担，而在问责制原则下，这些不仅是法律规定的合规要求，更是在出现可能侵犯数据主体权益的情形出现后，数据保护机构评判责任的重要依据。

数据保护机构会基于风险的执法方法，根据比例原则进行评判：如果企业、组织未开展DPIA，未能通过协议等方式约束数据共享方的责任，导致数据主体权利受损，则可能面临2000万欧元或全球营业额4%的罚款。因为企业、组织无法证明其切实落实了保护数据主体权益的法律要求。反之，如果在数据共享前认真进行了 DPIA，通过合同、协议等形式严格约束并认真落实，在安全事件、违约情形或第三方因素导致的数据主体权益受损的情况下，则会根据比例原则合理界定其应当承担的责任边界与程度。正如ICO在守则中表明的：“我们将始终按照我们的监管行动政策，以有针对性和比例的方式使用我们的权力。”“我们将一如既往地执法，同时确保商业企业不受繁文缛节的约束，或担心制裁将被不成比例地使用。”

同样，数据共享组织之间签署协议，本身并不会确保一定符合法律要求，或可以免除法律责任，但是这些是数据保护机构接到有关投诉后去审查和考虑的重要因素。ICO在守则中明确提到：“起草和遵守协议本身并不向你提供任何形式的法律保障，使你免于根据数据保护立法或其他法律采取行动。但是，如果ICO收到关于你的数据共享的投诉，它将考虑这一点。”

通过这样的制度设计，企业、组织内部的合规控制流程不再仅仅是付出而无法收回的“沉没成本”（Sunk Cost），而更可以将通过这些程序获得的“沉默利益”（笔者将其定义为：通过DPIA等风险控制活动而规避的潜在安全风险）显现出来，激发企业、组织以“负责任”的方式开展数据处理活动意愿。亦言之，通过制度设计促使企业、组织内部可以从风险控制流程中获得实际的、可见的收益，风险与合规评估由单纯的成本付出活动转变为利益收益活动，形成自发推动并严格落实数据保护措施的“源发驱动力”。

近期，我国就《数据安全管理办法》等法律法规公开征求意见，全国信息安全标准化委员会也于2018年7月公布《个人信息安全影响评估指南》（征求意见稿）。个人信息安全影响评估对于国内而言仍是刚刚起步，数据监管体系与方式也在探索之中，此次ICO发布的《数据共享行为守则》不仅仅是一份合规指引性文件，更是一种构建数据治理生态的方法论。我国当前数据经济蓬勃发展的背景下，这种新型的数据安全治理模式，也许值得行业与监管部门去共同探索。

《数据共享行为守则》发布未满1个月，期间笔者还在徒步穿越130公里的乌孙古道，评述中的很多观点与思想都是在这条苍凉的古道途中形成并记录的，且囿于个人能力，有诸多不周延之处，仅做抛砖之用。（田申）

下载英国Information Commissioner’s Office《数据共享行为守则》（征求意见稿）中译文，请点击文末左下角的“阅读原文”。【提取码:bdpc】

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）

19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译（DPO沙龙出品）

20. 英国ICO《广告技术和实时竞价的更新报告》中译文（DPO社群出品）

21. “FTC与Facebook达成和解令的新闻通告”全文翻译（DPO社群出品）

22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者（DPO沙龙出品）

23. FTC与Facebook“2019和解令”全文翻译（DPO社群出品）
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第九期数据保护官沙龙纪实：《个人信息安全规范》修订研讨
    

11. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

12. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南

13. 第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益

14. 第十三期DPO沙龙纪实：厘清《数据安全管理办法》中的重点条款

15. 第十四期DPO沙龙纪实：梳理《个人信息出境安全评估办法（征求意见稿）》的评估流程

16. 第十五期DPO沙龙纪实：SDK非洪水猛兽，但如果“作恶”乱收集信息，谁来管？
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告

13. 【时评】ICO对英国航空和万豪国际开出巨额罚单，GDPR执法强硬时代来临！
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察

31. 使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）

32. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

33. “惟危惟微，允执厥中”：对《数据安全管理办法》中“定向推送”部分的思考

34. 《儿童个人信息网络保护规定（征求意见稿）》评析：与美国COPPA对比的视角

35. 网安法中的“范围”如何理解和落地：从头条案说起

36. 《数据安全管理办法》的监管诉求及文本改进建议：DPO社群的现场讨论

37. 数据安全的内部和外部视角初探
    

38. 《个人信息出境安全评估办法》的流程改进建议：DPO社群的现场讨论

39. 评价GDPR一周年：一些正负面观点

40. GDPR与相关数据保护法律处罚案例调研（DPO社群成员观点）

41. 个人信息侵权纠纷类型化试解（DPO社群成员观点）

42. 英法两国对 AdTech和广告类SDK的监管案例分析

43. 金控监管办法草案发布 有望扫清信息共享障碍（DPO社群成员观点）

44. GDPR对用户画像的合规要求分析（DPO社群成员观点）
    

45. IAPP新加坡会议上关于27701的Panel和PPT

46. FTC vs Facebook：50亿美元和解令的来龙去脉（DPO社群成员观点）