自2018年GDPR正式实施以来,数据保护的风险和惩罚为企业带来了更多的责任和义务,企业实务中应该怎样将数据保护问题落实到各项活动中?很多企业对此还很困惑。事实上“设计”和“默认”数据保护是GDPR风险管理中的重要因素,而且它还侧重于问责制,要求企业要能够证明自己是如何遵守其要求的。那么企业应该如何通过“设计”和“默认”数据保护来达到GDPR的要求?一些组织已采用“隐私设计方法”作出了良好实践。如果您的企业也有关于欧盟的业务,就让我们一起学习GDPR“设计”和“默认”数据保护的相关资料,帮助您对照检查自身的程序措施,来确保企业已履行了相关义务。
PS:设计数据保护的基本概念并不新鲜,曾以“设计隐私”的名义存在多年。实质上设计的数据保护是将隐私设计方法引入到数据保护法中。根据1998年法案,ICO(Information Commission’s Officer)支持这种方法,因为它帮助企业实现遵守数据保护义务。现在它是GDPR的一项法律要求。
数据保护“设计”和“默认”意味什么?
应在什么时候做?
首先,数据保护“设计”和“默认”意味着GDPR鼓励企业在设计处理程序的最初阶段,采用技术及组织措施,从一开始就保护个人数据隐私资料(“以设计方式保护资料”)。在默认情况下,企业应确保在处理个人资料时有最高的隐私保障(eg:仅处理必要的数据,设置短存储期和有限的可访问权),不让任谁都能看到并处理个人数据(“默认数据保护”)。
在什么时候做?按照GDPR的要求“在确定加工方式时” - 即当您处于任何加工活动的设计阶段时; 和“在处理本身时” - 即在处理活动的生命周期中。
换言之:考虑处理的性质,范围,背景和目的; 和您的处理对个人的权利和自由构成的风险等。企业应该在任何系统,服务,产品或流程的初始阶段通过设计开始数据保护。
GDPR第25(1)和25(2)条概述了在设计和默认情况下对数据保护的义务。GDPR原文如下:
1、考量现有技术,实施的成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者应当在决定处理方法和进行处理时,以有效的方式采取适当的技术性和组织性措施,如匿名化,其目的是实现数据保护原则,如数据最少化,并将必要的保安措施纳入处理过程,已符合被条例要求并保护数据主体的权利。
此主要说明“设计数据保护”的要求。
2、数据控制者应当采取适当技术性和组织性措施以确保,在默认情况下仅处理对各个特定处理目的必需的个人数据。该义务适用于所收集的个人数据的数量、处理程度、储存期间和访问性。特别是,这些措施应确保在默认情况下,个人数据不经认为干涉无法被不特定多数自然人访问。
此主要说明“默认数据保护”的要求。
另外,第25(3)条规定,如果企业遵守第42条规定的认可证书,可以将其作为遵守这些要求的一种证明。
3GDPR第25(3)条原文:
本条例第42条规定的经批准的认证机制可以作为符合本条第1款和第2款规定的要求的证明要素。
什么是“设计数据”保护?
事实上,设计数据保护是一种方法,让企业在任何系统,服务,产品或流程的设计阶段以及在整个产品的生命周期中考虑隐私和数据保护问题。同时企业必须将数据保护措施整合落实到企业的处理活动和业务实践中。
正如GDPR所表达的那样,它要求企业:
1、制定旨在实施数据保护原则的适当技术和组织措施;
2、将保护措施整合到企业的实际处理中,以便满足GDPR的要求保护个人权利。
设计数据保护最常见的措施是使用假名(用人工标识符替换可识别的个人资料)和加密(对资料进行编码)。另外企业在实践活动中举措还可以是:开发涉及处理个人数据的新IT系统,服务,产品和流程;制定具有隐私保护作用的组织政策,流程,业务实践和策略;物理设计方面保护个人隐私数据安全,以及提前考虑实施数据共享时的保护举措,和将个人数据用于新目的时的保护措施和合规性举措等。
什么是“默认数据”保护?
默认情况下,如果企业必须处理一些个人数据,那么企业需要在处理开始之前确定需要处理的数据范围,适当地方式通知数据主体,并且不能做出超过此目的数据处理举动。
GDPR不限制企业对用户数据的处理,但企业在收集用户个人数据之初应该考虑对数据处理的风险。通常企业默认数据保护的措施有:对系统和应用程序的任何默认设置采用“隐私优先”的保护方法;确保对从主体处收集信息时的信息提供没有虚假选项;除非数据主体同意,否则不处理其数据;确保个人数据不会自动公开给他人,除非个人决定这样做等。
默认数据保护的常见举措是从一开始就限制用户个人资料的可访问性。实质上,默认情况下的数据保护,要求企业确保仅处理实现特定目的所需的数据,涉及到数据最小化和目的限制的基本数据保护原则。
具体到企业中的个人,谁应该负责通过“设计”和“默认”遵守数据保护?
根据GDPR第25条规定,数据控制者有责任通过设计和默认遵守数据保护。但如果企业是与其他组织合作,让其代处理个人数据的,那么该组织就是GDPR下的数据处理者。GDPR第25条没有具体提到数据处理者,但在第28条中规定了在选择处理者时必须考虑的注意事项。另外根据企业的处理活动,设计”和“默认”遵守数据保护可能涉及其他方,例如制造商,产品开发人员,应用程序开发人员和服务人员等等,尽管GDPR没有要求它们遵守,但这仍然有可能归结为数据控制者的责任。
以数据控制者为例,如果企业是拥有自己的软件开发人员和系统架构师的组织类型,根据具体情况,数据控制者可以对组织内的不同部门做出不同的要求,在业务实践中确保在所有内部流程和程序中按设计嵌入数据保护。
例如:
高级管理层,可以发展“隐私意识”文化,制定数据保护的政策和程序;
软件工程师、系统架构师和应用程序开发人员,即设计系统,产品和服务的人员应考虑数据保护要求并协助数据控制者履行相应的义务等。
当然,这不适用于所有的企业。但是,设计方面的数据保护是组织范围内的数据保护方法,并将“隐私”考虑因素纳入了企业承担的任何处理活动的风险中。在考虑是否施加惩罚时,GDPR会考虑会企业在设计数据保护方面采取的技术和组织措施,并根据第25条的任何失误向企业发出执行通知。
最后,具体企业需要怎么做?
建议企业制定适当的技术和组织措施,以实施数据保护原则并保护个人权利。但是具体企业需要怎么做?这取决于企业的具体情况。如执行此操作时:尽量减少个人数据的处理;尽快假名化个人资料;确保个人数据的目的前后一致和处理的透明度;使个人能够监督处理; 和创建(和改进)安全功能等。
最后,通过“设计”和“默认”遵守数据保护可能需要企业执行比上述内容更多的操作。以上内容仅确定了企业在“设计”和“默认”遵守数据保护要考虑的要点。关键是要在任何处理活动开始就考虑数据保护问题,并采用适当的策略和措施,以便在设计和默认情况下满足数据保护的要求。根据企业的具体情况,实际进行中还请参考相关专家的建议。
PS:本文由SCA安全通信联盟结合GDPR官方文案翻译整理,转载请注明出处。https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/
SCA关注安全通信和身份认证领域,为信息安全领域提供中立、专业的认证咨询服务。欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。更多GDPR相关内容请点击下方文字链接:
GDPR从数据主体处收集信息时的信息提供,应包含哪些内容?怎样做才合规
GDPR“数据处理”、“处理安全”、“加密”分别对应哪些内容?
