数据保护工作组发表的3/2010的意见,阐释了问责制的原则。[28]问责制被视为一项提升数据保护,促进数据处理行为符合法规要求的工具。数据保护工作组同时建议引入问责制,并把它作为一项结合两个要素的数据保护原则来对待,两个要素分别为实际贯彻执行数据保护的措施、程序与展示遵守这些措施、程序的能力。数据保护工作组眼中,问责制的原则可以在两个层面上实施:技术层面(如信息处理中隐私的默认设置规则、信息保护的影响性评定、数据泄露报告等)与组织层面(意欲确保数据处理行为遵守信息保护的要求,如教育工作人员,任命隐私保护官员,制定投诉处理机制等)。信息控制者有义务采用技术与组织上的措施,以一种透明的方式确保并呈现出信息处理是在遵守条例规定下进行的。所有这些都与现阶段技术发展水平,个人信息处理的本质、背景、范围、目的,信息主体享有的权利与自由,在信息处理中面临的风险相关,不仅要考虑决定信息处理的方式,也要考虑信息处理的过程。信息控制者需要表明它们所采取的技术与组织措施是充分且有效的,也需要在其所采取的措施与程序中坚持尊重信息主体的自主选择权。
(一)数据保护官与文档化管理
对于设立地在欧盟的机构来说,以下是必须设立数据保护官的法定情形:政府部门及公共机构作为信息控制者的;机构核心业务涉及以下大规模活动:日常的以及系统性的监控信息主体;处理特殊类别的个人信息,或者信息处理活动与刑事定罪相关。数据保护官的联系方式必须予以公布且向监管机构报备。
文档化管理(Documentation)。信息控制者必须全面记载其数据处理活动,做到一举一动都有据可查。包括信息控制者的联络方式、联合的信息控制者、信息处理的目的、信息的类型、信息接收者的类别以及转移至第三国的信息接收者、信息保存的时间、采取的安全保障措施等,保留有与数据处理者的合同附件。文档化管理不仅是企业内部的管理措施,而且是信息保护监管机构履行职责的重要依据。
(二)信息保护的默认设置要求
《通用数据保护条例》第24条规定了源于默认数据保护原理的信息控制者义务。考虑到现有技术,执行成本以及信息处理的性质、范围、背景和目的以及处理所造成的自然人权利和自由可能面临的不同风险,在决定信息处理的方式与信息处理的过程中,信息控制者必须采取恰当的技术、组织措施与程序规则来确保信息的处理满足条例的要求并保护信息主体的权利。现有技术发展水平、国际最佳操作实践与信息处理过程中可能面对的风险都会成为判断信息控制者采取措施是否达到标准的评价考量因素。默认的数据保护状态与信息采集的最小化原则、目的限制原则一起,在第25(1)款中得到了阐释。而个人信息的默认保护状态到底包含了哪些必须具备的内容,事实上并不清晰。2016《通用数据保护条例》将义务指向信息控制者的同时,也要求信息处理者承担上述义务。
议会的修订文本第25(2)款为默认信息保护状态指定了一个宽泛的适用范围,并对信息处理提出最少必要的要求。数据信息的默认保护应指向从信息采集、处理、存储、访问到删除的整个生命周期,系统地专注于准确性、保密性、完整性、物理安全性与个人信息删除方面,全面的程序保障,且仅处理每个具体处理目的所必需的个人数据。信息保护的默认设计与信息保护的影响性评价间存在一个明显的联系。如果已对信息保护的影响性评价进行了评估,则需要将评估的结果纳入到对信息保护设计中程序与措施的改进及发展上。当然,如果信息控制者不遵守条例规定的数据默认隐私保护的设计要求,它将面临的是高额的罚金。
(三)信息保护的影响性评定
《数据保护指令》规定了处理个人信息向监管机构通知的一般义务,这一通知义务带来了行政管理及经济上的负担,此项义务的履行并未总是有助于改善个人信息的保护。不分情形统一适用的一般通知义务,应由更为有效的程序和机制予以替代,这些程序与机制应着重于那些可能由于信息处理的性质、范围、背景、目的而对自然人的权利与自由带来高风险的行为。这种类型的处理操作可以是特别地涉及使用新技术进行信息处理的操作。
随着人们对无线射频等高新技术的广泛讨论,诸如像隐私影响评定的概念,已广为人知。[29]《通用数据保护条例》第35(1)款规定,结合信息处理的性质、范围、背景、目的考量,当信息处理的操作可能会给信息主体的权利与自由带来高风险时,特别在应用新技术的背景下,信息控制者或信息处理者需要进行信息保护的影响性评定。《通用数据保护条例》第35(3)款对应进行信息保护影响性评定的高风险行为进行了列举:(www.xing528.com)
利用自动化处理分析技术对自然人个体进行系统、广泛的评价及概括分析,且分析结果会对自然人产生重大影响时;大规模处理敏感数据,或处理与刑事定罪和犯罪有关的个人数据时;大规模对公共可访问区域进行系统监测时。
信息保护影响性评定的开展是希望限制并减少那些可能发生的违反信息保护规定的行为。如果数据保护影响评估表明信息处理操作涉及高风险,信息控制者在现有技术和实施成本方面无法通过恰当措施降低风险,则信息控制者在信息处理之前应向监管机构进行事前协商。监管机构应在收到申请的特定期限内提出处理意见,并有权采取纠正措施。
应注意到,《通用数据保护》在叙文第91条指出,当信息处理的目标定位于处理相当数量的地方性、国家性或超国家性的个人信息,并可能会影响到一个非常广泛的群体时,特别需要进行信息保护的影响性评定。事实上,这也是意将大量小型或中型的信息处理企业排除出该条的适用范围。
欧委会的草案第33(3)款规定了信息保护影响性评定应囊括的基本信息:如对信息处理操作的说明,对可能给信息主体的权利与自由带来风险的评定,对采取的确保降低风险、保护个人信息与遵守条例规定措施的说明。《通用数据保护条例》第35(7)款,对评定内容进行了修订,增加了如下信息:对所设想的信息处理操作和处理目的的系统性描述,包括在适用情形下,控制者所追求的合法利益的描述;评估与目的相关的信息处理工作的必要性和相称性;为处理风险而设计的措施,包括保障措施,安全措施和相关机制,以确保对信息主体的保护,并彰显在考虑信息主体与其他相关人士权利和合法利益的情况下,信息的处理遵守了条例的要求。
需要注意的是,欧委会草案第33(5)款规定,当信息控制者是公权力机构且它进行的信息处理是在履行一项法定义务时,不需进行信息保护的影响性评定的这一条款,在《通用数据保护条例》中已被删除。
(四)信息泄露报告
《通用数据保护条例》第4(12)款将信息泄露定义为导致偶然的或者非法的数据破坏、损失、改变、非授权的披露等。一旦意识到发生了数据泄露事故,信息控制者需要及时通知监管机构,如果可行,应不迟于知晓后72小时内,除非该泄露不会对个人权利和自由带来风险,若未在72小时内报告监管机构,延迟的原因应与信息泄露的通知一并提供。对于信息处理者而言,其应当在意识到泄露事故及风险后及时报告信息控制者。
《通用数据保护条例》第33(3)项指出,信息泄露报告中至少应当包含如下内容:关于数据泄露事故的描述,涉及的信息主体的总量、类型以及信息记录的总量;企业信息保护官的姓名和联系方式,泄露可能造成的结果,企业已经采取的止损措施。第33(5)项指出,信息控制者应当将所有的数据泄露事故予以文档化,以便监管机构能够检查其合规工作。
当个人信息泄露可能导致对自然人权利和自由造成高风险时,信息控制者应将个人数据泄露通知信息主体,且不得无故拖延。根据《通用数据保护条例》第34(3)款的规定,如果信息控制者采取了恰当的技术及组织上的保护措施,如加密技术,使得数据信息难以被一般人所理解,或者其后续采取的措施使得对信息主体权利与自由的威胁不会成为现实,则信息控制者可以不必履行数据泄露报告义务,但这些证明责任都在信息控制者。当然,信息监管机构可以否决信息控制者做出的风险判断,强制要求其做出通知。应看到,企业应当为问责制下的程序规则要求建立周密的制度安排,如信息管理流程、泄露事故发现、上报预案等,使得企业合规符合《通用数据保护条例》的要求。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。