【前言】2016年,威斯汀研究中心(the Westin Research Center)發表了一系列文章,分析了對歐盟通用數據保護條例的十大運營影響的分析。現在,隨著2018年5月25日,GDPR實施的最後期限即將到來,IAPP將發佈一個系列,以展示我們的成員在預期的GDPR實現中所做的常見的實際組織反應。
以下是專家認為的最有效的十項應對GDPR的行動方案:
1)進行數據清點和映射
2)為數據處理和跨境轉移建立合法的基礎
3)建立和維護一個數據治理系統,包括設立負責人
4) 進行數據保護影響評估,以及設計和默認數據保護
5) 準備、進行數據保存,記錄保存的政策和系統
7) 配置系統,並進行適當的處理以滿足數據主體的權利
8) 時刻為數據洩漏通知做準備
9) 一個完善的供應商管理(處理者)協議
10) 建立與數據保護部門溝通的系統和渠道
本文是這個系列的第六部分,介紹了GDPR的透明度要求,以及各組織針對隱私聲明採取實際措施。
(Transparency and privacy notices)
一、通知數據主體數據處理
全球範圍內最常見的隱私保護實踐是"通知和選擇",它通常涉及控制者網站上解釋數據處理和安全實踐的聲明。至少"選擇不做交易"給了數據主體不與組織共享數據的機會。
GDPR中的"通知"是指透明度,它是本條例的中心主題。第5條所述責任的核心原則之一是要求"以透明的方式處理與數據有關的個人數據。"立法法案說明第60條,透明度原則保障數據主體有權瞭解任何涉及其數據的處理活動的存在和目的。透明度還會增加數據主體對數據處理的信任,因為透明度原則允許數據主體瞭解處理過程,允許其在必要時提出質疑。
二、披露要求
GDPR的第13條、第14條以及歐洲委員會的相關指導意見規定了了何時應信息披露和哪些信息必須披露。具體運用取決於數據控制者獲得個人數據的途徑。如果數據直接來源於數據主體,那麼適用第13條。但如果個人數據來源於第三方——比如購買一份線索清單,或者通過贊助活動得到與會者的名字——那麼應該運用第14條規定。
然而綜合來看,這兩個條款中必須披露的信息類型是相似的。控制器需要保證隱私注意事項(以下討論)在其網站上清晰可見,並且可通過商業電子郵件來提供隱私聲明。當數據主體的聯繫信息是被第三方提供時,至少應該放一個隱私聲明的鏈接。最後,大部分需要披露的信息與數據主體行使數據訪問權時所需要的信息相似,因此透明度披露可以在不同的地點和環境中使用。
如果數據是直接從數據主體獲得的,則第13條要求"在獲得個人數據時"就進行披露,披露內容包括:
1、控制者的身份和詳細聯繫方式,適當時還要提供代表人和數據保護官的身份和詳 細聯繫方式
2、處理的目的和法律基礎。這些信息可以從數據映射和清點中獲得,但應該在隱私通知中以簡單明瞭的語言進行解釋。
3、控制者或第三方所追求的合法利益。這反映了本組織根據第六條進行的合法基礎分析。
4、數據映射和清點以及第30條數據記錄保存將告知下列必要的透明度披露:
· 個人數據的接收者或接受者類型
· 向第三國或國際組織轉移個人資料,以及轉移理由是否充分或基於第46條或第47條或第49條(1)條,並提及適當的保障措施。
· 數據的保留時間,或者確定保留時間的標準。
5、有關數據訪問權、糾正權、刪除權、限制處理權或反對權以及數據可移植性權利的描述。
6、如果數據處理的法律依據是主體同意,應告知數據主體其享隨時撤回權,在撤回之前不影響數據處理的合法性。
7、向監管當局申訴權的描述。
8、個人資料的提供是否是法律或合約所要求的,還是訂立合約所必需的。資料當事人是否有義務提供個人資料,以及未提供的可能後果。
9、第22條第1款和第4款中的任何自動決策,包括概要分析,以及對數據主體進行這種處理的意義和設想的後果。
如果控制者打算處理已收集的個人數據,但處理目的已發生改變,則必須在新處理之前通知數據主體,並提供任何相關的進一步信息。
根據第13條,控制者僅在數據主體已經掌握了信息的情況下,才可免於披露要求。(百律注:其實GDRP還約定了其他豁免情形,詳見《數據控制者的合法利益與義務》之"7、數據處目的改變告知義務")"希望利用此條免責的公司應該注意——第29條工作組指出,控制人員必須記錄數據主體的信息、接收方式和時間,以及此後未發生實質性變化。"此類文件可以是第30條數據處理記錄的範本。
當第三方獲得數據時,第14條要求控制者額外披露13條以外的以下信息:
(1)處理中涉及的個人數據類別;
(2)個人資料來源的來源,包括是否來自於公眾可訪問的來源。
這必須在獲得個人數據後的合理時間內完成,至少在一個月內。"除非控制者直接與數據主體進行通信,或者將信息傳遞給另一個第三方,否則必須立即進行信息披露。"
適用第14條的企業有許多免除適用的情況,但工作組強調例外情況應狹義解釋。例外情況包括資料當事人優先佔有資料;在信息披露方面不可能或不成比例的努力(例如,為科學或歷史研究目的或統計目的而獲取個人數據),此時公開發布的隱私聲明就足夠了;當會員國法律另有規定時;個人資料必須保密,受歐盟或成員國法律保密義務的約束包括法定的保密義務。
舉個例子,歷史研究者們已經獲得了50年前收集的大數據集,但從那以後一直未更新,也沒有任何數據對象的聯繫方式,這可能符合第14條的例外情形。當銀行不通知賬戶持有人直接將數據交給金融執法機構時,可能會適用專業的保密豁免,即使在後一種情況下,為了與透明度原則達成一致,銀行也應向所有新客戶提供"一般條款",告知其個人數據可能會被用於反洗錢活動。
根據第12條第1項以及立法法案說明第39條和第58條,隱私聲明應該是簡潔的,透明的,易懂的,容易獲得的,使用"清晰明瞭的語言,可視化的"。"如果處理涉及到一個孩子,那麼信息的披露應該要能被孩子理解。
第29工作小組建議應該定期檢查信息、隱私聲明是否符合可理解性要求,以確保"信息溝通、隱私聲明仍然是針對實際受眾的"。"霍爾測試"或"實時用戶測試"應在處理之前進行,並進行記錄。"第29工作小組強調不要使用過於複雜的句子和語言結構,並警告組織不要用"抽象或矛盾的術語"來表達政策或者為不同的解釋留出空間,特別是在處理目的和法律基礎上。鼓勵組織避免使用被動語態或不確定的限定符,如"或許"、"可能"、"一些"、"經常"和"可能"。"在更廣泛的透明度背景下,特別是在可理解性要求方面,指導建立具體的知情同意是有用的。
在適當的情況下,可以以書面形式、口頭或電子格式通知數據主體。在網站的每一頁上都能清楚看到隱私聲明。網站的佈局和格式不能被篡改,讓隱私聲明更難被發現。例如,改變隱私政策的超鏈接的大小或顏色,從而使其更具挑戰性,從而違背可訪問性的要求。
工作組建議,通過應用程序收集個人數據時,在線商店應該在下載之前滿足透明度要求。"一般來說,這意味著菜單功能應該包括與相關政策相關的"隱私"或"數據保護"選項。
第29工作小組建議在網絡環境中使用"分層"的隱私聲明,保障數據主體能直接找到隱私聲明的任何部分,而不需要滾動大量的文本。有效的分層通知不止是一組嵌套的網頁,第一層的設計和佈局應該是這樣的:數據主體對信息有清晰的概覽並且只需要擴展更多的細節。組織應謹慎避免提供不同政策層面的衝突信息。微軟的隱私聲明是一個很好的分層隱私聲明的例子。
英國信息專員辦公室還提供瞭如何有效地組織隱私聲明的指導。ICO重申了隱私聲明應該包含的要點,包括控制者的身份、收集的個人數據的用途,以及所有數據共享人的身份。同樣明智的做法是,為組織的DPO(或者在沒有DPO的情況下處理主題訪問請求的人)提供顯著的識別和提供聯繫信息。
四、分層隱私通知的替代方案
第29工作小組表明了幾種提供透明信息的方法,以代替或添加分層的隱私聲明。這些包括"即時"的推送通知,或權限管理界面和"瞭解更多"選項。"即時"通知將提供與數據主體最相關的特定隱私信息,例如,在網購時彈出一個框,請求購買者的電話號碼。應該解釋該信息只在必要時被處理,並且只會被披露給相關發貨服務商。
跨多設備提供服務的組織應當允許數據主體在多個環境中訪問和控制其個人數據。
透明度必須始終基於數據收集和處理的情況;儘管第29工作小組鼓勵控制者用電子或在線的方式提供電子隱私聲明,但有時也需要其他形式的披露。替代方案可包括書面說明或傳單、信息圖表或通過郵局簽訂的合同;通過電話提供的口頭說明,由真人或系統自動提供,其中包括訪問更詳細信息的選項;圖標、語音提醒、二維碼、短信或書面信息,包括物聯網設備;或者是可見、真實的標誌或者閉路電視或無人機的記錄。
特殊要求適用於任何符合第22條第(1)款規定的自動化數據處理。工作組已經發布了相關指導。廣泛地說,自動數據處理的組織有義務告知數據主體正在發生的事情,並且"找到簡單的方法來告訴數據主體背後的基本原理,或者是在作出決定時所依賴的標準。"工作組建議,披露應側重於自動處理的"真實的、切實的可能影響的實例"。例如,如果一個數據主體的年齡會將其放入特定的營銷材料類別中,那麼該組織應該解釋,提供他們的年齡將使他們接觸到特定的和有針對性的營銷材料。
儘管立法法案說明第60條允許使用標準化的圖標作為組織的透明度披露的一部分,但是使用這些圖標"不應該替換數據主體的權利行使所必需的信息。""以電子形式呈現的圖標應該是機器可讀的,儘管在其他情況下使用圖標可能是合適的。例子可能包括物理文件、物聯網設備的外觀或設備包裝,或者關於Wi-Fi追蹤或閉路電視記錄的公開通知。任何用於透明目的的圖標的使用,都要根據歐洲委員會即將作出的、使其含義和許可用途標準化的決定。
五、結論
透明度是GDPR的核心原則之一。公司必須避免用"同意方框"簡單應付第13條和第14條中規定的具體披露內容。透明度原則要求公司不僅要確保包含所有授權的信息,而且要以可讀的、可理解的格式呈現。在履行透明度義務時,公司應記住,GDPR的基本目標是為每個數據主體提供有關其個人數據的任何處理的必要信息,以及他或她的權利與該處理相關的信息,以便數據主體決定是否行使這些權利。
作者∣Lee Matheson (李·馬西森),是美國俄亥俄州立大學莫里茨法學院的一名應屆畢業生,他曾是俄亥俄州刑法期刊 (Ohio State Journal ofCriminalLaw)的一員。李在六年級參加完模擬審訊比賽後,就對法律很感興趣。作為一名在校生,李在注意到他瀏覽器裡的橫幅廣告的那一刻,就意識到自己將從事數據隱私保護領域。他在丹尼森大學獲得了政治學學士學位。作為一名俄亥俄州的法律系學生,李通過暑期在國土安全隱私部門的實習接觸到不同的隱私保護的實踐。李是一家專門小律所的職員,他是丹尼斯·赫希和達科塔·盧塞德教授的研究助理。在法律實踐之外,李喜歡打高爾夫球,他是棋盤遊戲的狂熱愛好者。
翻譯∣陳德志律師、孫清律師助理
閱讀更多 百律 的文章
