个人数据保护影响评估(DPIA)-GDPR

GDPR规定数据控制者应当在进行特定的数据处理之前进行个人数据保护影响评估,尤其是当数据处理的行为涉及自动化决策领域、大规模特殊种类的数据处理以及公共领域的大规模系统性监控等情形时。 ICO(英国信息委员办公室,也就是英国负责GDPR的监管部门)的DPIA介绍:https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/what-is-a-dpia/

什么企业必须进行DPIA?

并不是所有的企业都必须要做DPIA,但是有一部分的企业则必须进行DPIA,也就是那些“可能对自然人的权利和自由造成高风险”的情况则需要进行DPIA(Article 35(1), illustrated by Article 35(3) and complemented by Article 35(4))。由于并没有具体明确的定义说哪些情况必须进行DPIA,以下是几种常见的高风险场景:

  • 基于自动处理(包括分析)对与自然人有关的个人方面的系统和广泛的评估,并且基于这些决定对自然人产生法律效力或对自然人产生类似的重大影响;

  • 大规模地处理特殊类型或刑事犯罪数据;或

  • 大规模、系统性地监视可公开进入的场所。

以下还有9条推荐的评估标准(来源:官方的Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679

  1. 评估或评分:比如说金融机构的反洗钱和反恐怖融资或者筛选客户的欺诈数据库,或直接向消费者提供基因检测评估、预测健康风险的生物技术公司。

  2. 具有法律或类似重大影响的自动决策:旨在对数据主体做出决策的处理,产生“对自然人的法律效力”或“对自然人产生类似重大影响”(第35(3)(a)条)。例如,处理可能导致对个人的排斥或歧视。对个人影响很小或没有影响的处理不符合这一特定标准。关于这些概念的进一步解释将在即将发布的WP29分析指南中提供。

  3. 系统监控:用于观察、监测或控制数据主体的处理,包括通过网络和“公开场所的监控”。个人数据可能在数据主体不知情的情况下收集他们的数据,以及使用他们的数据。此外,个人可能无法避免公共空间中拒绝此类数据收集和处理。

  4. 敏感数据或高度个人性质的数据:包括第 9 条中定义的特殊类别的个人数据(例如有关个人政治观点的信息),以及第 10 条定义的刑事定罪或犯罪有关的个人数据。比如说,综合医院保存患者的医疗记录或私家侦探保存罪犯的详细信息。还有与家庭和私人活动相关联(例如应保护机密性的电子通信),或因为其违规行为明显对数据主体的日常生活造成严重影响(例如可能用于支付欺诈的财务数据)。该标准还可能包括个人文档、电子邮件、日记、配备笔记功能的电子阅读器的笔记以及生活记录应用程序中包含的非常个人信息等数据。

  5. 大规模的数据:GDPR没有定义什么规模算是大规模,但是官方指导文档推荐参考以下标准:

    1. 当事人的数量,可以按照特定数目,或者相关人口的比例进行计算;

    2. 正在处理的数据量或者不同数据项目的范围;

    3. 数据处理活动的持续时间,和数据的保留时长;

    4. 处理活动的地理范围。

  7. 聚合后的数据集:比如出自不同目的或者不同数据控制者聚合的两个或多个数据集,其方式将超过数据主体的合理预期。

  8. 易受攻击的数据主体的数据:处理此类数据是一个标准,因为数据主体和数据控制者之间的权力不平衡加剧,这意味着个人可能无法轻易同意或反对处理他们的数据,或行使他们的权利。易受伤害的数据主体可能包括儿童(他们可以被视为无法在知情和深思熟虑的情况下反对或同意处理他们的数据)、员工、需要特殊保护的人群中的弱势群体(精神病患者、寻求庇护者或老人、病人等),并且在任何情况下,数据主体和控制者的位置之间的关系不平衡都可以被识别出来。

  9. 创新技术:比如结合指纹和面部识别来改进物理访问控制等,物联网的应用程序。GDPR (第 35 条第 1 款和第 89 条和第 91 条)中明确定义“根据技术知识的实现状态”,可能会触发必须进行DPIA的需求。实际上,部署新技术的后果可能是未知的,应用DPIA可以帮助数据控制者了解和处理此类风险。

  10. “阻止数据主体行使权利或使用服务或者合同”的:比如,银行根据信用参考数据库筛选客户,用于确定是否向他们提供贷款的时候是不允许用户自己修改、访问的。

如何进行DPIA?

第一步:识别是否需要DPIA

新发起的项目是否涉及个人信息的收集? 如果涉及,收集的个人信息是什么类型的? 收集的数据是否符合前面的9条标准? 如果满足其中任意一条标准,则要进行DPIA。

第二步:描述处理过程

描述处理的性质

如何收集数据,存储数据和删除数据? 数据来源是什么? 是否会将数据分享给第三方?

描述处理的范围

数据类型是什么? 是否是特殊类型或者犯罪类数据? 收集和处理的数据量是多大? 处理频率? 你会保留多久? 数据涉及多少人? 数据涉及多少个国家?哪些国家?

描述处理的上下文

你与个人的关系是什么? 个人可以拥有哪些权利? 他们期望你按照这种方式使用数据么? 个人包含儿童和特殊群体么? 处理这类数据是否存在安全缺陷或者要优先考虑的地方? 是否使用了创新技术比如IoT、AI、数据湖等? 是否有任何公众关注的问题需要你考虑在内? 你是否签署了任何批准的行动计划(如果涉及个人隐私数据收集,需要内部审批流程批准执行)

描述处理的目的

你想要达到什么目的? 对个人的预期影响是什么? 处理数据的收益是什么?——对你来说,以及更广泛的范围来说

第三步:咨询流程

考虑如何咨询相关的关键人员

如何和什么时候寻求其他人的意见? 组织中还有谁需要加入进来? 是否需要处理者的协助? 是否计划咨询信息安全专家的意见?或者其他专家的意见?

第四步:评估必要性

描述合规性的措施,特别是:

你进行处理的合法依据是什么? 处理是否真正达到你的目的? 有没有其他方法可以达到相同的结果? 你将如何防止功能异变? 你将如何确保数据质量和数据最小化? 你会给个人什么信息? 你将如何帮助支持他们的权利? 你采取了哪些措施来确保处理者遵守规定? 你如何保障跨境传输的合规性?

第五步:识别和评估风险

描述风险来源和对个人的潜在影响的性质。 必要时包括相关的合规和公司风险。
影响的可能性
影响的严重程度
整体风险等级

遥远的、可能的、非常可能

最小、显著、严重

低、中、高

第六步:识别减小风险的措施

风险
减小风险的措施
对风险的作用
剩余风险
措施是否批准

完全消解、减小、接受风险

低、中、高

Yes/No

第七步:签名并记录结果

项目
姓名/职位/时间
备注

项目计划:

请将行动整合到项目计划中,并注明完成日期,负责人

批准的剩余风险:

如果接受任何剩余的高风险,请在继续之前咨询主管部门比如英国的ICO。

DPO提出的意见:

DPO应该就第6步的策略和是否进行处理从合规的角度提出意见。

总结DPO提出的意见

DPO建议接受或拒绝:

如果拒绝,你必须写明理由。

备注/评论:

咨询回复审查人:

如果你的决定与个人观点背道而驰,请提供你的理由

备注/评论:

此DPIA的审查人:

DPO应该持续审查合规性

上一页隐私保护安全评估模板下一页个人隐私数据保护自查清单

最后更新于