欧盟《通用数据保护条例》(GDPR)第35条引入了“数据保护影响评估”(Data Protection Impact Assessment,DPIA),体现了风险规制路径,只有在某种类型的数据处理“可能对自然人的权利和自由造成高风险”的情形下才需要执行DPIA。第29条工作组针对DPIA以及如何确定数据处理活动是否 “可能导致高风险”发布了《数据保护影响评估与判断数据处理活动是否可能导致高风险指南》(Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679,以下简称“《指南》”)。DPIA通过描述数据处理过程,评估数据处理的必要性与适当性,进而确定处理措施帮助数据控制者降低在数据处理的过程中可能对自然人的权利与自由造成的风险。DPIA是建立和证明控制者合规的过程,亦是重要的问责工具,在确保数据控制者遵守GDPR设定的责任要求上发挥着重要作用。2018年10月16日,希腊数据保护机构(HELLENIC DATA PROTECTION AUTHORITY)在《指南》的基础上,制定了“数据保护影响评估的处理操作类型清单”(List of the kind of processing operations which are subject to the requirement for a data protection impact assessment according to article 35 par. 4 of GDPR,以下简称《清单》),并将根据数据处理技术或操作模式的革新发展对《清单》每两年定期修订一次,或不定期进行实时修订。
一、法律依据
GDPR第35条第4款提出,监管机构应当制定并公布一份处理操作类型清单,并将该清单传达给欧洲数据保护委员会(EDPB)。处理操作类型清单中应当明确,当某种类型的数据处理活动(尤其是适用新技术所进行的处理)极有可能对自然人的权利与自由带来高风险时,在综合考虑处理的性质、范围、语境与目的后,数据控制者应当在开展数据处理之前评估计划的处理进程对个人数据保护的影响。若多项高风险处理活动属于同一种类,那么此时仅对其中某一项活动进行评估即可。
如果本清单涉及的处理活动包括向数据主体提供商品或服务、监测其在若干成员国的行为、或可能对个人数据在欧盟内的自由流动产生重大影响,则根据GDPR所确立的一致性机制,各国监管机构应当相互合作。
Ø 法条链接
欧盟GDPR第35条 数据保护影响评估
1.当某种类型的处理——特别是适用新技术进行的处理——可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估预期处理进程对个人数据保护的影响。若多项高风险处理活动属于同一种类,那么此时仅对其中某一项活动进行评估即可。
2.如果控制者已经指定了数据保护官,当其进行数据保护影响评估时,控制者应当向数据保护官寻求意见。
3.在如下情形中开展第1款所述的数据保护影响评估是尤其必需的:
(a)对与自然人相关的个人因素进行系统性与全面性的评价,此类评价建立在自动化处理包括用户画像基础上的,并且其决策对自然人产生法律影响或类似重大影响;(b)以大规模处理的方式处理第9(1)条所规定的特定类型的数据,或者和第10 条规定的定罪与违法相关的个人数据;或者 (c)以大规模的方式系统性地监控某个公众可以访问的空间。
4.监管机构应当建立并公开一个清单,列明符合第1款所要求的数据保护影响评估的处理操作的类型。监管机构应当将此类清单告知第68 条所述欧盟数据保护委员会。
5.监管机构还可以建立一个公开性清单,列明符合不需要进行数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知欧盟数据保护委员会。
6.在设置第4款与第5款所规定的清单之前,当此类清单涉及到为数据主体提供商品或服务,或者涉及到对多个成员国行为的监管,或者可能实质性地影响欧盟内部个人数据的自由流动,主监管机构应当首先适用第63 条规定的一致性机制。
7.评估应当至少包括:(a)对计划的处理操作和处理目的的系统性描述,以及——如果适用的话——对控制者所追求的正当利益的描述;(b)对和目的相关的处理操作的必要性与相称性进行分析;(c)对第1款规定的对数据主体的权利与自由带来的风险的评估;(d)结合数据主体和其他相关个人的权利与正当利益,采取的有计划的风险应对措施,包括保障个人数据保护和证明遵循本条例的安全保障、措施和机制。
8.评估相关控制者或处理者的处理操作影响时,特别是评估数据保护影响时,应当合理考虑其对第40 条所规定的已生效的行为准则的遵守。
9.在合适的情形下,如果其不影响保护商业或公共利益或处理操作的安全性,控制者应当咨询数据主体或数据主体代表对于其预期处理的意见。
10.当基于第6(1)条(c)或(e)项而进行的处理符合欧盟或成员国为控制者制定涉及到处理操作的法律,并且在制定其法律基准时已经进行了作为一般性影响评估一部分的数据保护影响评估时,第1 至7 款则不适用,除非成员国认为有必要在处理活动前进行此类评估。
11.必要时,控制者应当进行核查,评估处理是否是符合数据保护影响评估,至少当处理操作所带来的风险存在变化时,应进行核查。
二、制定背景
除了GDPR第35第1款所提到的“可能对自然人的权利和自由造成高风险”之外,该条第3款罗列了必须适用DPIA的三种情形:(1)对与自然人相关的个人因素进行系统性与全面性的评价,此类评价建立在自动化处理(包括用户画像)基础上的,并且其决策对自然人产生法律影响或类似重大影响;(2)以大规模处理的方式处理那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、性生活或性取向相关的数据,或者和定罪与违法相关的个人数据;(3)以大规模的方式系统性地监控某个公众可以访问的空间。
为了提供一套更加具体的操作细则,《指南》提出应当考虑以下九个标准来确定是否执行DPIA
1. 评估或评分,包括剖析和预测,尤其是从“与数据主体的工作表现、经济状况、健康、个人偏好或兴趣、可靠性或行为、位置或移动有关的方面”。
- 具有法律或类似重大影响的自动决策:旨在对数据主体作出决策,产生“与自然人有关的法律影响”或“对自然人产生类似重大影响”的处理。这种处理可能导致对个人的排斥或歧视,对个人影响很小或没有影响的处理不符合此特定标准。
- 系统监测:用于观察、监测或控制数据主体的处理,包括通过网络收集的数据或对公众可访问区域的系统监测。这种类型的监控是一项标准,因为在数据主体可能不知道谁在收集数据以及如何使用数据的情况下,可能会收集个人数据。此外,个人可能无法避免在公共(或公众可进入的)空间受到此类处理。
- 敏感数据或高度个人性质的数据。
- 大规模处理的数据。关于“大规模”的具体标准可参考以下方面:所涉及的数据主体的数量或相关人口的百分比;正在处理的数据量或不同数据项的范围;数据处理活动的持续时间或永久性;处理活动的地理范围等。
- 匹配或组合数据集。例如,源于两个或多个数据处理操作的数据集,这些操作处于不同目的或由不同的数据控制者以超出数据主体合理预期的方式执行。
- 与易受攻击数据主体有关的数据,由于数据主体和数据控制者之间的地位不平衡加剧,这意味着个人可能无法轻易同意或反对处理其数据,或行使其权利。易受攻击的数据主体可能包括儿童、雇员、老人、精神病患者等需要特殊保护的人群。
- 创新使用或应用新的技术或组织解决方案,如结合使用指纹和人脸识别来改善物理访问控制等。
- 当处理本身“阻止数据主体行使权利或使用服务、合同”时,这包括旨在允许、修改或拒绝数据主体访问服务或签订合同的处理操作
三、受DPIA约束的处理操作类型
希腊数据保护机构制定的《清单》进一步细化了执行DPIA的标准,主要包括以下三类:
(一)根据数据处理的类型与目的 - 系统评估、评分、预测、预测和分析,尤其是与数据主体的经济状况、健康、个人偏好或兴趣、可靠性或行为、位置或移动或数据主体的信用评级有关的方面。例如,生物技术公司直接向消费者提供基因测试,以评估和预测疾病或健康风险。
- 对个人数据进行系统处理,旨在自动作出决定,产生与数据主体相关的法律效力,或对数据主体产生类似的重大影响,并可能导致对个人的排斥或歧视。例如,在没有任何人为干预的情况下自动拒绝用户的在线信用申请。
- 对个人数据的系统处理可能会阻止数据主体行使其权利或使用服务及合同。例如,银行根据信贷参考数据库筛选客户,以决定是否向他们提供贷款。
- 当数据与从第三方收集的数据相结合时,为营销目的对个人数据进行系统处理。
- 使用通过视频监控系统、网络或任何其他手段收集的数据,在公共区域或可供无限人使用的私人区域进行大规模系统处理,以监测、观察或控制自然人。它包括实时或非实时监测已识别或可识别自然人的移动或地理位置。例如,在商场或公共交通站使用视频监控摄像机,或在机场或公共交通中处理乘客的位置数据。
- 为了公众利益,大规模系统地处理与健康和公共卫生有关的个人数据,如电子处方系统的引入和使用以及电子健康记录或电子健康卡的引进和使用。
- 对个人数据进行大规模系统处理,以引入、组织、提供和监测电子政府服务的使用。
(二)根据个人数据的类型或数据主体的类别
1.大规模处理那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、性生活或性取向相关的数据,或者和定罪与违法相关的个人数据;系统监控员工的地理位置以及员工的通信内容(但出于安全原因而监控的记录文件除外,前提是处理仅限于绝对必要的数据,并有明确的记录)。
2.大规模系统处理具有高度重要性或高度个性化的数据,包括:
(1)社会福利数据(贫困、失业、社会工作等数据);
(2)电子通信数据,包括通信内容,如电子邮件、元数据和地理位置数据;
(3)关于国民身份号码或其他通用标识符的数据,或更改处理和使用条件的数据,以及与之相关的其他个人数据;
(4)包含在个人文档、日记、电子阅读器的笔记以及配有笔记功能和包含高度个人信息的生活日志应用程序中的数据;
(5)通过设备(如带传感器的设备)收集或生成的数据,尤其是通过“物联网”应用程序(如智能电视、智能家电、联网玩具、智能城市、智能电表等)或通过其他方式收集或生成。
(三)根据数据处理的方式 - 创新地使用或应用新的数据处理技术,涉及新形式的数据收集和使用,可能会对个人权利和自由造成高风险。例如结合使用指纹和人脸识别来改变物理访问控制或通过“mhealth”应用程序在为用户提供移动医疗服务的过程中收集个人数据或生成用户档案。
2.匹配或合并源自多个来源或第三方的个人数据,或用于两个或多个出于不同目的或由不同数据控制者执行的数据处理操作,其方式将超出数据主体的合理预期。
3.如果处理涉及未直接从数据主体处获得的个人数据,并且根据GDPR第14条向数据主体提供的信息被证明不可能,或可能导致严重损害处理目的的。
四、结语
结 合 GDPR 第35 条以 及《指南》的 相 关 规 定,希 腊 数 据 影 响 评 估 清 单 针 对 需 要 执 行 DPIA 的 数 据 操 作 类 型 进 行 了 细 化 与 补 充 ,并 辅 以 指 导 性 示 例 ,更 易 于 本 国 数 据 控 制 者 就 数 据 处 理 过 程 中 可 能 涉 及 的 风 险 进 行 识 别 与 系 统 分 析 。在 执 行 规 则 上 ,清 单 根 据 不 同 类 型 作 了 具 体 区 分 :当 数 据 处 理 操 作 类 型 符 合 清 单 中 规 定 的 第一 类 “ 数 据 处 理 的 类 型 与 目 的 ” 或 第二 类 “ 个 人 数 据 的 类 型 或 数 据 主 体 的 类 别 ” 标 准 之 一 时 , 应 当 强 制 执 行 DPIA ;当 数 据 处 理 操 作 类 型 符 合 第三 类 “ 数 据 处 理 的 方 式 ” 标 准 之 一 ,并 且 这 一 行 为 还 涉 及 第一 类 标 准 中 或 第二 类 标 准 中 的 某 一 项 时 ,DPIA 也 应 当 适 用 。
