GDPR对个人数据保护有着清晰的原则要求,它们被定义在条款5.1和5.2中。这七条原则是整个数据处理的核心要求,我们需要充分理解其含义,并在系统设计时需要将其作为基础需求。
1. 合法,公平,透明原则
合法首先意味着我们的数据处理要有确定的目的,且这个目的要满足条款6中的任一个合法性基础。同时合法原则也要求个人数据的处理行为不能违反其他的法律法规要求。
公平意味着只能以满足人们合理期望的方式来处理他们的个人数据,数据处理并能对他们产生不合理的的影响。在系统设计时,我们可以通过比照Daniel Solove的隐私伤害分类识别出可能的负面影响。
透明原则指的是我们需要在数据收集前就清楚,开放和透明地告诉用户,我们进行数据处理的范围,目的与手段,并支持他们就数据处理做出符合其意愿的选择。从系统设计的角度,透明原则不仅是要求信息开放,更多的挑战在于如何定义系统交互,帮助用户在不同的场景下都能清晰理解数据处理对其的影响。
2. 目的限制原则
在进行数据处理活动前,我们就需要明确数据处理的目的,并通过隐私政策向用户展示,同时记录在数据处理记录中。后续的数据处理活动,必须与该目的完全一致。
清晰定义数据处理目的并展示给用户,能构建与用户的信任关系,帮助他们决定是否向我们共享信息。而记录并将处理目的与系统功能相对比,能确保内部团队持续验证系统的处理实践,确保满足用户的期待。
3. 数据最小化原则
最小化原则用于约束我们所处理的个人数据,它的要求是足够的(足以适当地实现所明确的目的), 相关的(与该目的有合理的联系), 和必要的(没有超过实现目的所需要的内容)。
在实践中我们可以通过构建完整的数据目录和数据处理记录,将采集和处理的个人数据字段与业务目标相匹配,来验证和证明数据最小化原则的落地。
4. 数据准确性原则
采集的个人数据通常会用于决策,进而对用户产生影响,所以需要采用合理的方式来确保我们持有的个人数据是准确的。
从实践的角度,我们通常无法做到持续更新用户个人数据来保持准确性。这里的准确性是基于数据处理的目的和场景。如果个人信息将被用于对个人产生重大影响的决策(个人信用,聘用决定等),我们需要有合理的方式(更新手段和频率)来更新和验证数据准确性。相反,如果数据本身的质量不会对事实产生误导,准确记录数据来源与状态(例如:上次更新时间)也是保证准确性的合理方式。
用户有权力要求更正系统所保存的错误个人信息,我们需支持用户主张数据主体的纠正权。
5. 存储限制原则
当个人数据已经不被采集时明确的处理目的所必需,不能再被继续保存和使用。GDPR并没有规定数据可留存的具体期限,但我们应基于如下需求来确定数据留存策略。
1)数据的处理目的,如果目的未能实现,可以继续存储;
2)是否有特定的法律法规或行业规范要求留存数据,比如财务数据,交易数据等的合规要求;
3)是否需要保留该部分数据用于未来可能的法律辩护活动;
系统中的不同数据类型需要基于业务需求,建立明确的留存策略和计划。在达到保存期限后,通过删除或匿名化的方式进行处理,消除个人数据泄露带来的风险。
6. 完整性和机密性
我们应该有合适的安全措施,来保护个人数据,防止持有的个人数据被意外泄漏或破坏。这里的安全措施既包括技术控制措施,也包括组织控制措施。
GDPR并没有定义具体的措施范围和类型,我们需要采用基于风险的策略来选择合适的技术手段。对系统进行充分和持续的风险评估,根据个人信息泄漏的可能性以及泄漏后对个人带来的损害程度,决定采用何种安全措施。
7. 可问责原则
可问责原则要求我们对数据处理的行为,及其对如上原则的遵守情况承担责任。同时,我们需能提供适当的措施和记录来证明合规性。
从实践角度,一方面我们需要确保如上原则作为系统需求,在设计和实施过程中被验证和充分满足。同时,也需要提供足够的文档记录决策过程及实施结果来证明合规情况。
最后:GDPR中关于数据保护的核心理念来自于OECD制定的FIPP 八大原则,只是重新做了组织。下面是它们之间的一个对照表。
图1-GDPR数据保护原则与FIPP对照
其中的存储限制原则更偏具体实践,在FIPP中并没有对应的内容,可以认为是使用限制原则的一个扩展。
参考资料:
《Guide to the GDPR》 - 英国个人数据监管机构ICO
网友评论