GDPR規定,適用GDPR的所有數據處理活動均需遵守七項數據處理原則,分別是:(1)公平、透明和合法;(2)目的限制;(3)數據最小化;(4)準確;(5)存儲限制;(6)完整與保密;(7)問責與合規。這七項數據處理原則寫在GDPR的第二章,是GDPR隱私保護精神的核心體現,也是企業合規體系的重要組成部分。數據控制者和處理者必須嚴格遵循這些原則,否則將會構成嚴重違規行為,可處以2000萬歐元或4%全球營業額的最高罰款。
01公平、透明和合法
公平(Fairness)意味著企業的數據處理行為不應損害用戶利益,任何含有歧視意味、有誤導性或未告知用戶的數據處理行為都是不允許的。以反歧視為例,企業如使用AI算法處理用戶數據,則應配備適當的人工干預,避免算法的自動化操作可能造成的歧視。此外,企業還應定期評估其使用的算法是否會導致歧視、不平等的計算,並做出調整。
透明(Transparency)意味著數據控制者應清楚、公開地告知用戶他們打算如何使用已經收集的任何個人數據。用戶有權知曉其擁有哪些權利、如何行使這些權利,企業應使用簡潔易懂的語言告知用戶,必要時可使用視頻等可視化渠道向用戶解釋其中的複雜概念。
合法(Lawfulness)要求企業的數據處理行為必須有合法依據,沒有合法依據即為非法處理。GDPR第六條中列舉了數據處理的六項合法事由:
(1)已取得用戶同意;
(2)對履行合同是必要的;
(3)對履行法律義務是必要的;
(4)為保護用戶或其他人的正當利益;
(5)為公共利益是必要的;
(6)符合企業的正當利益。
對合法依據的判定較為複雜,須結合每一項的實際情況具體分析。以企業的正當利益為例,GDPR規定,以反欺詐、IT安全為目的進行的數據處理構成企業的正當利益。此外還應確認,對個人權益的保護是否勝過企業追求的正當利益。
02目的限制
GDPR規定,企業只能基於「具體、明確及合法的目的」收集個人數據,如果企業的處理目的發生了變化,應第一時間確認新目的是否超出了之前的目的範圍。一旦新目的與之前的目的有衝突,企業在重新獲取用戶同意後,方可繼續處理數據。
例如,線上商店A為完成訂單,需要收集客戶的姓名、地址、聯繫方式等個人信息。商店A準備購入一套CRM軟體,這套軟體不僅可以存儲客戶的個人信息,還可以通過已有數據分析客戶的購買力,從而為每位客戶提供針對性的廣告服務。而這種以個性化廣告推薦為目的進行的數據分析已超出最初的目的——完成訂單。如果商店A希望使用這套軟體的所有功能,它應對新的數據處理目的進行評估,明確其是否擁有有效的法律依據,根據評估結果決定是否購入這套軟體,或僅使用這套軟體的部分功能。
03數據最小化
GDPR規定,數據控制者所收集或處理的個人數據應「夠用、相關且為處理目的所需」。這也就意味著企業應僅收集與其提供的服務相關的個人信息。
如果企業希望進一步處理已有數據,應首先判斷完成這一處理行為是否可以通過處理更少的數據來完成。如果是的話,企業應刪除不必要的數據。此外,假名化、匿名化、集群化等技術可以避免識別到特定數據主體,也可作為實現數據最小化的實現方法。 舉例來說,實體書店B打算開始經營網店,它需要設立一套表單收集客戶訂單信息,包括姓名、地址、聯繫方式等。但實際情況是,並非所有訂單需要的個人信息類別都是一樣的。如果客戶買的是電子書,客戶不必提供自己的詳細地址。為遵循數據最小化原則,書店應準備兩套表單,一套用於向買紙質書的客戶,可收集客戶的詳細地址,另一套則用於買電子書的客戶。
04準確
GDPR第六條第四款規定,個人數據必須「準確且必要時隨時更新;考慮到個人數據處理的目的,應採取一切合理措施,確保不正確的個人資料立即被刪除或更正。」
不準確的個人數據有可能會對數據主體的權利產生威脅。例如,錯誤的數據有可能會導致醫生做出錯誤的診斷,這對患者而言很有可能是致命的。
05存儲限制
數據在存儲時也應遵循最小化原則:再需要的數據應及時刪除,不需要識別個人身份的數據應在假名化、匿名化後再存儲。但也有一些例外情況。例如,如果這些數據對公共利益或歷史研究有用,數據控制者可繼續留存這些數據,並闡述延長存儲期限的原因。
與GDPR所規定的最短存儲期限相比,我國對數據的存儲期限則制定了強制性要求,個人數據在處理完畢後可能需要長期儲存。《網絡安全法》規定,網絡運營者應「採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月。」《電子商務法》也規定,「商品和服務信息、交易信息保存時間自交易完成之日起不少於三年。」跨國企業在數據的存儲期限上應格外注意。
06完整與保密
GDPR規定,數據控制者「以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施。」簡言之,企業應採取一定的組織方式或技術手段,確保數據安全,避免發生數據泄露。
07問責與合規
GDPR第五條第二款規定,「控制者應對遵守第一款中的規定負責,並能做出證明(可問責性)。」尤其在發生數據安全事件時,數據控制者需要提供證據證明,自己已嚴格遵循以上六條原則,且採用了合適且有效的保護方法,否則需要承擔相應的責任。
08合規建議
這七條原則是GDPR數據保護合規體系的核心,它們雖然沒有規定具體的操作細則,但絕不可忽視它們的指導意義。從實際操作上看,七條原則要求數據控制者對自己的數據處理行為有著足夠的風險認知,並採取適當且有效的措施將風險降到最低,這也意味著企業無法套用其他現有的保護措施,必須根據自己的業務情況制定針對性的保護機制,並定期評估是否需要更改。這種以風險為基礎的數據保護框架可以最大限度地確保數據安全,保護數據主體權利。
為減少企業的合規負擔,歐盟以及國際數據保護機構出台的標準和行為守則也被認為是GDPR合規的有效證明。ISO 27001正是一種與GDPR兼容度較高的認證框架,它所提出的應對風險的方法與GDPR對影響評估的要求是一致的。通過這些認證雖不能確保企業的數據處理行為完全符合GDPR,但標準化的框架能證明企業採取了適當的技術和組織手段以預防事故,從而減少企業的舉證壓力。