论文部分内容阅读
2020年3月,欧洲数据保护专员公署(EDPS)发布2019年工作报告,总结了执法调查、政策咨询、技术研发、国际合作等各项数据保护工作的进展情况。EDPS全面深入推进数据保护工作,通过采用将个人数据保护意识和文化融入欧盟社会经济发展事务、实现数据保护与其他个人权益协调发展、引导国际议题和规则等方式,确保欧盟数据保护规则的有效实施和推广。
EDPS数据保护工作经验
(一)管理与服务并重,将个人数据保护意识和文化融入欧盟社会经济发展事务。一是开展专项调查、审查评估、发布临时禁令,及时发现并处置欧盟机构在个人数据安全相关事务处理、使用大型数据系统方面存在的问题,督促整改未经同意的第三方跟踪等问题,探索个人数据保护的最佳实践。其中,对欧盟机构使用微软产品和服务的调查促成了海牙论坛的建立,推进研究创建标准合同,以拒绝大型IT服务提供商的格式条款,强化了欧盟机构对IT服务和产品的安全控制。
二是参与个人数据安全相关政策制定,提供咨询和指导意见,帮助欧盟机构将个人数据安全、隐私权保护纳入政策设计考量范围,并实现融入立法。
三是鼓励欧盟机构内部发展问责文化,确保各机构不仅遵守数据保护规则,还能证明其遵守行为规范;同时,还要认识到,即使是合法处理个人数据也可能导致侵犯个人权利,需审慎考量。
四是发布政策评估和执法监管工具,深入推进数据保护规则实施。比如,公布《个人数据保护比例原则指南》,帮助评估拟议中的欧盟政策是否符合《基本权利宪章》中关于隐私和个人数据基本权利的规定;发布关于控制器、处理器和联合控制器概念的指南,澄清控制器、处理器和联合控制人员范围、义务分配和各自责任,帮助欧盟机构工作人员更好地理解其角色并遵守数据保护规则;建立新数据安全规则的多人协作写作系统(Wiki),创建新法律注释版本,鼓励EDPS内部分享并向欧盟机构开放,确保以统一的方法监督和执行欧盟数据保护规则。
五是通过专项培训、交流讨论等方式,增强欧盟机构有关岗位人员的个人数据保护知识和意识,提高安全风险感知能力。
六是利用社会力量监督数据收集和使用行为。向社会发布网站证据收集器,为成员国数据保护机构、隐私专业人士、数据控制器和网站开发人员提供工具,收集个人数据处理的自动证据。
(二)深入合作,促进个人数据保护最佳实践共享以及与其他执法监管业务的协调发展。考虑到个人数据保护规则可能会影响消费者保护、边境安全等其他执法监管业务的执行,EDPS在确保数据保护规则实施的同时,兼顾了其他安全和发展问题,与相关机构深入合作,用务实和平衡的态度处理冲突关系,促进各项安全规则的统一协调。
一是促进与消费者保护、竞争监管机构间的交流。统筹协调个人数据保护与其他个人权利保护的关系,解决监管规则间的冲突和矛盾,探索实现个人利益最大化的途径。比如,2016年推出的数字清算中心,是由消费者保护、竞争和数据保护领域的监管机构自愿组成网络,共享监管信息,并讨论从个人利益出发执行规则的最佳实践,促进欧盟基本权利规则能够统一执行。
二是与欧盟各机构密切合作,深入评估欧盟拟出台的政策、采用大规模信息技术数据库是否符合欧盟个人数据保护标准。比如,欧洲旅行信息和授权系统将于2021年正式投入使用,势必会增加进入欧盟境内的额外边境检查,可能涉及隐私问题。同时,数据处理操作还涉及控制器之间的数据交换,数据库中的个人数据受不同数据保护框架监管,个人很难有效行使其数据保护权利。EDPS与边境管理机构合作,通过系统设计将数据保护原则贯彻到数据库设计开发中,以确保在整个开发过程中系统都内置数据保护机制,通过适当控制降低风险。比如,《布达佩斯网络犯罪公约》中关于改进收集刑事案件电子证据的合作、促进执法部门与服务提供商直接跨境合作的内容,主张设定详细保障措施,以确保落实目的限制等数据保护原则。对于跨境获取电子证据的欧盟—美国协议,建议欧盟要求美国司法当局尽早参与收集电子证据的程序,审查对方提供证据的要求是否符合基本权利,并适时提出拒绝理由。
三是加强与成员国之间的监管协调,促进成员国在边境安全、刑事案件处理等重点领域的数据安全监管交流。建立专门的监管协调小组,与成员国数据监管机构合作,确保两级监管工作的一致性。2019年,又进一步组建了协调监督委员会,取代各个独立监督协调小组,为欧盟大型IT系统提供统一监管模式。欧洲刑警组织的数据保护合作委员会分享数据安全监管信息和检查结果,重点关注成员国向欧洲刑警组织发送的大型数据集、未成年犯罪嫌疑人的数据处理等。
四是建立交流平台,促进数据安全议题的推进和最佳实践的分享。与来自欧盟66个机构和办公室的数据安全保护官每年进行两次会面,与成员国数据保护机构召开欧洲数据保护案例处理研讨会,分享调查监管经验,确保数据保护规则的遵守;与欧洲刑警组织数据保护团队召开双月会议,提供非正式建议。
五是发展互联网隐私工程网络,促进监管机构、研究人员和开发人员的交流,开发隐私工程问题实用解决方案,力图将隐私规则构建到数字工具中,促进和推进隐私工程的最新实践。2019年的主要议题是,确定现存隐私工程的方法和最佳实践并使其成为可共享和可用的工具,探索通过程序设计实现数据保护。
(三)积极引导国际议题和规则,推动欧盟数据保护规则成为国际主流。一是与国際合作伙伴合作,将数据保护纳入国际协议主流,并确保在全球范围内对个人数据保护的一致性。以观察员身份参加欧洲理事会数据保护专家组,比如《关于个人资料自动处理的保护个人公约》协商委员会、经济合作与发展组织数字经济安全和隐私工作组,旨在确保高标准的数据保护,以及有关规则与欧盟数据保护标准的兼容性。举办2019年数据保护和隐私专员国际会议,与经济合作与发展组织合作举办研讨会,讨论如何应对数据保护政策面临的挑战。
二是促进全球数字伦理讨论。2018年在数据保护和隐私专员国际会议上,发起了一场关于数字伦理的全球辩论;2019年寻求确保数字领域道德辩论继续向前推进,评估数据保护和隐私与在数字化世界中保留人类尊严的关系。 三是审查国际协议中有关数据安全规则的执行情况。参与审查隐私盾协议执行,主要关注政府为执法和国家安全目的而获取欧盟个人数据的问题,以及欧盟公民可获得的法律救济,强调公司对于隐私盾原则的执行尤其数据传输缺乏监督。
(四)研究具體前沿问题,关注新技术、新应用给个人数据保护带来的挑战。一是通过设置特定议题聚焦性地解决实际问题。近年的关注点集中在人工智能、区块链等新技术对数据安全的影响,比如确定工作场所监控和数字技术对环境的影响等特定主题,并以此为焦点推出一系列网络研讨会,每个网络研讨会都将集中在会议期间确定特定的关注领域,以便展开更细致深入的探讨。
二是促进新技术安全有关信息的分享。专门针对数据安全官发布月度通讯,概述数据保护工作的重要发展,包括新EDPS指南、事件、欧洲案例法的更新等。推出专门出版物,提供新兴技术信息,评估其对隐私和个人数据保护的影响,涉及智能音箱和虚拟助理、智能家庭中的智能电表和联网汽车,2020年将关注语音助手、区块链等新技术问题。
几点启示
(一)完善数据安全工作的组织领导机制。目前,我国对数据保护工作职能的划分不够清晰,多部门执法不仅浪费行政资源,而且加重了企业负担,执法效果也不理想。为此,一是要设立或指定专门的国家数据安全保护机构,统筹协调各行业领域的数据安全工作,指导各行业领域统一实施数据安全法律法规,保护个人信息的相关权利。二是对各行业领域主要监管部门的数据安全保护工作进行监督检查,发现问题及时督促改正;对涉及数据安全的新政策措施,主管部门应提交国家数据安全保护机构进行审查,并可向其咨询相关争议问题。
(二)加强数据安全执法能力建设。近两年,中央网信办、工业和信息化部、公安部加大了数据安全执法检查,尤其是组织开展了个人信息保护专项治理,但由于目前执法工作范围有限,还未能充分调动地方的执法力量,同时各部门执法标准不尽一致,致使执法震慑效应不足。为此,一是要广泛开展数据安全执法,调动各级数据安全保护机构的积极性,加大执法检查力度,提升威慑力。二是通过执法发现问题和矛盾,必要时通过听证会等形式,促进社会各界进行充分辩论,使用“比例原则”等方法,有效平衡数据安全、个人信息权益和其他个人合法权益、社会经济发展等利益关系,积累解决安全与发展问题的经验和能力。三是统一执法标准,国家数据安全保护机构需及时出台和更新执法检查标准,确保各行业领域、各地方执法部门能够采用相对统一的合规要求和执法程序,防止“同案不同判”。
(三)及时追踪响应新技术、新业务发展中面临的数据安全问题。近年来,欧美十分重视人工智能、区块链等新技术带来的安全问题,相关研究机构和企业积极进行研究和部署。为此,我国相关部门、机构应做好以下工作:一是要密切追踪新技术、新应用的安全问题,设立固定研讨机制,组织相关科研机构、从业者及时反馈最新的安全问题,研讨最佳解决方案。二是积极与相关国际组织合作,搭建国际交流合作平台,争取在国际上形成广泛共识,主导相关规则和标准的制定权和话语权。三是开展数据和个人信息保护试点示范工作,面向社会征集行业的优秀做法和案例,尤其是那些应对新技术、新业务带来数据安全风险的最佳实践,解决安全和发展冲突等问题,充分利用技术方案化解管理困境,形成社会示范效应。同时,还要大力推广优秀方案、产品和服务,进一步促进数据安全产品和服务产业的健康发展。
EDPS数据保护工作经验
(一)管理与服务并重,将个人数据保护意识和文化融入欧盟社会经济发展事务。一是开展专项调查、审查评估、发布临时禁令,及时发现并处置欧盟机构在个人数据安全相关事务处理、使用大型数据系统方面存在的问题,督促整改未经同意的第三方跟踪等问题,探索个人数据保护的最佳实践。其中,对欧盟机构使用微软产品和服务的调查促成了海牙论坛的建立,推进研究创建标准合同,以拒绝大型IT服务提供商的格式条款,强化了欧盟机构对IT服务和产品的安全控制。
二是参与个人数据安全相关政策制定,提供咨询和指导意见,帮助欧盟机构将个人数据安全、隐私权保护纳入政策设计考量范围,并实现融入立法。
三是鼓励欧盟机构内部发展问责文化,确保各机构不仅遵守数据保护规则,还能证明其遵守行为规范;同时,还要认识到,即使是合法处理个人数据也可能导致侵犯个人权利,需审慎考量。
四是发布政策评估和执法监管工具,深入推进数据保护规则实施。比如,公布《个人数据保护比例原则指南》,帮助评估拟议中的欧盟政策是否符合《基本权利宪章》中关于隐私和个人数据基本权利的规定;发布关于控制器、处理器和联合控制器概念的指南,澄清控制器、处理器和联合控制人员范围、义务分配和各自责任,帮助欧盟机构工作人员更好地理解其角色并遵守数据保护规则;建立新数据安全规则的多人协作写作系统(Wiki),创建新法律注释版本,鼓励EDPS内部分享并向欧盟机构开放,确保以统一的方法监督和执行欧盟数据保护规则。
五是通过专项培训、交流讨论等方式,增强欧盟机构有关岗位人员的个人数据保护知识和意识,提高安全风险感知能力。
六是利用社会力量监督数据收集和使用行为。向社会发布网站证据收集器,为成员国数据保护机构、隐私专业人士、数据控制器和网站开发人员提供工具,收集个人数据处理的自动证据。
(二)深入合作,促进个人数据保护最佳实践共享以及与其他执法监管业务的协调发展。考虑到个人数据保护规则可能会影响消费者保护、边境安全等其他执法监管业务的执行,EDPS在确保数据保护规则实施的同时,兼顾了其他安全和发展问题,与相关机构深入合作,用务实和平衡的态度处理冲突关系,促进各项安全规则的统一协调。
一是促进与消费者保护、竞争监管机构间的交流。统筹协调个人数据保护与其他个人权利保护的关系,解决监管规则间的冲突和矛盾,探索实现个人利益最大化的途径。比如,2016年推出的数字清算中心,是由消费者保护、竞争和数据保护领域的监管机构自愿组成网络,共享监管信息,并讨论从个人利益出发执行规则的最佳实践,促进欧盟基本权利规则能够统一执行。
二是与欧盟各机构密切合作,深入评估欧盟拟出台的政策、采用大规模信息技术数据库是否符合欧盟个人数据保护标准。比如,欧洲旅行信息和授权系统将于2021年正式投入使用,势必会增加进入欧盟境内的额外边境检查,可能涉及隐私问题。同时,数据处理操作还涉及控制器之间的数据交换,数据库中的个人数据受不同数据保护框架监管,个人很难有效行使其数据保护权利。EDPS与边境管理机构合作,通过系统设计将数据保护原则贯彻到数据库设计开发中,以确保在整个开发过程中系统都内置数据保护机制,通过适当控制降低风险。比如,《布达佩斯网络犯罪公约》中关于改进收集刑事案件电子证据的合作、促进执法部门与服务提供商直接跨境合作的内容,主张设定详细保障措施,以确保落实目的限制等数据保护原则。对于跨境获取电子证据的欧盟—美国协议,建议欧盟要求美国司法当局尽早参与收集电子证据的程序,审查对方提供证据的要求是否符合基本权利,并适时提出拒绝理由。
三是加强与成员国之间的监管协调,促进成员国在边境安全、刑事案件处理等重点领域的数据安全监管交流。建立专门的监管协调小组,与成员国数据监管机构合作,确保两级监管工作的一致性。2019年,又进一步组建了协调监督委员会,取代各个独立监督协调小组,为欧盟大型IT系统提供统一监管模式。欧洲刑警组织的数据保护合作委员会分享数据安全监管信息和检查结果,重点关注成员国向欧洲刑警组织发送的大型数据集、未成年犯罪嫌疑人的数据处理等。
四是建立交流平台,促进数据安全议题的推进和最佳实践的分享。与来自欧盟66个机构和办公室的数据安全保护官每年进行两次会面,与成员国数据保护机构召开欧洲数据保护案例处理研讨会,分享调查监管经验,确保数据保护规则的遵守;与欧洲刑警组织数据保护团队召开双月会议,提供非正式建议。
五是发展互联网隐私工程网络,促进监管机构、研究人员和开发人员的交流,开发隐私工程问题实用解决方案,力图将隐私规则构建到数字工具中,促进和推进隐私工程的最新实践。2019年的主要议题是,确定现存隐私工程的方法和最佳实践并使其成为可共享和可用的工具,探索通过程序设计实现数据保护。
(三)积极引导国际议题和规则,推动欧盟数据保护规则成为国际主流。一是与国際合作伙伴合作,将数据保护纳入国际协议主流,并确保在全球范围内对个人数据保护的一致性。以观察员身份参加欧洲理事会数据保护专家组,比如《关于个人资料自动处理的保护个人公约》协商委员会、经济合作与发展组织数字经济安全和隐私工作组,旨在确保高标准的数据保护,以及有关规则与欧盟数据保护标准的兼容性。举办2019年数据保护和隐私专员国际会议,与经济合作与发展组织合作举办研讨会,讨论如何应对数据保护政策面临的挑战。
二是促进全球数字伦理讨论。2018年在数据保护和隐私专员国际会议上,发起了一场关于数字伦理的全球辩论;2019年寻求确保数字领域道德辩论继续向前推进,评估数据保护和隐私与在数字化世界中保留人类尊严的关系。 三是审查国际协议中有关数据安全规则的执行情况。参与审查隐私盾协议执行,主要关注政府为执法和国家安全目的而获取欧盟个人数据的问题,以及欧盟公民可获得的法律救济,强调公司对于隐私盾原则的执行尤其数据传输缺乏监督。
(四)研究具體前沿问题,关注新技术、新应用给个人数据保护带来的挑战。一是通过设置特定议题聚焦性地解决实际问题。近年的关注点集中在人工智能、区块链等新技术对数据安全的影响,比如确定工作场所监控和数字技术对环境的影响等特定主题,并以此为焦点推出一系列网络研讨会,每个网络研讨会都将集中在会议期间确定特定的关注领域,以便展开更细致深入的探讨。
二是促进新技术安全有关信息的分享。专门针对数据安全官发布月度通讯,概述数据保护工作的重要发展,包括新EDPS指南、事件、欧洲案例法的更新等。推出专门出版物,提供新兴技术信息,评估其对隐私和个人数据保护的影响,涉及智能音箱和虚拟助理、智能家庭中的智能电表和联网汽车,2020年将关注语音助手、区块链等新技术问题。
几点启示
(一)完善数据安全工作的组织领导机制。目前,我国对数据保护工作职能的划分不够清晰,多部门执法不仅浪费行政资源,而且加重了企业负担,执法效果也不理想。为此,一是要设立或指定专门的国家数据安全保护机构,统筹协调各行业领域的数据安全工作,指导各行业领域统一实施数据安全法律法规,保护个人信息的相关权利。二是对各行业领域主要监管部门的数据安全保护工作进行监督检查,发现问题及时督促改正;对涉及数据安全的新政策措施,主管部门应提交国家数据安全保护机构进行审查,并可向其咨询相关争议问题。
(二)加强数据安全执法能力建设。近两年,中央网信办、工业和信息化部、公安部加大了数据安全执法检查,尤其是组织开展了个人信息保护专项治理,但由于目前执法工作范围有限,还未能充分调动地方的执法力量,同时各部门执法标准不尽一致,致使执法震慑效应不足。为此,一是要广泛开展数据安全执法,调动各级数据安全保护机构的积极性,加大执法检查力度,提升威慑力。二是通过执法发现问题和矛盾,必要时通过听证会等形式,促进社会各界进行充分辩论,使用“比例原则”等方法,有效平衡数据安全、个人信息权益和其他个人合法权益、社会经济发展等利益关系,积累解决安全与发展问题的经验和能力。三是统一执法标准,国家数据安全保护机构需及时出台和更新执法检查标准,确保各行业领域、各地方执法部门能够采用相对统一的合规要求和执法程序,防止“同案不同判”。
(三)及时追踪响应新技术、新业务发展中面临的数据安全问题。近年来,欧美十分重视人工智能、区块链等新技术带来的安全问题,相关研究机构和企业积极进行研究和部署。为此,我国相关部门、机构应做好以下工作:一是要密切追踪新技术、新应用的安全问题,设立固定研讨机制,组织相关科研机构、从业者及时反馈最新的安全问题,研讨最佳解决方案。二是积极与相关国际组织合作,搭建国际交流合作平台,争取在国际上形成广泛共识,主导相关规则和标准的制定权和话语权。三是开展数据和个人信息保护试点示范工作,面向社会征集行业的优秀做法和案例,尤其是那些应对新技术、新业务带来数据安全风险的最佳实践,解决安全和发展冲突等问题,充分利用技术方案化解管理困境,形成社会示范效应。同时,还要大力推广优秀方案、产品和服务,进一步促进数据安全产品和服务产业的健康发展。