ARTICLES
专业文章
他山之石: EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(下)
他山之石: EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(下)
前情回顾
2019年11月13日,欧盟数据保护委员会(European Data Protection Board,EDPB)发布了《关于GDPR第25条设计和默认的数据保护指南》公开征求意见稿(以下简称《指南》)(Guidelines 4/2019 on Article 25 Data Protection by Design and by Default,version for public consultation),上文中我们就设计的默认的数据保护基本概念及《指南》回答了那些问题进行了介绍与分析,以下将在此基础上重点关注《指南》推荐了哪些措施及对企业的合规启示。
《指南》推荐了哪些措施?
《指南》重点介绍了如何通过DPbDD实现对数据保护基本原则的充分遵守,针对各项数据保护基本原则提出DPbDD的关键要素(key elements)。《指南》列出的各项关键要素对于企业选取适当的技术和组织措施具有十分重要的参考意义。
1.透明性原则
点击图片可查看大图
2.合法性原则
点击图片可查看大图
3.公平性原则
点击图片可查看大图
4.目的限制原则
点击图片可查看大图
5.数据最小化原则
点击图片可查看大图
6.准确性原则
点击图片可查看大图
7.存储限制原则
点击图片可查看大图
8.完整性与保密性
点击图片可查看大图
合规启示
DPbDD对于个人数据保护合规意义重大,一直以来都是个人数据保护相关规范制定的重点话题之一。除《指南》以外,西班牙数据保护机构AEPD(Agencia Española de Protección de Datos)在EDPB发布《指南》前不久发布了《设计的隐私保护指南》(A Guide to Privacy by Design)。此外,作为国际隐私管理最新成果的ISO 27701(ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南)中也将设计和默认的隐私保护作为控制者和处理者的义务之一。
无独有偶,全国信息安全标准化技术委员会(SAC/TC260)于2019年5月28日提出的《信息安全 个人信息安全工程指南》(征求意见稿)也充分体现了设计和默认的隐私保护的精神,通过对需求分析、产品设计、产品开发、测试审核、发布等阶段个人信息保护的具体要求,进而确保产品本身即可满足个人信息保护的相关要求。
从设计源头实现合规,DPbDD强调产品本身即合规的理念是个人数据保护合规工作的大势所趋,企业在进行个人数据保护合规工作、搭建个人数据保护体系的过程中可参考《指南》及相关规范、标准,在产品设计之初即充分考虑并落实各项合规要求,在业务发展的同时平衡隐私保护的理念,向用户提供合规产品,建立用户信任,提高市场竞争能力。
