經過DPO社群中熱心同學的努力，英國Information Commissioner’s Office《數據共享行為守則》（征求意見稿）中譯文出爐了。現將譯者序言貼出來。

　　譯者序言

　　ICO《數據共享行為守則》

　　——基于源發驅動型的數據安全生態治理

　　2019年7月16日，英國數據保護機構ICO就《數據共享行為守則》的修訂情況公開向社會征求意見（簡稱：守則）。守則是基于GDPR與英國數據保護法（DPA 2018）而編制的實踐指南，旨在提供相關數據合規的指引。截止8月初，ICO已經收到了101條反饋意見。

　　眾所周知，數據共享既是數字經濟與產業發展的核心環節，更是數據主體權益保護的重大課題。數據融合對經濟的促進與對個人隱私的“侵入性”效應同樣顯著。更為顯著的問題是，企業、組織間的數據共享活動外界感知度相對較低，對數據主體權益可能造成的后果歸因難且潛伏期長，傳統的“檢查—執法”監管機制難以發揮有效作用。

　　在這一背景下，ICO對守則修訂的核心思路以“問責制”為出發點，以保護數據主體權益為核心，通過推動組織間開展數據保護影響評估（DPIA）、訂立數據共享協議來落實企業、組織的數據保護主體責任：即企業、組織需要提供DPIA評估文檔、共享協議等存檔資料，表明數據共享活動對數據主體、組織等各方帶來或可能帶來的收益與損害，并對這些利益進行了認真的權衡，通過法律協議明確數據共享各方的責任與義務，以證明相關數據共享活動符合GDPR等數據保護法律的要求。

　　具體而言，守則對數據共享活動提出了相關具體要求，主要歸納為以下六點：

　　一、開展數據保護影響評估

　　作為數據保護法規“可規則性”原則的核心抓手，守則強調即使在法律上并未強制要求組織開展數據保護影響評估的情況下，在數據共享活動中，組織主動遵循 DPIA 程序也是非常必要的，因為數據共享可能會導致對個人的高風險。

　　開展DPIA也是在數據共享前組織所需考慮的第一步，除了GDPR中規定的應當開展DPIA的四種情形外，對于數據匹配（data matching）、不可見的處理（invisible processing）、在發生數據泄露時可能對個人造成傷害的信息處理等情形均需要開展DPIA。

　　通過DPIA對數據共享活動進行評估，應當綜合考慮：

       數據共享目的；

       共享數據類型；

       目的實現是否可以通過不共享數據或共享匿名化數據方式達成；

       共享數據對個人信息主體可能造成的侵害；

       共享數據對社會和個人潛在的收益與風險；

       不共享數據是否會造成損害；

       是否有任何法定限制或其他因素對數據共享的限制；

       誰會訪問這些共享數據；

       共享數據是持續性的還是臨時性；

       共享數據的方式；

       共享數據是否已經達成目的，是否需要繼續共享數據；

       動態重新審查DPIA，是否有新的變化。

　　二、訂立數據共享協議

　　訂立數據共享協議是證明組織滿足GDPR"可歸責性”要求的重要有效途徑。因為數據共享協議可以幫助所有各方明確各自的角色，明確規定數據共享的目的，涵蓋數據共享各階段將要處理的事情以及確定數據共享的標準。

　　在訂立數據共享協議中，應當包含下列內容：

       數據共享的目的：為何數據共享是必要的、共享數據的具體目的、為個人或者社會帶來的好處；

       哪些組織會參與數據共享：列明所有參與數據共享的組織，及其DPO和其他關鍵員工的聯系方式，在與另一個數據控制者共享數據時，還應當列明自身的責任，并將相關情況告知數據主體；

       共享數據的類型：詳細說明共享數據的類型，對于某些數據還應當僅允許特定員工訪問；

       明確數據的共享的合法性基礎：是以同意作為披露數據的合法基礎，那么協議可以提供一份同意書的模板，并解決有關拒絕或撤回同意的問題；

       記錄敏感或特殊類別數據：如果共享數據設計特殊或敏感數據，必須根據GDPR或DPA的規定記錄相應的處理條件。

　　數據共享協議在滿足上述條件外，還應當能夠應對數據共享時出現的主要實際問題，以確保參與數據共享的組織滿足共享數據最小化原則，確保數據共享準確，使用兼容格式的數據集，共同的保留或刪除共享數據規則，共同的技術和組織安全規劃，處理公眾請求、投訴、詢問的程序，協議有效期限以及協議終止的程序。

　　定期復查數據共享協議，特別是在出現新情況或新的數據共享理由時。

　　三、貫徹“問責制”原則

　　根據GDPR問責制原則，如組織進行或參與數據共享，須能證明你遵守GDPR有關保障數據主體權利的規定。

　　作為貫徹問責制原則的一部分，在適當的情況下，組織必須制訂數據保護政策，并采用“設計及默認方式保護數據”（ “data protection by design and default”）的方法，保護數據主體權利。即：采取適當的技術和制度規范來確保數據保護原則的落實，并保護數據主體個人權利。

　　確保關鍵文檔的留存，例如大型企業、組織需要保留數據處理（共享）活動的記錄，并定期對記錄進行復盤。

　　DPIA是問責制的組成部分，簽署數據共享協議有助于企業或組織證明符合問責制的要求。

　　四、確定共享數據的合法性基礎

　　GDPR確定了六項進行數據處理活動的合法性基礎，數據共享前應至少確定一個合法性基礎。

　　根據問責原則，企業或組織必須能夠顯示在開始數據共享之前已經考慮并確定數據共享的合法性基礎。

　　GDPR中的大多數合法基礎要求處理是“必要”的。評估合法性基礎涉及DPIA，這要求企業同時考慮必要性和比例性。

　　五、確保數據共享的公平性和透明度，保障數據主體法定權利

　　公平和透明是GDPR中數據處理原則的核心。

　　不能以會對他們產生不合理不利影響的方式使用他們的數據。

　　必須確保共享個人數據是合理和相稱的，以及共享個人數據的情況不會出人意料或令人反感，除非有充分的理由。

　　確保個人知道他們的數據正在如何被共享、處理，哪些組織在共享或獲取、訪問這些數據，除非適用豁免或例外情形。

　　共享數據之前，必須以可訪問和易于理解的方式告知將如何處理他個人數據。

　　六、安全地處理個人數據

　　安全措施必須與數據處理的性質、范圍、背景和目的以及對個人權利和自由構成的風險向適應，并考慮最新技術和實施成本。

　　通過守則對數據處理活動做出的規范指引可以發現，對數據共享等處理活動的監管措施是通過問責制等制度安排，激發企業、組織的“源發驅動力”，通過數據保護影響評估、共享協議等具體措施，將監管的重點由監督審查轉向敦促企業、組織“負責任”地開展數據處理與共享活動。

　　長期以來，數據安全評估、隱私保護合規評審都被認為是增加了企業、組織的負擔，而在問責制原則下，這些不僅是法律規定的合規要求，更是在出現可能侵犯數據主體權益的情形出現后，數據保護機構評判責任的重要依據。

　　數據保護機構會基于風險的執法方法，根據比例原則進行評判：如果企業、組織未開展DPIA，未能通過協議等方式約束數據共享方的責任，導致數據主體權利受損，則可能面臨2000萬歐元或全球營業額4%的罰款。因為企業、組織無法證明其切實落實了保護數據主體權益的法律要求。反之，如果在數據共享前認真進行了 DPIA，通過合同、協議等形式嚴格約束并認真落實，在安全事件、違約情形或第三方因素導致的數據主體權益受損的情況下，則會根據比例原則合理界定其應當承擔的責任邊界與程度。正如ICO在守則中表明的：“我們將始終按照我們的監管行動政策，以有針對性和比例的方式使用我們的權力。”“我們將一如既往地執法，同時確保商業企業不受繁文縟節的約束，或擔心制裁將被不成比例地使用。”

　　同樣，數據共享組織之間簽署協議，本身并不會確保一定符合法律要求，或可以免除法律責任，但是這些是數據保護機構接到有關投訴后去審查和考慮的重要因素。ICO在守則中明確提到：“起草和遵守協議本身并不向你提供任何形式的法律保障，使你免于根據數據保護立法或其他法律采取行動。但是，如果ICO收到關于你的數據共享的投訴，它將考慮這一點。”

　　通過這樣的制度設計，企業、組織內部的合規控制流程不再僅僅是付出而無法收回的“沉沒成本”（Sunk Cost），而更可以將通過這些程序獲得的“沉默利益”（筆者將其定義為：通過DPIA等風險控制活動而規避的潛在安全風險）顯現出來，激發企業、組織以“負責任”的方式開展數據處理活動意愿。亦言之，通過制度設計促使企業、組織內部可以從風險控制流程中獲得實際的、可見的收益，風險與合規評估由單純的成本付出活動轉變為利益收益活動，形成自發推動并嚴格落實數據保護措施的“源發驅動力”。

　　近期，我國就《數據安全管理辦法》等法律法規公開征求意見，全國信息安全標準化委員會也于2018年7月公布《個人信息安全影響評估指南》（征求意見稿）。個人信息安全影響評估對于國內而言仍是剛剛起步，數據監管體系與方式也在探索之中，此次ICO發布的《數據共享行為守則》不僅僅是一份合規指引性文件，更是一種構建數據治理生態的方法論。我國當前數據經濟蓬勃發展的背景下，這種新型的數據安全治理模式，也許值得行業與監管部門去共同探索。

　　《數據共享行為守則》發布未滿1個月，期間筆者還在徒步穿越130公里的烏孫古道，評述中的很多觀點與思想都是在這條蒼涼的古道途中形成并記錄的，且囿于個人能力，有諸多不周延之處，僅做拋磚之用。（田申）