他山之石： EDPB《关于GDPR第25条设计和默认的数据保护指南》解读（上）

陈际红等中伦视界 2020-09-01

作者：陈际红吴佳蔚杨润

2019年11月13日，欧盟数据保护委员会（European Data Protection Board，EDPB）发布了《关于GDPR第25条设计和默认的数据保护指南》公开征求意见稿（以下简称《指南》）（Guidelines 4/2019 on Article 25 Data Protection by Design and by Default，version for public consultation），对GDPR第25条的条文内容进行了解析，并就设计和默认的数据保护如何实现进行了阐释。于10月份新近发布的《个人信息安全规范》征求意见稿亦在最新版本中做出了与之相类似的个人信息安全工程的规定。从产品、服务开发之初即考虑数据保护的相关要求并在数据处理的全生命周期内贯彻设计和默认隐私保护，正在成为下一阶段企业深入合规所应关注的重点。在下文中，我们将对指南内容进行重点介绍，并结合行业实践及我国相关规定为企业如何践行设计和默认的数据保护、提升数据保护合规能力提出相应建议。

基本概念

GDPR第25条所规定的设计和默认的数据保护（Data Protection by Design and by Default，以下简称为“DPbDD”）源于设计的隐私保护（Privacy By Design）的概念，该概念最早由Dr. Ann Cavoukian在20世纪70年代提出，并在90年代纳入第95/46/EC号欧盟数据保护指令（RL 95/46/EC Data Protection Directive）[1]。相较于此前将设计的隐私保护作为一种推荐的良好实践，GDPR则将DPbDD作为一项法律要求。尽管设计的隐私保护（Privacy By Design）与设计的数据保护（Data Protection by Design）并不完全相同，其较为成熟的原则及实践在个人数据保护的语境下仍可适用[2]。

设计的数据保护（Data Protection by Design）

GDPR第25条第（1）款规定：考虑到行业最新水平、实施成本及处理的性质、范围、目的和内容以及处理给自然人的权利与自由造成的影响，数据控制者应当在决定数据处理方式以及进行处理时以有效的方式采取适当的组织和技术措施，例如采取匿名化措施实施数据最小化原则，并实施必要的保障措施以符合本条例要求，保护数据主体权利。

据此，设计的数据保护是指在任何系统、服务、产品或流程的设计阶段以及全生命周期中充分考虑数据保护问题，从本质上来说，就是要将数据保护集成到数据处理活动和业务实践当中。

默认的数据保护（Data Protection by Default）

GDPR第25条第（2）款规定：数据控制者应当采取适当的技术和组织措施，以确保在默认情况下仅在具体目的的必要范围内处理个人数据。该义务适用于收集的个人数据的数量、处理范围、存储期限及数据的可访问性。尤其需要注意的是，所采取的措施应当确保在默认情况下非经数据主体的介入，其个人数据不得被不特定数量的自然人访问。

据此，默认的数据保护是指在默认情况下仅处理目的所需的个人数据，与目的限制原则及数据最小化原则息息相关。默认的数据保护要求在数据处理开始前确定所要处理的数据，以适当的方式充分告知数据主体并在整个处理过程中仅在目的范围内进行处理。

设计的隐私保护基本理念

实现设计的隐私保护并不以牺牲产品经济效益为代价，应当遵循以下基本理念[3]：

点击图片可查看大图

《指南》主要内容

EDPB发布的《指南》进一步明确了GDPR第25条的内容及实践要求，主要包括适用范围、条文分析、如何通过DPbDD实现数据保护基本原则、认证、实施与推荐等六个方面，可概括为两个部分：《指南》回答了哪些问题？《指南》推荐了哪些措施？

《指南》回答了哪些问题？

1.履行DPbDD义务应达到何种效果？

根据GDPR第25条及序言第78条，《指南》指出履行DPbDD义务有两大目的：实现数据保护原则以及保护数据主体权利和自由。《指南》中说明，法律法规不规定具体的技术和组织措施，数据控制者所采取的措施可实际有效地实现上述目的并且可论证说明其有效性即可。

2.何种数据处理角色需履行DPbDD义务？

根据GDPR第25条的规定，DPbDD义务明确适用于数据控制者（因其有权决定数据处理的目的及方式），EDPB在《指南》中认为数据处理者及技术提供者（technology provider）同样需参考以协助数据控制者充分履行合规义务。

3.何时需履行DPbDD义务？

从时机上看，无论是在设计数据处理活动之初决定处理的目的及方式时，还是在数据处理活动全流程中，均需履行DPbDD义务以实现持续合规。

4.履行DPbDD义务时需考虑何种因素？

履行DPbDD义务，尤其是实现设计的数据保护，应当充分考虑如下因素：①先进性：即所采取的措施是否处于行业的最新水平，在数据处理活动全流程中均需持续评估其先进性；②实施成本：即财务、时间、人力等成本，《指南》强调高额成本不能成为不合规的理由；③数据处理活动本身：即数据处理活动的性质、范围、内容及目的；以及④数据处理活动可能给数据主体基本权利和自由造成影响的风险。GDPR是风险控制的法案，应当采取与风险程度相适应的技术和组织措施。

5.企业如何得益于履行DPbDD义务？

根据《指南》，若企业作为数据控制者，在规划、确定数据处理方式的最初阶段即考虑DPbDD的要求，可更好地履行各项基本原则、实现GDPR合规；数据控制者可针对所设涉及的数据处理活动进行DPbDD认证并以此作为市场竞争优势。若企业作为数据处理者或技术提供者，可更好地协助数据控制者履行合规义务；数据控制者提出DPbDD要求的，可充分实现并以此作为竞争优势。

6.如何取得相关认证？

根据GDPR第25条第（3）款及《指南》，数据控制者据GDPR第42条取得的DPbDD认证可作为相应的合规证明。根据GDPR第42条及EDPB于2019年6月4日发布的《关于依据GDPR第42、43条进行认证及确定认证标准的指南》3.0版（Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation），认证可以由各个成员国数据保护机构进行，也可以由第三方进行，需结合数据处理活动所在国家或地区的实际情况判断认证机构及认证标准。

[注]

[1] (46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processing; whereas it is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected.

[2] UK ICO（Information Commission’s Office)-Guide to the General Data Protection Regulation (GDPR)-Accountability and governance-Data Protection by design and default

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/

[3] Ann Cavoukian, Ph.D. Information & Privacy Commissioner Ontario, Canada. Privacy by Design: The 7 Foundational Principles, Jan 2011 https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdfAnn Cavoukian, Ph.D. Information & Privacy Commissioner Ontario, Canada. Operationalizing Privacy by Design. A guide to implementing strong privacy practices, Dec 2012 http://www.ontla.on.ca/library/repository/mon/26012/320221.pdf

预告：下篇中我们将重点介绍《指南》推荐的合规措施以及对企业的合规启示，敬请期待。

The End

作者简介

陈际红律师

北京办公室合伙人

业务领域：知识产权, 反垄断与竞争法, 科技、电信与互联网

吴佳蔚

北京办公室知识产权部

杨润

北京办公室知识产权部

作者往期文章推荐：

《《密码法》的“放管”之道》