数据安全事件时评第二期

【时事四】荷兰数据保护局开始研究私营部门遵守隐私规则的情况

（来源：

https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-start-onderzoek-naar-naleving-privacyregels-door-private-sectoren）

【时事摘要】自2018年7月17日，荷兰数据保护局（以下简称“AP”）已开始进行探索性调查，以了解大型组织如何遵守新的欧洲隐私法规。在来自10个私营部门的30个大型组织的随机样本中，AP检查他们是否保留了处理活动的记录。检查主要看该组织是否对处理过程进行记录，以及是否记录了正确的信息？AP认为，组织展示它认真对待隐私规则了，记录所有处理活动是非常重要的第一步。

行业

AP在以下十个部门中进行抽样：工业和金属、供水、建筑、贸易、餐饮、旅游组织、通信、金融服务、商业服务和医疗保健。这些组织遍布整个荷兰。

处理记录

自2018年5月25日起，适用新的欧洲隐私法规即《通用数据保护条例》（“GDPR”）。该条例中规定了组织在某些情况下必须对处理操作进行记录。需要记录的处理活动的信息包含有关组织处理的个人数据以及他们处理个人数据的目的。

当AP要求组织提供处理数据的记录时，组织有义务予以提供。如果一个组织，其拥有250名以上员工，那么“记录”便是一项强制义务。小微实体如果满足以下任一标准的，也必须对处理活动进行记录：

（1）系统地处理数据，例如有关其员工的数据；

（2）处理的数据涉及对人的权利和自由造成高风险的；

（3）处理的数据涉及特殊类型的个人信息，例如宗教或健康数据。

【M姐评论：】

荷兰AP官方网站公布的这则新闻中所指的“GDPR要求组织对某些处理操作进行记录”，正是指GDPR第30条的“records ofprocessing activities”（对处理行为的记录）。根据第30条第1款的要求，数据控制者，包括其代表，应详细记录其数据处理活动的情况。记录应包含控制者（包括联合控制者）、其代表、数据保护官的名字、联系方式、处理的目的、对数据主体类别、个人数据类别、数据接收者类别（包括位于第三国的数据接收者或国际组织接收者）、传输目的地（如果个人数据传输到第三国或国际组织的），在特殊情况下，还需记录合适的保护措施。另外，在适用的情况下，还应包括不同类别数据的预期删除时间和技术和组织措施的一般性描述（第32条第1款[1]）。第30条第2款也要求处理者需要履行与其相适应的处理活动的记录义务。

荷兰数据保护局非常重视数据处理活动中的“记录”工作，甚至将其视为企业认真对待隐私之非常重要的第一步。为什么对处理活动的记录和保存如此重要？

M姐认为，首先对数据处理活动进行记录，相当于企业建立了用户个人信息安全清单，知道企业的数据从哪些途径获得，又做了哪些手段的处理（比如是否做了脱敏，是否做了去标识化，是否做了加密，又是否做了标签化分类）？数据在流转的过程中去向了哪些部门，是保存在了组织的服务器？用户是否对其数据进行访问，还是被用户要求删除了，是被要求提供了副本，还是已经被更正或者被撤回同意后予以销毁？某些数据是否有传输到下游企业抑或者是流转到了境外？这些数据的动态变化，如果没有相应的记录，企业便无法准确跟踪和监控数据的流动路径，无法掌握数据流转全生命周期中每一环节上的状态是否正常、数据没有受污染被篡改、没有被窃取以及符合合规要求。

其次，对数据处理活动进行相应的记录，也是监管机构对企业进行审查时，企业可以拿出自己的记录册来展示已经实施了合规措施并严格遵照合规要求履行相关义务的手段。直白点说，企业的一举一动都有据可查。企业有责任和义务（Accountability）向监管机构和公众证明自己已经建构了完整的用户隐私保障机制并且恪守承诺遵守隐私政策与用户协议中批露的规程处理用户数据。否则，即使企业做了再多工作，如何拿出证据来表明自己已经尽了最大努力去践行法规、政策的要求？正如GDPR第30条第4款规定，控制者或者处理者（及其代表）应当按照监管机构的要求提供该等记录。因此，企业的合规义务与举证义务需要相互配合，相得益彰，这是GDPR和我国个人信息安全规范语境下“归责原则”所要求的两个方面。

除此以外，对数据处理活动进行记录，也是对数据质量进行有效管理的方法之一。盘点和整合对企业具有核心竞争力并产生价值的数据资源，从而构建企业的数据资产非常关键。[2]如果没有记录，将可能出现数据管理混乱，数据质量层次不齐，数据的收集、使用、传输、存储、共享等全生命周期各环节的规划存在不合理现象，难以建立全面、准确、完整地反映企业运营状况的数据地图，也无法在企业内部按照一个清晰有效的协调机制获得各部门的配合与支持，更无法辨别哪些是历史遗留的数据“包袱”哪些可以变成数据“金矿”，也无法最终转化为可变现的数据资产。

即使记录是GDPR的强制义务，GDPR引言第13条和正文第30条第5款均规定：对数据处理活动的记录保存义务并不适用于雇佣少于250人企业或组织除非该处理可能会对数据主体的权利和自由造成风险，或者该处理不是偶然的，或者处理包括第9（1）条中所述的特殊类别数据，或与第10条中所述的刑事定罪和犯罪有关的个人信息。29条工作组《根据GDPR第30条第5款关于减轻处理活动保存记录义务的立场文件》再次解释和澄清了上述三种例外情形，并认为任何一类情况的单独发生都会触发对处理活动进行记录。

例如，一个小型组织可能会定期处理有关其员工的数据。因此，这种处理行为不能被认为是“偶然的”，必须包括在处理活动的记录中。[3]然而，事实上是“偶然”的其他处理活动，不需要被涵盖在处理活动的记录中，只要它们不太可能对数据主体的权利和自由造成风险，并且不涉及特殊数据种类和与刑事定罪和犯罪有关的个人数据。[4]

29条工作组强调，对处理活动进行记录是分析无论是现有的还是计划进行的任何处理行为是否产生影响的一种非常有用的手段。该记录有助于对控制者或处理者对个人权利进行处理的风险进行事实评估，并确定和实施适当的安全措施以保护个人数据-这两者都是GDPR中包含的问责原则的关键组成部分。

对于许多中小企业而言，对处理活动进行记录不太可能构成它们特别沉重的负担。但是，29条工作组认为GDPR第30条代表了对控制者和处理者新的管理要求，因此鼓励国家监管机构通过提供便于建立和管理处理活动记录的工具来支持中小企业。例如，监管机构可以在其网站上提供简化模型--中小企业可以使用该简化模型来保存第30条第5款减轻义务中未涉及的处理活动记录。[5]

我国《个人信息安全规范》对个人信息的处理活动也要求控制者具有记录与保存的义务，虽然该义务没有被单独列为一个条目，但已经涵盖在每一环节（收集、使用、委托处理、共享、转让、公开披露、安全事件发生及应急处理以及审计情况）的控制者具体义务中。对于中小企业记录处理活动可以提供何等便利性，29条工作组的做法具有一定的参考意义，但更应该根据我国企业的发展情况和实际需求做出更有针对性的创新性设计。

引用：

[1]第三十二条处理安全1.考虑到各国国内发展水平、实施成本和数据处理的性质、范围、内容和目的以及对自然人权利与自由带来风险的可能性与严重性，数据控制者和处理者应当采取适当的技术和组织措施以确保安全水平与风险程度相一致，尤其包括如下内容：

（a）个人数据的假名化和加密措施；

（b）确保处理系统和服务能够持续保持保密性、完整性、可用性和自我修复的能力；

（c）在发生物理性或技术性事故情况下，及时恢复个人数据的可用性和对个人信息访问的能力；

（d）实施一项定期测试、评估、评价技术和组织措施有效性的程序，以确保处理的安全性。

[2]数据资产（Data Asset）是指由企业拥有或者控制的，能够为企业带来未来经济利益的，以物理或电子的方式记录的数据资源，如文件资料、电子数据等。在企业中，并非所有的数据都构成数据资产，数据资产是能够为企业产生价值的数据资源。（引自《数据资产管理实践白皮书2.0》）

[3]29条工作组认为，如果处理活动不经常进行并且发生在正常业务过程或控制者或处理者的活动之外，处理活动只能被视为“偶然”。参见29条工作组指南第2016/679号条例（WP262）第49条。

[4]、[5]引自29条工作组《根据GDPR第30（5）条关于减轻处理活动保存记录义务的立场文件》。