Loading…
根据GDPR第35条,每当处理活动可能对自然人的权利和自由造成高风险时,即须进行数据保护影响评估(DPIA)。第29条工作组(现为EDPB)列出了九项标准——当其中两项或更多适用时,即应进行DPIA。
一份经得起检验的DPIA包含五个阶段:描述处理活动、评估必要性与相称性、识别风险、识别缓解措施,然后正式签署批准并安排复审。ICO方法论与EDPB指南在这一结构上高度一致。
若做得好,DPIA是一项塑造产品的成果——而非一项合规仪式。它能及早暴露风险,并迫使就数据最小化、保留和访问作出抉择。最优秀的DPIA在编写第一行代码之前即已完成。
第35条第(1)款要求在处理活动"可能造成高风险"时进行DPIA。第35条第(3)款列出了三种强制性情形:
大多数监管机构会公布国家清单(第35条第(4)款),列出始终需要进行DPIA的其他处理活动。请查阅您主导监管机构以及您所处理其成员国居民的任何监管机构的清单。
在情形不明确时,运行九项标准测试。两项或更多 = 需要DPIA。
任何 DPIA 的基础都是对您实际如何处理数据的精确描述。需记录:
将此与数据流图相配合。自由文本描述会遗漏数据流图能够捕捉到的内容。
对于每项可识别的风险,请记录:
需要常规涵盖的威胁类型:未经授权的访问(内部人员、外部攻击者)、篡改(完整性丧失)、丢失(销毁、不可用)、歧视、身份盗用、经济损失、声誉损害、保密性丧失、对数据的控制权丧失、假名化数据的重新识别。
对于每项风险,确定计划的处置方式:
在计划的控制措施实施后重新评估剩余风险。如果剩余风险仍为高,您必须在处理开始前咨询监管机构(第 36 条)。
当在采取缓解措施后,对权利与自由的剩余风险仍为高时,须根据第 36 条进行事先咨询。
监管机构接收:
监管机构回复期限:8 周(对于复杂案件可延长 6 周)。在此期间未经授权不得开始处理。
情景:一家物流公司计划在德国和西班牙的 12 个场所为 4,500 名仓库工人引入基于人脸识别的打卡上下班系统。
门槛测试:敏感数据(用于识别的第 9 条生物识别数据)+ 大规模 + 弱势主体(雇员)+ 创新性使用 = 明确属于 DPIA 范畴。德国和西班牙的监管机构清单也将工作场所的生物识别身份认证列为强制性 DPIA。
描述(阶段 1):在场所入口处由前置摄像头提取人脸模板;与存储在各场所设备上的已注册模板进行匹配;匹配结果连同时间戳和工人 ID 一并记录;生物识别模板在雇佣期间 + 30 天内保留;匹配日志保留 3 年。
必要性(阶段 2):合法依据为第 6(1)(b) 条雇佣合同 + 第 9(2)(b) 条劳动法义务(德国)以及明示同意(西班牙,需经职工委员会共同决定)。已考虑的替代方案:PIN 卡刷卡(被否决——代打卡)、NFC 工牌(被否决——同样问题)、指纹(被否决——卫生问题)。论证了人脸模板相较于替代方案的必要性。
风险(阶段 3):(a) 生物识别模板的集中化为入侵创造了诱饵。(b) 错误的不匹配导致工资扣减。(c) 功能蔓延——打卡数据被用于绩效评估。(d) 雇员胁迫:拒绝生物识别采集会被强制退出而进入更差的条件。
处置(阶段 4):(a) 各场所本地设备;模板以 HSM 管理的密钥加密;无云端副本。(b) 针对不匹配的人工覆盖流程;薪资部门不得仅基于打卡失败进行扣减。(c) 合同禁止 + 打卡数据与 HR 绩效系统之间的技术隔离。(d) 真实的退出途径(工牌备用方案)且无不利后果,已在职工委员会协议中记录。
签署:已获取 DPO 意见——建议在雇佣结束后 7 天删除人脸模板,而非 30 天。控制者已接受。已获得职工委员会共同决定。剩余风险:中低。无需咨询监管机构。
针对单一处理活动的聚焦型 DPIA:按日历时间计算,约需 2–4 周的兼职投入。复杂的(新产品线、生物识别、AI 模型):6–12 周。任何被报价为“2 小时”的都不是真正的 DPIA。
可以——对于已在运行的处理活动,适用第 35(11) 条的审查。当处理活动早于 GDPR,或先前免于 DPIA 的处理活动已变为高风险时,监管机构接受追溯性 DPIA。
DPIA(GDPR 第 35 条)侧重于数据处理背景下对权利与自由的风险。FRIA(EU AI Act 第 27 条)则扩展至高风险 AI 系统更广泛的基本权利——歧视、公平性、自动化决策影响。二者有所重叠,对于 AI 用例可合并为单一产物。
并非必需,但 ICO 建议这样做。发布经编修的摘要是一种强有力的信任信号。敏感的技术或商业细节可以省略;实质内容——目的、合法依据、风险、缓解措施——是可发布的。
监管机构有 8 周时间提供书面意见,对于复杂案件可延长 6 周。他们不能直接否决,但可以发布包括处理禁令在内的第 58 条纠正措施。相应地做好规划——第 36 条案件在启动前需要 3 个月的缓冲期。
RegulatoryBridge 执行完整的 DPIA——门槛测试、利益相关方咨询、必要时根据第 36 条与监管机构沟通。可投入使用的产物,经得起审计的可辩护性。