2024年11月13日,英国信息保护办公室(ICO)发表信息称,正式批准了由英国调查员协会(ABI)制定的《ABI 英国调查与诉讼支持服务数据保护行为准则(v1.0)》,旨在为私人调查与诉讼支持服务领域的数据保护提供指导,确保私家侦探企业合规处理个人数据,增强公众对该领域数据处理的信任。
1. 适用范围与目标
适用对象:为提供调查和诉讼支持服务的企业,包括 ABI 成员企业和符合特定条件的非 ABI 成员企业,需满足一系列标准并获得 “Code Member status” 地位。
核心目标:帮助代码成员理解并遵守数据保护法,明确处理个人数据时的角色和责任,确保数据处理合法、公平、透明,重点关注数据保护影响评估、合法处理依据、合法利益评估以及特殊数据处理等关键问题。
2. 关键定义
个人数据:与已识别或可识别的个人相关的信息。
数据控制者:决定个人数据处理目的和方式的自然人、法人、公共机构等。
数据处理者:代表控制者处理个人数据的实体,必须按控制者指令行事。
联合控制者:共同决定数据处理目的和方式的两个或多个控制者,需明确各自责任。
特殊类别数据:涉及种族、政治观点、宗教信仰、健康等敏感信息的数据。
犯罪记录数据:与犯罪定罪、犯罪行为及相关安全措施有关的个人数据。
3. 核心要求
3.1 角色与责任
理解并确定角色:企业在处理个人数据前,需明确自身是控制者、联合控制者还是处理者,根据实际情况确定,不能随意选择,且需向客户清晰解释其角色和责任。
不同角色的责任
控制者责任:确保自身及处理者的数据处理活动符合数据保护法,包括遵守数据保护原则、保障个人权利、采取安全措施、选择合适处理者并签订协议、通报数据泄露、履行问责义务、配合 ICO 调查、支付数据保护费等。
处理者责任:遵循控制者指令处理数据,签订包含特定条款的合同,未经授权不得使用子处理者,保障数据安全,及时通报数据泄露和潜在违规行为,协助控制者履行义务,处理结束后按指令处理数据,对控制者承担合同责任,对个人承担因违反规定导致损害的责任。
联合控制者责任:以书面形式明确各自在数据保护法下的责任,确保安排透明,向个人提供主要信息,尊重个人权利,对 ICO 负责,个体可向任何联合控制者索赔,联合控制者之间的责任分配协议对个人索赔无效。
3.2 数据保护影响评估(DPIA)
何时需要 DPIA:处理个人数据可能对个人权利和自由造成高风险时,如处理特殊类别数据、犯罪记录数据、儿童个人数据,或涉及特定高风险活动(如自动决策导致服务拒绝、数据组合匹配、隐形处理、可能导致身体伤害的处理)时,控制者必须进行 DPIA。
DPIA 流程与挑战:DPIA 是风险评估工具,需识别评估需求、描述处理情况、考虑咨询利益相关者、评估处理必要性和合法性、识别风险并制定措施、考虑风险水平及是否咨询 ICO、记录结果并持续审查。企业需客观考虑处理可能造成的危害,避免因客户信息不完整而忽视风险。
DPIA 的重要性:有助于控制者确保合规,避免数据处理中的常见问题,如数据过度或无关、保留时间过长、使用方式不当、忽视个人权利、数据不准确或不安全、披露不当等。完成 DPIA 后,结果应融入数据处理过程,必要时可公布(需隐去敏感信息),若仍存在高风险,需咨询 ICO 并遵循其建议。
3.3 合法处理依据
确定合法依据:处理个人数据必须有合法依据,控制者需在处理前确定,可参考 ICO 的互动指导工具,确保处理符合数据保护原则,处理特殊类别或犯罪记录数据时需满足额外条件,注意保护儿童利益,尽量避免中途变更合法依据,如有变更需通知个人并记录。
合法依据类型
合法利益:处理需为企业或客户(或第三方)合法利益所必需,但不得损害个人利益,需进行合法利益评估(LIA),平衡个人与相关方利益,定期审查以确保依据持续合适,避免在某些情况下(如处理不符合法律道德标准、无明确目的、可不用个人数据实现目的、处理方式不当、存在重大风险、对平衡测试不自信、担心负面宣传、有更明显适用依据)依赖此依据。
同意:个人同意处理其数据,但需满足高标准,如自由给予、明确具体、知情、可随时撤回等,不适用于某些调查活动,如欺诈调查等,企业需根据具体情况判断是否可依赖同意作为合法依据。
合同必要:处理对于个人作为一方的合同签订或履行必要,但在提供调查和诉讼支持服务时通常不适用。
法律义务:处理为遵守普通法或法定义务所必需,如根据《2002 年犯罪收益法》报告可疑活动或遵守法院命令,指令开始时可能不适用,通常在处理过程中产生相关义务时适用。
重大利益:处理为保护个人或他人重大利益所必需,但在调查和诉讼支持服务中很少适用。
公共任务:公共机构或执行公共利益任务的私人组织处理数据,但在该服务领域不常适用。
3.4 特殊数据处理
犯罪记录数据处理:企业不得保留全面的犯罪记录数据库,处理此类数据需有官方授权或符合数据保护法规定的合法依据,遵守《数据保护法》附表 1 规定的条件,确保处理合法、公平、透明,同时满足其他数据保护要求。
特殊类别数据处理:处理特殊类别数据通常需个人明确同意,或符合特定条件,如就业法、社会保障法、保护重大利益、慈善或非营利组织活动、数据已公开、法律索赔或辩护、公共利益、医疗治疗、公共卫生等相关条件,处理时需确保必要性和合法性,不得超出必要范围。
4. 行为准则管理与违规处理
管理与监督:由监测机构(MB)评估企业是否符合准则,包括申请时和后续年度评估,企业需对自身合规负责,遵守更广泛的数据保护法律义务,违反准则可能面临不同程度的处理。
监测机构职责:实施审计和监测程序,处理投诉,协助准则年度审查,确保准则与时俱进,监测机构需具备独立性、专业知识、处理利益冲突能力、完善规则程序、投诉处理能力、与 ICO 沟通能力、促进准则审查能力和适当法律地位。
投诉处理流程:MB 负责记录、确认和调查企业违反准则的投诉,企业需按要求回应投诉,提供相关证据,MB 将根据情况采取行动,包括要求企业整改、提供培训、发出警告、暂停或排除企业成员资格等,企业有权对 MB 决定上诉。
违规行为处理:根据违规严重程度,MB 将采取不同措施,如发出不符合报告(NCR)要求企业整改,考虑纠正建议或制裁措施,包括培训、警告、报告给 ABI 或暂停 / 排除成员资格等,严重违规或多次违规可能导致更严厉处罚,企业可上诉,MB 决定为最终决定(由三人审计小组审查),同时 MB 会将严重违规情况通知 ICO。
5. 案例分析
角色确定案例
控制者示例:客户要求企业识别潜在证人,企业按详细指令处理可能是处理者,但后续主动联系证人拓展业务则成为控制者;在债务人定位案例中,企业若按常规指令处理是处理者,若自行改变调查方向处理新数据则可能成为控制者或联合控制者;企业购买个人信息用于业务时是控制者,员工在其授权下处理数据,员工不是控制者。
处理者示例:债权人客户要求企业分发法定需求,企业按指令处理地址、身份验证和送达需求,不决定处理目的和方式,是处理者;客户要求企业核实地址细节,企业按规定搜索并反馈结果,不进行额外搜索或调查,是处理者,企业在处理过程中可在指令范围内进行一些操作决策,但仍需确保符合处理者责任。
联合控制者示例:律师事务所要求企业采访客户并进行调查评估,双方共同决定处理目的和方式,是联合控制者;客户提供宽泛调查指令,企业决定具体调查方式和使用数据,双方也是联合控制者,需在合同或委托书中明确责任分配。
DPIA 案例:企业在进行可能导致高风险的处理活动前,如大规模处理特殊类别数据、涉及自动决策、数据组合匹配、隐形处理或可能导致身体伤害的处理时,必须进行 DPIA,评估风险并确定是否需要咨询 ICO,处理结束后需根据 DPIA 结果实施风险缓解措施,必要时公布 DPIA(隐去敏感信息)。
合法利益与同意案例:在追踪受益人等案例中,企业在追踪阶段可能依据合法利益作为合法依据,但在分享个人数据给客户的后续处理中,若无法获得个人同意则不能进行处理;在定位家庭成员或朋友等案例中,企业需根据具体情况进行 LIA,判断合法利益是否适用,若不适用则需获得个人同意,否则不能处理个人数据。
6. 附录内容
附录 I:代码成员标准与要求:详细列出企业成为代码成员需满足的条件,包括主要负责人资质、培训要求、立法合规声明、角色与责任理解、DPIA 和 LIA 能力、保护儿童利益、不保留犯罪记录、处理投诉和配合 MB 调查、具备数据保护法知识等方面,需提供相应证明文件,ABI 成员可豁免部分要求。
附录 II:数据保护影响评估模板:提供 DPIA 的模板,包括评估需求、描述处理情况、咨询过程、风险评估、风险处理措施、签署记录等内容,企业需根据实际情况填写,以确保 DPIA 的完整性和合规性。
附录 III:合法利益或同意示例:给出不同客户指令下企业可能考虑的合法依据示例,强调企业需进行 LIA 确保满足相关测试要求,根据具体情况判断合法利益是否适用,在不适用时需寻求个人同意,处理过程需遵循数据保护原则和相关法律法规。
