2024年11月1日,英国信息专员办公室 (ICO)发布了关于《数据(使用和访问)法案》的回应声明,认为该法案是一个积极的改革方案,维持了高标准的数据保护,保护了人们的权利和自由,同时也为组织提供了更大的监管确定性,并促进了英国经济的增长和创新。以下为ICO负责人发表的声明全文
《数据(使用和访问)法案》(DUA Bill)于2024年10月24日提交议会。这是英国数据保护制度发展的又一个里程碑。我很高兴政府将这些必要的改革作为新议会的优先事项。
制定公共政策以改变立法框架的责任在于政府和议会。英国信息专员办公室 (ICO) 独立于政府。我们的职责是在当前的数据保护立法框架以及未来的任何修订版本中执行任务和职责。我们还就修改数据保护和信息权利法律的任何提案的影响提供独立的专业建议,这些建议基于我们对现有制度监管的经验。
ICO认为该法案是一个积极的改革方案。它使我们能够继续作为一个可信、公正和独立的监管机构运作,同时改善我们的运作方式。该法案维持了高标准的数据保护,保护了人们的权利和自由,同时也为组织提供了更大的监管确定性,并促进了英国经济的增长和创新。
ICO参与该法案的制定已有数年之久。ICO一直与负责该法案的政府部门就数据保护改革进行对话。这一过程始于2021年的一次公开咨询,随后是《数据保护和数字信息法案》(DPDI Bill),但由于上届议会结束而告吹。在此基础上,制定了当前的DUA法案。我一直根据《英国通用数据保护条例》第36(4)条的要求,积极参与政策制定过程,并始终提供专业建议。
ICO将在议会监察和批准过程中继续提供适当和建设性的意见和反馈。
分析
本回应主要关注法案中关于数据保护框架的关键措施,并根据ICO的长期目标进行分析。附件一包含对几个起草点的技术反馈。
然而,我也欢迎法案中超越数据保护框架的更广泛措施,这些措施将支持经济增长、信任和对数字经济的参与,并改善公共服务的提供。法案中的多项改革将促进创新,并为各种经济活动中的新型数据驱动业务发展开辟机会。
智能数据
政府对智能数据计划抱有重大期望。这些计划将使人们更高效地使用和访问其个人信息。它也将成为创新和经济增长的杠杆。政府正在推进各项工作计划,使行业和公众都能以有益的方式使用个人信息。因此,我欢迎法案的第一部分,即涵盖客户和商业数据。这些举措使人们能够控制和更多地访问组织持有的关于他们的信息。这可能带来显著的积极影响,使人们能够为自己的利益使用其个人信息。
ICO已多次就类似倡议(如开放银行 (Open Banking) 和Midata 2计划)向政府提供建议和指导。ICO认为,建立和维持人们的信任对于这些项目的成功至关重要。这应继续成为该法案所赋予权力的核心。
ICO倡导对个人信息处理采取“隐私设计”的方法。参与“智能数据”计划的任何数据控制者都需要确保从一开始就识别数据保护风险,在计划中建立缓解措施,而不是在后期附加。
数字验证服务
ICO支持政府开发数字验证信任框架。数字验证计划是作为物理身份路径的替代方案而设计的,旨在增加对个人隐私的保护,同时带来经济效益。ICO已就数据保护问题向政府提供了监管建议,并将继续在该计划的发展过程中提供。
ICO的重点是帮助政府正确处理数据保护问题。ICO希望公众对数字身份系统和其他数字身份系统都有信任和信心,同时确保人们的信息权利得到适当保护。
英格兰健康和社会护理的信息标准
该法案还将引入英格兰健康和社会护理的信息标准,对《2012年健康和社会护理法》第9部分进行修订。这些变更将推动信息技术实现更大的标准化,解决功能、可移植性、存储和访问要求以及安全性方面的问题。这将是支持为公众提供健康和社会护理所需的基础设施变更的立法基础。国务卿将监督对这些标准的遵守情况,并有权对未遵守标准的组织进行公开谴责。该法案还允许开发一个配套的信息技术认证计划。
数据保护法可以帮助组织负责任地共享个人信息。人们需要相信他们的医疗信息掌握在可靠的手中。组织必须清晰透明地说明他们将如何使用人们的个人信息。健康和护理记录高度敏感,因此我期望组织将数据保护作为首要任务,并从一开始就将其纳入所有新计划,包括根据这些信息标准制定的任何计划。随着这项改革提案的发展,包括关于NHS改革的咨询,ICO将继续与政府合作,利用ICO的专业知识,采取数据保护设计的方法。
数据保护改革
ICO特别高兴地看到,政府致力于实现数据保护环境的现代化,并继续听取ICO认为最重要的领域的意见。当本届ICO负责人在2022年上任时,该负责人对于任何可能削弱ICO独立性、组织监管确定性或公众保护的改革都直言不讳。政府已决定不推行要求ICO必须遵循战略优先事项声明的提案。我的一些监管同行也有类似的职责。虽然我乐意支持之前的改革方案,但我欢迎政府认可利益相关者对感知到的监管独立性挑战的关注,并决定不继续推进。
负责任的创新和增长
在提供强大保护的同时,数据保护框架应尽可能易于组织使用和导航。负责任地使用人们可以信赖的个人信息对英国的经济繁荣具有巨大潜力。法案中的一些变革将实现这些目标,我很高兴看到它们被纳入其中。
自动化决策(ADM)在适当的保护下可以为人们和组织带来好处,包括提高效率。该法案将修订相关规定,除使用特殊类别数据的案件外,产生法律或类似重大影响的ADM将不再被表述为带有例外的禁止条款。相反,只要具备适当的保障措施,无论组织的合法依据是什么,都可以进行ADM。最重要的是,这将允许组织现在依赖合法权益进行这种类型的处理。在我看来,这在促进自动化带来的好处和为特殊类别数据提供额外保护之间取得了良好的平衡。
该法案认识到,组织不确定其处理目的是否构成合法权益,特别是在商业背景下。该法案让组织在何时可以依赖合法权益这一合法依据方面更有信心。它明确了现有合法权益合法依据的适用情况,并在附件4中列出了无需进行平衡测试的“公认合法权益”。一个例子是犯罪预防和保障,在这方面,因担心数据共享而造成的实际伤害。
它还为组织进一步处理个人信息提供了更多确定性。附件5列出了组织可以假定为兼容的进一步处理目的。组织仍需考虑必要性和相称性。然而,通过采用这种方法,政府承担了评估合法权益与人们权利和自由之间的平衡,以及在一般层面上进一步处理是否兼容的责任。
对国际数据传输政策框架的改革将使个人信息能够更容易地从英国流向提供相同保护水平的其他国家。政府正在为利益相关者提供更大的清晰度,说明其将如何做出“充分性”决定,以便个人信息能够自由流动。该指导还帮助组织在采用其他传输机制(如合同)时更清楚地了解其义务。
该法案包括对《隐私和电子通信条例》中存储和访问人们终端设备(即“cookies”规则)的同意要求的改革。这意味着组织对于更少低风险目的的cookies需要获得同意,这应该减少同意疲劳,并使组织更容易为统计目的收集信息并改进其网站。政府还将行为准则的制定条款扩展到了PECR中。对于同时受《英国通用数据保护条例》和PECR管辖的活动,涵盖这两项法规合规性的行为准则将对组织有所帮助。
有效的公共服务提供和公共安全保护
使用个人信息对于公共服务提供和公共安全保护至关重要。为了支持这些目标,政府已经做出了一些关键性变革。其中包括将与公共机构合作的私人公司决定是否可以使用个人信息用于公共任务的责任转移到公共机构身上。
还有几项措施使执法机构能够更轻松地在《英国通用数据保护条例》(一般处理)和《数据保护法》第三部分(特定于执法的处理)规定的责任之间导航。这些措施包括:
在目前没有的情况下,在《数据保护法》第三部分中插入执法处理同意的定义;
统一主体访问请求(SARs)的回应时间限制;
使主管机构能够使用法律专业特权豁免,以不披露SARs中的信息,这与《英国通用数据保护条例》一致;
引入条款,允许主管机构制定行为准则;
在《数据保护法》第三部分中为特定条款引入新的国家安全豁免,以与《英国通用数据保护条例》保持一致;
允许执法机构和情报机构在保护国家安全需要时做出联合控制安排。
政府还在扩大《2017年数字经济法》第35条规定的数据共享权力。这允许信息共享,以改善对商业企业的公共服务提供。
保护和赋权于人
我欢迎那些为组织提供更多确定性并赋予它们负责任地使用个人信息的权力的变革。这将产生社会和经济效益,同时仍然确保人们得到保护。这包括支持组织将个人信息用于研究的变革,这在新冠疫情期间得到了有力的证明。
法案中的条款将实现这些目标,我很高兴看到这些条款,包括:
阐明什么构成科学研究的定义;
使研究、存档和统计目的条款更易于导航和理解;
简化组织依赖这些条款进行处理时的要求。
我还欢迎政府有权在需要时为人们增加新的保护,未来可以添加新的特殊类别数据。这将确保法律在涉及人们最敏感信息方面具有灵活性和前瞻性。
对于组织应如何回应信息权利请求,也有了更多的清晰度。我欢迎改变组织处理人们关于其个人信息如何根据法律进行处理的投诉的方式。该法案将要求组织建立投诉处理流程。这意味着他们必须首先考虑人们的投诉,然后再将投诉升级至ICO。这更有可能导致人们的投诉和关切得到直接和迅速的解决。
提高监管效率
维持一个强大且有效的监管机构至关重要。我很高兴政府已做出改变,这些改变将显著提升信息专员办公室(ICO)有效运作的能力。其中就包括加强我们在《英国通用数据保护条例》(UK GDPR)和《电子隐私条例》(PECR)方面的执法权。
我倾向于与那些我可以合作的组织共事,支持他们从一开始就构建数据保护体系。然而,新增的权力将帮助我在必要时采取行动,确保人们能够得到快速有效的保护。
最重要的改变之一是提高了违反PECR的罚款金额,这将有助于我们打击那些经常瞄准最易受伤害群体的掠夺性营销电话。该法案还改进了PECR下的个人数据泄露报告制度,使其与UK GDPR更为贴近。这将为各组织带来更大的一致性,同时也将提高ICO的运作效率。
UK GDPR还更新了一套监管工具包,其中包括新的权力,要求各组织就特定事项提交报告。所有这些都将体现在PECR新的执行机制中。
我还可以通过电子方式向数据控制者发送法律通知,而无需其事先同意,从而提高我们执法流程的效率。虽然这是一个小改变,但在与海外数据控制者合作时,这将特别有用。
我还将履行新义务,成立利益相关者小组,以指导我们实践准则的内容,并开发和发布关于我们主要监管产品和干预措施的影响评估。这将有助于我实现透明监管的承诺,对受我们行动影响的人表示同情,并在制定和实施监管干预措施时纳入一系列观点。
加强监管独立性和问责制
该法案对ICO的运作方式进行了重大改变,以确保我们继续成为一个有效且值得信赖的监管机构。这些改变还使我们的治理结构与其他同类监管机构保持一致。在我看来,我们更新的治理结构将保持我们的独立性,并增强我们的问责制。
一个既独立又向议会适当负责的监管机构,对于数据保护制度的正常运作至关重要。这也是保持英国在欧盟的充分性地位的关键,我们知道这是许多利益相关者的优先事项。
我们的治理结构将更新为董事会和首席执行官模式。考虑到我们监管职责的广泛性和复杂性,这将增强我们在高层决策层面的适应性和多样性。国王陛下将通过专利证书(Letters Patent)任命董事会主席,这与我的任命程序相同。正如我所提议的,首席执行官将由主席和董事会任命,而不是由国务秘书任命。这将避免任何可能的利益冲突。
结论
该法案中提出的数据保护改革是对英国监管环境的务实且适度的修正。它们与ICO的长期目标高度契合,并为我们提供了足够的灵活性,以有效应对我们所监督的快速变化、数据驱动的环境所带来的监管挑战和机遇。
我与利益相关者就数据保护改革进行的交流表明,我们与欧盟的关系仍然至关重要。欧盟做出的积极充分性决定所提供的确定性是我们的首要任务。我欢迎政府对于维持我们的充分性地位重要性的再次承诺。虽然这最终是别人的决定,但我认为法案中提出的改革取得了积极的平衡,不应给英国的充分性地位带来风险。
总体而言,该法案是一套积极且平衡的改革方案,但如同任何法律一样,有些问题还需要进一步明确。这些技术性问题已在我与政府持续沟通的过程中提出,并总结在附件一中。这些问题反映了我对政府在UK GDPR第36(4)条下对ICO进行咨询的正式回应。
附件:
本附件是对信息专员针对《数据使用和访问(DUA)法案》回应的补充。它基于本办公室在监管现行立法框架方面的经验,提供详细的技术建议。它概述了我们认为哪些起草修改可以进一步明确,或者我们认为起草未能反映政策意图的地方。它应与信息专员随附的回应一同阅读。条款编号反映的是2024年10月23日提交议会的法案版本。
客户数据和业务数据
第22条——本部分的法规
本条款考虑了法规的不同领域。第(3)款规定,国务卿或财政部必须咨询可能受法规影响的人员以及具有与可能受法规影响的数据持有者相关职能的行业监管机构。我们认为,起草中应明确规定与英国信息专员办公室(ICO)协商的职责。当前对“行业”监管机构的提法存在歧义,不清楚这是否包括跨经济监管机构,如ICO。
数字验证服务
第46条——英国税务海关总署披露的信息
本条款涉及英国税务海关总署为使人能够提供数字验证服务而披露的“个人信息”。第(5)款使用了“个人信息”这一术语,而非“个人数据”,并提供了与数据保护立法中接受的“个人数据”定义不同的“个人信息”定义。目前尚不清楚这是否是故意为之,我们建议修改本条款,使其与其他“个人数据”定义保持一致。
第49条——关于信息披露的操作守则
本条款涉及国务卿根据第45条准备和发布关于信息披露的操作守则。第(3)款解释了公共机构在披露此信息时必须考虑该操作守则,并在第(11)款中定义了公共机构。然而,此处的公共机构定义与其他地方(如2018年《数据保护法》(DPA 2018)第2部分第2章第7条)的定义不同。这不一定是个问题,但我们需要确保该定义不会被交叉应用。
数据保护和隐私
第67条——研究和统计目的的含义
研究、档案和统计(RAS)条款允许无限期保留数据,提供对某些数据主体权利的豁免,并允许对数据的再利用做出兼容性假设(除非数据最初是在同意的基础上收集的)。
第67条借鉴了英国《通用数据保护条例》(UK GDPR)第162条序言的措辞。它仅允许在以下情况下为统计目的处理数据,从而享受RAS条款的优惠:
统计处理的结果是汇总数据,不是个人信息;
原始个人信息和处理结果均不用于对原始数据主体做出决策。
我们认为,汇总数据有时也可能是个人数据(如果保留了能够允许去汇总并重新识别数据主体的“密钥”)。这意味着,如果数据控制者已采取措施汇总个人数据,但保留了允许去汇总的“密钥”,则此起草将阻止其享受RAS条款的优惠。
我们假设这是政府的意图。
第68条——为科学研究目的而处理数据的同意
本条款将欧盟《通用数据保护条例》(EU GDPR)第33条序言中关于“为研究目的而广泛同意处理数据”的措辞纳入立法。我们对本条款的清晰度和结构有一些意见。特别是:
我们建议,插入的文本最好放在第7条下,而不是第4(7)条下,因为我们认为它提供了关于同意条件的详细信息,而不是同意的定义。
无论新文本插入到哪个条款中,我们都认为“因为它(并且仅因为它)不属于该定义”这句话应该放在每个标准(a)至(d)之前,而不是作为(a)的一部分。这样它就适用于(a)至(d)的每一个标准。
无论新文本插入到哪个条款中,我们在第(b)款中使用“目的”一词可能会引发关于立法中其他部分(特别是与隐私信息相关的部分,我们通常认为“科学研究”是一个足够具体的目的)所需具体性程度的混淆。因此,我们建议改为“(b)在寻求同意时,无法具体说明个人数据将被用于哪些精确的研究活动”。
第71条——目的限制
我们认为,在第5(1)(b)条中添加“或代表控制者”与立法中其他地方的用语不一致(其他地方似乎没有必要明确指出规定既适用于控制者以自身名义行事的情况,也适用于其指示处理者代表其行事的情况)。
我们认为这种措辞是不必要的,并且存在风险,即在此处而非其他地方包含此措辞可能会被赋予比实际更重要的意义。它也可能被误解为意味着处理者有责任评估兼容性(而不是仅仅按照其控制者的指示行事)。
第72条——依据相关法律国际协议进行处理
虽然我们原则上并不反对允许特定的相关法律国际协议为公共任务提供法律基础。然而,我们认为,2019年10月3日签署的《大不列颠及北爱尔兰联合王国政府与美利坚合众国政府关于为打击严重犯罪目的获取电子数据的协定》并未为英国通信服务提供商提供任何提供此类法律基础的具体权力或授权。无论如何,我们认为没有必要将此特定协定添加到相关法律国际协议的附表中,因为这种处理已经可以在合法利益这一合法处理依据下进行。
第74条——特殊类别个人数据的处理
关于《2016年调查权力法》中对“敏感个人数据”定义的修改,我们认为更好的表述是“处理与已故个人有关的数据,如果该数据与活着的个人有关,则属于此类处理”。这是因为关于已故个人的信息不属于个人数据。
第77条——向数据主体提供的信息
第14(5)条目前允许在以下情况下豁免提供透明度信息:当一个组织没有直接从数据主体收集个人数据,且提供此信息将构成过分努力。本条款在第13条中反映了这一豁免,即当组织直接从数据主体收集个人数据用于研究目的时。然而,它并未包含第14条中的以下措辞:“可能使为实现个人数据预定处理目的而变得不可能或严重损害其实现”。我们认为,这可能被解释为意味着,如果组织直接从数据主体收集数据,则不能以下列理由主张豁免提供透明度信息(例如,当全面透明度可能损害研究目标,或提供隐私信息的成本会损害研究目标时)。
第80条——自动化决策
关于第4部分的处理,本条款规定,如果自动化决策没有人类参与的机会,则该决策将是“完全基于自动化处理的决策”。然而,对于如果有人类参与的机会会产生什么影响,它却没有说明。我们的理解是,政府的意图是,仅仅有“机会”让人类参与决策是不足以将该决策排除在“完全基于自动化处理的决策”范围之外的。组织必须行使这一机会才能产生这种效果。在起草或解释性说明中明确这一意图将是有益的。
第84条及附表7、8和9——向第三国等传输个人数据:一般处理
我们认为,对英国《通用数据保护条例》(UK GDPR)第5章的修改在某些方面可能需要进一步明确。例如,将充分性测试(第45B条)和适当保障措施测试(第46(6)条)都称为“数据保护测试”可能会导致混淆。尽管我们的指导可以澄清这一点,但我们更希望政府在立法中明确这一点。还有一些领域,起草的条款似乎引入了一定程度的模糊性,尽管它旨在澄清政府在评估第三国充分性时的现有做法。
我们欢迎立法语言确认,只有在国务卿认为满足数据保护测试的情况下,才能“制定”批准向第三国或国际组织传输数据的充分性法规。该附表还规定,国务卿在决定是否制定充分性法规时,可以考虑其认为相关的任何事项,包括促进与英国之间个人数据传输的可取性。政府已明确表示,充分性法规必须符合数据保护测试,并认为这两者之间没有冲突。
然而,第46(6)条与第45B(2)条要求之间的相互作用将更加明确是有益的,后者规定了国务卿在确定是否满足数据保护测试时必须考虑的因素。澄清国务卿可以考虑的事项并不会凌驾于或优先于满足数据保护测试的需求将是有帮助的。我们欢迎在立法中明确澄清,关于为哪些国家制定充分性法规的决策与关于这些国家是否满足数据保护测试的决策之间是有区别的。这将提高监管确定性。
就充分性法规的范围而言,第45B(3)(c)条指出,它们适用于“从英国”传输的数据。这可能对因第3(2)条而受英国《通用数据保护条例》(UK GDPR)范围约束但总部位于英国境外的控制者构成限制,而这些控制者原本会因充分性决定而受益。
附表8还对第3部分《数据保护法》(DPA)下的国际传输制度进行了修改,适用于为执法目的而进行的传输。虽然这些修改大体上与对英国《通用数据保护条例》(UK GDPR)第5章所做的修改类似,但也进行了修改,以明确执法主管机构可以进行传输。虽然我们对这些修改旨在提供确定性的意图表示欢迎,但我们认为还有一些改进可以使这些条款对主管机构更有用。我们就这些修改的实际影响继续与内政部进行讨论。
第88条——情报机构和主管机构的联合处理
拟议的新第82A(2)条指出,“国务卿只能指定至少与一个情报机构作为联合控制者共同进行的、由合格主管机构进行的处理”。由于只有在做出指定后才能建立联合控制者安排,我们建议起草需要反映这一点。即国务卿只能指定在发出指定通知后,将由主管机构作为与至少一个情报机构的联合控制者所进行的、由合格主管机构进行的处理。
第103条——与数据主体访问请求相关的法院程序
政府在新条款背后的意图是复制《1998年数据保护法》第15(2)条。鉴于现有的法院程序规则,我们认为没有必要这么做。然而,我们同意,增加这一条款将有助于提供额外保证,即相关信息在法院作出有关权利判定的决定之前,不应披露给数据主体。我们认为,在第180A(2)条中加入“控制者可获得的”会缩小法院目前的立场,并与法院程序规则相冲突。这种措辞使控制者“可获得”的信息具有开放性解释空间,并可能导致控制者通过提出关于法院可处理信息的可用性的论点,使确定数据主体访问权的程序进一步复杂化。
我们认为,删除“可获得的”并采用替代措辞,明确控制者必须提供法院做出决定所需的信息,将简化和澄清这一条款。我们认为此规定的第(4)款是不必要的,应予以删除。第78条(回应数据主体请求的搜索)的影响之一是确认,第180A(1)条(及整个第180A条中使用的)“信息”仅指控制者通过合理且相称的搜索能够确定的信息。因此,第180A(4)款的加入是不必要的,它只是确认了当前对访问条款的解释以及第78条所产生的立场。我们认为这可能会引起不必要的混淆,因此建议删除该子款。
其他关于数据使用和访问的条款
第122条——互联网服务提供商在儿童死亡案件中保留信息
该法案更新了《网络安全法》,建立了一个数据保留流程。根据验尸官的指示,这将要求Ofcom(英国通信管理局)向在线服务公司发出数据保留通知,以确保它们保留验尸官在进行儿童死亡调查时可能随后要求的信息,或Ofcom在这种情况下向验尸官报告特定在线服务运营情况时可能需要的信息。鉴于在线服务的性质,保留的信息可能包括该儿童与之互动的其他服务用户的个人数据。
我们认识到,在调查开始之前,验尸官在识别案件情况表明至少存在在线服务可能是一个相关因素的合理前景方面时间有限,以及他们在需要时无法获取信息的相关风险。我们感到宽慰的是,该权力包括信息保留的时间限制,以及如果调查机构通知Ofcom不再需要保留相关信息,Ofcom有义务取消通知。我们还注意到,在任何情况下,为此目的保留的数据的任何再利用都将受通常的数据保护目的限制条款的约束。
第124条——生物识别数据的保留和可记录的犯罪
本条款允许执法机构在某人因在英格兰、威尔士和北爱尔兰以外的司法管辖区犯下相当于可记录犯罪的罪行而被定罪的情况下,保留其指纹和DNA信息。对《反恐法》(CTA)第18E条的修订建议插入新的第5A款。这将要求将英格兰和威尔士以外的人视为已被定罪,即使相关国家的法院作出了相当于认定该人因精神错乱而无罪的裁定。在英格兰和威尔士,因精神错乱而无罪的裁定可能导致绝对释放令(而非医院令或监管令)。我们希望了解为什么在另一个司法管辖区作出类似的精神错乱认定需要被视为等同于在英格兰和威尔士的定罪。
第126条——从国际刑警组织保留生物识别数据
本条款允许执法机构保留作为国际刑警组织协助请求或威胁通知的一部分而获得的指纹和DNA信息,该信息由国家执法机构出于国家安全目的而持有,直至该机构被告知请求或通知已被撤回或取消。
目前尚不清楚拟议的新CTA第18AA条是否将涵盖扩散信息,因为它指的是“协助请求”(而非合作),这些请求是“通过国际刑警组织的系统”发送,而不是通过该国的国家中心局发送。如果它不打算涵盖扩散信息3,那么目前尚不清楚它们是否打算被纳入“其他国际交流渠道”的描述中。
第130条——承认海外信托产品
本条款修订了涵盖海外信托服务的eIDAS法规。第45A条涉及海外电子签名等的法律效力。本条考虑了国务秘书如何确信提供这些服务的产品的可靠性,并在这样做时,考虑其他国家或地区的法律。目前尚不清楚谁具有进行评估的专业知识(即,这是由国务秘书决定,还是期望ICO(信息专员办公室)进行评估)。这需要进一步澄清。
附表4,处理的合法性:公认的合法权益
概述
我们认为,如果解释性说明能够明确指出,在所有拟议的新公认合法权益中,对必要性的评估包括对处理活动的相称性的考虑,那将是有帮助的。正如我们目前的指南所建议的那样,如果处理活动不是实现既定目标的针对性和相称的手段,那么该处理活动就不是必要的。
为第6(1)(e)条所述目的进行的披露
我们建议,此标题并不能反映这些新条款的内容,如果将其更好地表述为“为满足控制者已确认与其第6(1)(e)条所述目的相关的请求而进行的披露”或类似表述,将更能准确反映披露数据控制者必须确定必要性的目的。
我们注意到,该法案将评估请求方控制者是否需要个人数据以履行其公共任务的责任,从可能收到此类信息请求的第三方数据控制者身上转移开。相反,它将这一责任交给了为履行公共任务而寻求信息的控制者。我们的指南将强调,从第三方请求个人数据的控制者应以负责任的方式行事,并确保他们不会请求超出其目的所需的数据量。否则,当他们接收到任何不必要请求的数据时,可能会发现自己处于不合规的境地。然而,我们也注意到,这一条款确实造成了责任缺口。请求方控制者只有在收到数据时才会承担责任,而不是在请求数据时。同样,我们也只能在这个更晚的时间点行使我们的权力来解决任何过度处理数据和由此对相关人员造成的伤害的问题。
附表5,附件2(第2段)——为公共利益存档之目的的披露
本条款允许为进一步处理个人数据以实现公共利益存档之目的,被视为兼容处理,即使原始处理是基于数据主体的同意。
我们对于削弱同意的概念以允许这种处理持有一些保留意见。这是因为我们认为,当人们同意处理其个人数据时,他们有一个合理的期望,即他们将保留对如何使用数据的控制,除了一些非常有限的情况。
然而,我们也理解存档部门在这方面所面临的挑战。我们欢迎将草案的限制仅限于解决档案工作者提出的特定问题(即应第三方存档机构的要求进行的披露),并注意到仍然需要满足公正性原则。如果可能的话,最好在立法中定义“普遍公认的标准”的含义,否则我们将在与存档部门协商后,在ICO指南中解决这个问题。
3 成员国可以通过一种称为“diffusion”的机制相互请求合作。Diffusions由成员国的国家中心局直接分发给所有或某些其他成员国。Diffusions必须遵守国际刑警组织的章程和《数据处理规则》。
