2024年11月22日,英国信息保护办公室(ICO)发表声明指出,打击诈骗与欺诈时,数据保护不能成为借口。ICO呼吁各组织明确,数据保护法并不禁止组织共享个人信息,只要它们以负责任、公平和适当的方式共享即可。ICO建议各类组织在必要的时候共享个人信息,以保护其客户免受诈骗和欺诈之害。
组织间以及不同数字部门间有效共享数据对于防范数据欺诈行为具有重要意义。
《英国通用数据保护条例》(UK GDPR)和《2018年数据保护法》(DPA)并不禁止在适当情况下共享个人信息,也不禁止采取措施防止危害发生。
本指南旨在为金融服务、电信和数字平台等数字经济领域的私营组织提供指导,这些组织希望相互共享个人信息以支持防范欺诈和诈骗的工作。
英国信息专员办公室(ICO)的作用是帮助并鼓励组织以自信、负责任且合规的方式共享数据。这包括遵循UK GDPR的原则,同时确保尊重人们的信息权利。
ICO继续与私营和公共部门组织合作,支持防止人们遭受欺诈和诈骗伤害的努力。
ICO的监管方式
ICO的监管方式旨在创造一个既能保护人们权益,又能确保处理个人信息的组织能够高效运营和创新的环境。这包括我们提供关于法律要求的监管确定性,降低合规成本,并提高标准。
对ICO来说,明确ICO如何行使权力也很重要。ICO采取公平、适当和及时的监管行动来保护人们的信息权利。在考虑是否需要采取监管措施时,ICO会考虑您是否已出于善意采取了符合法律的措施来共享个人信息,以保护人们免受伤害。
虽然每个案件都有所不同,但ICO将始终以严格、有针对性和适当的方式行使我们的权力,确保组织不必担心我们会施加不成比例的制裁。
进一步阅读
ICO25 - ICO的监管方式
在寻求共享数据时应考虑什么?
当您以负责任、公平和适当的方式共享数据时,数据保护法允许您为减轻欺诈和诈骗而共享个人信息。
您有责任采取正确措施来确保您正在履行数据保护义务:
进行数据保护影响评估(DPIA)
DPIA将帮助您评估您计划进行的数据共享可能带来的任何利益、风险或潜在负面影响,以及它是否合法。当处理可能导致对个人产生高风险时,进行DPIA是一项法律要求。对于任何涉及披露个人信息的重大项目,或对于任何计划中的常规数据共享,即使没有明确的高风险指标,完成DPIA也是良好的做法。
进一步阅读
决定是否共享数据
明确责任
您应在早期阶段考虑您将是独立控制者还是联合控制者。ICO的《数据共享实践准则》主要涵盖从一个控制者向另一个控制者共享个人信息的情况。但该准则也适用于组织汇总其持有的信息的情况。当数据汇总时,组织需要考虑它们是独立控制者还是联合控制者。
进一步阅读
控制者和处理者
数据共享受准则约束
制定数据共享协议
对于非临时性或一次性的数据共享,提前通过数据共享协议将数据共享安排正式化是一种良好的做法。这些协议规定了数据共享的目的和实际操作,并设定了标准,以帮助所有参与者明确各自的责任。这有助于您展示您是如何履行UK GDPR下的问责义务的。
进一步阅读
数据共享协议
确定合法基础
在开始共享个人信息之前,您必须确定一个有效的合法基础,并能够证明其适用性。如果您是私营部门组织,为防范欺诈和诈骗而共享数据,相关的合法基础可能包括合法利益、同意或履行合同。如果以合法利益为合法基础,您需要证明您的处理如何通过了三部分的“合法利益评估”(LI评估)。
示例 – 在合法利益下披露个人信息时的考虑因素(LI评估)
电信和数字平台公司知道犯罪分子可能会利用其服务进行社会工程学和诈骗消费者。当消费者被认为可能在这些服务上接触到诈骗时,他们面临更高的、潜在的紧迫欺诈风险。
如果您及时与银行共享个人信息,银行就能够评估风险并采取额外检查措施来帮助防止危害发生。
如果您在这种情况下考虑共享数据,您可以将合法利益作为合法基础,因为防止危害具有令人信服的正当理由。
完成三部分的LI评估可能涉及:
指出欺诈预防被UK GDPR第47条承认为处理数据的合法目的,并提供有关您想要处理的个人信息的具体类型和类别、原因以及可能带来的益处和成果的信息。
提供有力且详细的评估,说明共享特定类型和类别的个人信息是否必要,以及这是否是一种有针对性且适当的方式来防止无法通过其他侵入性较小的方式合理实现的危害。
确保您共享特定数据的利益与数据主体的权利相平衡。考虑人们是否会期望他们的信息被共享,或者这是否会给他们造成不必要的伤害。
在依赖合法利益时完成LI评估有助于确保与第三方的数据共享是合法的。LI评估适用于一次性数据共享和重复数据共享的情况。作为披露方,您需要证明共享是合理且合规的,但第三方需自行确定其处理的合法基础。
进一步阅读
共享个人数据的合法基础
合法基础
合法利益
我们如何在实践中应用合法利益?
了解共享信息的类型:
英国数据保护法规对特殊类别数据以及犯罪活动、指控、调查和诉讼中涉及的罪犯或嫌疑犯的个人信息提供了额外保护。如果您是处理这类犯罪数据的私营部门组织,您可能不具备官方授权。这意味着您只能在《2018年数据保护法》附表1中找到特定的处理条件时,才能处理犯罪数据。
示例:共享犯罪数据时的考虑因素
一位客户意识到自己在一个数字平台上遭遇了诈骗,并向银行报告了可疑交易。在调查过程中,银行从客户那里收集了关于他们认为实施诈骗的数字平台账户的情报。
银行希望与数字平台共享这些情报,以便拆除诈骗并保护人们。这种共享可能涉及犯罪数据,因为它与运行诈骗的人有关,因此在这一阶段,这是与涉嫌犯罪相关的信息。
银行知道在处理和共享犯罪数据时,需要额外的保护。由于银行没有官方授权,它根据UK GDPR第10条和《2018年数据保护法》附表1找到了有效的共享条件。它还必须有合法基础。
银行依据第6条的合法利益,并在LI评估中考虑了与犯罪数据相关的特殊风险。银行在《2018年数据保护法》附表1中找到了一个条件(例如,防止或发现非法行为),并且由于它不是官方机构,银行确保了适当的保障措施到位。
银行还制定了一份适当的政策文件,然后才寻求共享这些信息。这份文件概述了所依赖的附表1中的条件、银行遵守第5条原则的程序以及其对特殊类别和犯罪数据的保留和删除政策。
在任何共享发生之前,个人信息的接收方确保:
他们确定了处理的合法基础和附表1中的条件;
适当的保障措施已到位;并且
制定了一份适当的政策文件。
进一步阅读
什么是个人数据?
特殊类别数据
犯罪数据
适当的政策文件模板
遵守数据保护原则
UK GDPR规定了处理个人信息时必须遵循的关键原则,以确保您的做法符合法律要求。
公正和透明:在共享数据之前,考虑所有法律影响,并确保您共享数据的理由在UK GDPR下是有效的。不要以过度有害、出乎意料或误导人们的方式共享数据;从一开始就对人们坦诚、开放和诚实地说明您将如何使用他们的个人信息。
目的限制:在您的内部文档和提供给数据主体的人的信息中明确并记录您的处理目的。确保共享的个人信息仅用于与您原始目的兼容的新目的,或者您获得了同意,或者法律中有明确的义务或功能规定。
数据最小化、准确性和存储限制:在共享个人信息时嵌入严格的数据标准,以确保您:只共享所需的个人信息。隐私增强技术可以帮助您遵守数据最小化原则;采取所有合理步骤确保处理的个人信息不是错误或误导性的;并且不保留共享的个人信息超过所需时间。
安全性:采取适当的组织和技术措施安全地处理个人信息。您应采取合理步骤确保您共享的数据将继续由接收组织以足够的安全性进行保护。
问责制:对您使用个人信息负责。作为此责任的一部分,您必须采用“设计默认的数据保护”方法。这意味着在共享数据时,要实施适当的技术和组织措施来执行数据保护原则,从而保护人们的权利。
进一步阅读
数据保护原则指南
隐私增强技术(PETs)
问责制和治理
设计默认的数据保护
尊重人们的权利
您必须制定政策和程序,使人们能够轻松行使其数据保护权利。在数据共享协议中,指定一个单点联系人供人们行使对共享数据的权利是一种良好的做法,这样他们就不必向多个组织提出多次请求。
进一步阅读
个人权利指南
进一步资源和服务:
数据共享
数据共享:实践准则
ICO创新服务
人工智能和数字中心 - DRCF
