财新传媒
位置:博客 > 李汶龙 > 欧美网络法年度述评2019(十之三):数据保护影响评估——GDPR的另一个面向

欧美网络法年度述评2019(十之三):数据保护影响评估——GDPR的另一个面向

有人说GDPR是一个以数据权利为主的法律制度,这一判断并不完全正确。网络用户对数据的控制是欧盟数据保护法强化的重要面向,但GDPR也增设了完全有别于个人救济的治理措施——Data Protection Impact Assessment (DPIA)就是其中之一。[1] 这项制度创新或可追溯于21世纪初提出的Privacy by Design的理念[2],欧盟立法者在此基础上与数据保护的概念和原则进行了融合创新。

与自力救济的数据权利相对应,DPIA是一个自上而下的治理机制。前者强调通俗易懂,能够让网络用户自行平衡隐私与数据使用;后者更为全面,为系统性治理提供基础(因此无须个人提请)。根据GDPR35条,满足条件的企业在处理个人数据前需对有关的风险和影响展开事先评估。这一制度尤其适用于那些尝试使用新科技的企业。

进入FPF大奖行列的另一篇文章讨论了这一新制度,两位作者为来自于科罗拉多大学法学院的Margot E. Kaminski与布鲁塞尔自由大学博士学者Gianclaudio Malgieri。两人合作探讨了个人权利救济与DPIA的关系。[3] 作者认为,DPIA是连接这两大机制的桥梁,一方面为系统性治理提供基础,另一方面也能够为个人救济提供适当的保障。针对GDPR35条设计上存在的缺陷,Kaminski/Malgieri提出了完善建议。他们认为一次性的、单维度的解释无济于事;DPIA应当可以用于提供多层次、多阶段以及多维度的算法解释。在这一点上,两位作者对早年间算法解释权(主要基于GDPR22条)的争论持否定态度,认为这样一种个人权利过于狭窄。[4]

GDPR不仅会对私企产生影响,也同等适用于公共部门。20196月,由UCL学者Michael Veale带领的团队发布了一份详实的报告,讨论英国(不包括苏格兰和北爱尔兰)司法系统中算法的使用。[5] 报告尤其提到了DPIA对于增强算法使用透明公开的重要性。由于政府信息公开制度在算法使用上往往有限,DPIA或许可以成为一种替代机制。报告建议数据保护评估结果应对公众开放。类似的观点还可以在英国数据保护机关ICO的调查报告中找到(详见下文)。由于很多人工智能系统(诸如人脸识别)处理的数据具有较强的隐私敏感性,根据英国数据保护法的规定,需要在数据处理前开展影响评估。ICO认为警方有必要披露足够多的细节,尤其是在技术的适度使用问题上。

DPIA在实践当中已经逐渐开始发挥作用。曾供职荷兰数据保护机关的Sjoera NasEDPL撰文披露了微软公司Office ProPlus软件的影响评估报告。[6] 这份报告于今年2月份披露,由荷兰政府中央采购部门做出。报告披露微软在未经过用户同意的情况下,对用户使用WordExcelPowerPoint以及Outlook等常用软件进行数据收集。微软隐私和法规事务副总顾问(前美国联邦贸易委员会专员)Julie Brill随后予以回应,称相关软件已经升级,对数据收集的问题进行了修缮。[7]

前文提到,DPIA主要适用于企业或政府采纳使用新科技的情形。来自伦敦大学高等法律研究所的Nóra Ni LoideainRachel Adams专门讨论了人工智能语音助手的性别歧视问题。[8] 将智能助手设定为女性,在两位学者看来,会产生一种社会偏见或者伤害。在法律语境下,这可能构成欧盟反歧视法的间接歧视。两位女学者进而讨论了DPIA作为一种救济机制可能发挥的作用。她们认为影响评估机制应当超越数据隐私的范畴,更广泛地评估科技产品各个面向的社会影响。除了数据保护法之外(圉于对个人数据处理和使用),其他部门法(诸如消费者保护法、反歧视法)以及企业社会责任、数据伦理都应协同实施。此外,作者尤其强调了评估的中立性、客观性和有效性。她们建议评估机构应该独立于企业,以保障结果是基于事实作出的。

最后还有学者针对数据处理的不同阶段对DPIA开展讨论。来自莱顿大学的Bart Custers教授带领的团队一直在关注数据分享和再利用这一面向。他们在EDPL最新发表的文章当中尝试发展了若干DPIA评价指标,专注与数据的再利用问题。


[1] 关于DPIA的发展,牛津大学的学者Reuben Binns在早年间做了较为详尽的梳理Reuben Binns, ‘Data protection impact assessments: a meta-regulatory approach’ (2017) 7(1) International Data Privacy Law 22-35
[2] Ann Cavoukian, ‘Privacy by Design: The 7 Foundational Principles’ (2011) https://iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf See also Ann Cavoukian, ‘Privacy by Design: Leadership, Methods, and Results’, in Serge Gutwirth,Ronald Leenes and Paul de Hert (eds), European Data Protection: Coming of Age (Springer 2012)
[3] Margot E. Kaminski and Gianclaudio Malgieri, ‘Algorithmic Impact Assessments under the GDPR: Producing Multi-layered Explanations’(2019) University of Colorado Law Legal Studies Research Paper No. 19-28 https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3456224
[4] See, for instance, Sandra Wachter, Brent Mittelstadt and Luciano Floridi, ‘Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation’ (2017) 7(2) International Data Privacy Law 76-99. Lilian Edwards and Michael Veale, ‘Slave to the Algorithm? Why A ‘Right to an Explanation’ is Probably Not the Remedy You are Looking for’ (2017) 16 Duke Law and Technology Review 18–84. Margot E. Kaminski, ‘The Right to Explanation, Explained’ (2018) University of Colorado Law Legal Studies Research Paper No. 18-24 https://ssrn.com/abstract=3196985. Sandra Wachter, Brent Mittelstadt and Chris Russell, ‘’Counterfactual Explanations Without Opening the Black Box: Automated Decisions and the GDPR' (2018) 31 Harvard Journal of Law & Technology 841-888. Isak Mendoza and Lee A. Bygrave, ‘The Right Not to be Subject to Automated Decisions Based on Profiling’, in Tatiana-Eleni Synodinou and colleagues (eds), EU Internet Law: Regulation and Enforcement (Springer 2017) 77-98. Gianclaudio Malgieri, ‘Automated decision-making in the EU Member States: The right to explanation and other ‘suitable safeguards’ in the national legislations’ (2019) 35(5) Computer Law & Security Review
[5]
Michael Veale and colleagues, ‘Algorithms in the Criminal Justice System’ (The Law Society of England and Wales, June 2019) https://www.lawsociety.org.uk/support-services/research-trends/documents/algorithm-use-in-the-criminal-justice-system-report/
[6]
Sjoera Nas, ‘Data Protection Impact Assessment: Assessing the Risks of Using Microsoft Office ProPlus’ 2019 5(1) European Data Protection Review 107-113
[7] Julie Brill, ‘Increasing transparency and customer control over data’ (Microsoft Blog, 30 April 2019) https://blogs.microsoft.com/on-the-issues/2019/04/30/increasing-transparency-and-customer-control-over-data/
[8] Nóra Ni Loideain and Rachel Adams, ‘From Alexa to Siri and the GDPR: The gendering of Virtual Personal Assistants and the role of Data Protection Impact Assessments’(2019) Computer Law & Security Review https://www.sciencedirect.com/science/article/pii/S0267364919303772
[9] Bart Custers, Helena U Vrabec, and Michael Friedewald, ‘Assessing the Legal and Ethical Impact of Data Reuse: Developing a Tool for Data Reuse Impact Assessments’(2019) 5(3) European Data Protection Review 317-337



推荐 0