x

【欧盟隐私保护】GDPR深度剖析如何实现“被遗忘权”

cioctocdo
13 August 2023
SEO Title
GDPR deep dive—how to implement the ‘right to be forgotten’

文章分类

《通用数据保护条例》(GDPR,欧盟指令95/46/EC)将于2018年5月25日生效,该条例将在整个欧洲标准化并加强对个人数据的保护。其首要目标是将个人数据的控制权交还给欧盟公民和居民,同时对违规行为实施重大制裁(最高2000万欧元,占全球年总营业额的4%)。

  • GDPR的主要要求
  • 删除的权利
  • 结论

GDPR的主要要求

GDPR通过扩展领土范围、个人权利和金融机构的具体义务,大大增加了现有的数据保护要求:

GDPR-deep-dive—how-to-implement-the-right-to-be-forgotten

我们之前发布了更详细的GDPR范围介绍、其对金融机构的主要影响和变化,以及在该平台上采取三步实施方法的建议(见:https://www.bankinghub.eu/banking/finance-risk/general-data-protection-…)。

对于具有复杂相互关联系统的金融机构来说,及时遵守GDPR将构成重大挑战。事实上,大多数机构已经启动了识别GDPR差距的举措,并确定了实现合规性所需的措施。然而,每个机构面临的主要挑战之一是定义其个人目标合规性“水平”,因为该法规留下了广泛的解释范围,并建议采取量身定制的方法,同时考虑到隐私影响评估的结果。

因此,在GDPR实施过程中,每个机构都必须解决许多单独的问题。本文重点讨论如何实现“擦除权”(也称为“被遗忘权”)。

删除的权利

GDPR第17条第1款和第2款规定了请求删除个人数据的权利的具体理由。其中,第1款第(a)-(c)点尤其适用于金融机构:

“在下列理由之一适用的情况下,数据主体有权在不无故拖延的情况下从控制者处获得有关其个人数据的删除:

(a) 就收集或以其他方式处理个人数据的目的而言,个人数据不再是必要的;

(b) 数据主体撤回同意…

(c) 数据主体反对处理…”

在同一条中,第3款b点提及其他条例,这些条例可能否决被遗忘权:

“第1款和第2款不适用于需要处理的情况:

(a) …;(b) 为了遵守法律义务,而该法律义务需要由控制者所受的欧盟或成员国法律处理,或者为了执行为公共利益或行使赋予控制者的官方权力而执行的任务……”

这不仅要求机构在所有相关情况下管理和控制每个人处理个人数据的目的和同意,还要求机构了解进一步的GDPR相关法律和相关的保留阶段。保留个人数据的主要原因在于商法,但也有许多其他豁免,至少在特定时期内否决了被遗忘权。

客户“John Doe”持有多个活跃的银行账户,并要求删除其个人数据,这个简单的例子说明了这一挑战:

GDPR-deep-dive—how-to-implement-the-right-to-be-forgotten

这个例子表明,对属于“活期账户”或“营销数据”的数据进行简单分类,并不能为决定是否必须或可以立即删除数据提供足够的信息,因为可能存在重叠。属于经常账户的交易数据可用于分析John Doe的行为,从而(与其他数据相结合)支持个人营销优惠,如下图中以绿色突出显示的:

GDPR-deep-dive—how-to-implement-the-right-to-be-forgotten

在本例中,提款或信用卡交易的信息用于营销目的。与此同时,金融机构在保留期内保留这些信息至关重要,因此能够证明其资产负债表和已处理交易的完整性。此外,这些信息可能用于其他目的,如防止洗钱、欺诈检测等。因此,由于客户已撤销同意并要求删除数据,因此不再允许出于营销目的处理个人数据,但由于其他义务或更长的保留期,数据本身还不能删除。

这个例子表明,GDPR要求机构对个人数据的保存目的有更深入的了解。为了做到这一点,每一项信息都需要进行分类,不仅要根据其目的,还要根据收集信息的来源。然后,需要根据适用法律和相关的保留阶段对这些数据类进行验证。

我们通过在下图中概述高级数据擦除过程来完成这个简短的示例:

-GDPR-deep-dive—how-to-implement-the-right-to-be-forgotten

为了实施有效的数据擦除流程,机构需要对处理个人数据的所有流程和系统进行全面的端到端查看,同时要记住,这项法规不仅是另一项需要处理的法规,也是客户体验难题的一部分,即有机会证明该机构在处理客户请求方面是“同类最佳”机构之一。为了将客户作为一项主要资产,机构需要实施适当的渠道来捕获请求,并随时告知客户,特别是哪些数据已被删除以及任何异常情况,包括原因。同时,需要管理客户请求的细节,相关数据项及其位置需要透明,需要检查数据是否可以擦除;以及在任何数据可以被擦除之前的所有这些。如果确定了豁免规则,这可能会延迟数据的擦除。如果涉及第三方,则必须将删除请求告知他们,并由他们提供确认。如果机构没有足够的工具来支持这一过程,这些执行步骤中的每一个都可能非常耗时,并导致大量的手动工作。

Further reading

在2018年5月之前,大多数机构都不会实施“理想”的支持工具。因此,他们将不得不使用手动过程来擦除数据。展望未来,应该可以使用新的系统(第三方或内部设计的)来提供支持数据擦除的API。然而,更具挑战性的部分似乎是收集(和维护)所需的所有元数据,以编制受影响的相关数据项清单以及豁免。为此,金融机构需要全面了解属于个人的所有数据(例如,根据BCBS239,作为扩展业务术语表的一部分)以及数据位置及其用途。此外,它们必须包括个人是否同意或撤销其处理和保存数据的信息。

可以增强此元数据列表,以提供有关用户访问、数据泄露、第三方接口等的信息。

结论

GDPR显然有可能让金融机构忙碌一段时间,不仅要在2018年5月前实现合规,还要将其解决方案充分优化到成熟高效的水平。本文中讨论的数据擦除主题需要在充分考虑现有IT体系结构中的成本和收益的情况下做出多种选择和决策。

鉴于2018年5月的强制执行日期,我们可以假设并非所有系统和流程都能达到可能的目标状态。因此,我们强烈建议金融机构实施对GDPR的战术回应,并考虑到组织和IT前景的未来发展路线图。这种方法尤其适用于删除权,在短期内,删除权可能只需要一个经过定义和测试的手动流程,该流程也是透明、可复制和高效的。

然而,尽管付出了种种努力和挑战,我们还是有可能在GDPR中发现机遇。金融机构最好将注意力集中在这些方面。数据经常被称为“21世纪的黄金”。因此,向客户展示一家机构对客户数据控制的重视程度,将是“挖掘黄金”的基础。

文章链接
https://cpo.work/gdpr-deep-dive-how-implement-right-be-forgotten

标签