01 采取数据保护措施两大原则
GDPR规定,数据控制者有义务采取适当的技术和组织措施来保护数据主体权利,确保数据处理原则得到贯彻执行,这也是控制者的核心义务。GDPR并没有要求企业必须实行某项具体的“技术和组织措施”,而是要求这些措施必须是根据数据保护原则而制定,即数据保护设计(data protection by design)和默认数据保护(data protection by default)。
原则一:数据保护设计
GDPR第25(1)条规定,“考虑到国家的技术发展水平、实施成本和处理行为的性质、范围、环境和目的,以及处理可能给自然人的权利和自由带来的风险和损害,控制者在决定和实施数据处理的方法时,应当以一种有效的方法实施适当的技术、组织措施,例如设计以实施数据保护原则的匿名机制和数据最小化机制,并且将必要的保障措施融入处理中,以使数据处理既符合本条例的要求又保护数据主体的权利。”
简单来说,数据保护设计原则即为“事前提早设计,事中随时调整”。企业在决定数据处理目的时就应考虑如何设计数据保护措施,它不仅对于系统保障用户权利至关重要,也能有效帮助企业降低数据保护成本。数据保护理念要贯穿在数据全生命周期内,要能确保企业在决定数据处理目的时就应考虑如何设计数据保护措施,它不仅对于系统保障用户权利至关重要,也能有效帮助企业降低数据保护成本。数据保护理念要贯穿在数据全生命周期内,要能确保
除了最开始就要做好顶层设计外,“事中随时调整”也极为重要。由于技术水平、风险、数据处理活动的范围、性质、情境都在不断变化,因此在数据处理活动开始后,企业有必要随时关注最新进展&#x