2019年6月28日,新加坡个人数据保护机构PDPC发布了《可信数据共享框架》(以下称《框架》),旨在解决公司之间在共享数据时面临的挑战,包括确保合规性以及共享数据的方法等等,从而促进数据共享,推动新产品和新服务的开发,建立消费者对企业进行个人数据保护的信心,促进新加坡数字经济蓬勃发展。但PDPC表示,《框架》仅是行业指南,而非合规性指南,内容不应被视为、也不构成法律建议,也不应被视为遵守“2012年个人数据保护法”(“PDPA”)或任何法律法规的标准。

一、简介

《框架》中的内容旨在达到四个目标:对进行数据共享的关键领域做出概述;突出每个领域的关键考虑因素;促进数据共享合作伙伴与利益相关者之间的数据共享对话;帮助用户对整个过程进行思考以构建他们的数据共享协议。

《框架》的适用范围:《框架》中的“数据”是指个人和商业数据,《框架》主要用于商业和非政府部门,不包括公共部门与公共部门之间进行数据共享。但用户应注意,个人数据共享需要额外的安全措施,除《框架》外,还可以在PDPC官网中查找特定指南或其他文件进行参考。

何为“共享”:当“数据提供者”将数据提供给一个或多个企业(每个企业都是“数据消费者”)时,就可以说数据是“共享的”。这可能不涉及数据从一个位置到另一个位置的物理移动或对原始数据的访问。

二、主要内容

数据共享中的关键考虑因素

数据共享的动机通常源于业务需求,例如创建新服务、降低业务成本、检测欺诈、监管合规等。反过来,业务动机将帮助数据合作伙伴就其数据分享行为达成一致。一旦就数据共享达成一致,企业可以考虑使用《框架》来启动他们的数据共享行为。

《框架》分为四个部分,这些部分不是连续的。企业可以根据需要选择以任何顺序考虑以下内容:

  • 第一,数据共享战略,即哪些数据可用于共享,如何评估这些数据,以及可用于共享数据的协议或模型。

  • 第二,法律和监管要求,即数据共享的合规性要求,以及如何构建法律关系,使各方能够共享可信的数据。

  • 第三,技术和组织能力,即将数据转移到其他企业时要考虑该企业的技术和组织能力。

  • 第四,运营性数据共享,在进行数据共享之后,企业应将运营性数据共享作为额外的考虑事项。

可信原则

“可信”是嵌入整个《框架》的概念,这是建立可信赖的数据共享伙伴关系的基础,主要包括透明、可访问性、标准化、公平与道德、问责制、安全和数据完整性等六个方面。

  • 透明是指参与数据共享的各方具有开放性,能够提供成功形成数据共享伙伴关系所需的所有信息。

  • 可访问性是指各方都能在需要的情况下访问所需的数据。

  • 标准化是指对数据共享伙伴关系采用统一的法律、技术和其他措施。

  • 公平与道德指的不仅仅是从最初的设计阶段开始满足个人数据保护、技术、安全标准或法规要求,它需要扩展到将道德标准应用于数据共享系统和框架的创建和使用。

  • 问责制指的是遵守数据保护法和数据共享伙伴关系特定的其他规则,并且每方都有健全的治理结构,以及鼓励员工负责数据处理的企业文化。

  • 安全和数据完整性指的是实施旨在保护数据安全和完整性的措施和机制,以实现数据共享的安全环境。

作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。