《通用数据保护条例》(GDPR)最初于2018年5月正式立法,是一部规范欧盟公民数据使用、流动及保护的隐私法律。该条例适用于所有收集、存储、处理或传输欧洲个人数据的组织,无论该组织所在地如何。
为何第三方风险管理在《通用数据保护条例》中至关重要
由于第三方通常负责代表客户管理个人数据,因此企业必须特别注意确保这些供应商和合作伙伴的数据保护控制和管理到位。这包括进行数据隐私控制评估;分析潜在风险结果;以及要求第三方对这些风险进行补救,以避免监管、财务和声誉方面的风险。
欧盟积极执行《通用数据保护条例》,对因第三方失职而受罚的企业实施了多项重大制裁,包括:
- 卢森堡监管机构因亚马逊违反《通用数据保护条例》(GDPR)处以7.46亿欧元罚款,称其广告系统并非基于"自由同意"原则。
- 2021年初,法国数据保护机构因某数据控制者及其第三方数据控制者未实施充分的安全措施,分别对其处以15万欧元和7.5万欧元的罚款。
- 德国汉堡数据保护局因服装零售商H&M对数百名员工实施过度监控,对其处以逾3500万欧元的罚款。
- 法国数据监管机构以"缺乏透明度、信息不足且未获得有效同意进行广告个性化"为由,对谷歌处以5000万欧元罚款。
- 英国信息专员办公室于2018年对英国航空处以2000万英镑罚款,因其未能保护40万名客户的个人及财务信息。
本文概述了企业为何应关注《通用数据保护条例》(GDPR),以及如何依据GDPR要求评估其内部流程与第三方合作关系。
根据《通用数据保护条例》,必须进行第三方风险评估。
为规避风险,组织必须根据《通用数据保护条例》(GDPR)开展风险评估,识别组织内部及任何接触个人数据的第三方所涉及的风险。第76条说明
——风险评估——指出:"应基于客观评估来衡量风险,据此确定数据处理操作是否涉及风险或高风险。"
受《通用数据保护条例》(GDPR)约束的组织必须确保其自身及第三方合作伙伴对所收集和/或处理的任何个人信息实施隐私保护。这意味着需对每个第三方存在的风险进行全面评估,并确保采取适当的管控措施以降低风险。
检查清单:评估数据处理者控制措施的GDPR要求
《通用数据保护条例》(GDPR)包含两个组成部分:99条条款和173项考虑因素。条款规定了组织必须遵守的法律要求以证明合规性,考虑因素则提供补充条款的背景依据。下表汇总了与第三方风险评估及指导相关的条款和考虑因素。如需获取GDPR要求的完整对照表,请下载合规检查清单。
| GDPR 要求 | 这意味着什么 |
|---|---|
| 第 24 条:控制者的责任 第 1 段 考虑到处理的性质、范围、背景和目的,以及对自然人的权利和自由造成的不同可能性和严重程度的风险,控制者应实施适当的技术和组织措施,以确保并能够证明处理是根据本条例进行的。必要时应审查和更新这些措施。 第 24 条援引了两个 "序言 "作为指导: 第 76 段:风险评估 对数据主体的权利和自由造成风险的可能性和严重程度应参照处理的性质、范围、背景和目的来确定。应根据客观评估对风险进行评估,从而确定数据处理操作是否涉及风险或高风险。 第 77 段:风险评估指南 指导控制者或处理者实施适当的措施并证明其合规,特别是在识别与处理有关的风险、评估其来源、性质、可能性和严重性以及确定降低风险的最佳做法方面。 | 在使用第三方作为 "处理者 "时,信息控制者(所有者)有责任确保每个第三方都有适当的控制措施,以确保个人数据的隐私和安全。 使用手动问卷和电子表格进行第三方评估的做法既缺乏一致性,又难以扩展。在审计过程中,要"证明处理操作符合《通用数据保护条例》(GDPR)要求"往往困难重重。人工评估可能导致遗漏要求,且答复质量低下或内容不完整。为满足GDPR要求,评估必须客观公正,评分标准需保持一致。 |
| 第 25 条 设计和默认情况下的数据保护设计和默认的数据保护 第 1 段 ......控制者应在确定处理方式和处理本身时,实施适当的技术和组织措施,如假名化,旨在以有效的方式实施数据保护原则,如数据最小化,并将必要的保障措施纳入处理过程,以满足本条例的要求并保护数据主体的权利。 第 78 号演奏会 适当的技术和组织措施 | 遵守《通用数据保护条例》(GDPR)需要对数据处理、数据治理及控制措施具备深刻的技术理解。尽管多数风险评估调查侧重于常规控制措施和政策,但GDPR要求对个人信息采取特殊处理方式,包括假名化、数据最小化,以及(根据第78条)"通过设计和默认设置实现"的数据保护。 |
| 第 28 条:处理器 第 1 段 在代表控制者进行处理的情况下,控制者应只使用提供充分保证的处理者,以实施适当的技术和组织措施,使处理符合本条例的要求,并确保数据主体的权利得到保护。 | 组织通常与数十家第三方合作,这些第三方可访问受《通用数据保护条例》保护的个人信息。例如:广告合作伙伴、数据处理方(包括云应用程序)以及云托管服务提供商。 遵守《通用数据保护条例》不仅需要简单的供应商协议,还需理解数据的使用方式、流动路径,并提供保护个人数据的具体管控措施的证据。 |
| 第 28 条:处理器 第 3 段 该合同或其他法律行为应特别规定处理者: (f) 考虑到处理的性质和处理者可获得的信息,协助控制者确保遵守第 32 至 36 条规定的义务 | 第32至36条规定了数据保护影响评估的要求,以及对关键数据处理者(第三方)的持续监督。每项处理者关系"应受合同或其他法律行为约束",该行为要求处理者承担保护个人信息的义务。所需的风险评估旨在识别个人信息面临的风险,并确保处理者已实施充分的控制措施。 |
| 第 28 条:处理器 第 3 段 该合同或其他法律行为应特别规定处理者: (h) 向控制者提供一切必要信息,以证明遵守了本条规定的义务,并允许和协助控制者或控制者授权的其他审计员进行审计,包括检查。 | 务必完整保存尽职调查过程中收集和审查的所有文件档案。 |
| 第 32 条处理的安全性 第 1 段 控制者和处理者应采取适当的技术和组织措施,确保安全水平与风险相适应,包括 (b) 确保处理系统和服务的持续保密性、完整性、可用性和弹性的能力; (d) 定期检测、评估和评价确保处理安全的技术和组织措施有效性的程序。 第 76 段:风险评估 对数据主体的权利和自由造成风险的可能性和严重程度应参照处理的性质、范围、背景和目的来确定。应根据客观评估对风险进行评估,从而确定数据处理操作是否涉及风险或高风险。 | 虽然合规评估常被视为入职流程的一部分,但《通用数据保护条例》及其他监管标准要求持续保持合规状态。仅通过人工流程管理单次合规审查已颇具挑战,而判断何时需要对遍布全球的数十甚至数百家第三方供应商进行周期性更新,则更为困难。 |
| 第 35 条 数据保护影响评估数据保护影响评估 第 1 段 如果某类处理,特别是使用新技术的处理,并考虑到处理的性质、范围、背景和目的,可能会对自然人的权利和自由造成高风险,则控制者应在处理之前,对所设想的处理操作对个人数据保护的影响进行评估。一次评估可针对一系列具有类似高风险的类似处理操作。 第 7 段 评估应至少包括 1) 系统描述所设想的处理操作和处理目的,包括(如适用)控制者所追求的合法利益; 2) 评估处理操作与目的的必要性和相称性; 3) 对第 1 段所述数据主体的权利和自由所面临的风险进行评估;以及 4) 为应对风险而设想的措施,包括保障措施、安全措施和机制,以确保个人数据得到保护,并在考虑到数据主体和其他相关人员的权利和合法利益的情况下,证明本条例得到遵守。 | 技术日新月异,新型服务能为企业创造更高价值。欧盟《通用数据保护条例》明确规定,企业在采用新的个人数据处理方式前,必须评估这些操作对数据的影响。 |
| 第 45 条:根据充足性决定进行的转让 第 1 段 如果欧盟委员会认定,第三国、第三国领土或第三国中的一个或多个特定部门,或有关国际组织能够确保充分的保护水平,则可以将个人数据转移到第三国或国际组织。 第 2 段 这种转让不需要任何特别授权。在评估保护水平是否充分时,委员会应特别考虑以下因素: - 法治、尊重人权和基本自由、相关的一般立法和部门立法,包括有关公共安 全、国防、国家安全和刑法以及公共当局获取个人资料的立法。 | 董事会、投资者和客户日益希望确保组织及其合作伙伴和供应商拥有共同的价值观和承诺。欧盟《通用数据保护条例》(GDPR)在第45条中体现了这一要求,规定在转移个人信息时必须考虑人权和法治原则。 |
Prevalent如何助力满足GDPR第三方风险要求
Prevalent第三方风险管理平台具备内置功能,可评估消费者数据面临的内部与外部风险,自动修复发现的问题,并向监管机构汇报进展。Prevalent:
- 在平台上提供特定的《通用数据保护条例》(GDPR)问卷,要求供应商说明其为保护数据主体权利而采取的技术和组织措施,依据为第28条第1款。
- 通过清晰简洁的报告,向数据控制者全面呈现数据处理者的风险状况,涵盖控制措施失效情况及依据第28条第3款提出的补救建议。
- 集中管理数据处理方的风险状况,使数据控制方能够根据第28条第3款的要求,对相关流程进行全面审计。
- 提供持续的定期或二次评估,以持续监控数据处理者实施的技术和组织措施,确保其安全水平与风险相适应,例如定期测试、评估和审查技术和组织措施的有效性,以确保处理过程的安全性,符合第32条第1款的规定。
若需了解Prevalent如何协助企业评估第三方数据保护措施以满足GDPR要求,请阅读《GDPR第三方合规检查清单》或立即申请演示。欲知第三方风险管理如何适用于20余项其他法规,请下载《第三方风险管理合规手册》。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
