导读：将于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律障碍。本所将定期推送11篇系列原创文章，以协助中国企业从实务角度理解和遵从GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
　　本期主要探讨（新）数据保护问责原则：从设计着手隐私保护和默认隐私保护。
　　根据《荷兰个人数据保护法》（Dutch Personal Data Protection Act, the “DPA”），处理个人数据的组织机构必须就其处理活动通知监管机构。而根据《通用数据保护条例》（General Data Protection Regulation, the “GDPR”），各类组织机构将不再负有报告其数据处理活动的义务，但是他们在这方面须承担更多的责任。GDPR强调“问责”原则，即要求组织机构采取一切技术性和组织性措施遵守GDPR的各项原则和义务。此外，GDPR还要求他们能够证明其合规性。正如预期的那样，新引入的数据保护原则将对他们当前的实践产生重大影响。
　　根据GDPR的规定，各类组织机构必须（i）保存其个人数据处理活动的详细记录，（ii）在适用的情况下，进行隐私影响评估，并（iii）执行从设计着手数据保护（Privacy by Design）和默认数据保护的原则 (Privacy by Default)。
　　一、问责原则
　　GDPR第5（2）条规定了问责原则：
　　“控制者有义务遵守并应能够证明其遵守第1款（“问责原则”）的规定。”
　　“第1款”是指GDPR第5（1）条，该条款列出了个人数据处理有关的原则。根据GDPR第5（1）条的规定，个人数据应：
　　以合法、公正、透明的方式处理（对数据主体而言）；
　　出于指定、明确、合法的目的而收集，不以不符合这些目的的方式进一步予以处理；
　　充分、相关并以该等个人数据处理目的所需要的为限；
　　准确以及（必要时）保持最新；
　　以下列方式保存：允许识别数据主体的期限不超过该等个人数据处理目的所需要的时间；
　　以确保个人数据相对安全的方式进行处理。
　　处理个人数据的组织机构有义务遵守并且必须能够证明其遵守了上述所有原则。此外，他们必须能够提供其就上述原则作出决定的依据并且还必须能够提供相关证明。
　　GDPR第24条列举了问责原则落地的一个示例。要求控制者：
　　“采取适当的技术性和组织性措施确保并能够证明按照GDPR的规定进行处理活动。必要时应对这些措施进行审查和更新。”
　　就数据控制者必须准确证明按照GDPR的规定进行数据处理的方式，目前尚无具体规定。预计在2018年5月25日（即GDPR开始正式实施之日）之前，第29条工作组可能会就此提供进一步的指引。
　　二、处理活动记录
　　GDPR第30条详述了贯彻落实问责机制理念的具体方法，该条款要求大多数数据控制者和数据处理者保存就其职责范围内的处理活动的书面（包括电子）记录。该等书面或电子记录应至少包含：
　　1. 控制者的名称/姓名和联系方式，以及在适用的情况下，共同控制者、控制者代表和数据保护官的名称/姓名和联系方式；
　　2. 处理的目的；
　　3. 对数据主体类别和个人数据类别的描述；
　　4. 已经或将要接收个人数据的接收者（包括第三国的接收者或国际组织）之类别；
　　5. 在适用的情况下，将个人数据传输给第三国或国际组织的情况，包括该第三国或国际组织的身份，以及，在适用的情况下适当保障措施的文件；
　　6. 在可行的情况下，删除不同类别数据的预期时限；
　　7. 在可行的情况下，对技术性和组织性安全措施的概述。
　　处理者也必须保存代表其数据控制者进行的所有类别处理活动的记录。该等电子或书面记录应至少包含：
　　1. 处理者以及处理者代表其行事的每个控制者的名称和联系方式；在适用的情况下，也应包括控制者或处理者的代表以及数据保护官的名称/姓名和联系方式；
　　2. 代表每个控制者进行的处理活动之类别；
　　3. 在适用的情况下，将个人数据传输给第三国或国际组织的情况，以及（在适用的情况下）适当保障措施的文件；
　　4. 在可行的情况下，对技术性和组织性安全措施的概述。
　　三、从设计着手隐私保护和默认隐私保护原则
　　从设计着手隐私保护和默认隐私保护原则要求各类组织机构在产品和服务的初始设计阶段以及整个过程中将数据隐私保护考虑在内。
　　四、从设计着手隐私保护
　　从设计着手隐私保护在开发新产品和服务时非常重要。根据GDPR第25（1）条的规定，控制者在确定处理手段时和在进行处理活动本身时都有义务采取适当的技术性和组织性措施，该等措施旨在有效落实数据保护原则并在处理活动中采取必要的保障措施。　　
　　各类组织机构必须确保并能够证明数据保护自设计过程的早期阶段开始就是重点。在较晚的阶段才促使相关系统符合GDPR的规定可能会导致不必要的成本。
　　五、默认隐私保护
　　GDPR第25（2）条要求数据控制者采取适当的技术性和组织性措施确保在默认情况下只处理每个特定处理目的所必需的个人数据。这一义务适用于所收集的个人数据的数量、处理范围、存储期限和可访问性。具体而言，默认情况下，在没有个人介入的前提下，个人数据不应被无限数量的其他个人访问。
　　默认隐私保护原则在数据主体选择分享其个人数据的情况下对服务和产品非常重要。默认隐私保护要求各类组织机构通过使用最方便的隐私设置来保护数据主体的隐私。这一原则尤其在与线上和社交媒体平台相关的个人数据处理中发挥着重要作用。原则上，预先框选和自动追踪数据主体位置的应用程序不符合默认隐私保护要求。
　　六、如何遵守？
　　各类组织机构所实行的内部政策和所实施的措施必须符合从设计着手数据保护和默认数据保护原则。这些措施包括：尽量减少个人数据的处理、尽快将个人数据匿名化、个人数据功能和处理透明化、让数据主体能够监控数据处理，并让数据控制者能够建立和改善安全功能。
　　在开发、设计、选择和使用基于个人数据处理或其用途包含个人数据处理的应用程序、服务和产品时，应鼓励生产者考虑数据保护权，以确保控制者和处理者能够履行其数据保护义务。
　　经批准的认证机制可被用作证明遵守从设计着手隐私保护和默认隐私保护要求的证据之一。
　　七、实务建议和结论
　　从GDPR开始实施的那一刻起，保存组织机构内部个人数据处理记录将不再是监管机构的责任。相反，应由控制者在问责机制约束下保存最新的处理记录。在兼顾从设计着手隐私保护和默认隐私保护原则的前提下，理论上大多数组织机构都需要在内部政策和技术系统方面做出相应修改。
　　梳理所有个人数据处理活动将花费大量时间，特别是对处理大量和不同类别个人数据的大型组织机构而言。所有修改内容都应在2018年5月25日之前实施。自该日起，各监管机构将会积极监督和促进GDPR的实施。监管机构将有权对不遵守GDPR的组织机构处以高额罚款。因此，我们建议相关组织结构及时贯彻落实GDPR。从内部对各类个人数据处理活动进行梳理就是开启这一过程的好方法。