沙 龙 数据保护官沙龙（DPO Salon）公益出品 护 官 EDPB 及第 29 条工作组指南系列文件编译 数 据 保 《第2016/679号条例下的透明度准则的指引》 中译文 译者： 田申 审校： 刘笑岑 2019年3月 署名-非商业性使用-禁止演绎 2.5 中国大陆 1 译者序言 沙 龙 第 29 条数据保护工作组在 2017 年 11 月通过并于 2018 年 4 月修订了《关于 第 2016/679 号条例下的透明度准则的指引》，用于对 GDPR 中个人数据处理的透 明度义务进行解释并提供实践性指导。 根据 GDPR（第 5 条第（1）款（a）项）， 除了必须合法公平地处理数据的要求之外，还需要将透明度作为体现这些原则的 基本方面。透明度与公平原则和 GDPR 项下的问责制有着内在的联系。根据 GDPR 第 5.2 条下的问责制原则，控制者必须始终保证个人数据是在遵循透明度的要求 下进行处理的。与此同时，问责制也要求数据处理行为的透明度，以便数据控制 者能够证明其遵守了 GDPR 规定的义务数据控制者有义务实施技术和组织措施， 以确保并能够证明处理是按照 GDPR 要求进行的。如果非要从 GDPR 的诸多原则中 选择一个最重要的，译者会毫不犹豫地选择“透明度要求”，故不惴浅陋对本指 引进行了翻译，以供各位前进同行参考。译者将其核心要点摘列如下： 一、透明度的含义 据 保 护 官 GDPR 中没有对透明度进行定义。关于数据处理背景下透明度原则的 含义和效果，GDPR 的 Recital 39 做出了介绍： “对于自然人来说，收 集，使用，咨询或者以其他方式处理有关他们的个人数据以及处理个人 数据的程度都应该是透明的。透明原则要求与这些处理个人数据有关的 任何信息和通信都应当易于获取和易于理解，并且使用清晰明了的语言。 该原则特别涉及数据主体关于控制者身份和处理目的的信息，确保对有 关自然人数据处理的公正性和透明度，以及使数据主体明确知晓及确认 其数据正在被处理。 二、透明度义务的核心内容 数 根据 GDPR 第 5.2 条下的问责制原则，控制者必须始终保证个人数据 是在遵循透明度的要求下进行处理的。与此同时，问责制也要求数据处 理行为的透明度，以便数据控制者能够证明其遵守了 GDPR 规定的义务。 透明度是 GDPR 中的首要义务，主要体现下以下三个核心领域： （1）向数据主体提供与公平处理有关的信息; （2）数据控制者如何与数据主体就其在 GDPR 下的权利进行沟通; （3）数据控制者如何促进数据主体对其权利的行使。 三、GDPR 中透明度的构成要素 GDPR 中有关透明度原则的关键条款见第三章（数据主体的权利）， 主要涉及数据主体权利，。第 12 条规定：向数据主体提供所需信息的一 般规则（第 13 条至第 14 条）；与行使权利的数据主体进行沟通（第 15 2 四、数字环境中的分层方法和分层隐私声明/通知 龙 条至第 22 条）；以及与数据泄露有关的告知（第 34 条）。特别是第 12 条要求有关的信息或沟通必须遵守以下规则：  必须简明扼要，透明，易懂，易于获取（第 12.1 条）;  必须使用清晰明了的语言（第 12.1 条）;  向儿童提供信息时，明确和简明的语言尤为重要（第 12.1 条）;  必须使用书面形式“或者通过其他方式，包括在适当情况下， 通过电子手段”（第 12.1 条）;  在数据主体要求的情况下，可以口头提供（第 12.1 条）;  通常必须免费提供（第 12.5 条）。 据 保 护 官 沙 在数字环境中，考虑到需要向数据主体提供的信息量，数据控制者 可以选择使用多种方法来确保透明度，例如可以采用分层方法。 WP29 特别建议，应使用分层隐私声明/通知链接到必须提供给数据主体的各 类信息，而不是在屏幕上的单个通知中显示所有此类信息，以防止信息 疲劳。分层隐私声明/通知可以帮助解决信息完整性和可理解性之间的紧 张关系，特别是允许用户可以直接链接到声明/通知中他们希望阅读的 部分。应该注意的是，分层隐私声明/通知不仅仅是需要多次点击才能获 得相关信息的嵌套页面。隐私声明/通知第一层的设计和布局应使数据主 体能够清楚地了解他们在个人数据被处理时可获得的信息，以及他们在 何处/如何在私声明/通知的各个层面中找到详细信息。同样重要的是， 分层通知的不同层中包含的信息是一致的，不能在这些层内提供相互冲 突信息。 五、透明度信息的提供方式 数 提供透明度信息的另一种可能的方式是使用“推送”和“拉取”通 知。 “推送”通知涉及提供“即时”的透明度信息通知，而“拉取”通 知则有助于通过权限管理，隐私面板和“了解更多”教程等方法访问信 息。 这些为数据主体提供了更多以用户为中心的透明度体验。 通过单一的隐私面板，数据主体可以从中查看其“隐私信息”，并通 过允许或者阻止相关服务以某种方式使用其数据来管理其隐私偏好。当 数据主体在各种不同的设备上使用相同的服务时，这一点尤其有用，因 为无论数据主体如何使用服务，它都允许他们可以访问和控制自己的个 人数据并通过隐私面板手动调整其隐私设置，还可以通过仅反映针对该 特定数据主体发生的处理类型来使隐私声明/通知的个性化变得更容易。 将隐私面板整合到现有的服务架构中（例如，使用与其他服务相同的设 计和品牌）是可取的，因为它将确保访问和使用是直观的，并且可以有 助于鼓励用户参与了解该信息，与他们在使用其他服务中的方式别无二 致。这可以是一种有效的方式来证明“隐私信息”是服务的必要和不可 3 或缺的一部分，而不是冗长的法律术语列表。 即时通知用于在与数据主体最相关的时间节点以临时方式提供特 定的“隐私信息”。该方法对于在整个数据收集过程中的各个节点提供信 息非常有用; 它有助于将信息的提供分散到易于理解的模块中，并减少 对单个缺乏场景难以理解的隐私声明/通知的依赖。 例如，如果数据主 体在线购买产品，则可以在伴随相关文本字段的弹出窗口中提供简要的 说明信息。请求数据主体的电话号码的字段信息，可以解释为：例如， 该数据只是为了购买的目的而收集，并且该数据仅将被披露给递送服务。 官 沙 龙 “透明度”可以说是贯穿整个 GDPR 合规过程中的最核心义务之一，更是控 制者在数据保护方面的决心、努力和智慧的最佳体现，它要求控制者如实披露与 处理有关的信息，并保证数据主体获取相关信息以及行使权利的便捷性，弥合专 业知识和公众认知；避免损伤公众信任。同时 W29 更鼓励控制者在透明度的基础 上积极探索数据保护的最佳实践，通过技术和模式创新促进全行业整体个人信息 保护水平的提升。但正因为“透明度”要求的持续性和全面性，其更像是一个保 障控制者落实 GDPR 中相应义务的整体性义务，也是各大互联网企业在进行 GDPR 合规工作中面临的最大挑战之一。 据 保 护 今年 1 月，法国数据监管机构 CNIL 对谷歌开出 5000 万欧元的巨额罚单，其 中一个理由就是认为谷歌公司的行为违反了欧盟于 2016 年通过的《通用数据保 护条例》中有关透明度的相关规则。主要理由包括：第一，在落实 GDPR 第 12 条的规定时，提供信息的方法应当“容易获取”。谷歌公司未提供用户数据的便 捷访问渠道，这造成用户无法理解和管理其个人信息的使用。第二，在根据第 13 条要求向用户提供交流信息时，信息过于分散在不同文件中，用户必须通过 多次点击才能获取不同的文件信息，过于碎片化。 数 谷歌一直被认为是数据合规领域的行业标杆，即便如此也会在履行透明度义 务方面受到质疑甚至重罚，因此我们有必要对于这一 GDPR 中的“首要义务”进 行反复研读和最佳实践的探索。“义务千万条，透明第一条；落实不到位，亲人 两行泪。” 刘笑岑 田申 4 ARTICLE 29 DATA PROTECTION WORKING PARTY 第 29 条数据保护工作组 Article 29 Working Party Guidelines on transparency under Regulation 2016/679 第 29 条工作组关于第 2016/679 号条例下的透明度准则的指引 Adopted on 29 November 2017 As last Revised and Adopted on 11 April 2018 2017 年 11 月 29 日通过 最后修订并于 2018 年 4 月 11 日通过 官 介绍 沙 龙 关于个人数据处理的个人保护工作组 由欧洲议会和理事会 1995 年 10 月 24 日第 95/46 / EC 号指令设立， 考虑到其中第 29 条和第 30 条， 考虑到其议事规则， 已通过现行指导原则： 据 保 护 1、第 29 条工作组通过本指南（下称 WP29）对“一般数据保护条例”（下称“GDPR”）中规定 的个人数据处理中的透明度义务进行解释与实践性指导。透明度是 GDPR 中的首要义务，主 要体现下以下三个核心领域： （1）向数据主体提供与公平处理有关的信息; （2）数据控制者如何与数据主体就其在 GDPR 下的权利进行沟通; （3）数据控制者如何促进数据主体对其权利的行使。 针对（EU）2016/6803 指令中提到的数据处理需要遵守的透明度要求，本指南同样适用。 与所有 WP29 的工作指引一样 1，本指南普遍适用于数据控制者，而不考虑任何特定数据控 制者所在的特定部门、行业或者特殊规定。因此，本指南无法解决在特定部门、行业或者受 监管领域所规定的特殊透明度义务 。而旨在使控制者能够在较高层次上理解 WP29 对透明 度义务在实践中所涉及内容的解释，并给出 WP29 认为控制者应当采取的方法路径，以便数 据控制者能够将公平性和问责制纳入其透明度措施中。 数 2.透明度是欧盟法律的一贯要求。它通过使公民理解数据处理行为并在必要时提出质疑，从 而使公民对数据处理活动建立信任。它还表达了与“欧洲联盟基本权利宪章”第 8 条所述的 个人数据处理相关的公平原则。根据 GDPR（第 5 条第（1）款（a）项） ，除了必须合法公平 地处理数据的要求之外，还需要将透明度作为体现这些原则的基本方面。透明度与公平原则 和 GDPR 项下的问责制有着内在的联系。根据 GDPR 第 5.2 条下的问责制原则，控制者必须 始终保证个人数据是在遵循透明度的要求下进行处理的。与此同时，问责制也要求数据处理 行为的透明度，以便数据控制者能够证明其遵守了 GDPR 规定的义务 2。 1 TEU 第 1 条提到“尽可能公开并尽可能接近公民”的决定;第 11 条（2）规定“各机构应与代表协会和民间 社会保持