ICO为英国私家侦探推出新的数据保护行为准则

2024年11月13日，英国信息保护办公室（ICO）发表信息称，正式批准了由英国调查员协会（ABI）制定的《ABI 英国调查与诉讼支持服务数据保护行为准则（v1.0）》，旨在为私人调查与诉讼支持服务领域的数据保护提供指导，确保私家侦探企业合规处理个人数据，增强公众对该领域数据处理的信任。

1. 适用范围与目标

• 适用对象 ：为提供调查和诉讼支持服务的企业，包括 ABI 成员企业和符合特定条件的非 ABI 成员企业，需满足一系列标准并获得 “ Code Member status ” 地位。

• 核心目标 ：帮助代码成员理解并遵守数据保护法，明确处理个人数据时的角色和责任，确保数据处理合法、公平、透明，重点关注数据保护影响评估、合法处理依据、合法利益评估以及特殊数据处理等关键问题。

2. 关键定义

• 个人数据 ：与已识别或可识别的个人相关的信息。

• 数据控制者 ：决定个人数据处理目的和方式的自然人、法人、公共机构等。

• 数据处理者 ：代表控制者处理个人数据的实体，必须按控制者指令行事。

• 联合控制者 ：共同决定数据处理目的和方式的两个或多个控制者，需明确各自责任。

• 特殊类别数据 ：涉及种族、政治观点、宗教信仰、健康等敏感信息的数据。

• 犯罪记录数据 ：与犯罪定罪、犯罪行为及相关安全措施有关的个人数据。

3. 核心要求

3.1 角色与责任

• 理解并确定角色 ：企业在处理个人数据前，需明确自身是控制者、联合控制者还是处理者，根据实际情况确定，不能随意选择，且需向客户清晰解释其角色和责任。

• 不同角色的责任

• 控制者责任 ：确保自身及处理者的数据处理活动符合数据保护法，包括遵守数据保护原则、保障个人权利、采取安全措施、选择合适处理者并签订协议、通报数据泄露、履行问责义务、配合 ICO 调查、支付数据保护费等。

• 处理者责任 ：遵循控制者指令处理数据，签订包含特定条款的合同，未经授权不得使用子处理者，保障数据安全，及时通报数据泄露和潜在违规行为，协助控制者履行义务，处理结束后按指令处理数据，对控制者承担合同责任，对个人承担因违反规定导致损害的责任。

• 联合控制者责任 ：以书面形式明确各自在数据保护法下的责任，确保安排透明，向个人提供主要信息，尊重个人权利，对 ICO 负责，个体可向任何联合控制者索赔，联合控制者之间的责任分配协议对个人索赔无效。

3.2 数据保护影响评估（DPIA）

• 何时需要 DPIA ：处理个人数据可能对个人权利和自由造成高风险时，如处理特殊类别数据、犯罪记录数据、儿童个人数据，或涉及特定高风险活动（如自动决策导致服务拒绝、数据组合匹配、隐形处理、可能导致身体伤害的处理）时，控制者必须进行 DPIA。

• DPIA 流程与挑战 ：DPIA 是风险评估工具，需识别评估需求、描述处理情况、考虑咨询利益相关者、评估处理必要性和合法性、识别风险并制定措施、考虑风险水平及是否咨询 ICO、记录结果并持续审查。企业需客观考虑处理可能造成的危害，避免因客户信息不完整而忽视风险。

• DPIA 的重要性 ：有助于控制者确保合规，避免数据处理中的常见问题，如数据过度或无关、保留时间过长、使用方式不当、忽视个人权利、数据不准确或不安全、披露不当等。完成 DPIA 后，结果应融入数据处理过程，必要时可公布（需隐去敏感信息），若仍存在高风险，需咨询 ICO 并遵循其建议。

3.3 合法处理依据

• 确定合法依据 ：处理个人数据必须有合法依据，控制者需在处理前确定，可参考 ICO 的互动指导工具，确保处理符合数据保护原则，处理特殊类别或犯罪记录数据时需满足额外条件，注意保护儿童利益，尽量避免中途变更合法依据，如有变更需通知个人并记录。

• 合法依据类型

• 合法利益 ：处理需为企业或客户（或第三方）合法利益所必需，但不得损害个人利益，需进行合法利益评估（LIA），平衡个人与相关方利益，定期审查以确保依据持续合适，避免在某些情况下（如处理不符合法律道德标准、无明确目的、可不用个人数据实现目的、处理方式不当、存在重大风险、对平衡测试不自信、担心负面宣传、有更明显适用依据）依赖此依据。

• 同意 ：个人同意处理其数据，但需满足高标准，如自由给予、明确具体、知情、可随时撤回等，不适用于某些调查活动，如欺诈调查等，企业需根据具体情况判断是否可依赖同意作为合法依据。

• 合同必要 ：处理对于个人作为一方的合同签订或履行必要，但在提供调查和诉讼支持服务时通常不适用。

• 法律义务 ：处理为遵守普通法或法定义务所必需，如根据《2002 年犯罪收益法》报告可疑活动或遵守法院命令，指令开始时可能不适用，通常在处理过程中产生相关义务时适用。

• 重大利益 ：处理为保护个人或他人重大利益所必需，但在调查和诉讼支持服务中很少适用。

• 公共任务 ：公共机构或执行公共利益任务的私人组织处理数据，但在该服务领域不常适用。

3.4 特殊数据处理

• 犯罪记录数据处理 ：企业不得保留全面的犯罪记录数据库，处理此类数据需有官方授权或符合数据保护法规定的合法依据，遵守《数据保护法》附表 1 规定的条件，确保处理合法、公平、透明，同时满足其他数据保护要求。

• 特殊类别数据处理 ：处理特殊类别数据通常需个人明确同意，或符合特定条件，如就业法、社会保障法、保护重大利益、慈善或非营利组织活动、数据已公开、法律索赔或辩护、公共利益、医疗治疗、公共卫生等相关条件，处理时需确保必要性和合法性，不得超出必要范围。

4. 行为准则管理与违规处理

• 管理与监督 ：由监测机构（MB）评估企业是否符合准则，包括申请时和后续年度评估，企业需对自身合规负责，遵守更广泛的数据保护法律义务，违反准则可能面临不同程度的处理。

• 监测机构职责 ：实施审计和监测程序，处理投诉，协助准则年度审查，确保准则与时俱进，监测机构需具备独立性、专业知识、处理利益冲突能力、完善规则程序、投诉处理能力、与 ICO 沟通能力、促进准则审查能力和适当法律地位。

• 投诉处理流程 ：MB 负责记录、确认和调查企业违反准则的投诉，企业需按要求回应投诉，提供相关证据，MB 将根据情况采取行动，包括要求企业整改、提供培训、发出警告、暂停或排除企业成员资格等，企业有权对 MB 决定上诉。

• 违规行为处理 ：根据违规严重程度，MB 将采取不同措施，如发出不符合报告（NCR）要求企业整改，考虑纠正建议或制裁措施，包括培训、警告、报告给 ABI 或暂停 / 排除成员资格等，严重违规或多次违规可能导致更严厉处罚，企业可上诉，MB 决定为最终决定（由三人审计小组审查），同时 MB 会将严重违规情况通知 ICO。

5. 案例分析

• 角色确定案例