2024年11月22日,英国信息保护办公室(ICO)发表声明指出,打击诈骗与欺诈时,数据保护不能成为借口。ICO呼吁各组织明确,数据保护法并不禁止组织共享个人信息,只要它们以负责任、公平和适当的方式共享即可。ICO建议各类组织在必要的时候共享个人信息,以保护其客户免受诈骗和欺诈之害。
欺诈是英国最常见的犯罪类型,占英格兰和威尔士所有报告犯罪的39%。ICO
警告称,
组织在打击诈骗和欺诈方面不愿共享个人信息,可能会导致严重的情感和财务伤害。
数据保护法并不禁止组织共享个人信息,只要它们以负责任、公平和适当的方式这样做。
在国际反欺诈宣传周期间,ICO发布了新的实用建议,以明确数据保护方面的考虑,并支持组织负责任地共享数据,以打击诈骗和欺诈。
这些建议旨在帮助任何寻求共享个人信息以识别、调查和预防欺诈的组织,尤其是银行、电信提供商和数字平台。
例如,组织可能希望与银行共享个人信息,以识别那些可能在其服务中遭受诈骗的用户。
及时共享这些数据可以帮助银行评估风险,并确保采取额外的检查措施来预防欺诈。
英国信息专员办公室(ICO)监管风险执行主任Stephen Almond表示:
“从情感困扰到财务损失,诈骗和欺诈带来了严重的后果。
我们强烈支持组织之间负责任且有效的数据共享,这是抢先一步对抗犯罪分子、在诈骗造成伤害之前预防诈骗的关键。
‘保护人民必须是首要任务——我今天警告各组织,数据保护法不是借口,它并不阻止你共享可能有助于打击欺诈的数据。
负责任行事的组织可以放心,如果出现问题,我们需要考虑监管应对措施时,会将这一点纳入考虑。
’”
国家经济犯罪中心欺诈事务副主任Nick Sharp表示:
“私营行业之间以及与公共部门之间的信息共享,是打击欺诈的基本工具。
‘ICO的新建议非常受欢迎,我们鼓励所有行业合作伙伴加以利用,确保适当且自信的数据共享能够助力我们共同努力减少欺诈的危害。
‘我们与私营和公共部门的合作伙伴一道,致力于识别、瓦解和预防欺诈,并将从各个法律角度入手,确保针对英国公众的犯罪分子被追究责任。
’”
ICO的建议是在与关键利益相关者沟通的基础上制定的,包括实用考虑因素和案例研究,以支持组织理解共享数据时的法律规定。
I
CO继续与私营和公共部门组织合作,包括其数字监管合作论坛(DRCF)合作伙伴,以支持保护公众免受诈骗和欺诈之害的努力。
新建议与ICO关于负责任地共享数据的丰富资源相伴推出,其中包括ICO的法定《数据共享准则》、特定行业指南和实用案例研究。
组织可以访问ICO
的创新咨询服务或DRCF的人工智能和数字中心以获取进一步支持。
组织间以及不同数字部门间有效共享数据对于防范数据欺诈行为具有重要意义。
《英国通用数据保护条例》(UK GDPR)和《2018年数据保护法》(DPA)并不禁止在适当情况下共享个人信息,也不禁止采取措施防止危害发生。
本指南旨在为金融服务、电信和数字平台等数字经济领域的私营组织提供指导,这些组织希望相互共享个人信息以支持防范欺诈和诈骗的工作。
英国
信息专员办公室(ICO)
的作用是帮助并鼓励组织以自信、负责任且合规的方式共享数据。这包括遵循UK GDPR的原则,同时确保尊重人们的信息权利。
ICO继续与私营和公共部门组织合作,支持防止人们遭受欺诈和诈骗伤害的努力。
ICO
的监管方式
ICO的监管方式旨在创造一个既能保护人们权益,又能确保处理个人信息的组织能够高效运营和创新的环境。这包括我们提供关于法律要求的监管确定性,降低合规成本,并提高标准。
对
ICO
来说,明确
ICO
如何行使权力也很重要。
ICO
采取公平、适当和及时的监管行动来保护人们的信息权利。在考虑是否需要采取监管措施时,
ICO
会考虑您是否已出于善意采取了符合法律的措施来共享个人信息,以保护人们免受伤害。
虽然每个案件都有所不同,但
ICO
将始终以严格、有针对性和适当的方式行使我们的权力,确保组织不必担心我们会施加不成比例的制裁。
进一步阅读
ICO25 -
ICO
的监管方式
在寻求共享数据时应考虑什么?
当您以负责任、公平和适当的方式共享数据时,数据保护法允许您为减轻欺诈和诈骗而共享个人信息。
您有责任采取正确措施来确保您正在履行数据保护义务:
进行数据保护影响评估(DPIA)
DPIA将帮助您评估您计划进行的数据共享可能带来的任何利益、风险或潜在负面影响,以及它是否合法。当处理可能导致对个人产生高风险时,进行DPIA是一项法律要求。对于任何涉及披露个人信息的重大项目,或对于任何计划中的常规数据共享,即使没有明确的高风险指标,完成DPIA也是良好的做法。
进一步阅读
决定是否共享数据
明确责任
您应在早期阶段考虑您将是独立控制者还是联合控制者。ICO的《数据共享实践准则》主要涵盖从一个控制者向另一个控制者共享个人信息的情况。但该准则也适用于组织汇总其持有的信息的情况。当数据汇总时,组织需要考虑它们是独立控制者还是联合控制者。
进一步阅读
控制者和处理者
数据共享受准则约束
制定数据共享协议
对于非临时性或一次性的数据共享,提前通过数据共享协议将数据共享安排正式化是一种良好的做法。这些协议规定了数据共享的目的和实际操作,并设定了标准,以帮助所有参与者明确各自的责任。这有助于您展示您是如何履行UK GDPR下的问责义务的。
进一步阅读
数据共享协议
确定合法基础
在开始共享个人信息之前,您必须确定一个有效的合法基础,并能够证明其适用性。如果您是私营部门组织,为防范欺诈和诈骗而共享数据,相关的合法基础可能包括合法利益、同意或履行合同。如果以合法利益为合法基础,您需要证明您的处理如何通过了三部分的“合法利益评估”(LI评估)。
示例 – 在合法利益下披露个人信息时的考虑因素(LI评估)
电信和数字平台公司知道犯罪分子可能会利用其服务进行社会工程学和诈骗消费者。当消费者被认为可能在这些服务上接触到诈骗时,他们面临更高的、潜在的紧迫欺诈风险。
如果您及时与银行共享个人信息,银行就能够评估风险并采取额外检查措施来帮助防止危害发生。
如果您在这种情况下考虑共享数据,您可以将合法利益作为合法基础,因为防止危害具有令人信服的正当理由。
完成三部分的LI评估可能涉及:
-
指出欺诈预防被UK GDPR第47条承认为处理数据的合法目的,并提供有关您想要处理的个人信息的具体类型和类别、原因以及可能带来的益处和成果的信息。
-
提供有力且详细的评估,说明共享特定类型和类别的个人信息是否必要,以及这是否是一种有针对性且适当的方式来防止无法通过其他侵入性较小的方式合理实现的危害。
-
确保您共享特定数据的利益与数据主体的权利相平衡。考虑人们是否会期望他们的信息被共享,或者这是否会给他们造成不必要的伤害。
在依赖合法利益时完成LI评估有助于确保与第三方的数据共享是合法的。LI评估适用于一次性数据共享和重复数据共享的情况。作为披露方,您需要证明共享是合理且合规的,但第三方需自行确定其处理的合法基础。
进一步阅读
共享个人数据的合法基础
合法基础
合法利益
我们如何在实践中应用合法利益?
了解共享信息的类型
:
英国数据保护法规对特殊类别数据以及犯罪活动、指控、调查和诉讼中涉及的罪犯或嫌疑犯的个人信息提供了额外保护。如果您是处理这类犯罪数据的私营部门组织,您可能不具备官方授权。这意味着您只能在《2018年数据保护法》附表1中找到特定的处理条件时,才能处理犯罪数据。
示例:共享犯罪数据时的考虑因素
一位客户意识到自己在一个数字平台上遭遇了诈骗,并向银行报告了可疑交易。在调查过程中,银行从客户那里收集了关于他们认为实施诈骗的数字平台账户的情报。
银行希望与数字平台共享这些情报,以便拆除诈骗并保护人们。这种共享可能涉及犯罪数据,因为它与运行诈骗的人有关,因此在这一阶段,这是与涉嫌犯罪相关的信息。
银行知道在处理和共享犯罪数据时,需要额外的保护。由于银行没有官方授权,它根据UK GDPR第10条和《2018年数据保护法》附表1找到了有效的共享条件。它还必须有合法基础。
银行依据第6条的合法利益,并在LI评估中考虑了与犯罪数据相关的特殊风险。银行在《2018年数据保护法》附表1中找到了一个条件(例如,防止或发现非法行为),并且由于它不是官方机构,银行确保了适当的保障措施到位。
银行还制定了一份适当的政策文件,然后才寻求共享这些信息。这份文件概述了所依赖的附表1中的条件、银行遵守第5条原则的程序以及其对特殊类别和犯罪数据的保留和删除政策。
在任何共享发生之前,个人信息的接收方确保:
-
他们确定了处理的合法基础和附表1中的条件;
-
适当的保障措施已到位;并且
-
制定了一份适当的政策文件。
