Thứ Tư, 7 tháng 2, 2018

Các nguyên tắc của tính mở đối với các tổ chức xử lý dữ liệu cá nhân


Openness principles for organisations handling personal data

Cách thức dữ liệu được truy cập, được sử dụng và được chia sẻ hiện diện trong một phổ. Dữ liệu mà cần phải là riêng tư nên được giữ bí mật. Các dữ liệu nhạy cảm hoặc các dữ liệu thương mại có thể được chia sẻ với vài người hoặc tổ chức. Dữ liệu mà có thể được mở nên là mở. Tính mở về cách thức các tổ chức đang bảo vệ và quản lý các dữ liệu riêng tư xây dựng nên lòng tin.
Các nguyên tắc
Các tổ chức nên:
  1. Mở với mọi người về dữ liệu cá nhân nào họ đang thu thập
  2. Mở với mọi người về cách thức họ sử dụng các dữ liệu cá nhân
  3. Mở với mọi người về cách thức các dữ liệu cá nhân được chia sẻ
  4. Mở với mọi người về cách thức các dữ liệu cá nhân được bảo vệ
  5. Giải thích cho mọi người cách thức chúng ta ra quyết định về cách thức chúng ta đưa ra các quyết định về họ khi sử dụng các dữ liệu của họ
  6. Mở về các cơ chế trách nhiệm giải trình về chúng đối với việc sử dụng sai các dữ liệu cá nhân
  7. Giúp mọi người hiểu và gây ảnh hưởng tới cách thức dữ liệu của họ được thu thập và được sử dụng
  8. Khi thu thập hoặc sử dụng các dữ liệu cá nhân, hãy làm cho các phân tích và các kết quả đầu ra của chúng càng mở có thể càng tốt
Mở về cách thức các dữ liệu cá nhân được sử dụng, và tính riêng tư được bảo vệ, giúp xây dựng lòng tin trong việc thu thập và sử dụng các dữ liệu cá nhân của các tổ chức. Lòng tin lớn hơn ngụ ý sự xung đột ít hơn khi phát triển các ý tưởng và các dịch vụ mới, và sử dụng nhiều hơn các ý tưởng và dịch vụ đang có. Nó tạo thuận lợi nhiều hơn cho các kết nối và các hiệu ứng mạng. Nó giúp cho những người tiêu dùng cảm thấy được trao quyền, và dẫn tới nhiều lựa chọn có đầy đủ thông tin hơn về các dịch vụ có liên quan tới thu thập các dữ liệu cá nhân. Tính mở làm cho mọi điều tốt hơn.
Các nguyên tắc về tính mở và tính riêng tư của ODI thiết lập các cái đích cho các tổ chức có mong muốn xây dựng lòng tin về cách thức họ quản lý các dữ liệu cá nhân. Các nguyên tắc đó đặc biệt tập trung vào cách thức các tổ chức quản lý dữ liệu cá nhân, không tập trung vào dữ liệu chung mà họ thu thập và/hoặc sử dụng. Các nguyên tắc đó có ý định sẽ áp dụng được rộng rãi cho các tổ chức trong các khu vực công, tư và bên thứ 3: các tổ chức bất kỳ kích cỡ nào đang thu thập, lưu trữ, sử dụng và/hoặc cung cấp truy cập tới các dữ liệu cá nhân.
Chúng tôi muốn thấy các tổ chức cam kết với các nguyên tắc đó và kết hợp chúng vào các chính sách và các quy trình của các tổ chức của riêng họ.
Các nguyên tắc đó không có ý định sẽ là toàn diện. Vài khía cạnh của các nguyên tắc đó được phản ánh rồi trong các khung bảo vệ dữ liệu, như Quy định Bảo vệ Dữ liệu Chung - GDPR (General Data Protection Regulation) ở Liên minh châu Âu, và sẽ trở thành một yêu cầu cho nhiều tổ chức hoạt động trong thị trường số duy nhất. Các quy định khác mở rộng trên cơ sở các luật hiện hành và mong muốn có tính mở lớn hơn về cách thức các dữ liệu cá nhân được quản lý. Bảo vệ dữ liệu đôi khi được coi như là một gánh nặng tuân thủ. Tính mở về cách thức tính riêng tư được giữ gìn sẽ xây dựng lòng tin, cung cấp cả những cải thiện về sự tuân thủ và dịch vụ rộng lớn hơn.
Các nguyên tắc đó khuyến khích các tổ chức cam kết sẽ là ‘mở’ theo một vài cách thức. ‘Mở’ ngụ ý cả việc chia sẻ thông tin (công khai trên trực tuyến và trực tiếp tới mọi người), và là mở để có phản hồi từ mọi người về cách thức mọi điều có thể được cải thiện.
Lưu ý: đây là các nguyên tắc chỉ dẫn. Các tổ chức nên nhận thức được về các bổn phận bổ sung theo các luật bảo vệ dữ liệu quốc gia.


Các nguyên tắc
1) Các tổ chức nên là mở với mọi người về các dữ liệu cá nhân nào họ đang thu thập
Các tổ chức nên là mở với mọi người về các dữ liệu cá nhân nào họ thu thập từ mọi người và vì mục đích gì - ví dụ liệu các dữ liệu đó có được sử dụng để giúp phân phối dịch vụ cho họ hay không, có được liên kết với các thông tin khác về họ không, có được chia sẻ với các tổ chức khác hoặc được sử dụng vì các mục đích nghiên cứu không.
Điều này có thể bao gồm:
  • Việc xuất bản thông tin rõ ràng và truy cập được về các dữ liệu cá nhân nào họ thu thập và mục đích thu thập ở thời điểm theo đó mọi người đăng ký dịch vụ
  • Làm cho việc đăng ký thông tin sẵn sàng như là dữ liệu mở về các dữ liệu cá nhân họ thu thập, có sự truy cập tới, và vì sao, bao gồm nơi họ sẽ nhận được sự truy cập từ bên thứ 3
Nguyên tắc này được phản ánh rồi theo vài luật bảo vệ dữ liệu (GDPR, ví dụ thế).
2) Các tổ chức nên là mở với mọi người về cách thức họ sử dụng các dữ liệu cá nhân
Các tổ chức nên xuất bản thông tin công khai về cách thức họ sử dụng các dạng khác nhau dữ liệu cá nhân, ví dụ để phân phối dịch vụ, tiến hành phân tích hoặc đơn giản để duy trì các hồ sơ. Họ nên làm cho thông tin này được cập nhật. Thông tin này là để giúp mọi người hiểu cách thức dữ liệu của họ được sử dụng ở mức cao, và mức chi tiết được cung cấp nên phản ánh điều đó.
Điều này có thể gồm:
  • Đăng ký mở và được cập nhật thường xuyên các mục đích theo đó họ thu thuaapj và sử dụng các dạng khác nhau các dữ liệu cá nhân
  • Các lưu ý được cung cấp cho những người đã cung cấp các dữ liệu cá nhân về bất kỳ sự thay đổi nào về cách thức các dữ liệu cá nhân của họ sẽ được sử dụng.
3) Các tổ chức nên là mở với mọi người về cách thức các dữ liệu cá nhân được chia sẻ
Khi các tổ chức chia sẻ các dữ liệu cá nhân với những người hoặc tổ chức khác, họ nên là mở về những dữ liệu nào họ chính xác đang chia sẻ; với ai; vì mục đích gì; theo những điều kiện nào; và đổi lại cái gì (như đổi lại về tài chính, hoặc vì nó là một phần cần thiết trong việc cung cấp dịch vụ cho mọi người)
Điều này có thể gồm:
  • Tập hợp dữ liệu mở và thường xuyên được cập nhật trên website của họ, chi tiết hóa những dữ liệu cá nhân nào họ đang chia sẻ; với các tổ chức nào hoặc cá nhân nào; vì sao; và với những hạn chế sử dụng nào.
  • Duy trì các hồ sơ cá nhân chính xác về cách thức các dữ liệu cá nhân của mọi người đang được chia sẻ với các tổ chức và những người khác - điều này sẽ xúc tác cho các tổ chức trả lời cho các yêu cầu từ mọi người về ai có sự truy cập tới các dữ liệu của họ, và đi theo bất kỳ sự thay đổi/dò tìm ra nào các dữ liệu đó (điều này được yêu cầu, ví dụ, theo quyền bị lãng quên của GDPR)
4) Các tổ chức nên mở với mọi người về cách các dữ liệu cá nhân được bảo vệ
Các tổ chức nên mở về cách thức các dữ liệu cá nhân được bảo vệ, ở mức độ có thể mà không làm gia tăng rủi ro vi phạm an toàn.
Điều này có thể gồm:
  • Thường xuyên xuất bản thông tin trên trực tuyến về các kiểm tra an toàn được triển khai, bất kỳ sự vi phạm vào về dữ liệu diễn ra, và các đáp trả đối với các vi phạm đó.
  • Xuất bản các chi tiết về, và các báo cáo từ bất kỳ người kiểm tra an toàn độc lập nào ở những nơi an toàn để làm điều đó.
  • Đưa ra các cơ chế phản hồi cho mọi người để có được sự liên hệ về bất kỳ lỗi tiềm năng nào về an toàn dữ liệu của họ
5) Các tổ chức nên giải thích cho mọi người cách thức họ ra các quyết định về họ khi sử dụng các dữ liệu của họ
Nếu các tổ chức đang sử dụng các thuật toán và dữ liệu để ra các quyết định có ảnh hưởng tới cuộc sống của một cá nhân, hoặc nhằm vào các dịch vụ đối với họ theo một cách thức đặc biệt, họ nên cam kết cung cấp sự giải thích truy cập được về cách thức các quy trình đó làm việc và các dữ liệu có liên quan. Họ nên cung cấp cơ chế cho mọi người để thách thức các quyết định được làm về họ, hoặc các dịch vụ nhằm vào họ, theo cách thức có nghĩa và có sự tương tác của con người.
Điều này có thể gồm:
  • Cung cấp thông tin về cách các quyết định được đưa ra, và dữ liệu nào từng có liên quan, trong bất kỳ lưu ý nào cho mọi người (thư điện tử, bưu điện, điện thoại, …) về các quyết định có ảnh hưởng tới họ.
  • Tạo cơ chế trọng tài cho những người muốn thách thức các quyết định, với thông tin về cách thức làm cho điều này công khai sẵn sàng và dễ truy cập được trên website của họ. Trong một số khu vực, cơ chế thách thức này có thể được xúc tác tốt nhất thông qua các trọng tài độc lập.
6) Các tổ chức nên mở về các cơ chế trách nhiệm giải trình của họ khi sử dụng sai các dữ liệu cá nhân
Các tổ chức nên xuất bản thông tin về các quy trình điều hành và trách nhiệm giải trình họ có tại chỗ để giám sát sự quản lý thực hành tốt nhất các dữ liệu cá nhân họ nắm giữ.
Điều này bao gồm:
  • Sẵn sàng công khai tổng quan về quy trình ra quyết định trong nội bộ, và mô hình điều hành hiện có, để giám sát các vấn đề nảy sinh khi quản lý các dữ liệu cá nhân.
  • Xuất bản biên bản các cuộc họp, và các báo cáo về các quyết định được ban hành thông qua các cơ chế trách nhiệm giải trình đó.
  • Xác định một bên thứ 3 độc lập, tin cậy được để cung cấp các cơ chế trách nhiệm giải trình nhân danh họ (với các yêu cầu y hệt về tính mở).
7) Các tổ chức nên giúp mọi người hiểu và gây ảnh hưởng tới cách thức dữ liệu của họ được thu thập và được sử dụng
Các tổ chức nên cam kết sử dụng ngôn ngữ rõ ràng, truy cập được trong các chính sách và sự cho phép về dữ liệu để giao tiếp với mọi người những gì xảy ra với các dữ liệu cá nhân của họ. Ở bất kỳ nơi nào có thể, cách họ thiết kế các dịch vụ của họ cho những người tiêu dùng nên cung cấp sự lựa chọn thực tế cho họ về cách các dữ liệu của họ được truy cập, được sử dụng và được chia sẻ.
Điều này có thể bao gồm:
  • Việc thiết kế các dịch vụ với các lựa chọn khác nhau có liên quan tới mức dữ liệu cá nhân có thể được/bị thu thập về một con người, và họ có thể trao cho ai sự cho phép để truy cập và sử dụng.
  • Việc cung cấp cho các cá nhân các cơ chế truy cập tới các dữ liệu của riêng họ (điều này được các tổ chức yêu cầu cần phải tuân thủ với GDPR).
  • Việc cung cấp cho các cá nhân các cơ chế để cho phép truy cập tới các dữ liệu của họ được một tổ chức nắm giữ cho một tổ chức khác (điều này được phản ánh trong quyền khả chuyển theo GDPR).
8) Các tổ chức thu thập hoặc sử dụng các dữ liệu cá nhân nên làm cho các phân tích và các kết quả đầu ra của họ càng mở có thể càng tốt
Khi các tổ chức đang triển khai nghiên cứu có sử dụng các dữ liệu cá nhân, và xây dựng hoặc phân phối các dịch vụ có sử dụng các dữ liệu cá nhân, họ nên cung cấp lợi ích ngược về cho công chúng càng nhiều càng tốt để phản ánh giá trị đang được họ cung cấp. Theo cách này, các tổ chức đóng góp ngược trở lại cho hạ tầng dữ liệu đang chống trụ cho các dịch vụ và các kết quả đầu ra mọi người sử dụng hàng ngày và giúp tạo ra nhiều giá trị hơn cho xã hội.
Điều này có thể bao gồm:
  • Xuất bản dữ liệu mở được tổng hợp, được ẩn danh từ các dịch vụ và nghiên cứu có liên quan tới các dữ liệu cá nhân của mọi người. (như Strava).
null
How data is accessed, used and shared exists on a spectrum. Data that needs to be private should be kept private. Sensitive or commercial data can be shared with some people or organisations. Data that can be open should be open. Openness about how organisations are securing and managing private data builds trust

The principles

Organisations should:

Being open about how personal data is used, and how privacy is protected, helps to build trust in organisations collecting and using personal data. Greater trust means less friction when developing new ideas and services, and greater use of existing ones. It facilitates more connections and network effects. It helps consumers feel empowered, and leads to more informed choices about services that involve collection of personal data. Openness makes things better.
The ODI’s privacy and openness principles set targets for organisations aspiring to build trust in how they manage personal data. The principles focus specifically on how organisations manage personal data, not data in general that they collect and/or use. They’re intended to be broadly applicable to organisations in the public, private and third sectors: organisations of any size who are collecting, storing, using and/or providing access to personal data.
We want to see organisations committing to the principles and incorporating them into their own organisational policies and processes.
The principles are not intended to be exhaustive. Some aspects of the principles are already reflected in data protection frameworks, such as the General Data Protection Regulation (GDPR) in the European Union, and will become a requirement for many organisations operating in the digital single market. Others extend on existing laws and aspire for greater openness in how personal data is managed. Data protection is sometimes seen as a compliance burden. Openness about how privacy is preserved builds trust, providing both compliance and wider service improvements.
The principles encourage organisations to commit to being ‘open’ in a number of ways. ‘Open’ means both sharing information (publicly online and directly to people), and being open to feedback from people about how things could be improved.
Note: these are guiding principles. Organisations should be aware of additional obligations under national data protection laws.

The principles

1) Organisations should be open with people about what personal data they are collecting
Organisations should be open with people about what personal data they collect from people and for what purpose – for example whether the data will be used to help deliver a service for them, be linked with other information about them, be shared with other organisations or be used for research purposes.
This may include:
  • Publishing clear and accessible information about what personal data they collect and the purpose of collection at the point at which people sign up for a service
  • Making a register of information available as open data about the personal data they collect, have access to, and why, including where they are receiving access from a third party
This principle is already reflected in some data protection laws (GDPR, for example).

2) Organisations should be open with people about how they use personal data
Organisations should be publishing information openly about how they use different kinds of personal data, for example to deliver a service, conduct analysis or simply maintain records. They should keep this information up to date. This information is to help people understand how their data is used at a high level, and the level of detail provided should reflect that.
This may include:
  • An open and regularly updated register of purposes for which they collect and use different kinds of personal data
  • Notifications provided to people who have provided personal data about any changes to how their personal data is being used

3) Organisations should be open with people about the way personal data is shared
When organisations share personal data with other people or organisations, they should be open about what data exactly they are sharing; with whom; for what purpose; under what conditions; and for what return (eg financial return, or because it’s a necessary part of providing a person with a service).
This may include:
  • An open and regularly updated dataset on their website detailing what personal data they are sharing; with which organisations or individuals; why; and with what limitations on use
  • Maintaining accurate individual records of how people’s personal data is being shared with other organisations and people – this will enable organisations to reply to requests from people about who has access to their data, and follow through any changes/deletion of that data (this is required, for example, under the GDPR’s right to be forgotten)

4) Organisations should be open with people about the way personal data is secured
Organisations should be open about the way personal data is secured, to the extent that is possible without increasing the risk of security breaches.
This may include:
  • Regularly publishing information online about security audits that are carried out, any data breaches that take place, and responses to those breaches.
  • Publishing the details of, and reports from any independent security auditors where it is safe to do so
  • Providing feedback mechanisms for people to get in touch regarding any potential flaws in their data security

5) Organisations should explain to people how they make decisions about them using their data
If organisations are using algorithms and data to make decisions that impact on an individual’s life, or target services to them in a particular way, they should commit to providing an accessible explanation of how such processes work and the data involved. They should provide a mechanism for people to challenge decisions made about them, or services targeted to them, in a way that is meaningful and involves human interaction.
This may include:
  • Providing information about how decisions are made, and what data has been involved, in any notifications to people (email, post, telephone etc) about decisions that impact them.
  • Creating an arbitration mechanism for people who want to challenge decisions, with information about how to do this publicly available and easily accessible on their website. In some sectors, this challenge mechanism may be best enabled via independent arbitrators.

6) Organisations should be open about their accountability mechanisms for misuse of personal data
Organisations should publish information about the governance and accountability processes they have in place to monitor best practice management of the personal data they hold.
This may include:
  • A publicly available overview of the internal decision making process, and the governance model in place, to monitor issues raised with management of personal data
  • Publishing minutes of meetings, and reports of decisions made via these accountability mechanisms
  • Identifying an independent, trusted third party to provide accountability mechanisms on their behalf (with the same requirements of openness)

7) Organisations should help people understand and influence how their data is collected and used
Organisations should commit to using clear, accessible language in their data policies and permissions to communicate with people what happens to their personal data. Wherever possible, the way they design their services for consumers should provide real choice for them in how their data is accessed, used and shared.
This may include:
  • Designing services with different options regarding the level of personal data that might be collected about a person, and who they could grant access and use permissions to
  • Providing individuals with mechanisms to access their own data (this is required by organisations that need to comply with the GDPR)
  • Providing individuals with mechanisms to approve access to their data held by one organisation to another organisation (this is reflected in the right of portability under the GDPR)

8) Organisations collecting or using personal data should make their analyses and outputs as open as possible
When organisations are undertaking research using personal data, and building or delivering services using personal data, they should as far as possible provide benefit back to the public to reflect the value being provided by them. In this way, organisations contribute back to the data infrastructure that underpins the services and outputs people use every day and help it create more value for society.
This may include:
  • Publishing aggregate, anonymised open data from services and research involving people’s personal data (eg Strava)
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.