Openness principles for organisations handling personal data
Cách thức dữ liệu được truy cập,
được sử dụng và được chia sẻ hiện diện
trong một phổ. Dữ
liệu mà cần phải là riêng tư nên được giữ bí mật.
Các dữ liệu nhạy cảm hoặc các dữ liệu thương mại
có thể được chia sẻ với vài người hoặc tổ chức.
Dữ liệu mà có thể được mở nên là mở. Tính mở về
cách thức các tổ chức đang bảo vệ và quản lý các dữ
liệu riêng tư xây dựng nên lòng tin.
Các
nguyên tắc
Các tổ chức nên:
-
Mở với mọi người về dữ liệu cá nhân nào họ đang thu thập
-
Mở với mọi người về cách thức họ sử dụng các dữ liệu cá nhân
-
Mở với mọi người về cách thức các dữ liệu cá nhân được chia sẻ
-
Mở với mọi người về cách thức các dữ liệu cá nhân được bảo vệ
-
Giải thích cho mọi người cách thức chúng ta ra quyết định về cách thức chúng ta đưa ra các quyết định về họ khi sử dụng các dữ liệu của họ
-
Mở về các cơ chế trách nhiệm giải trình về chúng đối với việc sử dụng sai các dữ liệu cá nhân
-
Giúp mọi người hiểu và gây ảnh hưởng tới cách thức dữ liệu của họ được thu thập và được sử dụng
-
Khi thu thập hoặc sử dụng các dữ liệu cá nhân, hãy làm cho các phân tích và các kết quả đầu ra của chúng càng mở có thể càng tốt
Mở về cách thức
các dữ liệu cá nhân được sử dụng, và tính riêng tư
được bảo vệ, giúp xây dựng lòng tin trong việc thu
thập và sử dụng các dữ liệu cá nhân của các tổ
chức. Lòng tin lớn hơn ngụ ý sự xung đột ít hơn khi
phát triển các ý tưởng và các dịch vụ mới, và sử
dụng nhiều hơn các ý tưởng và dịch vụ đang có. Nó
tạo thuận lợi nhiều hơn cho các kết nối và các hiệu
ứng mạng. Nó giúp cho những người tiêu dùng cảm
thấy được trao quyền, và dẫn tới nhiều lựa chọn có
đầy đủ thông tin hơn về các dịch vụ có liên quan tới
thu thập các dữ liệu cá nhân. Tính mở làm cho mọi điều
tốt hơn.
Các nguyên tắc về tính mở và tính riêng
tư của ODI thiết lập các cái đích cho các tổ chức có
mong muốn xây dựng lòng tin về cách thức họ quản lý
các dữ liệu cá nhân. Các nguyên tắc đó đặc biệt tập
trung vào cách thức các tổ chức quản lý dữ liệu cá
nhân, không tập trung vào dữ liệu chung mà họ thu thập
và/hoặc sử dụng. Các nguyên tắc đó có ý định sẽ
áp dụng được rộng rãi cho các tổ chức trong các khu
vực công, tư và bên thứ 3: các tổ chức bất kỳ kích
cỡ nào đang thu thập, lưu trữ, sử dụng và/hoặc cung
cấp truy cập tới các dữ liệu cá nhân.
Chúng tôi muốn thấy các tổ chức cam
kết với các nguyên tắc đó và kết hợp chúng vào các
chính sách và các quy trình của các tổ chức của riêng
họ.
Các nguyên tắc đó không có ý định sẽ
là toàn diện. Vài khía cạnh của các nguyên tắc đó
được phản ánh rồi trong các khung bảo vệ dữ liệu,
như Quy
định Bảo vệ Dữ liệu Chung - GDPR (General Data Protection
Regulation) ở Liên minh châu Âu, và sẽ trở thành một
yêu cầu cho nhiều tổ chức hoạt động trong thị trường
số duy nhất. Các quy định khác mở rộng trên cơ sở
các luật hiện hành và mong muốn có tính mở lớn hơn về
cách thức các dữ liệu cá nhân được quản lý. Bảo vệ
dữ liệu đôi khi được coi như là một gánh nặng tuân
thủ. Tính mở về cách thức tính riêng tư được giữ
gìn sẽ xây dựng lòng tin, cung cấp cả những cải thiện
về sự tuân thủ và dịch vụ rộng lớn hơn.
Các nguyên tắc đó khuyến khích các tổ
chức cam kết sẽ là ‘mở’ theo một vài cách thức.
‘Mở’ ngụ ý cả việc chia sẻ thông tin (công khai trên
trực tuyến và trực tiếp tới mọi người), và là mở
để có phản hồi từ mọi người về cách thức mọi
điều có thể được cải thiện.
Lưu ý: đây là các nguyên tắc chỉ dẫn.
Các tổ chức nên nhận thức được về các bổn phận
bổ sung theo các luật bảo vệ dữ liệu quốc gia.
Các
nguyên tắc
Các tổ chức nên là mở với mọi người
về các dữ liệu cá nhân nào họ thu thập từ mọi người
và vì mục đích gì - ví dụ liệu các dữ liệu đó có
được sử dụng để giúp phân phối dịch vụ cho họ
hay không, có được liên kết với các thông tin khác về
họ không, có được chia sẻ với các tổ chức khác hoặc
được sử dụng vì các mục đích nghiên cứu không.
Điều này có thể bao gồm:
-
Việc xuất bản thông tin rõ ràng và truy cập được về các dữ liệu cá nhân nào họ thu thập và mục đích thu thập ở thời điểm theo đó mọi người đăng ký dịch vụ
-
Làm cho việc đăng ký thông tin sẵn sàng như là dữ liệu mở về các dữ liệu cá nhân họ thu thập, có sự truy cập tới, và vì sao, bao gồm nơi họ sẽ nhận được sự truy cập từ bên thứ 3
Nguyên tắc này được phản ánh rồi theo
vài luật bảo vệ dữ liệu (GDPR, ví dụ thế).
Các tổ chức nên xuất bản thông tin công
khai về cách thức họ sử dụng các dạng khác nhau dữ
liệu cá nhân, ví dụ để phân phối dịch vụ, tiến
hành phân tích hoặc đơn giản để duy trì các hồ sơ.
Họ nên làm cho thông tin này được cập nhật. Thông tin
này là để giúp mọi người hiểu cách thức dữ liệu
của họ được sử dụng ở mức cao, và mức chi tiết
được cung cấp nên phản ánh điều đó.
Điều này có thể gồm:
-
Đăng ký mở và được cập nhật thường xuyên các mục đích theo đó họ thu thuaapj và sử dụng các dạng khác nhau các dữ liệu cá nhân
-
Các lưu ý được cung cấp cho những người đã cung cấp các dữ liệu cá nhân về bất kỳ sự thay đổi nào về cách thức các dữ liệu cá nhân của họ sẽ được sử dụng.
Khi các tổ chức chia sẻ các dữ liệu cá
nhân với những người hoặc tổ chức khác, họ nên là
mở về những dữ liệu nào họ chính xác đang chia sẻ;
với ai; vì mục đích gì; theo những điều kiện nào; và
đổi lại cái gì (như đổi lại về tài chính, hoặc vì
nó là một phần cần thiết trong việc cung cấp dịch vụ
cho mọi người)
Điều này có thể gồm:
-
Tập hợp dữ liệu mở và thường xuyên được cập nhật trên website của họ, chi tiết hóa những dữ liệu cá nhân nào họ đang chia sẻ; với các tổ chức nào hoặc cá nhân nào; vì sao; và với những hạn chế sử dụng nào.
-
Duy trì các hồ sơ cá nhân chính xác về cách thức các dữ liệu cá nhân của mọi người đang được chia sẻ với các tổ chức và những người khác - điều này sẽ xúc tác cho các tổ chức trả lời cho các yêu cầu từ mọi người về ai có sự truy cập tới các dữ liệu của họ, và đi theo bất kỳ sự thay đổi/dò tìm ra nào các dữ liệu đó (điều này được yêu cầu, ví dụ, theo quyền bị lãng quên của GDPR)
Các tổ chức nên mở về cách thức các
dữ liệu cá nhân được bảo vệ, ở mức độ có thể
mà không làm gia tăng rủi ro vi phạm an toàn.
Điều này có thể gồm:
-
Thường xuyên xuất bản thông tin trên trực tuyến về các kiểm tra an toàn được triển khai, bất kỳ sự vi phạm vào về dữ liệu diễn ra, và các đáp trả đối với các vi phạm đó.
-
Xuất bản các chi tiết về, và các báo cáo từ bất kỳ người kiểm tra an toàn độc lập nào ở những nơi an toàn để làm điều đó.
-
Đưa ra các cơ chế phản hồi cho mọi người để có được sự liên hệ về bất kỳ lỗi tiềm năng nào về an toàn dữ liệu của họ
5) Các tổ chức nên giải
thích cho mọi người cách thức họ ra các quyết định
về họ khi sử dụng các dữ liệu của họ
Nếu các tổ chức đang sử dụng các
thuật toán và dữ liệu để ra các quyết định có ảnh
hưởng tới cuộc sống của một cá nhân, hoặc nhằm vào
các dịch vụ đối với họ theo một cách thức đặc
biệt, họ nên cam kết cung cấp sự giải thích truy cập
được về cách thức các quy trình đó làm việc và các
dữ liệu có liên quan. Họ nên cung cấp cơ chế cho mọi
người để thách thức các quyết định được làm về
họ, hoặc các dịch vụ nhằm vào họ, theo cách thức có
nghĩa và có sự tương tác của con người.
Điều này có thể gồm:
-
Cung cấp thông tin về cách các quyết định được đưa ra, và dữ liệu nào từng có liên quan, trong bất kỳ lưu ý nào cho mọi người (thư điện tử, bưu điện, điện thoại, …) về các quyết định có ảnh hưởng tới họ.
-
Tạo cơ chế trọng tài cho những người muốn thách thức các quyết định, với thông tin về cách thức làm cho điều này công khai sẵn sàng và dễ truy cập được trên website của họ. Trong một số khu vực, cơ chế thách thức này có thể được xúc tác tốt nhất thông qua các trọng tài độc lập.
6) Các tổ chức nên mở
về các cơ chế trách nhiệm giải trình của họ khi sử
dụng sai các dữ liệu cá nhân
Các tổ chức nên xuất bản thông tin về
các quy trình điều hành và trách nhiệm giải trình họ
có tại chỗ để giám sát sự quản lý thực hành tốt
nhất các dữ liệu cá nhân họ nắm giữ.
Điều này bao gồm:
-
Sẵn sàng công khai tổng quan về quy trình ra quyết định trong nội bộ, và mô hình điều hành hiện có, để giám sát các vấn đề nảy sinh khi quản lý các dữ liệu cá nhân.
-
Xuất bản biên bản các cuộc họp, và các báo cáo về các quyết định được ban hành thông qua các cơ chế trách nhiệm giải trình đó.
-
Xác định một bên thứ 3 độc lập, tin cậy được để cung cấp các cơ chế trách nhiệm giải trình nhân danh họ (với các yêu cầu y hệt về tính mở).
7) Các tổ chức nên giúp
mọi người hiểu và gây ảnh hưởng tới cách thức dữ
liệu của họ được thu thập và được sử dụng
Các tổ chức nên cam kết sử dụng ngôn
ngữ rõ ràng, truy cập được trong các chính sách và sự
cho phép về dữ liệu để giao tiếp với mọi người
những gì xảy ra với các dữ liệu cá nhân của họ. Ở
bất kỳ nơi nào có thể, cách họ thiết kế các dịch
vụ của họ cho những người tiêu dùng nên cung cấp sự
lựa chọn thực tế cho họ về cách các dữ liệu của
họ được truy cập, được sử dụng và được chia sẻ.
Điều này có thể bao gồm:
-
Việc thiết kế các dịch vụ với các lựa chọn khác nhau có liên quan tới mức dữ liệu cá nhân có thể được/bị thu thập về một con người, và họ có thể trao cho ai sự cho phép để truy cập và sử dụng.
-
Việc cung cấp cho các cá nhân các cơ chế truy cập tới các dữ liệu của riêng họ (điều này được các tổ chức yêu cầu cần phải tuân thủ với GDPR).
-
Việc cung cấp cho các cá nhân các cơ chế để cho phép truy cập tới các dữ liệu của họ được một tổ chức nắm giữ cho một tổ chức khác (điều này được phản ánh trong quyền khả chuyển theo GDPR).
8) Các tổ chức thu thập
hoặc sử dụng các dữ liệu cá nhân nên làm cho các phân
tích và các kết quả đầu ra của họ càng mở có thể
càng tốt
Khi các tổ chức đang triển khai nghiên
cứu có sử dụng các dữ liệu cá nhân, và xây dựng
hoặc phân phối các dịch vụ có sử dụng các dữ liệu
cá nhân, họ nên cung cấp lợi ích ngược về cho công
chúng càng nhiều càng tốt để phản ánh giá trị đang
được họ cung cấp. Theo cách này, các tổ chức đóng
góp ngược trở lại cho hạ
tầng dữ liệu đang chống trụ cho các dịch vụ và
các kết quả đầu ra mọi người sử dụng hàng ngày và
giúp tạo ra nhiều giá trị hơn cho xã hội.
Điều này có thể bao gồm:
-
Xuất bản dữ liệu mở được tổng hợp, được ẩn danh từ các dịch vụ và nghiên cứu có liên quan tới các dữ liệu cá nhân của mọi người. (như Strava).
How
data is accessed, used and shared exists on a spectrum.
Data that needs to be private should be kept private. Sensitive or
commercial data can be shared with some people or organisations. Data
that can be open should be open. Openness about how organisations are
securing and managing private data builds trust
The principles
Organisations
should:
Being open about
how personal data is used, and how privacy is protected, helps to
build trust in organisations collecting and using personal data.
Greater trust means less friction when developing new ideas and
services, and greater use of existing ones. It facilitates more
connections and network
effects. It helps consumers feel empowered, and leads to more
informed choices about services that involve collection of personal
data. Openness makes things better.
The ODI’s
privacy and openness principles set targets for organisations
aspiring to build trust in how they manage personal data. The
principles focus specifically on how organisations manage personal
data, not data in general that they collect and/or use. They’re
intended to be broadly applicable to organisations in the public,
private and third sectors: organisations of any size who are
collecting, storing, using and/or providing access to personal data.
We want
to see organisations committing to the principles and incorporating
them into their own organisational policies and processes.
The principles
are not intended to be exhaustive. Some aspects of the principles are
already reflected in data protection frameworks, such as the General
Data Protection Regulation (GDPR) in the European Union, and will
become a requirement for many organisations operating in the digital
single market. Others extend on existing laws and aspire for greater
openness in how personal data is managed. Data protection is
sometimes seen as a compliance burden. Openness about how privacy is
preserved builds trust, providing both compliance and wider service
improvements.
The principles
encourage organisations to commit to being ‘open’ in a number of
ways. ‘Open’ means both sharing information (publicly online and
directly to people), and being open to feedback from people about how
things could be improved.
Note: these are
guiding principles. Organisations should be aware of additional
obligations under national data protection laws.
The principles
Organisations
should be open with people about what personal data they collect from
people and for what purpose – for example whether the data will be
used to help deliver a service for them, be linked with other
information about them, be shared with other organisations or be used
for research purposes.
This may
include:
-
Publishing clear and accessible information about what personal data they collect and the purpose of collection at the point at which people sign up for a service
-
Making a register of information available as open data about the personal data they collect, have access to, and why, including where they are receiving access from a third party
This principle
is already reflected in some data protection laws (GDPR, for
example).
Organisations
should be publishing information openly about how they use different
kinds of personal data, for example to deliver a service, conduct
analysis or simply maintain records. They should keep this
information up to date. This information is to help people understand
how their data is used at a high level, and the level of detail
provided should reflect that.
This may
include:
-
An open and regularly updated register of purposes for which they collect and use different kinds of personal data
-
Notifications provided to people who have provided personal data about any changes to how their personal data is being used
When
organisations share personal data with other people or organisations,
they should be open about what data exactly they are sharing; with
whom; for what purpose; under what conditions; and for what return
(eg financial return, or because it’s a necessary part of providing
a person with a service).
This may
include:
-
An open and regularly updated dataset on their website detailing what personal data they are sharing; with which organisations or individuals; why; and with what limitations on use
-
Maintaining accurate individual records of how people’s personal data is being shared with other organisations and people – this will enable organisations to reply to requests from people about who has access to their data, and follow through any changes/deletion of that data (this is required, for example, under the GDPR’s right to be forgotten)
Organisations
should be open about the way personal data is secured, to the extent
that is possible without increasing the risk of security breaches.
This may
include:
-
Regularly publishing information online about security audits that are carried out, any data breaches that take place, and responses to those breaches.
-
Publishing the details of, and reports from any independent security auditors where it is safe to do so
-
Providing feedback mechanisms for people to get in touch regarding any potential flaws in their data security
If organisations
are using algorithms and data to make decisions that impact on an
individual’s life, or target services to them in a particular way,
they should commit to providing an accessible explanation of how such
processes work and the data involved. They should provide a mechanism
for people to challenge decisions made about them, or services
targeted to them, in a way that is meaningful and involves human
interaction.
This may
include:
-
Providing information about how decisions are made, and what data has been involved, in any notifications to people (email, post, telephone etc) about decisions that impact them.
-
Creating an arbitration mechanism for people who want to challenge decisions, with information about how to do this publicly available and easily accessible on their website. In some sectors, this challenge mechanism may be best enabled via independent arbitrators.
Organisations
should publish information about the governance and accountability
processes they have in place to monitor best practice management of
the personal data they hold.
This may
include:
-
A publicly available overview of the internal decision making process, and the governance model in place, to monitor issues raised with management of personal data
-
Publishing minutes of meetings, and reports of decisions made via these accountability mechanisms
-
Identifying an independent, trusted third party to provide accountability mechanisms on their behalf (with the same requirements of openness)
Organisations
should commit to using clear, accessible language in their data
policies and permissions to communicate with people what happens to
their personal data. Wherever possible, the way they design their
services for consumers should provide real choice for them in how
their data is accessed, used and shared.
This may
include:
-
Designing services with different options regarding the level of personal data that might be collected about a person, and who they could grant access and use permissions to
-
Providing individuals with mechanisms to access their own data (this is required by organisations that need to comply with the GDPR)
-
Providing individuals with mechanisms to approve access to their data held by one organisation to another organisation (this is reflected in the right of portability under the GDPR)
8)
Organisations collecting
or using personal data should make their analyses and outputs as open
as possible
When
organisations are undertaking research using personal data, and
building or delivering services using personal data, they should as
far as possible provide benefit back to the public to reflect the
value being provided by them. In this way, organisations contribute
back to the data
infrastructure that underpins the services and outputs people use
every day and help it create more value for society.
This may
include:
-
Publishing aggregate, anonymised open data from services and research involving people’s personal data (eg Strava)
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.