沙 龙 数据保护官沙龙（DPO Salon）公益出品 官 29 条工作组指南系列文件编译 护 （截止于 2018 年 12 月 29 日） 译者： 蓝琳 审校： 朱玲凤 数 据 保 《关于自动化个人决策目的和识别分析目的准则》 中译文 2018年12月 署名-非商业性使用-禁止演绎 2.5 中国大陆 译者序言 在 2018 年 5 月生效的 GDPR 中首次规定了识别分析（profiling） 和自动化决策。识别分析和自动化决策在人工智能和大数据发展领域 具有重要的作用。比如，通过行为分析制定人群画像，进而进行定向广 告。再比如，通过对驾驶行为分析车主的驾驶习惯等，进而判断保险费 率等。在未来很长的一段时间内，该两项行为的运用会更加广泛。 沙 龙 但是，如本准则中第 29 条工作组所指出的识别分析与自动化决策 可能给个人权利和自由带来重大的风险。比如算法本身的复杂与不透 明，导致用户不理解自己的个人数据如何被处理并推荐。再比如单独地 自动化决策可能产生法律或类似重大影响，如贷款是否批准等。 官 因此，GDPR 对识别分析和自动化决策做了对数据主体保护的特殊 法律规则，包括透明性要求、数据处理的特定法律基础、用户权利等。 本准侧中对特殊规定进行了阐释。 据 保 护 首先，本准则对识别分析与自动化决策的定义进行了分别阐释。识 别分析核心在于对自然人某些方面的分析进而预测自然人的行为、特 征等。单独地自动化决策核心在于无人工干预仅通过技术手段作出决 策。识别分析和自动化决策的范围有不同之处但也可能有重叠。如自动 化决策不必然通过识别分析，识别分析后也不必然需要作出自动化决 策。 数 其次，本准侧阐述了针对自动化决策的特殊规定。GDPR 第 22 条 作为基本规则，作出了禁止性规定，指出“数据主体有权不接受单独地 基于自动化处理得出决定的制约。这种自动化处理包括会对他或她产 生法律影响或近似重大影响的识别分析。”仅在第 22 条规定的例外条 件下可以实施，并需要保障用户的知情权（告知存在自动化决策、涉及 的逻辑以及处理的后果） 、访问权以及不受自动化决策影响的权利，且 采取安全保障措施。 再次，本准则阐述了识别分析和自动化决策的一般规定： （1）数据保护原则，包括合法、公平和透明（即要求该类活动提 升对用户的透明度，且保证处理公平合法） ，进一步处理与目的限制（若 该类活动超过原收集目的的则应当另行获得处理的合法基础），数据最 小化（数据收集和使用应当限于最小化而不能为了未来的识别分析、自 动化决策收集更多数据） ，准确性（应当有验证和确保数据持续准确的 措施），存储限制（在目的履行后应当删除，而不能为了机器学习而长 期保存用户数据） ； （2）处理的合法基础，包括同意等； 龙 （3）特殊类型的数据，如性取向、政治信仰等，需要注意的是包 括识别分析推导出的此特殊类型数据； 官 沙 （4）数据主体的权利，包括知情权（告知识别分析以及基于画像作 出决策） ；访问权（提供用于识别分析的个人数据以及用于创建画像 的数据等）；更正权、删除权（二者适用于创建画像的数据以及画像 本身或者评分本身）；限制处理权；拒绝权（除非有高于数据主体的 利益外的合理理由用户有权拒绝以及拒绝定向广告） 。 护 最后，本准侧还针对儿童的识别分析的特殊规定以及数据控制者 在识别分析和自动化场景下的数据保护影响评估。 此外，本准侧附录来列举了良好实践建议，作为参考。 数 据 保 我们作为公司法务，位于隐私数据合规一线工作者，建议各位参考 本准则确定本公司是否存在识别分析和自动化决策，建议在隐私政策 或隐私说明中阐述此类活动，提升透明度等，并在内部建立用户权利实 现、数据保护影响评估等措施。我们将会持续关注此类活动指引的立法 动态，法律与实践的结合下的进一步发展，也非常欢迎大家来信与我们 讨论（请发邮件至 zhulingfeng@xiaomi.com）。 朱玲凤 第 29 条 工作组数据保护工作组 Article 29 Data Protection Working Party 沙 龙 17/EN WP251 护 官 Guidelines on Automated individual decision-making and Profiling for the purpose of Regulation 2016/679 关于自动化个人决策目的和识别分析目的准则 条例 2016/679 数 据 保 于 2017 年 10 月 3 日采纳 本工作组设立于《第 95/46/EC 号指令》 （Directive 95/46/EC）的第 29 条项下，是一个独立的有关数据保护与隐私的欧洲咨询 机构。本工作组的任务在《第 95/46/EC 号指令》 （Directive 95/46/EC）的第 30 条和《第 2002/58/EC 号指令》 （Directive 2002/58/EC）的第 15 条规定中描述。 秘书处由欧洲委员会理事会 C（基本权利和联盟公民权利） （Directorate C (Fundamental Rights and Union Citizenship) of the European Commission） 、理事会总司法部提供（Directorate General Justice） 。地址：比利时布鲁塞尔 B-1049，办公室编号 MO-59 03/075（B-1049 Brussels, Belgium, Office No MO-59 03/075） 。 网址：http://ec.europa.eu/justice/data-protection/index en.htm 龙 沙 官 护 据 保 数 本工作组旨在保护与个人数据处理有关的个人 由欧洲议会和理事会（European Parliament and of the Council）于 1995 年 10 月 24 日根据《第 95/46/EC 号 指令》 （Directive 95/46/EC）设立， 参照《指令》中的第 29 条和第 30 条， 参照议会和理事会的议事规则， 数 据 保 护 官 沙 龙 已经采用本准则： 目录 译者序言 一、 简介 龙 二、 定义 A. 识别分析 （Profiling） B. 自动化决策 （Automated decision-making） C. GDPR 如何解释概念 据 保 护 官 沙 三、 第 22 条中定义的自动化决策的具体规定 A. “仅基于自动化的数据处理”（‘Based solely on automated processing’） B. “法律的”或“近似重大的”影响（‘Legal’ or ‘similarly significant’ effects） C. 禁令的例外 1. 合同的履行（Performance of a contract） 2. 经欧盟或成员国法律授权（Authorised by Union or Member State law） 3. 明确同意（Explicit consent） D. 数据主体的权利 1. 第 13 条（2）款（f）项和第 14 条（2）款（g）项——知情权（Right to be informed） 2. 第 15 条（1）款（h）项——访问权（Right of access） 3. 第 22 条（1）款——不受仅基于单独地自动化决策支配的权利（Right not to be subject to a decision based solely on automated decision-making） E. 特殊类型数据——第 22 条（4）款 F. 建立适当的安保措施 数 四、 识别分析和自动化决策的一般规定 A. 数据保护原则 1. 第 5 条（1）款（a）项——合法的、公平的和透明的（Lawful, fair and transparent） 2. 第 5 条（1）款（b）项——进一步处理与目的限制（Further processing and purpose limitation） 3. 第 5 条（1）款（c）项——数据最小化（Data minimisation） 4. 第 5 条（1）款（d）项——准确性（Accuracy） 5. 第 5 条（1）款（e）项——存储限制（Storage limitation） B. 处理的合法基础 1. 第 6 条（1）款（a）项——同意（consent） 2. 第 6 条（1）款（b）项——履行合同所必要的（necessary for the performance of a contract） 3. 第 6 条（1）款（c）项——履行法律义务所必要的（necessary for compliance with a legal obligation） 4. 第 6 条（1）款（d）项——执行公共利益任务或行使官方权力所必要的（necessary to protect vital interests） 5. 第 6 条（1）款（e）项——数据控制者或第三方寻求正当利益所必要的（necessary for the performance of a task carried out in the public interest or exercise） C. 第 9 条——数据的特殊类型 D. 数据主体的权利 1. 第 13 条和第 14 条——知情权（Right to be informed） 2. 第 15 条——访问权（Right of access） 3. 第 16 条——更正权（Right to rectification） 、第 17 条——删除权（Right to ensure）和第 18 条— —限制处理权（Right to restriction of processing） 五、 儿童与识别分析 六、 数据保护影响评估（DPIA） 附录一——良好实践建议 沙 龙 附录二——GDPR 关键条款 引用第 22 条中定义的自动化决策的 GDPR 关键条款 引用一般识别分析和自动化决策的 GDPR 关键条款 数 据 保 护 官 附录三——进一步阅读 一、 简介 数 据 保 护 官 沙 龙 《统一数据保护条例（General Data Protection Regulation）》 （以下简称“GDPR”）特别阐释了识别分析与 1 包含识别分析的自动化决策 。 识别分析与自动化决策被与日俱增地用于私有和公共的各个领域。银行和金融、医疗健康、税务、保险、