WP29发布了关于分析和自动决策的新指南随着最近的技术发展，特别是人工智能和机器学习技术，在社会各个部门（如金融、医疗、保险、市场营销等）中，分析和自动决策的使用越来越多GDPR明确规定了这些处理活动，但是对于GDPR条款将如何在实践中应用存在许多不确定性和问题。WP29于本周发布了新的关于评测和自动决策的指南，试图回答其中的一些问题。在这些指南中，WP29分别分析了GDPR中为这些处理活动规定的两个法律框架：（i）GDPR第22条，它专门处理自动决策，包括对个人产生法律或类似重大影响的分析，以及（ii）一般法律框架，它适用于一般的分析（包括当它用于非完全自动化的决策时）。在指南的第一部分，WP29对GDPR第22条的适用性作了有趣的澄清。它明确指出，第22条禁止产生法律或类似重大影响的完全自动决策，包括概况分析，除非所列三种例外情况之一适用（例如合同必要性、法律或明确同意）。通过这样做，WP29结束了关于该条款范围的长期争论：合法权益不是此类处理的有效法律依据。要想被认为不仅仅是自动化的，决策过程需要有权有能力改变决策的人进行有意义的监督——人的参与是不可能捏造的。"法律效力"是指对个人法定权利和合同权利的影响。例如，这包括拒绝入境，拒绝社会福利，自动切断电话服务，以及当局加强监视。尽管在某些情况下（例如，针对少数群体或弱势群体的定向广告），大多数典型的定向广告案例不会被视为具有"类似的显著效果"。当完全自动化的决策被允许时，控制者需要实施适当的保障措施来保护他人的权利和自由。WP29提供了关于这些保障措施应包括哪些方面的良好实践建议，例如，防止错误、不公平或歧视性结果的质量检查、算法审计和测试、数据最小化措施、匿名化和假名化，以及个人获得人为干预和对决定提出异议的权利。当单独使用自动决策时，控制器需要向个人提供"有关所涉及逻辑的有意义的信息"。在大多数情况下，这将要求控制器提供有关自动决策中使用的数据的信息、数据的来源、如何构建配置文件以及它们为什么与特定的决策，以及如何将其用于决策。WP29坚持认为，这些信息（例如基本原理）对个人而言往往比关于算法或机器学习技术如何工作的复杂解释更为相关（尽管必要时也应提供）。指南的第二部分分析了GDPR的一般原则，例如：透明度、公平性、数据最小化、准确性、目的兼容性和存储限制如何适用于一般的分析活动。它还描述了数据主体如何在这种特定环境下行使其在GDPR下的权利，并规定这些权利可以针对创建概要文件的控制者和使用它们进行自动决策的控制者（存在不同的实体）提起诉讼。拟议准则的附件一就如何在概况分析方面满足全球发展政策要求提供了进一步的良好做法建议。建议的指导方针在2017年11月28日前公开征求意见。OneTrust将在本周晚些时候发布一份白皮书，进一步详细说明这些建议的指导方针的内容，以及它们对组织的实际意义。OneTrust的帮助OneTrust提供了一种工具，用于促进创建、分发和分析数据保护影响评估（DPIA）的过程，这些评估可审查高风险活动，如自动化决策。我们的DPIAs旨在通过基于角色的模板和集成到项目生命周期中的自助工具来提高整个组织的采用率。整个组织内的所有隐私项目都整合到一个中央仪表板中，以完整记录数据保护活动。分享这篇文章