如果你有一项研究资助,或正忙着申请资助,你可能会被要求概述一份数据管理计划,描述你打算如何保证你从参与者那里收集的个人数据的安全。你可能在计划中提到了安全港协议。这项重要协议允许将在欧盟收集的数据转移到美国的服务器,在美国,它受到适用于英国和欧洲其他地方的相同保护法的保护。这项协议对谷歌和Facebook等组织尤其重要,因为没有它,它们都无法在欧盟合法运营。
然而,2015年10月,欧洲法院(EUCJ)裁定,安全港协议没有为属于欧洲公民的个人数据提供足够的保护,该协议不再有效。这应该给任何在网上进行研究的心理学家敲响警钟,让他们仔细考虑自己收集的数据类型、数据存储在哪里,以及他们是否在不知不觉中违反了有关数据保护的法律。如果参与者得到保证,他们的数据将得到适当的保护,那么根据EUCJ的裁决,研究人员现在可能在BPS人类研究伦理准则之外行事。
那么,EUCJ的裁决如何影响使用Qualtrics或Inquisit甚至Sona Systems进行的在线学习呢?如果使用这些实验平台收集的数据从参与者的PC转移到美国的服务器上,研究人员可能违反了欧盟数据保护法。
Qualtrics是否受此裁决影响?是的,它是。但经过一些研究后,情况并不像乍看之下那么严峻或受限制。Qualtrics在其在线安全声明中解释说,在特定位置处理的数据也存储在该位置。他们是这么说的:
客户数据存储在特定的位置;数据不会漂浮在“云”中。此外,所有数据都在该位置处理,而不会移动到另一个管辖区域。换句话说,如果数据是在美国收集的,那么所有数据都在美国处理
这并没有明确解决安全港问题,但进一步研究表明,来自欧洲客户的数据保存在爱尔兰的一个数据中心,该数据中心于2015年初开放。因此,就Qualtrics而言,它似乎在操作上符合欧盟对数据保护的要求。是的,只要研究人员不与欧洲以外的同事合作,涉及转移个人数据。这可能以多种方式发生。Qualtrics给出了一个例子:
跨境数据传输的一个场景是,当Qualtrics的客户(其地区是美国)从欧盟用户接收数据时。数据从用户的浏览器通过安全连接传输到美国的数据中心。如果数据包含个人信息(根据欧盟隐私指令的定义),那么就发生了个人数据的传输。
因此,如果我们打算与国际同事分享个人信息,我们必须小心——即使是我们在qualtrics收集的数据。但用于从参与者那里收集数据的所有其他在线平台呢?好吧,你应该找出数据存储在哪里——理想情况下,在英国或欧洲的服务器上——并让自己确信该组织遵守了完善的安全和隐私声明。
所有这些都应该提醒我们,作为研究人员,我们有责任在数据的整个生命周期内保护我们收集的数据,任何管理计划都必须遵守现行的数据保护法律,并充分适应法律的变化。
进一步的阅读
http://www.theguardian.com/technology/2015/oct/06/safe-harbour-european-court-declare-invalid-data-protection