安全合规--37--基于欧美法律法规的企业隐私合规体系建设经验总结（一）

武天旭

已于 2023-06-15 22:36:05 修改

阅读量7.4k

点赞数 9

CC 4.0 BY-SA版权

分类专栏：隐私合规文章标签：安全 big data 物联网

于 2020-02-04 17:53:34 首次发布

本文链接：https://blog.csdn.net/wutianxu123/article/details/104172638

隐私合规专栏收录该内容

53 篇文章

订阅专栏

本博客地址：https://security.blog.csdn.net/article/details/104172638
本篇介绍：一些关键概念
本篇为第1篇/共5篇
下一篇：基于欧美法律法规的企业隐私合规体系建设经验总结（二）

引子

在2019年，我有幸主导了公司的隐私合规体系建设。几乎是从零开始，完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合规认证，积攒了较为丰富的隐私合规建设经验，由于公司业务主要是面向欧美市场，因此隐私合规体系也更注重适配欧美法律法规，本系列即以欧美法律法规为基准，来探讨我是如何搭建起公司隐私合规体系的。

一、领域：数据保护、数据隐私、数据安全

1.1、数据保护

数据保护的目的在于保护与人有关的数据。法律的直接落脚点不在于自然人本身，而是那些关于人的数据。通过保护个人数据，从而保护个人（即数据主体）不受自动数据处理的侵害。在尝试理解或遵守欧洲的数据保护法时，要记住其默认的规则是“禁止”。

欧洲数据保护法的最小化要求是：除非获得数据主体的同意或存在其他重大事由，否则企业不得收集、使用和保存个人数据。此外，企业收集的数据量、处理次数、享有数据访问权限的人数以及保存数据的时长，均须最小化。

1.2、数据隐私

数据隐私相关的法律条款旨在保护个人空间不受侵扰，私密通信不受截取。除非在某种情形下存在对隐私的合理预期，否则个人数据一般不会受到法律的保护。

1.3、数据安全

数据安全相关的法律条款旨在保护个人不受非法获取个人信息而造成的具体损害，尤其防止身份盗用（如犯罪分子用某人的个人信息申办信用卡或者消费信用卡的）行为。

二、法域

法域即某一地区的法律或者某一法律所管辖的地区，如GDPR管辖区域是欧洲经济区。

2.2、只介绍GDPR

2018年5月，《欧盟通用数据保护条例（GDPR）》在全部欧洲经济区成员国生效，立即适用于经济区内的企业。

2.3、关于GDPR的一些比较重大的说明点：

1、企业必须为特别敏感的数据处理活动开展影响评估，按预先设定的记录格式记载全部数据梳理活动和合规工作，包括记录数据和数据主体类型、处理目的、数据接收人、国际传输及相应保护措施、删除期限、技术和组织的安全措施（第30条、第35条）。

2、企业必须为每个实体任命数据保护官（但一位数据保护官可以照顾多个公司和办事处，其前提是每个实体都能联系到这位数据保护官）。

3、位于欧洲经济区外的企业必须指定一位在欧洲经济区内的代表，该代表必须物理常驻欧洲经济区内，可以外聘。

4、企业必须执行有力的数据保留和删除制度，以符合数据访问、更正和擦除方面更严格的规则。

5、企业必须向数据主体提供更详细的隐私通知，披露数据保护者的身份和联系信息（欧洲经济区外的外国公司还应当披露欧洲经济区内的代表人的身份和联系方式）、数据保护官的联系方式、数据处理的目的、处理数据的法律依据、数据处理者或第三方的正当权益（即数据处理的正当依据）、数据接收者或者接受者类型。

如果涉及个人数据的跨国传输，则应披露是否存在欧盟委员会的充分保护判定以及信息安全保护措施，包括如何获取副本的方式及其他种种细节。与此同时，企业必须将这些信息“以简明、透明、可理解、易于读取的形式，用清楚和直白的语言”呈现出来（第12条、第23条）。

6、企业必须建立流程确保可在72小时内向数据保护机关和数据主体通报数据安全事件。

2.4、GDPR和欧洲各国内法

《欧盟通用数据保护条例》直接适用于企业，而无需通过国内立法来实施。但是，国内法可能会在某些方面设定额外或更严格的规则，除非经过立法者主动废止，否则会持续有效。也就是说企业除了需要遵守《欧盟通用数据保护条例》外，依然要遵守每个欧洲国家的相关法律，可能还要遵守相关的州、省、其他欧洲国家内部某些地区的法律。

三、GDPR和CCPA的特点

前面说到GDPR，这里就再聊聊GDPR和CCPA的特点。

欧盟个人信息保护一般有以下特点：统一立法模式、人格保护模式、采用公法途径。

GDPR的特点如下：

1、首次增加域外适用情形，主要体现在两种情况，一是在欧盟境内设立机构，二是为欧盟境内数据主体提供商品或服务，以监控其行为。
2、采用“原则指引+高额罚款”的策略。
3、赋予公民广泛的个人信息权利，以实现数据全生命周期的可控。
4、由隐私权保护升级为个人数据保护权。
5、首次增设“被遗忘权”提法。
6、设立完善的数据保护监管机制。一是独立的监管机构，二是一站式监管机制，三是组建欧盟数据保护委员会，作为具有法人资格的欧盟机构。
7、建立了完善的救济机制。一是企业内部问责制度，二是行政投诉机制，三是司法救济。

CCPA保留了美国特有的个人信息保护特色，高度重视产业利益，进行权益衡量，探索美国的个人信息保护路径。

CCPA的主要特点如下：

1、CCPA体现了美国建立个人信息保护统一标准的趋势；
2、CCPA强调了个人对个人信息的控制权；
3、CCPA对违规行为设定了较重的处罚。

四、种类：个人数据、个人可识别信息、敏感数据

4.1、个人数据

可被识别的自然人的任何信息都是该主体的个人数据。例如：某人的姓名、照片、地址或生日都属于该自然人的个人数据。某一项数据成为个人数据，并不要求仅仅通过这一项数据即可识别数据的主体，只要这一项数据与某个可被识别的自然人以某种有意义的方式存在关联，就可以了。

经过删节（如部分数据删除掉）或汇聚（如统计数据大盘）后的已经无法关联到具体个人的数据，则不再属于个人数据。不过加密不一定也可以实现这一目标，因为只要有人掌握了密钥，就能够重新识别出数据主体。因此，在大多数时候，加密后的数据仍然需要被当作数据保护法下的个人数据来对待。

4.2、个人可识别信息（PII）

不同情况下的个人可识别信息指向的数据不同，例如身份证号、社保账号等。只要是仅通过这一条信息就识别到特定的自然人的话，该条信息就是个人可识别信息。

4.3、敏感数据

不同情况下的敏感数据指向的内容也不同，例如在仅歧视同性恋的乌托邦环境下，性取向就是敏感信息，但身份证号在这时候就不是。

按照GDPR的条例，以下个人信息需要引起特别注意：

政治主张、工会成员身份、医疗或健康状况、种族和民族、宗教或哲学信仰、性取向信息、某些类型的犯罪记录。

五、相关行为：数据传输及其他数据处理行为

欧洲数据保护法监管个人数据的任何处理，且“处理”的定义十分宽泛，包括任何关于个人数据的活动。美国和其他国家的法律更倾向于约束具体的数据处理行为。例如通过电子邮件将数据发送到其他地方的行为。

但是把数据转移给服务商的情况是不同的（如涂鸦数据转移到腾讯云）。一般来说，企业与数据处理者之间的数据共享情况，无须在企业的隐私通知或政府申报文件中详细说明，且数据主体对此也无选择权。当然，为了保险起见，每次向第三方提供数据应当尽可能的谨慎，考虑数据隐私法是否对此有所限制。

相对于将数据传输给数据控制者的形式，将数据传输给仅作为数据处理者的第三方这种行为受到的限制往往少一些。

因此，企业一般可以把个人数据分享给服务商（不管是自然人还是机构），无须告知数据主体或者征求数据主体同意，但企业应当和服务商签订书面数据处理合同，明确限制服务商对数据用途的决策权。

六、监管对象：数据控制者，数据处理者

数据控制者对遵守数据保护和隐私法律负主要义务。数据处理者使用数据时有义务遵守数据控制者的指示，不超越数据控制者的指示范围，且应当保证数据的安全。

同时，尽管比如像腾讯云持有涂鸦数据的物理载体（云主机）并拥有接触涂鸦数据的技术手段，但是无论在任何情况下，腾讯云私自访问这些数据都是不被允许、不被期待的行为。

七、守门人：数据保护机关、数据保护官

欧洲国家已经设立独自的政府机关负责执行各自国家的数据保护法。来自欧洲经济区国家数据保护机关的代表们共同组建了覆盖全欧盟的机构：欧盟数据保护委员会（EDPB）。欧盟数据保护委员会为企业和立法部门提供相关指南，并公布各国数据保护机关的观点。在欧洲很多国家和一些非欧洲国家，企业开始处理个人数据之前必须通知当地的数据保护机关。

对于GDPR，企业必须任命数据保护官，数据保护官可以由企业员工或外部服务商担任，其职责是监督企业是否遵守数据保护法。虽然数据保护官并非政府官员，但他们必须与当地的数据保护机关合作，并向其报告企业严重违反数据保护法的行为。

不管是在政府机关内，还是在私营企业内，数据保护官都是内部角色，监督其所在组织的守法情况。因此，数据保护官和数据保护机关有所不同，后者的任务是监督其他组织的守法情况。

另外，除了欧洲，很少有国家要求自动处理数据行为应事先发布通知或获得批准。