GDPR && CCPA

更新于2025年2月20日

一、不同的国家对数据跨境有不同的法规。

目前数据跨境,东南亚最宽松,其次欧盟,再美国。

1、越南/菲律宾:要求个人数据不出境。需要本地话,不阻止跨境。所以可以先存新加坡,再同步到越南/菲律宾即可。

印尼:要求金融数据不出境。

新加坡:鼓励数据跨境流动。

2、欧盟的GDPR可以数据跨境,但是要有一定的措施。

3、俄罗斯有个人数据本地化需求。个人数据需先本地部署,经报备后再到法兰克福或新加坡等。

俄罗斯对业务数据没要求,对个人数据有要求。 查询不要报备,传输需要报备。

俄罗斯的处罚跟数据体量有一定的关联(eg:中美个人数据超一万条)

小米的俄罗斯数据中心在新加坡。传音的俄罗斯数据在欧洲。

阿里在美国上市,没有俄罗斯云。速卖通在俄罗斯本地机房。

后续采用ENS模式或者当地机房或者金山云/UCloud。

阿里:中心机房/区域Region
规——规定你做什么

法——不可以做

二、Cookie合规

根据GDPR,必须弹出同意框,让用户选择接受或拒绝非必要cookie。如果用户拒绝,网站就不能存储这些cookie,只能使用必要的。如果网站不存储任何cookie,可能无法正常运作某些功能,或者可能因为未获取同意而面临法律风险。

非必要cookie,没点同意,默认禁止;必要的cookie无需同意,但是要在隐私政策中说明。

1、GDPR 核心原则​​

  1. ​​合法、公平、透明​​

    • 用户必须明确知晓 Cookie 的用途、类型及数据处理方,并自主选择是否同意。
    • 禁止默认勾选同意(如预选复选框),必须提供明确的“同意”和“拒绝”选项。

  2. ​​数据最小化​​

    • 仅收集实现功能必需的最少数据,避免过度追踪。

  3. ​​目的限制​​

    • 明确告知用户 Cookie 的具体用途(如功能、分析、广告等)。

  4. ​​存储期限限制​​

    • Cookie 的保存时间不得超过实现目的所需的最长期限。

2、Cookie 分类与合规要求​​

​​1. 必要 Cookie(无需同意)​​

  • ​​定义​​:保障网站基本功能(如购物车、登录会话、安全验证)。
  • ​​合规条件​​:
    • 不得用于其他目的(如广告追踪)。
    • 需在隐私政策中明确必要性。

​​2. 非必要 Cookie(需用户同意)​​

  • ​​类型示例​​:分析工具(Google Analytics)、广告定向、偏好设置等。
  • ​​合规步骤​​:
    1. ​​主动获取明确同意​​:通过 Cookie 横幅或弹窗,用户需明确点击“同意”。
    2. ​​分层告知​​:首次访问时仅显示必要 Cookie,其他类型需用户进一步选择。
    3. ​​记录同意​​:保存用户同意时间、选项及来源(如 IP、设备信息)。

 

3、合规检查清单​​

  1. 区分必要与非必要 Cookie,仅在用户同意后启用非必要类型。
  2. Cookie 横幅提供明确拒绝选项,且拒绝按钮与同意按钮同等显眼。
  3. 隐私政策中完整披露 Cookie 用途、存储期限及第三方共享。
  4. 定期清理过期 Cookie 和用户数据(如通过 Max-Age 自动过期)。
  5. 记录用户同意状态及时间,保留期限覆盖法律要求(建议至少5年)。

 

十一、CCPA

2018年6月28日,美国加利福尼亚州(“加州”)颁布了《2018年加州消费者隐私法案》(“CCPA”),旨在加强消费者隐私权和数据安全保护。CCPA被认为是美国国内最严格的隐私立法,将于2020年1月1日生效。

该法律的一些重要条款包括:企业必须披露收集的信息、商业目的以及共享这些信息的所有第三方;企业需依据消费者提出的正式要求删除相关信息;消费者可选择出售他们的信息,而企业则不能随意改变价格或服务水平;对于允许收集个人信息的消费者,企业可提供“财务激励”;加州政府有权对违法企业给予罚款,而每次违法行为将被处以7500美元的罚款。

该法案还规定,从2020年开始,掌握超过5万人信息的公司必须允许用户查阅自己被收集的数据要求删除数据,以及选择不将数据出售给第三方。公司必须依法为行使这种权利的用户提供平等的服务。

隐私协议

1)EULA不符合德国相关法律。

最终用户许可协议(英語:end-user license agreements,英文缩写:EULA)是指软件开发者或发行者授权用户使用特定软件产品时的规定,大多私有软件附带此协议,如不接受则无法安装。

2)只可以采集隐私协议中声明的数据

3)强制用户先承认隐私后才能使用的方式,可能是导致一种无法律效力的行为。

 

十二、GDPR

欧盟的“通用数据保护条例”(GDPR,General Data Protection Regulation)于2018年5月25日生效。

非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一:

  (1)为了向欧盟境内识别的自然人提供商品和服务而收集、处理他们的信息。

  (2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。

  该公司就受到GDPR的管辖。

严重违反GDPR的情况下,罚款最高可达集团上财年全球营收总额4%或两千万欧元。

 https://cloud.tencent.com/developer/article/1423315

对于我们来讲:

1. 不得收集能识别到自然人的用户隐私数据。

2. 不得将统计数据传给数据不安全国家。

数据不安全国家包括中国。数据安全国家:美国、新加坡。

 

十三、对于企业或者说企业的安全负责人,如何来实施相关措施来保证符合GDPR的相关规定呢?在这里,我分享下我个人的见解。

1.数据处理原则

要求企业在进行数据收集、存储和处理时要提供收集的目的用途、存储的时间、收集的方式、收集的数据类型、存储和处理数据的安全技术保障措施、数据操作审批权限、取得用户同意、签订契约以及针对儿童的相关条件等等。

企业在进行用户数据的相关活动中必须要了解上述内容要求,并作出相关承诺,在收集之前就要提供类似用户隐私声明一类的内容,同时明确自己的责任和义务。

2.禁止的特殊类型数据

除GDPR法规第9条、第10条例外规定的情形,其他情况下应禁止处理这些特殊类型的数据,包括:种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、基因数据、为了特定识别自然人的生物性识别数据、和自然人健康、个人性生活或性取向相关的数据等以及涉及犯罪定罪与违法相关的个人数据。

企业在进行用户数据处理时一定要明确这些禁止的特殊类型数据,除非符合法规规定的例外情形,否则千万不要试图去收集和处理这些数据,以免受到影响。

3.数据主体访问权

数据主体应该具有或者说企业应该提供给数据主体访问个人信息的处理目的、数据类型、数据接收者和接收者的类型、存储的期限和依据标准、数据来源信息、数据转移保障措施等。

不管是系统提供的隐私说明或是签订的合同必须能让数据主体或用户能够随时访问到这些信息,只有这样才能保障数据主体的访问权。

4.数据主体更证权

数据主体要能够或者说企业应该提供给数据主体对其个人数据更正和完善的权利。

当个人信息被收集、存储和处理时,要提供相关接口和入口让数据主体或用户随时能够对自己的个人数据进行修改,比如常见的用户个人中心,可以对个人的资料进行修改更新。

5.数据主体擦除权(被遗忘权)

除条例第17条21(3)规定的情形,企业要提供给数据主体或用户擦除其个人数据的权利。

大部分企业提供的应用或服务不会让数据主体或用户直接删除个人数据的,基于此,可以提供接收数据主体擦除请求的通道,帮助用户擦除一些不再必要的数据。

6.数据主体限制处理权

当数据主体对个人数据的准确性有争议、认为处理是非法的、为了提起法律辩护等情形时,企业要提供给用户限制处理权。

当发生这些情况时,用户如果提出要求不让企业继续处理其个人数据时,企业必须接收,停止对其个人数据的处理,可以采取冻结账号及切断和其关联的所有活动。

7.数据携带权

数据主体要能够或者企业应该提供将已经经过整理、普遍使用和机器可读的数据无障碍地从一个数据控制者到另一个控制者。

就是说企业收集、处理的用户数据要进行格式化整理,并且能够支持格式化导出且机器可读。

8.数据主体反对权

当企业为了一些直接营销的目的,而未经数据主体或用户同意的情况下直接使用与其相关的用户画像时,数据主体或用户有权反对。

无论采取管理手段或技术手段,在使用用户画像进行营销之前都必须征得用户同意,以免造成不必要的影响。

9.合规认证

企业要进行相关的隐私认证,积极参与GDPR合规认证,选择有资质的、规范的认证机构,而不是简简单单随便找个“所谓的隐私认证机构”或自认证,通过之后将徽章资质放到官网上面,一定得是GDPR的认证且是权威认证机构。

10.签署协议

无论数据控制者或者数据处理者,在对个人数据进行处理时,必须签订保密协议。以及在涉及对用户数据进行共享、传输和处理时与第三方或其他合作方进行合作时,必须签订相关的协议,明确责任,确保个人数据的保护得到应有的保证。

11.数据处理安全

企业在对数据进行收集、处理等活动时应该采取如下安全措施保证个人数据安全

数据脱敏技术:要对个人数据进行匿名化。

数据加密技术:要对个人数据在存储和传输过程中进行加密。

数据完整性技术:要对个人数据在存储和传输过程中的完整性进行校验,避免被篡改。

数据访问控制技术:要对个人数据设置合理的访问控制策略,避免未授权访问和不正当的访问。

数据备份技术:要对个人数据进行备份,保证可用性。

数据恢复和响应技术:要对个人数据及时进行恢复和响应测试,确保恢复和响应的可行性。

12.设立数据保护官 DPO(Data Protection Officer)

企业需要雇佣设立专门的数据隐私保护官员来监督GDPR的执行,以及对涉及的个人数据进行相关的安全防护。

 第29条数据保护工作组(由所有欧盟数据保护机构的代表组成)则建议不确定的企业“最好”都任命DPO。

 什么是数据保护官?

与欧盟子公司签订协议。协议内容规定:数据范围和最少人使用等内容。数据不安全国家就可以使用欧盟数据。

参考:

http://net.blogchina.com/blog/article/698050101

http://www.sohu.com/a/242233916_721493

http://column.caijing.com.cn/20180523/4457753.shtml

posted @ 2018-05-24 15:20  尘恍若梦  阅读(727)  评论(0)    收藏  举报