Skip to main content

应用数据隐私原则

学习目标

完成本单元后,您将能够:

  • 列出 10 个主要隐私原则。
  • 解释如何在组织中实施这些原则。

隐私原则

现在,您已经很好地了解了数据隐私的基本知识,让我们深入了解一些原则,以及如何在组织中应用这些原则。虽然全球的法律要求各不相同,但有一些共同的原则为许多隐私法奠定了基础。让我们深入研究一下我们在上一单元中介绍的这些原则。

公平和透明

组织应合法、公平并且透明地处理个人数据。

您的组织可以根据适用法律以及向客户和最终用户作出的隐私承诺或服务级别协议 (SLA) 来处理个人数据,从而实施这一原则。正如前面提到的,在您的网站上发布隐私声明也是一个好主意,详细说明您作为数据控制者所收集的个人数据以及收集数据的原因,包括通过 Cookie 和分析收集的信息。在隐私声明中,指出您不会收集的信息类型很重要。最后,无论您如何接收隐私数据,都应该在处理之前获得同意。 

限制目的

组织应仅出于特定、明确和合法的目的处理个人数据。 

在您的组织中,这意味着无论您何时收集个人数据,都清楚地进行说明,并明确说明数据的使用方式。大多数情况下,如果您想将数据用于其他目的,而不是原来说明的目的,您必须提出有效的法律理由,并在处理之前寻求许可。

数据最少化

组织应只收集相关数据处理所需的最低数据量。 

组织不得收集个人数据,除非组织需要个人数据来提供服务。根据《通用数据保护法规》(GDPR),个人数据应“充分、相关且仅限于与处理目的相关的必要内容”,而《健康保险携带和责任法案》(HIPAA) 将其称为“最低必要”规则。

那么,数据最小化是如何实践的呢?假设您正在为组织提供给员工的免费班车构建一个内部移动应用程序。应用程序需要收集和处理的数据包括员工个人数据,例如他们的家庭和办公室地址,以及其他基本信息(即姓名和电话号码)。然而,该应用程序不需要员工的出生日期、种族、健康或财务信息。因为不需要这些额外的信息,所以您不应该收集这些信息。

准确性

个人数据应准确、应始终保持最新。

作为客户的服务提供商,您的组织需要确保系统中的记录是准确的,并且能够在客户数据更改时体现出数据更改。必须有立即擦除或更正不准确数据的机制。

数据删除和保留

组织只应根据需要和最原本的目的存储个人数据。

即使未来可能会用到数据,组织也不应无限期地保留数据。应针对数据删除时间建立明确的时间框架,说明数据保留该时间长度的原因。例如,您可能需要将安全日志文件保留一定时间,以识别和跟踪恶意对手行为。然而,这一期限仍必须是有限的,并有支持性理由。您还应该了解组织提供该服务的国家/地区内特定类型数据(如法律文档)的数据保留法律。

安全性

组织应运用适当的技术和组织安全措施,保护个人数据免受未经授权的处理、意外披露、丢失、破坏和更改。 

组织需要确保安全系统能够充分地保护数据。您还可以通过隐私增强技术保护存储的数据。我们来讨论几个。

  • 数据隔离是将数据划分为不同的数据类别,目的是划分或限制对不同类别数据的访问。使用此技术,您的组织可以为数据集或不同的用户组创建单独的访问规则,确保只有经过授权的个人才能访问。
  • 加密是一种安全方法,信息被加密成不可读的格式,只有拥有正确密钥的用户才能访问或解密。加密保护了数据的机密性。
  • 假名化用假名或标识符代替可以识别主题的信息。这降低了通过个人数据记录和标识符识别出个人的可能性。
  • 匿名是通过擦除、模糊(掩蔽)或加密来保护私人或敏感信息的过程。匿名去除了与个人相关的所有标识符。

您的组织中可能有其他安全措施来支持数据保护。建议所有能够访问计算系统的员工,无论其职位如何,都接受隐私培训,并阅读和确认员工可接受的使用政策。

问责

组织应制定策略并实施流程,以证明自己遵守隐私法律、法规和数据隐私原则。

您应采取措施通过隐私设计和默认隐私来提高隐私。

  • 隐私设计:当组织开始规划新的或改进的流程或活动,或开发新的产品、服务或功能时,就会出现设计隐私。

当您的组织构建新产品时,他们应该在规划和设计阶段考虑隐私策略和原则。重要的是,要让所有利益相关者和法律团队参与到规划和设计过程中,以确保隐私是优先事项且组织遵守法律。

  • 默认隐私:组织在收集、处理或存储个人数据时应选择最有利于隐私的默认设置。例如,如果您要注册一个在线社交网络帐户,并计划使用其中一项服务,他们可能会说他们符合默认隐私原则,只需要您的姓名和电子邮件地址就可以使用。然而,如果社交网络帐户立即开始共享您的位置或姓名和电子邮件地址以外的任何其他数据,就没有遵守默认隐私原则。

个人权限

隐私法还详细规定了数据主体对其个人数据的权利,包括:

  • 数据主体访问请求:数据主体有权访问控制者持有的个人数据的副本,以及收到控制者正在处理其个人数据的确认。他们也有权了解数据处理目的、正在处理的类别、数据存储时间以及与谁共享个人数据的详细信息。
  • 反对的权利:某些情况下,数据主体可以反对其个人数据的使用方式。
  • 数据更正:如果个人数据不准确或不完整,数据主体可以要求更正或补充完整个人数据。
  • 限制:数据主体可以在个别情况下要求公司停止处理其个人数据。
  • 删除权:也称为“被遗忘的权利”,或 GDPR 中的删除权,这让数据主体能够在某些情况下要求控制者删除其个人数据。由于美国在隐私方面是以部门为基础的,因此大多数美国隐私法都没有这项权利。《儿童在线隐私保护法》(COPPA)除外。
  • 数据可移植性:在适用于处理类型的情况下,数据主体有权要求控制者以可导出的格式提供其个人数据,以便将其数据传输给另一控制者。

作为服务提供商,您的组织有义务帮助客户管理这些请求。作为控制者,您有责任满足数据主体的要求,您用于管理个人数据的系统应满足此类要求,包括访问、更正、删除和可移植性。

国际转移

某些国家和地区,如欧盟 (EU),限制在源国或地区之外传输个人数据,除非目的地已实施足够的保障措施,以保证数据受到保护。如果您的组织跨国运营,您应该采取措施,确保可以合法地跨越这些边界传输个人数据。

地球上的箭头从一个国家/地区飞向另一个国家/地区,代表着国际性的数据传输

数据保护影响评估 

当您的组织收集、存储或使用个人数据时,数据所有者将面临风险。风险包括假冒个人进行盗窃以及意外披露等。在 GDPR 中,您的组织需要进行数据保护影响评估 (DPIA)。据 Commission Nationale de l'Informatique et des Libertés (CNIL)(法国国家信息和自由监管委员会)称,DPIA 旨在评估可能对人民权利和自由造成高风险的数据,并尽早识别和最小化这些风险。您的组织可能需要考虑在启动对数据主体构成更高风险的数据收集或处理活动之前进行 DPIA。  

总结

您现在对隐私原则以及如何在组织中运用这些原则有了进一步了解。在下一单元中,您将了解客户数据以及数据守护者在保护数据中的作用。

资源

在 Salesforce 帮助中分享 Trailhead 反馈

我们很想听听您使用 Trailhead 的经验——您现在可以随时从 Salesforce 帮助网站访问新的反馈表单。

了解更多 继续分享反馈