了解数据隐私法和规定

学习目标

完成本单元后，您将能够：

说明数据隐私的重要性。
描述隐私法如何适用于您的组织。
概述客户对隐私的期望。

隐私简介

作为一名安全专业人士，尤其是当您的组织处理客户的个人数据时，了解适用于组织的最新隐私法非常重要。为什么这很重要？确保您的客户和员工数据得到保护对于建立和维护信任至关重要。在本模块中，我们将详细了解实施有效隐私计划的工具。

如果您的组织存储和处理客户数据，您的客户会相信您会根据适用法律安全地保护、使用和处理其数据。此类数据包括个人数据，如联系人、医疗保健或财务信息，或与业务相关的信息，如支出、营销或分析数据。

无论您处理或存储哪种类型的数据，都必须确保其安全。除了处理或存储客户数据外，您的组织还应对自己的数据负责，包括有关潜在客户的知识、员工信息、财务数据等。

那么，如何确保数据受到了保护呢？首先，您应该了解并遵守适用的隐私法。我们在这里了解这些隐私法的细节。为了记录对适用隐私法的遵守情况并保护您自己和您的客户，在收集客户数据时最好签订协议。这些协议应详细说明组织将如何确保客户数据的安全和保密性。例如，大多数国际航空公司都需要在其公共网站上证明其如何保护客户的隐私，收集哪些数据，为什么要收集以及如何收集、使用、评估、保护和存储这些数据。

为什么隐私很重要

让我们回顾一下隐私的概念及其含义。隐私涉及到如何根据信息或数据的相对重要性对其进行管理和保护。

由于安全漏洞和对公司如何使用所收集的客户数据的担忧，数据隐私最近成为一个热门话题。数据隐私问题对于金融和医疗保健等特定行业的公司尤为重要。这些行业包含敏感信息，通常受到高度监管。这些敏感信息也越来越频繁地成为网络攻击的目标，如果网络攻击成功，可能不仅会导致这些数据丢失，还会导致消费者失去信心。

让我们来看一个示例。当您申请信用卡时，您通常需要提供自己的合法姓名、出生日期、地址、政府颁发的身份证号码和年收入。信息很多，这些信息不仅用于验证您的身份，还允许信用卡公司检查您的信用历史记录。此类信息是您的个人数据，信用卡公司需要采取安全措施加以保护。

在本例中，隐私意味着信用卡公司负责保护您的个人信息免受未经授权的披露，他们在如何使用您的个人数据方面可以做到透明，他们根据适用法律使用数据，并且您同意将您的数据用于特定目的。

笔记本电脑显示有人在线申请信用卡，文件夹中有美元符号和信用卡，上面有盾。

隐私术语

在进一步了解隐私法之前，我们先来了解一些基本定义。

客户数据：客户通过网站、移动应用程序、社交媒体等与企业互动时提供的信息。

数据主体：数据被收集、持有和处理的个人。

个人数据：直接归属于数据主体的数据，可以代表个人，例如姓名、家庭地址或个人身份（例如护照号码）。

敏感个人数据：部分类型的个人数据属于敏感数据，受到更严格的监管。这可能包括有关种族、民族血统、政治观点、宗教或哲学信仰、工会会员资格、遗传数据、生物特征数据、有关健康的数据或有关个人性生活或性取向的数据。

处理：对数据的任何操作或一组操作（例如，访问、收集、记录、检索、复制、存储、披露、传播等）。

控制者：决定处理个人数据的目的和方法的个人或实体。

处理者：代表控制者处理个人数据的个人或实体。

保管者（处理者）：负责数据安全保管、输送和存储以及执行业务规则的个人。

数据保护局 (DPA)：负责保护数据和隐私以及监督和执行欧盟内部数据保护法规的国家当局。

根据实际情况和所涉及的数据，您的组织可以同时充当处理者和控制者。考虑处理者和控制者在各方责任分配方面的角色是有帮助的。您的客户可以同时是控制者和处理者。然而，当客户向您提交数据时，您的组织始终充当处理者，当您确定处理数据的方式和目的时，您的组织始终充当控制者。

隐私法

根据组织的运营地点，您需要遵守当地特定的隐私法。如果您的组织在全球范围内运营，就应该实施适用于运营所在国家/地区的政策要求。例如，如果组织在日本运营，您将受到 Act on the Protection of Personal Information（《个人信息保护法案》）的约束。

隐私法旨在保护个人数据，同时还规定了允许和不允许使用个人数据的方式。我们来进一步了解隐私法解决了什么问题。

是否可以收集和处理个人数据
围绕数据处理实践应提供什么信息以及如何提供信息
谁可以访问和使用个人数据
如何处理个人数据
应如何保护数据
什么时候删除或修正数据
谁可以输送或保管数据
在哪里以及如何将个人数据传输到其他国家/地区
如何处理安全事件
数据主体对其个人数据有什么权限

在全球范围内，有两种类型的隐私法：综合性的（适用于所有行业和部门）和行业特定的（适用于特定行业或部门）。在美国，联邦政府历来采取行业特定的做法。例如，有 Health Insurance Portability and Accountability Act（《健康保险携带和责任法案》(HIPAA)），该法案是美国医疗保健隐私法，保护个人健康状况数据（称为受保护的健康信息或 PHI）。

唯一存在的美国国家隐私法是《儿童网上隐私保护法》(COPPA)，该法案规定了在线服务公司应如何收集和使用 13 岁以下儿童的数据。

在缺乏全面的国家隐私法的情况下，几个州已主动颁布自己的隐私法，包括：

加利福尼亚州 - 加利福尼亚消费者隐私权法案 (CPRA)
弗吉尼亚州 - 弗吉尼亚州消费者数据保护法 (VCDPA)
康涅狄格州 - 康涅狄格州数据隐私法 (CTDPA)
犹他州 - 犹他州消费者隐私保护法 (UCPA)
科罗拉多州 - 科罗拉多隐私法 (CPA)

这些州最近要么通过了自己的隐私立法，要么正在立法。更多其他州也在考虑这样做。这些州通过了自己的隐私法，为其选民提供了自己的保护。

相比之下，欧盟 (EU) 和欧洲经济区 (EEA) 通过《通用数据保护条例》(GDPR) 采取了更全面的方法。GDPR 是欧盟和欧洲经济区的隐私立法，无论控制者和处理者处于哪个行业或部门，均适用 GDPR。然而，欧洲也有一些针对特定行业的法律，例如针对电信行业的法律。

虽然不是一份详尽的清单，但全球其他几个国家，包括日本、澳大利亚、中国、加拿大、巴西、阿根廷、印度、南非等，都有自己的隐私法，或者正在起草这些法律。尽管每个国家都有自己的法律，但全球大多数隐私法都基于相同的核心原则。

公平和透明
限制目的
数据最少化
准确性
数据删除和保留
安全性
问责
个人权限
国际转移
数据隐私影响评估

我们在下一单元详细了解这些原则。

客户合约和服务级别协议

除了遵守隐私法外，组织还要将隐私承诺纳入客户合约或服务级别协议 (SLA)。这些承诺详细说明了组织使用个人数据的方式，包括适用法律要求的方式。

国际隐私认证和标准

除隐私法外，您的组织可能还需要遵守某些规定全面隐私要求的认证和标准。这些认证和标准因行业而异，但可能包括：

国际标准化组织和国际电工委员会 (ISO/IEC) 27001/27018，为信息安全管理系统和作为个人识别信息 (PII) 处理者保护公共云中的 PII 提供了要求。
Service Organization Control (SOC) reports（服务组织控制报道），帮助公司建立对其服务交付流程和控制的信任和信心
TRUSTe 认证，使组织能够展示符合隐私责任标准的负责任做法
国际标准化组织和国际电工委员会 (ISO/IEC) 27701，是 ISO/IEC 27001 和 ISO/IEC 27002 隐私信息管理的延伸。它为处理 PII 提供了指南，并帮助组织建立、实施、维护和持续改进其隐私信息管理系统 (PIMS)。

隐私策略

当您收集个人数据时，您的组织应遵守对客户的承诺。此外，组织的公共网站上应有一份隐私声明，介绍将从网站用户处收集的数据类型，以及将如何使用和共享这些数据。隐私声明中做出的承诺应与您跟客户签署的合约中的承诺类似。内部隐私策略和员工通知也一样，详细说明您如何收集、使用、共享和处理员工数据。

总结

您现在对隐私概念、相关法规和客户期望有了更好的了解。在下一单元中，我们将介绍隐私原则以及您如何运用它们来保护组织。