自欧盟《通用数据保护法》(GDPR)出台以来,数据保护立法的浪潮席卷全球。从日本、中国、印度到美国、加拿大、巴西,所有与全球数字市场联系紧密的国家都已采取措施,使其法律达到 GDPR 设定的全新国际标准。
虽然大多数消费者都对新一轮立法表示欢迎,认为这是朝着遏制公司侵入性数据收集行为和令人担忧的数据泄露数量不断增加迈出的积极一步,但向后 GDPR 时代的过渡对企业来说却是一次更加艰巨的经历。
题,公司需要优先考虑,以避免罚款和数据泄露,并维护其声誉和客户忠诚度。数据保护现在是一项法律义务,不能再被视为事后才考虑的事情,而必须成为公司实践的一部分。这些法规的目的是从根本上改变组织收集、处理和使用数据的方式,将责任直接放在公司肩上。
但是,组织可以从哪里开始呢?通过提出正确的问题,无论公司位于何处,这些问题通常都是相同的。在本文中,我们将讨论刚刚踏上合规之路的公司最常问的五个问题,从最基本的问题开始:
1. 这项数据保护法适用于我们吗?
这也许是所有公司首先会问自己的问题。无论是由于 俄罗斯号码过滤 规模、行业还是收集的数据量,他们都会怀疑这些法规是否不适用于他们。答案当然取决于地理位置和该国通过的法律,但这些法规大多分为两类。
第一种具有非常普遍的适用性标准,该标准基于 GDPR 自身的广泛定义,并未根据公司的规模、收入或收集或处理的数据量指定任何适用性限制。虽然员工人数少于 250 人的组织无需记录第 30 条所列的处理活动,但它们仍有义务报告数据泄露并授予数据主体通过 GDPR 获得的权利,例如被遗忘权、数据可携权等。
虽然第 13 条确实鼓励成员国及其监管机构在应用 GDPR 时考虑微型、小型和中型企业的具体需求,但许多数据保护机构 (DPA) 选择将适用性标准保持在较宽的范围内。
巴西的《一般数据保护法》(LGPD)和日本的《个人信息保护法》 (APPI)等世界各地的许多数据保护法都选择效仿 GDPR。
第二类法律则根据公司的收入或收集或处理的数据量或类型来限制适用标准。例如, 《加州消费者隐私法案》(CCPA)列出了公司必须满足至少三个门槛才能纳入其范围:公司必须拥有超过 2500 万美元的年总收入,为商业目的购买、接收、出售或共享 50,000 名或更多消费者的个人信息,或者 50% 或更多的年收入来自出售消费者的个人信息。
同时,加拿大的《个人信息保护和电子文件法案》(PIPEDA)限制了其对商业组织的适用性。
因此,公司应该评估其国家数据保护法规,看它们是否正在处理一般适用标准或更具体的定义。
2. 我们需要保护什么类型的数据?
大多数数据保护法规将个人身份信息 (PII) 或可用于识别个人的数据(单独使用或与其他信息结合使用)视为需要保护的敏感数据。这包括出生日期、护照号码、驾驶执照、社会保障号码等。
许多法律,如 GDPR 和 APPI,为被视为特别敏感且需要特别注意的数据类别增加了一层额外的保护。健康数据、有关种族、宗教、性取向、犯罪记录等的信息都属于这一类。值得注意的是,即使法律没有对这些类型的数据做出特殊的附加规定,它们也经常被纳入敏感数据的更广泛定义中,或属于其他专门数据保护立法的范围,例如美国的 HIPAA 和 GLBA。
3. 如果我们的业务不在该国家怎么办? 数据保护法还适用于我们吗?
大多数新的数据保护法规,从 GDPR 到 APPI 和 LGPD,都附有域外条款。这意味着,无论公司是否实际位于某个国家,只要他们从位于数据保护法规适用国家的数据主体收集数据,他们就必须遵守该法规。
- Board index
- All times are UTC
- Delete cookies
- Contact us