数据隐私法规

  • 4 分钟

在全球范围内,许多法律法规都涉及数据保护和隐私。 《一般数据保护条例 2016/679 (GDPR)》和《加利福尼亚州消费者隐私法案 2018 (CCPA)》是其中应用最为广泛的两部法律。

  • GDPR 是欧盟 (EU) 和欧洲经济区 (EEA) 管理数据保护和隐私的法规。
  • CCPA 是加利福尼亚州的隐私法,也是美国第一部全面的隐私法。

本单元介绍 GDPR 概念和术语,以及 Microsoft 如何支持和遵守数据隐私法规。 下一单元则提供了有关 CCPA 的详细信息,并对这两部法规进行了比较。

概述

GDPR 管理向 EU 居民提供商品和服务或监视其行为的组织对个人数据的使用和处理。 此法规还赋予个人某些管理组织收集的个人数据的权利。 无论组织位于何处,该法规均适用。

注意

GDPR 的适用范围比乍一看更广。 与其他一些司法管辖区的隐私法律不同,此法规适用于各种规模和所有行业的组织,即使他们在 EU 没有实体存在。 请与法律团队密切合作,以了解此法规是否以及如何适用于你的组织。

此法规的一个目标是通过关注个人的个人数据隐私和使用,加强对 EU 居民的个人数据保护。 该法规更新并扩展了 1995 年数据保护指令,保留了该指令确立的许多原则,同时赋予个人对其个人数据的更大控制权。 该法规针对收集、处理或分析个人数据的组织强制规定了许多新的责任。

在 GDPR 的上下文中,数据的生命周期从数据收集开始,接下来是数据存储、处理和使用,最后是从系统删除数据。 该法规对数据处理要求做出了规定,并就如何实现这些要求提出了建议。 监管机构还拥有新的权力,可以对违法组织处以巨额罚款。 GDPR 于 2018 年 5 月生效。

概念和术语

以下概念和术语对于理解此法规非常重要。

  • 个人数据是指与已识别或可识别的自然人相关的任何数据。 个人数据是与可识别的个人相关联或可关联的任何数据。 个人数据的常见示例包括姓名、地址、出生日期和 IP 地址。 假名信息,无论其模糊程度或技术复杂程度多高,如果与个人相关,也会被视为个人数据。

  • 敏感个人数据是揭示种族或民族血统、政治观点、宗教或哲学信仰,或工会成员身份的个人数据。 敏感个人数据还包括遗传数据、用于识别自然人的生物识别数据、健康数据或有关自然人的性生活或性取向的数据。 处理此类数据需要承担更大的责任。

  • 控制者是单独或与他人共同决定个人数据用途和处理方法的自然人或法人、公共机关、机构或其他主体。 处理目的和方式由控制者、欧盟或成员国法律,或欧盟或成员国法律规定的具体提名标准确定。

  • 处理者是代表控制者处理个人数据的自然人或法人、公共机关、机构或其他主体。

  • 处理的法律依据意味着组织必须能够指出处理个人数据的法律依据。 处理有六个法律依据,包括:

    • 为履行合同而必须进行处理时。
    • 当个人同意处理其数据时。
    • 当处理符合组织的合法权益时(只要个人的权利不超过该权益)。

  • 数据主体权利赋予个人与组织或控制者使用其个人数据有关的某些权利。 在某些情况下,个人可以针对组织存储、处理和传输的个人数据提交以下数据主体请求 (DSR)。

    • 访问数据。 个人有权了解组织是否正在处理其数据,如果是,则个人有权访问这些数据。
    • 要求数据校正。 个人可以要求公司更正不准确的个人数据。
    • 要求删除数据。 此权利也称为删除权,它允许个人请求删除公司收集的个人数据。
    • 要求限制处理。 个人可以要求公司禁止或限制对其数据的处理。
    • 请求数据可移植性。 个人可以要求将其数据转移到另一家公司或处理系统。
    • 对象。 个人可以反对将其数据用于各种用途,包括直接营销。
    • 要求不受制于自动决策,包括分析。 在对于使用数据来分析人员和仅基于自动处理做出决策方面,此法规有着严格的规定。

Microsoft 支持

Microsoft 认为隐私是一项基本权利,并支持有助于保护和实现个人隐私权的法规。 Microsoft 致力于遵守法规,并提供许多产品、功能和资源来帮助其客户履行其合规性义务。

使用 Microsoft 联机服务的控制者(例如组织和开发人员)必须仅代表控制者处理个人数据。 控制者必须提供充分的保证来满足合规性要求。

指定的欧盟 DPO

Microsoft 具有指定的 EU 数据保护官 (DPO),作为工程和业务部门的独立顾问。 DPO 有助于确保所有个人数据处理方案都符合 EU 法律要求和 Microsoft 企业标准。 DPO 角色的设计符合第 37-39 条规定的条件。

EU DPO 直接向 Microsoft 企业和法律事务部的高级主管 Microsoft 首席隐私官报告。 DPO 角色拥有独立、公正地履行职能的自主权。 通过首席隐私官的组织,DPO 可以获得履行其职责所需的培训和客户响应资源。

承诺和条款

Microsoft 条款反映了第 28 条要求处理者做出的以下承诺。 Microsoft 在订阅协议中主动向所有联机服务客户提供这些承诺,并在企业协议中向批量许可客户提供这些承诺。

  • 仅在控制者同意的情况下使用下级处理者,并对下级处理者负责。
  • 仅根据控制者的指示处理个人数据(包括传输)。
  • 确保处理个人数据的人员承诺保密。
  • 实现适当的技术和组织措施,以帮助确保个人数据的安全水平与风险相适应。
  • 帮助控制者履行其义务,以响应数据主体行使其个人数据权利的请求。
  • 满足违规通知和协助要求。
  • 协助控制者进行数据保护影响评估和咨询监管机构。
  • 在服务结束时删除或退回个人数据。
  • 使用合规性证据支持控制者。