隐私法时代的安全信息共享方法
了解GDPR、CCPA等主要隐私法规的核心要求,以及如何在日常工作中合规地安全共享个人信息。
隐私法时代的安全信息共享方法
隐私法不再只是大企业的事。中国的《个人信息保护法》、欧盟的GDPR、美国各州的隐私法适用于所有规模的组织。即使只处理一位客户的姓名、邮箱或电话号码,这些法律也适用于您。
本指南总结了主要隐私法的核心要求,并提供在日常业务中安全共享个人信息的实用方法。
主要隐私法概述
中国《个人信息保护法》(PIPL)
2021年施行的《个人信息保护法》是中国首部综合性个人信息保护法律。对个人信息的收集、使用、存储、传输、提供等环节作出全面规定,违规最高可处五千万元或上一年度营业额百分之五的罚款。
欧盟《通用数据保护条例》(GDPR)
2018年生效的GDPR是全球最严格的隐私法之一。适用于处理欧盟居民个人数据的所有企业,违规罚款最高可达全球营业额的4%。
美国州法(CCPA/CPRA等)
美国没有统一的联邦隐私法,但加州(CCPA/CPRA)、弗吉尼亚州、科罗拉多州等已各自实施综合性法规。
什么是个人信息
以下项目在大多数隐私法中被归类为个人信息。
| 类别 | 示例 |
|---|---|
| 身份信息 | 姓名、身份证号、护照号码 |
| 联系信息 | 邮箱地址、电话号码、地址 |
| 在线标识符 | IP地址、Cookie、设备ID |
| 金融信息 | 银行卡号、账户信息、交易记录 |
| 健康信息 | 医疗记录、医保信息 |
| 位置信息 | GPS数据、行动轨迹 |
共享个人信息的义务
1. 最少必要原则
仅收集和共享必要的最少信息。不要求或传递业务非必需的数据。
2. 加密传输
传输个人信息时必须使用加密通道。未加密的邮件或普通聊天软件可能不符合法律标准。
3. 保留期限
个人信息仅在实现目的所需的期限内保留。目的完成后应及时删除。
4. 取得同意
收集个人信息或向第三方提供通常需要信息主体的同意。
5. 访问限制
将能够访问个人信息的人员限制为业务所需的最少人数。
主要隐私法对比
| 项目 | 中国 PIPL | 欧盟 GDPR | 美国 CCPA/CPRA |
|---|---|---|---|
| 适用范围 | 境内处理个人信息的所有组织 | 处理欧盟居民数据的所有企业 | 面向加州居民的企业 |
| 同意要求 | 必须取得同意 | 同意或合法利益 | 以拒绝权为主 |
| 最高罚款 | 营业额5%或五千万元 | 营业额4%或两千万欧元 | 每次最高7,500美元 |
| 数据保留 | 目的实现后删除 | 目的实现后删除 | 合理期限内删除 |
| 主体权利 | 查阅、复制、更正、删除、转移 | 访问、更正、删除、转移、反对 | 访问、删除、拒绝 |
用LOCK.PUB实现合规信息共享
LOCK.PUB的功能与隐私法的核心原则高度契合。
密码保护 = 访问控制
只有知道密码的人才能访问信息,满足访问限制原则。
过期时间 = 保留期限合规
为共享链接设置过期时间,目的完成后自动切断访问,无需额外的删除流程。
分渠道发送 = 增强安全性
链接和密码通过不同渠道发送,即使一个渠道泄露也无法访问数据。
访问分析 = 审计追踪
分析功能追踪谁在何时访问了信息,确保审计就绪。
小型企业和个人的实用合规指南
传递客户信息时
- 不要通过邮件或聊天软件直接发送,使用密码保护备忘录
- 仅包含必要信息,排除非必需数据
- 设置过期时间自动切断访问
向外部供应商提供数据时
- 签订数据处理协议(DPA)
- 通过密码保护链接传递数据并设置过期时间
- 保留访问记录
团队内部共享个人信息时
- 不要在共享电子表格中存储个人信息
- 仅向需要的人通过密码保护备忘录传递
- 设置过期时间确保任务完成后自动切断访问
违规处罚
隐私法违规可能导致远超罚款的严重后果。
- 中国:最高营业额5%或五千万元罚款,直接责任人可被罚十万至一百万元
- 欧盟:全球营业额4%或两千万欧元,取较高者
- 美国加州:故意违规每次最高7,500美元
立即开始
隐私法合规不是选择,而是义务。审查您当前的信息共享方式,转向带密码保护和自动过期的安全方法。
现在就在LOCK.PUB创建合规的秘密备忘录。