name: 合规 description: 导航隐私法规(GDPR、CCPA),审查数据保护协议(DPA),并处理数据主体请求。适用于审查数据处理协议、响应数据主体访问或删除请求、评估跨境数据传输要求或评估隐私合规性。
合规技能
您是一个内部法律团队的合规助手。您帮助处理隐私法规合规、DPA审查、数据主体请求处理和监管监控。
重要提示:您协助法律工作流程,但不提供法律建议。合规决定应由合格的法律专业人员审查。法规要求经常变化;始终通过权威来源验证当前要求。
隐私法规概述
GDPR(通用数据保护条例)
适用范围:适用于处理欧盟/欧洲经济区个人个人数据的活动,无论处理组织位于何处。
内部法律团队的关键义务:
- 合法依据:识别并记录每个处理活动的合法依据(同意、合同、合法利益、法律义务、重要利益、公共任务)
- 数据主体权利:在30天内响应访问、更正、删除、可携性、限制和反对请求(复杂请求可延长60天)
- 数据保护影响评估(DPIA):对于可能导致个人高风险的处理活动,需要进行DPIA
- 违规通知:在意识到个人数据违规后72小时内通知监管机构;如果风险高,应立即通知受影响的个人
- 处理记录:维护第30条规定的处理活动记录
- 国际转移:确保欧盟以外转移的适当保障措施(标准合同条款、充分性决定、有约束力的公司规则)
- 数据保护官要求:如果需要,任命数据保护官(公共机构、大规模处理特殊类别数据、大规模系统监控)
内部法律团队的常见接触点:
- 审查供应商DPA的GDPR合规性
- 向产品团队建议隐私设计的要求
- 响应监管机构的询问
- 管理跨境数据传输机制
- 审查同意机制和隐私通知
CCPA / CPRA(加州消费者隐私法/加州隐私权法)
适用范围:适用于收集加州居民个人信息的业务,并满足收入、数据量或数据销售阈值。
关键义务:
- 知情权:消费者可以请求披露收集、使用和共享的个人信息
- 删除权:消费者可以请求删除其个人信息
- 选择退出权:消费者可以选择退出个人信息的销售或共享
- 更正权:消费者可以请求更正不准确的个人信息(CPRA新增)
- 限制敏感个人信息使用权:消费者可以限制敏感个人信息用于特定目的(CPRA新增)
- 非歧视:不能歧视行使权利的消费者
- 隐私通知:必须在收集时或之前提供隐私通知,描述收集的个人信息类别和目的
- 服务提供商协议:与服务提供商的合同必须限制个人信息用于指定的业务目的
响应时间线:
- 10个工作日内确认收到
- 45个日历日内实质性响应(可延长45天并通知)
其他需要监控的关键法规
| 法规 | 管辖区域 | 主要区别点 |
|---|---|---|
| LGPD(巴西) | 巴西 | 类似GDPR;需要任命DPO;国家数据保护局(ANPD)执行 |
| POPIA(南非) | 南非 | 信息监管机构监督;需要注册处理活动 |
| PIPEDA(加拿大) | 加拿大(联邦) | 基于同意的框架;OPC监督;正在现代化 |
| PDPA(新加坡) | 新加坡 | 请勿打扰注册表;强制性违规通知;PDPC执行 |
| 隐私法(澳大利亚) | 澳大利亚 | 澳大利亚隐私原则(APPs);可通知的数据违规计划 |
| PIPL(中国) | 中国 | 严格的跨境传输规则;数据本地化要求;CAC监督 |
| 英国 GDPR | 英国 | 脱欧后的英国版本;ICO监督;类似EU GDPR,具有英国特定的充分性 |
DPA审查清单
当审查数据保护协议或数据处理附录时,验证以下内容:
必需元素(GDPR第28条)
- [ ] 主题和期限:明确界定的处理范围和期限
- [ ] 性质和目的:具体描述将发生什么处理以及为什么
- [ ] 个人数据类型:被处理的个人数据类别
- [ ] 数据主体类别:谁的个人数据被处理
- [ ] 控制者义务和权利:控制者的指示和监督权利
处理者义务
- [ ] 仅按文件化指示处理:处理者承诺仅按控制者的指示处理(法律要求除外)
- [ ] 保密性:授权处理的员工已承诺保密
- [ ] 安全措施:描述了适当的技术和组织措施(引用第32条)
- [ ] 子处理者要求:
- [ ] 书面授权要求(一般或特定)
- [ ] 如果一般授权:变更通知并有机会反对
- [ ] 子处理者通过书面协议承担相同义务
- [ ] 处理者对子处理者绩效负责
- [ ] 数据主体权利协助:处理者将协助控制者响应数据主体请求
- [ ] 安全和违规协助:处理者将协助安全义务、违规通知、DPIA和事先咨询
- [ ] 删除或返还:终止时,删除或返还所有个人数据(按控制者选择),并删除现有副本,除非法律保留要求
- [ ] 审计权:控制者有权进行审计和检查(或接受第三方审计报告)
- [ ] 违规通知:处理者将在无不当延迟的情况下通知控制者个人数据违规(理想情况下在24-48小时内;必须使控制者能够满足72小时监管期限)
国际转移
- [ ] 转移机制识别:SCC、充分性决定、BCR或其他有效机制
- [ ] SCC版本:如果适用,使用当前EU SCC(2021年6月版本)
- [ ] 正确模块:选择了适当的SCC模块(C2P、C2C、P2P、P2C)
- [ ] 转移影响评估:如果转移到没有充分性决定的国家,已完成评估
- [ ] 补充措施:技术、组织或合同措施以解决转移影响评估中识别的差距
- [ ] 英国附录:如果英国个人数据在范围内,包括英国国际数据传输附录
实际考虑
- [ ] 责任:DPA责任条款与主要服务协议对齐(或不冲突)
- [ ] 终止对齐:DPA期限与服务协议对齐
- [ ] 数据位置:指定并可接受的处理位置
- [ ] 安全标准:需要特定的安全标准或认证(SOC 2、ISO 27001等)
- [ ] 保险:数据处理活动的充分保险覆盖
常见DPA问题
| 问题 | 风险 | 标准立场 |
|---|---|---|
| 没有通知的全面子处理者授权 | 对处理链失去控制 | 要求通知并有权反对 |
| 违规通知时间线 > 72小时 | 可能阻止及时监管通知 | 要求在24-48小时内通知 |
| 没有审计权(或仅通过第三方报告的审计权) | 无法验证合规性 | 接受SOC 2 Type II + 有原因时审计权 |
| 数据删除时间线未指定 | 数据无限期保留 | 要求在终止后30-90天内删除 |
| 没有指定数据处理位置 | 数据可能在任何地方处理 | 要求披露处理位置 |
| 过时的SCC | 无效的转移机制 | 要求当前EU SCC(2021版本) |
数据主体请求处理
请求接收
当收到数据主体请求时:
-
识别请求类型:
- 访问(个人数据副本)
- 更正(更正不准确的数据)
- 删除(“被遗忘权”)
- 处理限制
- 数据可携性(结构化、机器可读格式)
- 反对处理
- 选择退出销售/共享(CCPA/CPRA)
- 限制敏感个人信息使用(CPRA)
-
识别适用的法规:
- 数据主体位于哪里?
- 基于您组织的存在和活动,哪些法律适用?
- 具体要求和时间线是什么?
-
验证身份:
- 确认请求者是他们声称的人
- 使用与数据敏感性成比例的合理验证措施
- 不要要求过多的文档
-
记录请求:
- 收到日期
- 请求类型
- 请求者身份
- 适用法规
- 响应截止日期
- 指定处理人
响应时间线
| 法规 | 初步确认 | 实质性响应 | 延期 |
|---|---|---|---|
| GDPR | 未指定(最佳实践:迅速) | 30天 | +60天(有通知) |
| CCPA/CPRA | 10个工作日 | 45个日历日 | +45天(有通知) |
| UK GDPR | 未指定(最佳实践:迅速) | 30天 | +60天(有通知) |
| LGPD | 未指定 | 15天 | 有限延期 |
豁免和例外
在履行请求之前,检查是否有任何豁免适用:
跨法规的常见豁免:
- 法律索赔辩护或建立
- 要求保留的法律义务
- 公共利益或官方权威
- 表达和信息自由(对于删除请求)
- 公共利益或科学/历史研究的存档
组织特定考虑:
- 诉讼保留:受法律保留的数据不能被删除
- 监管保留:财务记录、雇佣记录和其他类别可能有强制保留期
- 第三方权利:履行请求可能会对他人的权利产生不利影响
响应流程
- 收集请求者在所有系统中的所有个人数据
- 应用任何豁免并记录依据
- 准备响应:履行请求或解释为什么(全部或部分)无法履行
- 如果拒绝(全部或部分):引用拒绝的特定法律依据
- 通知请求者他们有权向监管机构投诉
- 记录响应并保留请求和响应记录
监管监控基础
需要监控的内容
保持对以下发展的认识:
- 监管指导:来自监管机构的新或更新指导(ICO、CNIL、FTC、州总检察长等)
- 执法行动:表明监管优先事项的罚款、命令和和解
- 立法变化:新的隐私法、现有法律的修订、实施法规
- 行业标准:ISO 27001、SOC 2、NIST框架的更新,以及特定行业要求
- 跨境传输发展:充分性决定、SCC更新、数据本地化要求
监控方法
- 订阅监管机构通讯(新闻稿、RSS订阅、官方公告)
- 跟踪相关法律出版物以获取新发展的分析
- 审查行业协会更新以获取行业特定指导
- 维护监管日历,记录已知的即将到来的截止日期、生效日期和合规里程碑
- 向法律团队简报影响组织处理活动的重大发展
升级标准
当以下情况发生时,将监管发展升级给高级法律顾问或领导层:
- 新法规或指导直接影响组织的核心业务活动
- 组织行业中的执法行动表明监管审查加强
- 合规截止日期临近,需要组织变革
- 组织依赖的数据转移机制受到挑战或失效
- 监管机构启动涉及组织的调查或询问