数据合规(Data Compliance)指的是企业必须遵守的任何「规则」,以确保其拥有的敏感数字资产(通常是个人身份信息和财务细节)不被丢失、盗窃和滥用。这些「规则」形式多样,可能是国家、地区颁行的法律法规,或者是行业标准,不能遵守「规则」的企业将会受到处罚。
数据合规与数据安全的目标一致——尽可能减少企业面临的数据风险。但是,数据合规智能确保企业满足法律规定的最低标准;而数据安全涵盖了处理敏感数据和防范数据泄露的所有流程和技术。
国内外颁行的与数据合规相关的主要法律、法规包括:
对于中国本土企业来说,首先应当遵守的是《中华人民共和国网络安全法》(下文简称《网络安全法》)。《网络安全法》于2017年6月1日实施。《网络安全法》由七个章节、79 项条款组成,旨在监管网络安全、保护个人隐私和敏感信息,维护国家网络空间主权和安全。在中国通过运营网络开展业务,及提供服务或收集数据的企业,都在法律的管辖范围之内。
其中,第四章《网络信息安全》部分专门对数据相关的安全事宜进行了规定,比如第四十条规定,「网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。」第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,等等。
除第四章外,《网络安全法》其它章节部分与数据安全相关的法条试节选如下:
第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
2019年1月1日起施行的《中华人民共和国电子商务法》(下文简称《电子商务法》)第一次从立法层面确定了精准营销的推定机制。《电子商务法》第十八条规定:电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。电子商务经营者向消费者发送广告的,应当遵守《中华人民共和国广告法》的有关规定。
《电子商务法》其它与数据安全相关的法条试节选如下:
2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布了全国信息安全标准化技术委员会编制的《信息安全技术 个人信息安全规范》(GB/T 35273-2020),该新标准于2020年10月1日实施,取代已经实施了快两年的GB/T 35273-2017。
相较于GB/T 35273-2017,新版标准新增了「多项业务功能的自主选择」、「用户画像的使用限制」、「个性化展示的使用」、「第三方接入管理」、「个人信息处理活动记录」等多项内容。关于「个性化展示的使用」,新版标准要求App 在提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容,比如标明「定推」字样。 「第三方接入管理」的规定包括了要求进行安全评估、明确安全责任、需要告知个人信息主体等。
2021 年 11 月 1 日,《中华人民共和国个人信息保护法》施行。法律明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等。这是继2017年6月1日施行的《中华人民共和国网络安全法》,2021年9月1日施行的《中华人民共和国数据安全法》之后,又一部与数据安全相关的法律。
《中华人民共和国个人信息保护法》与MarTech及数字化营销相关的个保法重点条款包括:
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
2018年5月25日,《欧盟数据保护通用条例》(General Data Protection Regulation,简称GDPR)正式实施,开启了全球数据合规监管的新时代。GDPR的实施是为了保护欧盟组织收集的个人信息,通过规定如何收集和使用这些数据。
GDPR列出了一系列规则,涉及人们有权知道企业拥有哪些数据,企业应如何处理这些数据,以及更严格的违规报告规则。违规行为可能使企业损失2000万欧元,或占其全球年营业额的4%。2019年,谷歌因违反GDPR而被罚款5700万美元。
GDPR不仅适用于欧洲的公司。即使企业在欧洲没有实体店,如果在收集来自欧盟网站访问者的数据,仍可能受制于GDPR。当来自欧盟的用户访问网站时,企业有两个选择:完全阻止来自欧盟的用户访问;在网站上使用「同意」管理。
GDPR大多数条例可以归结为三项基本原则:取得同意、尽量减少所持有的数据,以及保障数据当事人的权利。可以想见,GDPR以每一种可能的方式保护用户数据。其理念是,GDPR理解数据收集和处理是大多数企业赖以运行的基本引擎,但它毫无疑问在努力保护这些数据,不管处于企业运营的哪一个阶段,每一个步骤努力保护这些数据,让消费者最终保有对数据的控制权。
为了遵从GDPR,企业不仅必须仔细处理消费者数据,还必须为消费者提供多种方法来控制、监视、检查,如果需要,消费者还可以要求删除与他们相关的任何信息。
GDPR特别强调了对个人数据的匿名化、假名化以及加密措施。匿名化是对可识别信息进行加密或删除,这样信息永远不会与用户进行绑定;假名化介于已识别和匿名之间,通过假名化,数据部分可以进行匿名化和分离,但可以重新组合在一起。例如,系统为用户分配一个位置标识符和一个浏览器标识符,只有将它们与用户的出生日期放在一起,才能将它们与用户进行绑定——而用户的出生日期是单独保存的。相比较匿名化,GDPR更提倡假名化。
即便GDPR有两年的逐步实施期,全球许多企业仍然没有遵守。就在2018年5月25日最后期限的前几周,云安全联盟的GDPR准备和挑战调查报告显示,83%的公司没有做好GDPR的准备。为了避免可能的罚款和合规成本,一些非欧盟企业选择完全退出欧盟市场。但这并非长久之计,因为世界上越来越多的地区都发布类似GDPR的法规。企业只有提高数据安全性,以达到兼容的目的,并防止网络罪犯窃取宝贵的客户数据。
《加州消费者隐私法》(简称CCPA)于2018年通过,已于2020年1月1日起生效。这是许多美国企业将面临的最严厉的消费者保护措施之一,被称为加州的GDPR,某些方面甚至更为严格。例如,CCPA所涉及的「私人数据」外延更广,包括任何可以用来创建客户档案的信息,这些客户档案可以反映一个人的偏好、心理趋势、倾向、行为、态度、智力、能力等等特质。
尽管CCPA目前仅适用于加州的居民,这些规定很有可能影响许多美国其他地方以及海外的网站。如果一个公司在加州有客户,它就需要遵守CCPA的规定。
此外,CCPA只适用于年收入超过2500万美元的公司;购买、接收或出售5万或以上消费者、家庭或设备的个人信息;或年营收的50%或以上来自销售消费者个人信息的企业。虽然这将许多小公司排除在它的范围之外,但这意味着几乎所有与加州客户发生关系的中型或大型组织都将被包括在内。针对数据泄露的潜在罚款高达每项记录7500美元——考虑到近年来许多大型数据泄露已导致数千万甚至数亿条记录遭到泄露,不合规的成本可能很快就会增加。
与GDPR相似,CCPA同样要求收集用户数据的企业允许这些用户访问他们自己的数据。用户不仅需要能够看到企业从他们那里收集了什么数据,还可以要求企业删除这些数据。
随着数据合规法规在全球范围内的实施,合规和安全正日益成为同一枚硬币的两面。安全性和隐私需要成为企业系统的重要组成部分。
