企业数据合规关键法规与标准解析

数据合规通常涉及数据保护、隐私和信息安全，能帮助企业确保其数据处理活动符合内、外部合规义务要求和标准。以下介绍几个企业常用的数据合规规范和标准：

1、《通用数据保护条例》 / GDPR

《通用数据保护条例》(General Data Protection Regulation，简称“GDPR”) 于2018年5月25日正式生效，是一部相对较为全面的个人数据保护法律，旨在为个人数据的收集、处理、存储和传输建立统一框架，并加强了个人对自己数据的控制权。

GDPR适用于在欧盟境内运营的公司或处理欧盟公民个人数据的公司（因GDPR被纳入欧洲经济区协议，该条例也在冰岛、列支敦士登、挪威和英国实施）。这意味着GDPR不仅规制了欧盟境内的组织，还可能适用于世界各地任何与欧盟境内数据产生连接点的企业，比如你的企业有来自欧盟的雇员，或者通过数据交互获得了欧盟消费者的数据等。

GDPR对不遵守要求的企业设定了严格的罚款和处罚规定。违反GDPR 规定的数据处理原则可能被处以高达全球年营业额4％ 的罚款或2000 万欧元的罚款（以较高者为准），其声誉和品牌上的损失更是无法估量。

比如2019年，Google因隐私政策未能充分告知用户数据如何被收集和处理等问题，违反了GDPR关于透明度的规定，被法国数据保护机构CNIL处以5000万欧元的罚款。2020年，H&M因为在员工管理中记录了大量敏感信息，包括员工的私生活、健康状况等，并未充分保护这些数据。这一行为违反了GDPR关于数据最小化的相关要求，导致H&M被德国汉堡数据保护局罚款3530万欧元。2021年，荷兰数据保护局以侵犯儿童隐私为由，决定对TikTok（“抖音”国际版）处以75万欧元的罚款。

通过GDPR的处罚案例，可以看到企业在数据处理领域的超高合规风险，集中在透明度不足、数据保护措施不力、数据泄露处理不当等方面。某些情况下，企业需要任命数据保护官（DPO）负责监督数据保护措施。在发现数据泄露后72小时内，企业还要履行报告监管机构的合规义务。GDPR确立的六大数据处理原则和数据主体的八项权利在企业经营实践中也被广泛提及：

GDPR六大数据处理原则

合法性、公正性和透明性：数据应当被合法、公平和透明地处理。
特定、合法目的：数据收集仅用于特定、合法的目的。
数据最小化：数据应当是充分的、相关的，并限于必要的范围。
准确性：数据应当保持准确，并及时更新。
存储限制：仅在必要时存储数据。
完整性和保密性：数据应当得到适当的安全保护。

GDPR八项数据主体权利

知情权；访问权；更正权；删除权（被遗忘的权利）；限制处理权；数据可携带权；反对权；自动决策和个人画像权利。

2、《个人信息保护法》 / PIPL

《中华人民共和国个人信息保护法》（Personal Information Protection Law of the People's Republic of China，简称“PIPL”）自2021年11月1日起施行，是我国为了保护个人信息权益，规范个人信息处理活动，保障个人信息依法有序自由流动，促进个人信息合理利用而制定的法律。PIPL与《网络安全法》、《数据安全法》并称中国数据合规领域的“三驾马车”。

PIPL适用于在中国境内运营或处理中国公民个人数据的企业。该法明确了个人信息的概念和处理规则，比如：

合法性和透明度：处理个人信息时需获得用户同意，并告知处理目的和范围。
数据保护影响评估：处理个人信息前需进行影响评估。
跨境数据传输：需进行安全评估或获得主管部门的批准。
用户权利：包括访问权、更正权、删除权、撤回同意权等。

PIPL的亮点还在于对处理人脸信息等敏感个人信息进行了规制，强调不得过度收集个人信息，禁止商家通过自动化决策“大数据杀熟”，对公共场所安装图像采集、个人身份识别设备作出规范。

PIPL在中国实施后，对个人信息保护的监管力度逐渐加强，也有一些典型的企业违反个保法的处罚案例出现，比如：

2022年，滴滴公司因违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息多达647.09亿条，严重侵害用户个人信息权益，被国家网信办依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规，处人民币80.26亿元罚款，对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

2023年，平安银行、邮储银行因存在违反信用信息采集、提供、查询及相关管理规定，未按规定履行客户身份识别义务，未按规定保存客户身份资料和交易记录等多项违法行为被监管机关处以罚款超过3000万人民币。

2023年，知网（CNKI）因存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为，被国家网信办责令停止违法处理个人信息行为，并处人民币5000万元罚款。

3、《信息安全管理标准》 / ISMS

ISO/IEC 27001:2022 信息安全-网络安全-隐私保护-信息安全管理体系要求,是一种信息安全管理体系(Information Security Management System, 简称“ISMS”)标准，由国际标准化组织ISO发布，是世界上广泛应用的、通用及可证明的信息安全管理框架之一。ISMS旨在通过采取一系列信息安全管理制度、流程和控制措施，确保组织能够最大限度地保护其信息资产和利益。

新版ISMS于2022年10月25日发布，与2013年的旧版相比，将14个安全控制域合并后总结归纳为人员、物理、技术、组织四大主题，更新调整安全控制要求从114个变为93个。

ISMS适用于全球范围内的任何组织及所有行业，作为可认证的国际标准，要求企业建立和维护信息安全管理体系，以识别和管理信息安全风险；实施风险评估和管理流程，确保信息安全；定期审计和监控信息安全管理措施的有效性。

除了上面介绍的GDPR、PIPL、ISMS之外，常见的数据合规指引和规范还包括：

《支付卡行业数据安全标准》（PCI DSS）：适用于处理信用卡和支付卡信息的公司；
《数据保护标准合同条款（SCCs）》：适用于跨境数据传输；
《健康保险流通与问责法案》（HIPAA）：适用于处理医疗信息的公司和医疗保健提供者（主要在美国）。

通过遵循这些合规义务，企业能够有效保护个人数据，降低合规风险，提升公众信任。

来源：三品合规
本文仅作分享，作品版权归原作者及机构所有，如有侵权请联系，我们立即更正/删除