Salesforce 继续致力于通过我们强大的隐私和安全保护措施帮助我们的客户遵守 GDPR。《一般数据保护条例》(GDPR) 隐私法于 2018 年 5 月 25 日颁布,可扩大欧盟 (EU) 个人的隐私权,并针对所有销售、跟踪或处理欧盟个人数据的组织制定了新的义务。
什么是 GDPR?
GDPR 是欧盟的一项综合性数据保护法,鉴于技术的快速发展、全球化程度的提高以及个人数据在国际间的流动更加复杂,相关部门对现有法律进行了更新,以加强对个人数据的保护。它取代了目前各国数据保护法律东拼西凑的情况,取而代之的是一套可直接在各个欧盟成员国执行的规则。
GDPR 对欧盟地区个人数据的处理(包括收集、存储、传输或使用)进行了规范。任何处理欧盟个人数据的组织,包括跟踪他们的在线活动,均在法律管辖范围内,无论该组织是否在欧盟有实体存在。重要的是,根据 GDPR,“个人数据”的概念范围很广,涵盖与已识别或可识别个人(亦称“数据主体”)有关的任何信息。
安全措施和报告要求
组织必须使用适当的技术和组织安全措施来保护个人数据,防止未经授权的处理和意外的泄露、访问、丢失、破坏或更改。根据具体用例和处理的个人数据,建议使用数据隔离、加密、假名化和匿名化,在某些情况下需要使用这些方法来帮助保护个人数据。
重要的是要注意,根据 GDPR 的要求,数据控制人员必须在发现任何数据泄露后的 72 小时之内尽快向其数据保护部门报告这一情况,除非数据泄露的情况不可能对数据主体产生任何危害。如果危害风险很高,数据控制人员必须尽快向数据主体报告数据泄露的情况。数据处理人员也必须尽快将数据泄露的情况通知数据控制人员。
根据 GDPR 的要求,我需要采取哪些安全措施?
加密
虽然没有具体要求,但法律鼓励将加密作为一种有效的保护方式,以帮助确保个人数据的安全和保密。
假名化
GDPR 鼓励组织将假名化作为一种基于风险的保护措施,以保护数据安全和个人权利。
匿名化
数据匿名化比假名化更进一步,是最安全的个人数据保护方法。要实现真正的匿名化,必须不可能通过任何进一步处理或将数据与其他信息结合来识别任何个人的身份。
责任
根据 GDPR,数据控制人员应负责实施各种措施,确保其控制的个人数据按照 GDPR 的原则进行处理。这包括任命一名数据保护官,向处理人员说明各项合同义务,以及使用“隐私设计”和“默认隐私保护”的原则。 此外,数据控制人员必须能够证明合规性,包括保存处理活动的记录和进行隐私影响评估。
TRAILHEAD了解 GDPR 和如何遵守
选择欧盟隐私法基础模块,学习 GDPR 的关键原则以及如何实施 GDPR 合规程序。
美国 Trailhead:了解美国隐私法律以及如何遵守
选择美国隐私法律基础模块,了解美国在医疗、金融领域的隐私保护和国家立法。
加州消费者隐私法案
加州消费者隐私法案 (“CCPA”) 是一项全面的隐私法律,于 2020 年 1 月 1 日生效。虽然我们认为联邦隐私法律是必要的,也就是说个人的隐私状况与他们所在的地区无关,但我们建议将 CCPA 用作进一步满足美国数据保护要求的措施,以便 Salesforce 有机会继续强化对隐私和数据保护的承诺。