在全球信息经济的现代时代，每一天全世界都会传输、存储和收集大量信息。近年来实现的计算机和网络功能的巨大技术进步使所有这些交易成为可能。这些技术进步不仅改变了我们全球互联网、社会、经济和金融活动的面貌，而且还带来了隐私和数据保护法律的众多变化。

企业需要意识到，不可避免地会走向全球数字格局，在这种格局下，数据和隐私保护法律法规将限制使用个人数据的方式。许多新的法律框架和法规带来了未知的未来风险。随着商业越来越依赖于庞大的数据交换，公司将发现自己在对数据的依赖与限制对这些数据的使用的法律之间，这种混合导致不确定性和复杂性。

数据保护和隐私法的重要性

回顾高调的违规行为和安全事件对全球组织的负面影响，很明显，对于数字经济正常运行而言，数据保护和隐私与商务质量水平直接相关。消费者信心是第一要务，立法者必须非常小心，以在安全控制措施不足和难以实施的安全控制措施之间保持平衡。

尽管世界上许多国家对个人隐私的需求有共同的理解，但隐私的解释和法律适用性却有所不同。一些国家选择将隐私保护作为一项基本权利，而其他国家选择将隐私保护纳入其他宪法学说。仍然有一些国家尚未采用任何隐私保护。这些差异对组织，个人和国际商务的影响是巨大的，并增加了隐私的复杂性。

云计算的采用和物联网（IoT）的普及等技术发展正在颠覆传统的商业模式，并给法律，通信和商业发展实践等领域带来了新的挑战。重要的是，现代数据保护法规应纳入这些挑战并迎合所有利益相关者的信任环境。

通用数据保护和隐私原则

对于许多国际协议，现代数据保护和隐私法规具有一些共同的原则，例如，数据处理器需要有进行任何处理活动的合法理由。合法性是通过数据主体的同意或涉及国家安全与保障的特定公共利益来证明的。收集和处理的个人身份信息（PII）的质量和准确性是另一个普遍原则，要求数据处理者提供准确，完整和最新的数据。

另一个核心原则是数据安全性的重要性，并应用适当的安全控制措施来保护它。近年来，监管机构承认，尽管互联网是进行日常经济和社会活动的关键基础设施，但同时它也是许多安全威胁的源头。

尽管各国之间就这些核心原则达成了协议，但关于如何最好地应用这些原则仍有许多争议。一些国家对所有这些原则均等地适用，而另一些国家则采用不同的规则：

1. 特定行业（如健康）；

2. 数据处理程序的类型（即，公共当局对公民的个人身份信息进行特殊处理）；

3. 数据类型（即，如何处理涉及儿童的数据）

数据保护的里程碑： GDPR

通用数据保护条例（GDPR）于2018年5月生效，是欧盟对有关个人数据保护治理的更严格监管要求的回应。不遵守GDPR的行为将导致严重的财务后果，最高可处以全球总年营业额的4％或2000万欧元的罚款，以较高者为准。

GDPR在全球范围内被视为数据保护法规中的一个里程碑，因为它为以前不存在的数据主体设置了一个保护级别。在处理欧盟公民的个人数据时，GDPR概述了针对数据处理者的非常严格的规则，但它也授予数据主体一系列权利，使他们能够更好地控制其个人数据。

欧盟以外的信息安全合规性法规发展

欧盟是第一个颁布现代数据保护法的地区，但许多其他国家目前正在引入数据和隐私保护法律框架。这些法律框架的目标和解释存在很大差异，其结果（也是最大的挑战）是企业继续面临来自不同司法管辖区的不同数据保护合规性义务和要求。

GDPR在许多方面影响了这些新的法律框架和司法管辖区。例如，瑞士和阿根廷正在修订其本地数据保护法律，以实施与GDPR紧密匹配的规则。将本地隐私法律与GDPR匹配的根本原因是需要促进对本地企业的这两项法规的遵守，并允许这些国家与欧盟之间的数据自由流通。

我们还发现，寻求欧盟做出新的适当性决定的司法管辖区有所增加。例如，欧盟和日本（这两个地区的隐私保护方法截然不同）之间的协议允许个人数据在强大的保护保障基础上在两个经济体之间自由流动。

正在实施新数据和隐私保护要求的其他区域包括：

• 澳大利亚：隐私修正案（应报告的数据泄露）法

• 印度：个人资料保护条例草案

• 沙特阿拉伯王国：基本的网络安全控制

• 墨西哥：数据隐私法案

• 南非：《个人信息保护法》（POPIA）

• 美国加州：《加州消费者隐私法》（CCPA）

• 美国纽约：纽约隐私法（NYPA）

数据本地化在上升

数据本地化是隐私法的另一趋势，它指的是在一个国家的管辖范围内本地存储PII数据的要求。数据本地化不同于限制企业在不同国家之间没有有效保护的情况下传输PII数据的法律。数据本地化法律要求数据集的至少一个完整副本保留在相关辖区中。许多国家/地区已制定了数据本地化法律，其范围仅限于特定行业（即德国要求电信组织在本地存储通信数据）或特定部门（即澳大利亚要求将健康数据存储在本地）。

企业如何应对不确定性？

企业必须具有超前的思维并事先计划。他们应首先确定并解决GDPR面临的最大合规风险，然后从那里开始努力在其他相关法律框架内实现合规。通常，这需要采取基本步骤来理解组织数据配置文件（保存哪些数据以及保存在何处），然后根据其重要性和任何隐私要求对数据进行分类。

然后必须按照严重性对合规风险进行分类，并进行相应处理。合规团队可以开始处理更轻松的要求，例如创建和更新隐私策略，与客户和合作伙伴的通知和合同，然后处理更复杂的问题。

企业必须确保将合规性分配给个人或团队，并且必须有一个计划周密的流程，其中包括检查进度。最后，至关重要的是，在处理个人数据的工作人员中，必须了解本地数据和隐私法的要求，以最大程度地降低运营影响。

未来不确定性的最大领域不是法律框架，而是技术，企业应该将其视为机遇而不是威胁。由于公众舆论已发生转变，决策者在某种程度上更加重视隐私和数据保护。精心计划和执行的隐私法规遵从程序，加上加密/匿名数据和管理良好的密钥的安全体系结构，将有助于企业提高其客户，合作伙伴和员工之间的信任度。这将转化为客户和合作伙伴，使公司能够继续访问和使用他们的数据，这是当今全球数字世界开展业务的核心。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 欧盟NIS2指令即将出台

• SOC 2合规性：您需要了解的内容和需要做的事情

• 合规指南：了解印度的数字个人数据保护法

• Thales CipherTrust 2.15 现已推出

• 香港虚拟资产交易平台（VATP）运营商指南