简介
隐私指数指南解释了隐私指数的目的、运作方式以及如何利用该指数了解特定司法管辖区的隐私立法可能对组织隐私计划产生的影响。隐私指数不旨在提供法律指导。
该指南和隐私指数由 OneTrust DataGuidance 法规研究团队创建。
OneTrust DataGuidance 提供一套隐私解决方案,旨在帮助组织监控法规动态、降低风险并实现全球合规。
什么是隐私指数?
隐私指数旨在帮助识别和比较法律要求对组织全球隐私合规的影响。具体而言,隐私指数聚焦于每个司法管辖区适用隐私法下的17个关键因素,这些因素在隐私指数的第1-4部分中有所阐述:
- 个人范围;
- 地域适用范围;
- 法律依据;
数据处理原则;- 影响评估;
- 登记;
处理活动记录;
数据保护官(DPO)任命;- 安全控制;
- 违规通知;
跨境数据传输;- 数据主体权利;
- 数据处理者;
- 供应商管理;
监管机构权力;
监管机构活动;以及- 责任。
隐私指数为每个考虑因素提供评级及其数值:“ 严格 ”(数值为 2)、“ 中等 ”(数值为 1)和“ 不适用 ”(数值为 0)。有关关键因素评级的更多信息,请参见下文“ 关键因素如何评级?”部分。
此外,隐私指数对每个因素的评分提供了简要说明,并在适用的隐私法律下附有引用。
最后,隐私指数的第 5 部分概述了基于各因素评分总分,隐私立法在某一司法管辖区内可能产生的影响。影响分为“ 高影响 ”、“ 中等影响 ”和“ 低影响 ”。有关影响分类的更多信息,请参见下文“ 影响如何分类?”部分。
关键因素如何评分?
隐私指数为每个特定司法管辖区内考虑的关键因素赋予描述性评级和数值评级,这些因素包括:
严格 (值为 2);
中等 (值为 1);以及
不适用 (值为 0)。
以下是对每个关键因素下各类评级所考虑内容的详细分解。
适用范围
个人范围
考虑了以下要求。
数据保护法的一般适用性。
数据保护法的部门适用。
部门适用或有限适用(门槛)。
地域范围
考虑了以下要求。
数据保护法的地域适用范围。
数据保护法的域外适用。
域外适用。
隐私项目管理
合法依据
考虑了以下要求。
具有法律依据的数据处理。
具有法律依据的进一步处理。
具有选择退出权的数据处理。
具有适当通知的数据处理。
关于数据处理的全面要求(法律依据、通知、进一步处理)。
对合法数据处理的有限要求(通知、进一步处理、选择退出)。
适用的隐私法未对合法数据处理提出要求。
数据处理原则
考虑了以下要求。
数据处理原则的存在。
实施隐私设计的要求。
实施默认隐私的要求。
数据处理原则及其在产品和服务中实施的要求。
仅限数据处理原则。
适用的隐私法未规定数据处理原则。
数据保护影响评估/隐私影响评估
考虑了以下要求。
进行数据保护影响评估(DPIA)或隐私影响评估(PIA)的要求。
与主管机关协商的要求。
获得主管机关批准的要求。
DPIA 或 PIA 中应包含的信息。
DPIA 或 PIA 的保留期限。
DPIA 或 PIA 的文档。
进行 DPIA 或 PIA 的全面要求,包括程序性要求(信息披露、文档、保存要求)或咨询(事前咨询、批准)。
进行 DPIA/PIA 的有限要求:一般性评估要求。
适用的隐私法律不要求进行 DPIA/PIA 或仅提出建议。
登记
考虑了以下要求。
所有数据处理活动的登记。
某些处理活动的登记。
某些处理活动的授权。
注册费用的支付。
申请中应包含的信息。- 续期要求。
所有数据处理活动的注册或某些处理活动的注册,但注册要求繁重(详细申请、缴费、续期周期或授权)。
某些处理活动的注册,程序要求最低(简单申请,无需缴费)。
适用的隐私法不要求数据处理活动注册或仅设立建议。
处理活动记录
考虑了以下要求。
处理活动记录(ROPA)维护要求。
记录中应包含的信息。
记录的保留期限。
维护本地记录的要求。
记录的审查周期。
维护 ROPA 的全面要求(包括需包含的信息、保留期限、审查周期、本地记录的维护)。
维护 ROPA 的有限要求(仅一般性维护 ROPA 的要求)。
适用的隐私法不要求维护 ROPA 或仅提出建议。
数据保护官任命
考虑了以下要求。
任命数据保护官(DPO)的要求。
需要任命 DPO 的情形。
DPO 的资格要求。
分配给数据保护官(DPO)的资源。
注册数据保护官(DPO)的要求。
对谁可以担任数据保护官(DPO)的限制。
数据保护官(DPO)的任务和职责。
使用数据保护官代表一组公司。
任命数据保护官的一般要求及具体规定,或在特定情况下的任命及详细规定(资格、任务和职责、资源、登记、适用于集团公司)。
关于指定数据保护官(DPO)的有限要求,包括一般性指定要求,无需额外信息。
适用的隐私法律不要求指定或仅提出建议。
数据安全措施
考虑了以下要求。
存在数据安全原则。
要求实施技术、物理和/或组织措施。
实施技术、物理和/或组织措施,或数据安全措施。
一般数据安全原则。
适用的隐私法未涉及数据安全。
违规通知
考虑了以下要求。
向主管机关通报违规事件。
向数据主体通报违规事件。
向第三方通报违规事件。
违规通报时限的存在。
违规通知中应包含的信息。
非须通知违规的记录保存。
全面要求(具体通知时间框架、需提供的信息、不可通知违规的记录)。
有限要求(一般通知要求)或全面要求但具有特定行业适用性。
适用的隐私法无违规通知要求或仅设建议性规定。
跨境数据传输
考虑了以下要求。
跨境传输的限制及例外情况。
数据跨境传输的授权。
数据本地化要求的存在。
传输机制的存在。
与适用的转移机制要求相关的要求。
广泛的限制(未采用转移机制、授权或数据本地化的限制)。
有限的限制(仅需通知和/或同意)。
适用的隐私法未对跨境传输设定限制。
数据主体权利
考虑了以下要求。
数据主体可享有的权利。
验证要求。
授权代理人使用的要求。- 收费。
维护请求记录。- 响应时间框架。
提交及回应格式。
至少六项数据主体权利,或少于六项数据主体权利但对这些权利的实施有程序性要求(验证要求、授权代理人、费用、请求记录、响应时限、提交和响应格式)。
少于六项数据主体权利。
不提供数据主体权利。
第三方风险管理
数据处理者
考虑了以下要求。
直接施加于数据处理者的义务。
支持数据控制者合规的义务。
直接施加于数据处理者的要求(注册、维护处理活动记录、数据保护官任命、违规通知、安全措施)。
对数据处理者的有限要求(遵循指示并协助控制者合规)。
适用的隐私法律不对数据处理者施加任何义务。
供应商管理
考虑了以下要求。
资格要求。- 供应商合同。
- 子处理器的使用。
- 供应商监督。
广泛的供应商管理要求(合同条款、资格审查、子处理方管理、供应商监督)。
有限的供应商管理要求(仅有签订合同的一般要求)。
适用的隐私法未对供应商管理提出任何要求或建议。
监管机构与执法
监管机构权限
考虑了以下要求。
- 咨询权。
- 调查权。
- 纠正权。
综合权力(咨询权、调查权、纠正权)。
权限有限(仅限咨询和调查)。
适用的隐私法未赋予该机构任何权力。
监管机构活动
考虑了以下要求。
年度执法活动。- 罚款金额。
决定数量(执法决定和调查)。
该机构非常活跃(每年超过40项决定),或该机构相对活跃但以开出高额罚款著称。
该机构相对活跃(每年20-40项决定)。
该机构不活跃(每年20项或更少决定)。
责任
考虑了以下要求。
- 罚款金额。
刑事责任的存在。
私人诉讼权或赔偿的存在。
高额行政处罚(超过50万美元)、刑事责任或私人诉讼权利或赔偿。
How is the impact classified?
The possible impact of the privacy legislation within a given jurisdiction on the organization's privacy program is calculated based on the sum of all the key factors' ratings. The impact is classified as follows.
- Low impact = 0 - 10
- Medium impact = 11 - 22
- High impact = 23 - 34