哪些数据资产需要做出海隐私合规?

哪些数据资产需要做出海隐私合规?

Kaamel Lab
Kaamel Lab 2024年5月24日

判断是否需要做出海隐私合规,关键看两点:是否处理海外用户的个人数据,以及是否在海外有经营实体。只要在海外展业过程中通过 Web、App、IoT 设备、云服务等采集、存储、处理、传输、交换、销毁个人数据,或在海外设有公司实体,就会落入海外隐私合规的范围。换句话说,触发合规的不是某个特定行业,而是“你手里有没有受监管的个人数据、以及它在哪些载体上流动”。

TL;DR

触发合规的四类采集载体

大多数出海业务的个人数据,都是通过四类载体流动的:

只要个人数据在这些载体上经历采集、存储、处理、传输、交换或销毁中的任一环节,相关处理就受当地法律约束。这些载体对应的具体合规问题,可参考隐私合规的常见场景

有海外公司实体也会触发

即便产品数据主要在国内处理,只要在海外设有公司实体,实体所在地的数据保护法律通常也会适用,例如需要任命数据保护专员、履行本地登记或代理人义务。像新加坡 PDPA 要求企业注册数据保护专员(DPO)就是典型例子。因此“有没有海外实体”和“有没有海外用户”是两个独立的判断维度,任一成立都可能触发合规。

什么才算受监管的个人数据

不同法域对“个人数据”的定义不完全一致,但普遍指向可直接或间接识别到自然人的信息,如姓名、账号、设备标识、位置、生物识别信息等。识别边界越宽,纳入监管的数据就越多。把这些数据视为需要重点守护的资产,是合规的起点,具体思路可参考隐私数据资产保卫战;对整体定义与范围仍不确定的,可先读什么是隐私合规

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.