隐私合规之所以难,不在于遵守某一部法律,而在于多个国家和地区的多部法规会同时规范同一批个人数据,且各法域对“个人数据”的定义、合法性基础与时效要求并不一致,还要求企业在法律与技术两个层面同时落地。它的落点始终是个人数据的合规处理,覆盖采集、存储、处理、传输、交换到销毁的全生命周期。
TL;DR
无论哪个法域,隐私合规的对象都是个人数据本身。不同法规体系对“个人数据”的界定存在差异:欧盟《通用数据保护条例》(GDPR)把可直接或间接识别到自然人的信息都纳入个人数据(PII),并为处理设定同意、合同必要、合法利益等合法性基础;美国加州《消费者隐私法》(CCPA/CPRA)则围绕“出售/共享”与消费者退出权(opt-out)展开。同一批用户数据,在两个法域下可能对应完全不同的义务。关于隐私合规的完整定义与范围,可参考什么是隐私合规。
企业进入一个市场,往往不是对照一部法律,而是要在一组彼此不完全一致、还在持续更新的规则之间找平衡点。这些法规的生效时间、修订节奏和适用范围时常变动,因此隐私合规很难一次做完,更像一项需要长期维护的能力。哪些数据资产会把企业拉进合规范围,可参考哪些数据资产需要做出海隐私合规;具体推进步骤可参考出海隐私合规工作的关键步骤。
隐私合规不局限于法律层面。它涵盖数据全生命周期,涉及技术架构、数据传输、数据保护和数据跨境等具体实现。Cookie 同意管理、权限最小化采集、传输加密、数据跨境的合法路径,都是把法律要求翻译成产品与工程约束的环节。数据控制者(controller)需要清楚个人数据在哪、如何流动、由谁负责,这既是法律义务,也是工程约束。
正因为隐私合规同时横跨法律、技术、安全与流程,很多知名企业都建立了规模可观的合规团队,据报道 Meta 的相关合规人员规模在千人量级。法务负责解读法规,工程负责实现数据保护措施,安全负责风险控制,三者缺一不可。对刚出海的企业来说,未必一开始就搭起大团队,但需要有人对“个人数据在哪、怎么流动、由谁负责”负全责。要理解这项投入为何值得,可参考隐私合规是出海企业的救生圈。