Privacy Protection 隐私保护
保护个人信息不被未授权使用的行动。跟数据安全有重叠,但不完全相同。
跟 Security 的对比:
- Security = 防外部威胁(黑客、泄露、攻击)
- Privacy = 防数据被滥用(包括合法持有方也不能想怎么用就怎么用)
例:
- 你给银行存款 → Security 防黑客偷数据
- 银行把你的消费记录卖给广告公司 → 没安全事故,但侵犯 Privacy
核心原则(基本所有隐私法都包含):
- 最小收集 —— 只收业务必需的
- 目的限制 —— 收来干 A,不能拿去干 B
- 知情同意 —— 用户知道并同意你怎么用他的数据
- 保留时限 —— 不用的数据要删
- 访问与更正权 —— 用户能查、能改、能删
- 可移植性 —— 用户能拿走自己的数据
- 被遗忘权 —— GDPR 引入,用户可以要求彻底删除
主要法规:
- GDPR(欧盟)— 全球最严
- CCPA(加州)— 美国先驱
- 澳洲 Privacy Act 1988 — APP 13 条原则
- 中国 PIPL — 个人信息保护法
- HIPAA — 医疗隐私
- 儿童特殊保护 — COPPA(美国)、AADC(英国)
跟 PII / SPII / PHI 的关系:这些是”被保护的对象”,Privacy Protection 是”保护它们的实践和法律框架”。
跟 Compliance 的关系:隐私法的遵守是 Compliance 工作的重头戏。