隐私与合规指南 | 白皮书 | akamai€¦ ·...

白皮书

隐私与合规指南

1隐私与合规指南

前言随着全球各地新推出的隐私和数据保护法规不断增多，我们看到了一种全球趋势，这种趋势要求各个

公司采用多区域合规性战略来确保消费者隐私和个人数据安全。全球企业需要遵守的法规包括欧盟的

《通用数据保护条例》(General Data Protection Regulation, GDPR)、《加州消费者隐私法案》

(California Consumer Privacy Act, CCPA)、加拿大的《个人信息保护和电子文档法案》(Personal

Information Protection and Electronic Documents Act, PIPEDA) 等。

全球企业无法忽视这些新的隐私法律和法规。仅从财务角度来看，GDPR 最初施行的 12 个月内处以的都是

适度的罚款，而现在罚金已大幅增长——最终可达到惊人的 GDPR 法定上限，即年度全球营业额的 4%。

但是，全球企业面对的成本远不止是财务成本。消费者的信任同样会蒙受风险。如果客户不信任公司可以

保护他们的宝贵隐私，公司的销售和营销能力将会受到影响。如今，企业需要获得用户的明确同意才能处

理他们的个人数据。没有信任，客户就不会给予同意，企业也就无法获取客户的数据。这会导致销售和营

销活动效率低下。

隐私和身份监管可帮助全球企业与用户和客户建立信任关系，从而提高客户忠诚度，并最终提高业务

收入。

2隐私与合规指南

对于多区域合规性战略的需求根据联合国提供的数据，已经有 107 个国家/地区以立法形式对数据和隐私进行保护。目前，全球所有国家

/地区中，68% 的国家/地区已经实施或正在制定隐私法规。

虽然各个国家/地区和州/省的法规适用范围不尽相同，然而大型经济体往往拥有极为严格的法规。但共同的

思路是，在全球开展业务的公司需要有能力应对各种隐私法律，这些法律在诸多方面颇为相似，不过在细

节层面上却包含许多重要的差异。

就法规而言，细节至关重要。大多数法规要求公司实施不同的客户身份管理方案。从实用的立场来看，

尝试通过部署单独的本地 IT 解决方案来满足每项区域要求是不合理的。毕竟，大多数跨国公司都希望拥

有一个集中式数据库，以便全方位地了解客户。

一些公司正在考虑这样一种策略：实施最为严格的数据隐私法规，然后在全球范围内推广。但是，这种策

略也收效甚微，因为有些数据隐私要求是相互排斥的。例如，虽然 GDPR 和 CCPA 都要求公司在收集个人

数据之前获得用户同意，但具体规定却有所不同。普通的静态用户同意屏幕根本不起作用。

全球数据保护和隐私法规

3隐私与合规指南

根据 GDPR，公司不能在登录页面上预先勾选有意设置的销售线索生成选项以获取用户的同意。同意的获

取方式必须是“选择加入”，而不是“选择退出”。也就是说，消费者必须通过勾选复选框来给予同意。

但是，根据 CCPA 的规定，仍然允许公司获取这种默示的同意，因此，预先勾选复选框仍然符合该法规的

要求。这种差异可能会给全球企业带来麻烦，因为它们可能会面对多个主要市场，而这些市场的解决方案

需要显示不同的注册表单。

此外，一些新法规禁止收集过多的数据。公司只能收集他们提供的服务或产品所需的个人数据。不再允许

公司仅仅以提供电子邮件新闻通讯或允许用户下载白皮书为目的，要求用户提供电话号码或性别。这意味

着，企业需要重新思考和重新设计用户体验，并消除注册页面和其他表单上可能被视为多余的所有数据字

段。在没有实施此类限制的地区，营销团队可能仍希望收集其他数据。

他们需要的是一种集中式客户身份解决方案，来灵活适应各个地区的法规——这种系统可以根据消费者所

在的位置提供不同的用户界面，并以不同方式处理个人数据。

应对全球挑战为了满足全球法规要求、保护客户数据并维持消费者的信任，跨国公司需要实施灵活的客户身份和访问管

理 (CIAM) 解决方案，以通过强大的加密和限定范围的访问控制来保护用户数据和凭据。谨慎的应对方法不

是在每项法规出台时逐项应对，然后每次重新设计应对方案，而是部署足够灵活的解决方案，来满足当前

和未来的法规要求。

无论是在内部构建此类 CIAM 解决方案，还是部署专业级商业解决方案，公司都必须确保身份管理解决方

案能够解决诸如用户同意、拒绝权、访问和删除数据的权利、数据可移植性、安全性等关键的法规问题。

同意

各项区域法规的一个共同点在于，公司在收集和处理个人数据之前必须获得用户的同意。但是，各项适用

法规中关于获得有效同意的要求以及何时需要此类同意的规定却不相同。因此，公司应部署支持用户体验

（比如 Web 表单）和设计模式的解决方案，以便在帐户注册时以及在登录帐户后的客户体验之旅的任何阶

段征求用户同意。用户体验必须可以完全自定义，以支持“选择加入”和“选择退出”场景。

4隐私与合规指南

拒绝权

消费者必须能够拒绝将其个人数据用于特定类型的数据处理，比如直接营销或统计分析。这便需要一个具

有可自定义的偏好中心的解决方案，允许消费者选择或取消选择他们批准的数据处理类型。

访问权

许多法律规定消费者有权访问、审查和更正正在处理的个人数据，在某些情况下，还有权寻求有关此类数

据的使用和披露的其他信息。这同样需要一个可自定义的身份管理偏好中心，允许消费者请求访问他们的

数据。然后，公司可以根据用户的请求采取行动，从中央数据库或存储客户数据的其他系统中提取数据。

删除数据的权利

GDPR、CCPA 和其他法规都赋予消费者一种权利（通常称作“被遗忘权”），允许他们擦除全部或部分个

人数据并使其不再传播给第三方或公开给第三方进行处理。公司必须确保它们的 CIAM 解决方案允许安全

且不可恢复地删除数据记录（包括从备份中删除），以帮助防止有害数据意外传播。

数据可移植性

合规法规规定，必须以机器可读的常用格式为消费者提供其数据副本，允许用户不受阻碍地将其数据传输

到其他公司。因此，公司必须实施允许此类请求的解决方案，能够从集中式数据库或其他存储客户数据的

系统中提取数据，并将数据导出为 JSON 等通用数据格式。

安全和数据泄露通知

公司必须实施适当的数据安全保护措施，来保护他们处理的个人数据以及受影响消费者的隐私。其中包

括某些法规中特别提到的保护措施，例如对静态和传输中的个人数据进行加密。此外，公司必须在首次

意识到数据泄露后的特定时间范围内通知消费者。身份管理解决方案必须充分满足对这些重要安全措施

的需求。

5隐私与合规指南

范围受限的访问

无论是内部开发还是从商业供应商处获取，CIAM 解决方案都应提供高度细化的权限级别，以确保完全

控制哪些人员和应用程序可以访问和处理客户数据——所有这些都基于角色和职责。精细访问控制应精

细应用到数据列、行和字段。例如，应可以定义角色，以允许开发人员执行应用程序管理任务，而不允

许他们访问任何客户数据。

结论除了满足多区域客户身份合规法规的要求外，隐私和安全保证对于希望与客户建立深入且可信的数字化

关系的跨国公司而言至关重要。消费者对个人数据保持隐私和安全的期望越来越高。

越来越多的区域法律和法规以及众多公开的数据滥用、泄露和身份盗窃案件，给全球企业设立了更高的

标准，公司必须超越这个标准，才会被视为值得信赖的个人数据保管方。当客户将其数据存储在一家公

司处时，双方之间就相当于形成了一种“信任契约”。如果打破了这种信任，则很难再恢复如初。

现在，企业不应尝试通过逐项应对新的区域法规来建立信任，而是应当部署全球化的灵活企业级身份管

理解决方案，来满足当今和未来的需求。

有关更多信息，请阅读我们的新白皮书 《GDPR、 CCPA

以及其他法律法规：身份监管如何帮助公司遵守法规和提高

客户信任》。

Akamai 为全球的大型企业提供安全的数字化体验。Akamai 的智能边缘平台涵盖了从企业到云端的一切，从而确保客户及其业务获 得快速、智能且安全的体验。全球顶级品牌依靠 Akamai 敏捷的解决方案扩展其多云架构的功能，从而实现竞争优势。Akamai 使决策、应用程序和体验更贴近用户，帮助用户远离攻击和威胁。Akamai 一系列的边缘安全、Web 和移动性能、企业访问和视频交付 解决方案均可由优质客户服务、分析和全天候监控提供支持。如需了解全球优秀品牌信赖 Akamai 的原因，请访问 www.akamai.com 或 blogs.akamai.com，或者扫描下方二维码，关注我们的微信公众号。您可访问 www.akamai.com/locations 查找全球联系信息。发布时间：2020 年 2 月。

扫码关注·获取最新 CDN 前沿资讯