一个工具,三套合规框架
隐私团队周一在 GDPR 框架下处理欧盟客户文件,周二在 HIPAA 框架下处理医疗记录,周三在 CCPA 框架下处理加利福尼亚州消费者数据。
每部法律有不同的规则,每份文件需要不同的配置。
每天在三套规则之间切换极易产生错误。用错配置处理错误文件,会导致合规失败或数据损失。
命名合规配置文件解决了这一问题:每部法律对应一个保存好的配置,无需手动重新配置。
GDPR——覆盖范围
GDPR 涵盖所有个人数据,适用于任何可被识别的欧盟自然人,没有固定的覆盖清单,一切与自然人相关的信息均在范围之内。
特殊类别——健康数据、宗教信仰、政治观点——依据第 9 条受到额外保护。
文件处理常见实体类型:姓名、地址、国家 ID、电子邮件、电话号码、IP 地址、信用卡号。
具体判断取决于上下文,GDPR 没有固定的覆盖清单。
HIPAA——覆盖范围
HIPAA 安全港明确定义了 18 类标识符,所有 18 类均须从健康记录中移除。
有两条规则常令团队措手不及:
- 日期须缩减至仅保留年份,月份和日期须移除,年份保留。
- 小于州一级的地理区域须移除。
上述规则仅适用于受覆盖实体及其业务伙伴。
CCPA——覆盖范围
CCPA 涵盖与加利福尼亚州居民关联的个人信息,范围极广,包括直接标识符、互联网活动、购买历史、地理位置数据、生物特征数据和画像推断。
文件处理方面,重点关注直接标识符:姓名、社会安全号、驾照、护照号码、电子邮件、账户号码、IP 地址、设备 ID。
购买历史和浏览日志在文件明文中极少出现。
为何手动切换会失败
手动切换会产生错误。用 HIPAA 配置处理 GDPR 文件会附加 GDPR 不需要的日期规则,用 GDPR 配置处理 HIPAA 文件会遗漏安全港要求的地理规则。
研究显示,手动框架切换的错误率约为 15%,每次错误都是一次合规失误或数据损失事件。
员工须记住三套规则并在每次处理时应用正确的一套,这不是一套流程,而是每天的随机猜测。
三个命名配置
「GDPR 标准——欧盟客户」
检测:姓名、地址、国家 ID、电子邮件、电话号码、IP 地址、信用卡号。
方法:脱敏。
排除日期(除非出生日期在范围内),在线数据处理时加入 IP 地址。
「HIPAA 安全港——医疗」
检测:人员姓名、日期、州以下地理位置、电话、传真、电子邮件、社会安全号、病历号、健康计划 ID、账户号码、证书号码、车辆 ID、设备 ID、URL、IP 地址、生物特征 ID,涵盖全部 18 类安全港标识符。
方法:脱敏。日期处理:保留年份,移除月份和日期。
添加你所在机构病历号格式的自定义模式。
「CCPA——加利福尼亚消费者」
检测:姓名、地址、电话号码、电子邮件、社会安全号、驾照、护照号码、信用卡号、IP 地址、URL、账户号码、设备 ID。
方法:替换(分析场景最优)或脱敏。
每个保存的配置固化了合规决策,操作员根据文件的法律性质选择对应的配置文件,无需构建实体清单,无需选择处理方法。
使用前后对比
使用命名配置前: 员工为每部法律手动重新配置,错误率接近 15%,年度审计每年均发现框架适用问题。
使用命名配置后: 员工选择保存的配置文件,配置固定不变,错误率降至 2% 以下,剩余错误源于选错配置文件,质量审查可发现这类问题。审计通过,零发现。
关键转变:合规决策从日常执行环节上移至配置文件创建环节。专家决策一次,每位操作员无需思考即可应用。
多框架团队管理
明确责任归属。 每部法律指定一位负责人:GDPR 负责人负责 GDPR 配置文件,HIPAA 合规官负责 HIPAA 配置,各负责人每季度审查各自的配置文件。
按来源路由。 欧盟客户数据使用 GDPR 配置文件,美国医疗数据使用 HIPAA 配置文件,加利福尼亚消费者数据使用 CCPA 配置文件。
记录每次处理。 处理日志记录每批文件使用了哪个配置文件。当审计员询问某份文件的处理方式时,答案是配置文件名称、日期和配置日志。
推送更新。 当欧洲数据保护委员会发布新指南时,GDPR 负责人更新共享配置,后续所有处理均自动采用新配置,无需通知任何人。
关于配置文件治理和审计证据的深入内容,参阅匿名化预设与 GDPR 审计一致性。关于 HIPAA 安全港实体覆盖的详细内容,参阅医疗研究中的 HIPAA 安全港去标识化。
结语
三部法律,三个保存的配置文件,一个工具。
复杂性集中在配置文件定义层,而非日常处理层。操作员无需了解 HIPAA 日期规则,只需知道哪个配置文件适合眼前的文件。
命名配置降低了认知负担,减少了错误,使合规可以证明。