《数据保护法》（Data Protection Act）

《数据保护法》（DPA）是什么？

《数据保护法》（DPA）是根据《通用数据保护条例》（GDPR）制定的一项法律合同。当公司与第三方数据处理者合作时，必须签署此类合同。该合同确保数据处理者按照GDPR的规定处理数据。

数据是企业最有价值的资产之一。为防止数据泄露或滥用，所有处理个人数据的企业都必须具备《数据保护法》。

DPA可以以书面形式或电子形式签署，其主要目的是明确数据处理者如何处理公司提供的数据。合同中会详细说明处理活动的持续时间、数据的范围、处理目的以及其他可能接触这些数据的实体。

在欧洲，拥有DPA是一项法律要求。在其他国家，虽然不是强制性规定，但强烈建议各方充分了解自己在收集、使用和保护个人数据方面的责任，以及发生数据事件时可能带来的后果。

如果您位于加利福尼亚州，建议更新现有的DPA协议。一项名为《加州隐私权法案》（CPRA）的新隐私法已于2023年1月1日生效，涉及2022年收集的数据。新法规弥补了现有《加州消费者隐私法案》（CCPA）中的漏洞。

为什么需要DPA？

DPA确保数据处理活动符合GDPR，并采取适当的安全措施。

例如，当公司计划将客户数据处理业务外包给第三方公司（如云服务提供商）时，必须首先签署DPA文件。该文件确保第三方在处理个人数据时能保证信息安全，防止任何安全事故，并遵守所有适用的数据保护法律。

几乎所有企业都会依赖第三方处理个人数据。一些企业使用网站分析软件，而另一些企业将数据存储在云端。不论企业选择何种方式处理个人数据，都必须与每项服务签署数据处理协议，确保符合GDPR要求。

每当企业希望将特定的数据集交由第三方处理时，必须起草并与该第三方签署DPA。这一协议在数据安全漏洞的情况下提供保护。

谁需要签署DPA？

公司（数据控制者）、数据处理者以及所有次级处理者都必须签署DPA。

如果不签署DPA会发生什么？

如果您未与数据处理者签署协议，而数据被不当处理，您可能因未采取足够措施保护数据而对数据泄露负有责任。

除了经济损失外，您的公司可能会因声誉受损而失去客户信任，客户可能因此不再愿意与您共享个人信息。

常见问题解答

1. 什么是数据控制者？

数据控制者是拥有数据的个人或公司，也称为数据输出者。他们雇佣第三方数据处理者并向其提供数据。

数据控制者决定数据的用途，并决定数据处理者如何处理数据。这取决于控制者的权利与义务、个人数据的类型以及数据主体的类别。

2. 什么是数据处理者？

数据处理者是为控制者处理数据的第三方服务提供商。在某些情况下，独立承包商也可视为数据处理者。

数据处理者必须按照数据控制者在合同中规定的条款处理数据。合同结束后，数据处理者必须删除或返还已处理的数据。

3. 什么是GDPR？

《通用数据保护条例》（GDPR）是欧盟于2018年颁布的数据隐私法，是全球最严格的隐私与安全法律。只要企业面向欧盟居民或收集其数据，无论企业位于何处，都需遵守此条例。

自条例生效以来，企业必须全面审查业务流程与文件，确保其政策与程序符合有关数据主体机密信息的规定。

4. 什么是客户数据处理？

数据处理包括数据的收集、存储或记录、组织、货币化、使用或删除，以及与处理个人数据相关的任何活动。确保数据处理者在法律基础内处理这些数据，即遵循最初设定的目的，是至关重要的。

5. 客户数据删除是否被允许？

数据删除是一项符合GDPR的处理活动。非法销毁客户数据可能导致罚款。

6. 哪些个人数据适用于DPA？

任何可以识别数据主体身份的信息都属于DPA的范畴。即使您处理的是匿名化信息，只要可以通过某种方式识别出数据主体，该信息也需遵循DPA。

7. 发生数据安全漏洞时会怎样？

数据输入方与输出方必须始终协作，确保其负责的数据的最大安全性。发生漏洞时，数据处理者必须告知数据控制者，并在必要时协助其进行数据保护影响评估，与当局合作审计。

即使未发生数据泄露，GDPR也要求为数据处理者指派一名数据保护官。通过严格遵循控制者的指令，数据处理者可确保按计划执行所有程序。

8. 不符合GDPR会被罚款吗？

会的。GDPR对违规行为的罚款非常严格，最高可达2000万欧元或全球年收入的4%。

此外，如果企业被发现违反GDPR，数据主体有权要求损害赔偿。

企业在处理跨境数据保护合规时，可能面临复杂的法律和运营挑战。作为支持企业出海的专业伙伴，Knit提供量身定制的咨询服务，协助企业高效应对GDPR要求。欢迎联系我们的专业顾问，优化您的数据保护策略！