更新时间:2024-07-16 GMT+08:00
SEC08-05 数据使用、留存和处置合规性
数据使用、留存和处置的合规性是指数据处理者在处理个人数据的过程中,包括数据的使用、保留和销毁阶段,需遵守相关的法律法规和隐私保护准则,确保数据处理活动符合法律规定并尊重数据主体的权利。
- 风险等级
高
- 关键策略
- 使用个人数据前必须获取数据主体授权,使用范围及方法不能超出收集目的。
- 系统应将隐私保护的功能默认设置成保护状态。
- 使用个人数据过程中,必须保证个人数据的安全,如记录运营运维阶段对个人数据增删改、批量导出等操作。
- 用于问题定位的日志中记录个人数据遵循最小化原则。
- 对于数据控制者,数据主体撤销同意之后,产品必须禁止继续收集和处理其相应个人数据。
- 对于提供用户画像的系统应为用户提供退出用户画像分析的机制。
- 相关云服务和工具
- 数据安全中心DSC:用户可以通过DSC的预置脱敏规则,或自定义脱敏规则来对指定数据库表进行脱敏,DSC支持RDS,ECS自建数据库等云上各类场景。另外,DSC可基于扫描结果自动提供脱敏合规建议,支持一键配置脱敏规则。
- 数据库安全服务 DBSS:使用数据库安全服务DBSS进行数据脱敏。当需要对输入的SQL语句的敏感信息进行脱敏时,客户可以通过开启DBSS的隐私数据脱敏功能,以及配置隐私数据脱敏规则来对指定数据库表以及来自特定源IP、用户和应用的查询进行脱敏。
父主题: SEC08 数据隐私保护