SEC08-05 数据使用、留存和处置合规性

数据使用、留存和处置的合规性是指数据处理者在处理个人数据的过程中，包括数据的使用、保留和销毁阶段，需遵守相关的法律法规和隐私保护准则，确保数据处理活动符合法律规定并尊重数据主体的权利。

• 风险等级

  高

• 关键策略
  • 使用个人数据前必须获取数据主体授权，使用范围及方法不能超出收集目的。
  • 系统应将隐私保护的功能默认设置成保护状态。
  • 使用个人数据过程中，必须保证个人数据的安全，如记录运营运维阶段对个人数据增删改、批量导出等操作。
  • 用于问题定位的日志中记录个人数据遵循最小化原则。
  • 对于数据控制者，数据主体撤销同意之后，产品必须禁止继续收集和处理其相应个人数据。
  • 对于提供用户画像的系统应为用户提供退出用户画像分析的机制。
• 相关云服务和工具
  • 数据安全中心DSC：用户可以通过DSC的预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏，DSC支持RDS，ECS自建数据库等云上各类场景。另外，DSC可基于扫描结果自动提供脱敏合规建议，支持一键配置脱敏规则。
  • 数据库安全服务 DBSS：使用数据库安全服务DBSS进行数据脱敏。当需要对输入的SQL语句的敏感信息进行脱敏时，客户可以通过开启DBSS的隐私数据脱敏功能，以及配置隐私数据脱敏规则来对指定数据库表以及来自特定源IP、用户和应用的查询进行脱敏。