1.2.3　隐私法律和法规

现行的数据保护（隐私）法律和法规要求企业声明为什么收集可能关联到特定个人或群体的信息，以及如何使用这些信息，包括为相关个人提供选择并控制如何使用、共享、保留、保护和销毁这些信息。

企业必须确定适用于企业及其签约的服务提供商的所有隐私法律和法规，并跟进这些法律和法规的遵守情况。图 1.4 列出了一些常见的隐私法律和法规。

注：CDPSE 考试不考查具体的隐私法律和法规；但 CDPSE 考生需要了解法律和法规对隐私计划和隐私控制的影响。

未实施隐私保护措施来满足法律法规要求的企业将面临巨额罚款，例如，根据《美国联邦贸易委员会法》第5 条的规定可处以数千万美元的罚款，根据欧盟 GDPR 的罚款最高可达企业前一年收入的 4%，5而违反《美国健康保险流通与责任法案》可能受到长达 20年的处罚6。

每个企业都必须了解适用的所有地方和国际法律法规。适用性取决于公司办公所在地、员工的工作地点、客户和患者的居住地、数据的存储位置及其他因素。企业首先应进行法律分析，以确定适用的法律和法规，然后持续更新这份清单。