1.3.1 文档类型_国际注册数据隐私安全专家认证（CDPSE）：考试复习手册-QQ阅读男生科幻网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1.3.1　文档类型

必须有各种文档来支持和展示全面的隐私管理计划并满足各种隐私法律要求。本节讨论了隐私从业人员必须了解的常见文档类型，且通常需要他们创建、维护、评估及与他人沟通这些文档。

此处并未穷举支持所有类型隐私管理计划所需的全部文档类型。此外，也未按照隐含的重要性或使用情况顺序列出文档类型。每个企业应以此列表作为起点，确定满足适用法律要求和缓解隐私风险所需的文档。

隐私告知

隐私告知是面向外部数据主体和数据保护机构的声明。它描述了企业如何收集、使用、保留、保护和披露个人信息。隐私告知通常称为隐私政策或隐私声明。

隐私告知确立了相关企业遵循隐私告知中所列出的实务的法律责任。监管机构、审计师和律师根据企业与隐私告知有关的实务，对企业的隐私管理计划和管理人员做出评判。企业应了解，数据控制者和数据处理者均有责任遵守隐私告知，这一点非常重要。请参阅第1.6 节“与数据有关的角色和职责”了解更多信息。

注：在本手册中，隐私告知指面向外部的声明，隐私政策指员工和其他工作人员应了解、遵循的面向内部的文件。

隐私告知的主要目的包括：

●确立企业使用和保护个人信息的责任。

●通过尽可能通俗易懂的语言为数据主体提供以下信息：

■所收集的个人数据。

■个人数据的使用方式。

■与谁共享个人数据。

■个人数据将保留多长时间。

● 告知数据主体如何行使其对相关个人信息的权利的程序。

●支持数据主体做出同意或其他合法授权，从而允许数据控制者按预期目的或计划使用其个人信息。

●建立和维护数据主体的信任。

以多种方式向数据主体发布隐私告知。例如：

●企业网站上有一个专门的页面说明与隐私相关的活动。

●要求提供个人信息的表格说明了企业将如何使用和保护个人信息。

●手册（例如支付卡公司每年在美国分发的手册）中说明了隐私保护和权利。

●在企业设施（例如医疗诊所或医院）提供的文档中说明了如何收集、使用和共享个人信息，并指出个人访问其个人信息的权利。

●合同（例如贷款或其他金融服务合同）中描述了企业如何收集、使用、存储、共享和保护个人信息。

●建筑物或内墙上的标志（例如表示正在使用闭路电视摄像机的警告标志）可作为一种隐私告知。

使用条款声明通常包含了企业如何使用个人信息的规定的说明，相关企业将这些声明作为其隐私告知。14

最好维护单独的隐私告知和使用条款声明，这是一种常见的实务。

同意书

同意书的预期用途包括：① 提供信息，以供潜在数据主体当前和未来参考；② 记录主体与获得同意的实体之间的交互。

仅签署同意书可能不构成充分的同意过程。知情同意过程指企业与数据主体之间持续的信息交换。可能采取的方式包括答疑会、电子邮件、社区会议和录像演示。15

获得书面同意是一项单独的活动，除此之外，数据控制者还需要告知数据主体如何进行查询或通知企业各种决定，例如撤回同意或要求删除个人数据。

隐私政策

隐私政策是管理层的正式文件，描述了数据处理者的员工在保护个人信息方面应遵循的总体意图和方向。

隐私政策是一份面向内部的文件，不面向企业外部人员（数据控制者）。在本出版物中，术语“面向内部的文件”用于建立员工和其他企业相关人员在支持隐私保护方面所必须遵循的规定。16

注：在某些地区，根据某些法律、法规和合同协议，员工和承包商被视为数据处理者。但某些欧盟 GDPR 执法机构和其他监管机构不认为员工是数据处理者。关于这一点，隐私经理和隐私工程师需要咨询法律顾问。

隐私程序

虽然政策明确了企业内隐私保护活动的总体意图和目标，但程序提供了在具体情况下实施政策并有效实现政策最终目标的操作说明。隐私从业人员需要以符合企业文化的方式参与制定整个企业的隐私程序。这样，隐私从业人员才能确保隐私程序符合并支持相应的企业隐私政策和相关的业务需求。

程序可以指导员工如何一致地开展日常工作，以满足政策规定的要求。

程序必须落实到书面上，以支持个人数据保护方面的隐私政策和法律要求的合规性。程序也是统一员工认识所必需的要素，可支持他们采取一致的行动，以满足隐私政策的要求。Herold 指出17：

如果您的员工不知道或不了解如何维护信息的机密性，或者如何适当地保护信息，可能的风险不仅是您最有价值的业务资产之一（信息）遭到处理不当、使用不当或者被未经授权的人员获取，还可能让您面临违反法律法规的风险，因为越来越多的法律法规要求开展某些类型的信息安全及隐私意识和培训活动。

尤其重要的是，隐私工程师和其他隐私从业人员必须与整个企业内的其他从业人员合作，以确保：

●在系统、应用程序和基础设施的设计、开发和实施过程中遵循隐私计划和实务。

●企业和信息架构支持隐私设计原则和考虑因素。

●恰当地使用新兴的隐私增强技术。

●根据法律要求的变化对隐私工程实务做出适当和对应的调整。

●可根据既定的数据分类政策进行适当的识别、验证和实施隐私与安全控制。程序应予以记录和维护，并提供给所有需要这些程序来支持履行工作职责的工作人员。隐私从业人员应协助在整个企业内实施隐私程序，或者进行某种形式的监督。从业人员的参与不仅可确保企业实现相关的隐私政策目标，还有助于从业人员更好地了解隐私实务在实际应用和使用中如何影响业务活动。

处理记录

处理记录通常与 GDPR 第30 条的关联度最高，该条款描述了合规性所需的处理文件记录。为保留处理活动的记录，应当维护上述文档。处理记录包括：18

1.每个控制者及其代表（如适用）应维护其负责的处理活动的记录。该记录应包含下列所有信息：

a.控制者和联合控制者（如适用）、控制者代表及数据保护官的名字和联系方式。

b.处理的目的。

c.对数据主体类别和个人数据类别的描述。

d.已向或将向其披露个人数据的接收者的类别，包括第三方国家/地区或国际组织中的接收者。

e.在适用的情况下，向第三方国家/地区或国际组织转移个人数据，包括该第三方国家/地区或国际组织的识别，以及对于第 49 条第（1）款第二段所述的转移，还应记录适当的保障措施。

f.在可能的情况下，针对不同数据类别设想不同的擦除时间限制。

g.在可能的情况下，对第 32 条第（1）款中提到的技术和组织安全措施给出一般说明。

2.每个处理者及其代表（如适用）应维护控制者执行的所有类别的处理活动的记录，包括：

a.处理者及其代表的每个控制者的名字和联系方式，在适当情况下，还包括控制者或处理者的代表及数据保护官的姓名和联系方式。

b.代表每个控制者执行的处理类别。

c.在适用的情况下，向第三方国家/地区或国际组织转移个人数据，包括该第三方国家/地区或国际组织的识别，以及对于第 49 条第（1）款第二段所述的转移，还应记录适当的保障措施。

d.在可能的情况下，对第 32 条第（1）款中提到的技术和组织安全措施给出一般说明。

3.第 1 段和第 2 段所指的记录应采用书面形式，包括电子形式的记录。

4.控制者或处理者及他们的代表（如适用）应根据监管机构的要求向其提供记录。

5.第 1 段和第 2 段所述的义务不适用于员工人数少于 250 人的企业或组织，除非其执行的处理很可能对数据主体的权利和自由造成风险，该处理不是偶然的，或者该处理涉及的数据包含了第 9条第（1）款所提及的特殊数据类别或第 10 条所提及的与刑事定罪和犯罪行为有关的个人数据。

纠正行动计划

纠正行动计划（Corrective Action Plan， CAP）是一份正式的书面计划，旨在缓解和补救已识别的隐私问题及在审计和风险评估过程中发现的不合规风险。CAP 还适合记录改善隐私实务的同时改善企业流程的机会。CAP 通常需要用来满足监管机构特别要求的执法行动。例如，美国卫生和公众服务部（Health and Human Services， HHS）民权办公室（Office for Civil Rights， OCR）已处理过数百起 HIPAA 违规处罚，19其中包括，要求相关企业建立 CAP 来纠正违反 HIPAA 行为。

在 HHS OCR 案件中，CAP 的目的是纠正导致违反 HIPAA 规定的潜在不合规行为。在经过调查、协议和解及罚款后，HHS OCR 制订并执行了CAP。全球其他监管机构也会使用 CAP。监管机构的 CAP 时间可能跨越一年或几十年，这取决于发现的缺陷和违规情况。审计师（内部和外部）及信息安全和隐私从业人员使用 CAP 来支持计划管理。

数据保护影响评估

数据保护影响评估（Data Protection Impact Assessment， DPIA）是一种隐私评估，涵盖的范围比一般意义上的隐私影响评估更加具体。GDPR 第35 条描述了要求在 DPIA 文档中记录的内容，具体如下：20

该评估至少应包含：

1.对设想的处理操作和处理目的的系统性描述，包括控制者追求的合法利益（如适用）。

2.评估处理操作与目的相关的必要性和相称性。

3.对第 1 段所提及的数据主体的权利和自由进行的风险评估。

4.为应对风险而设想的措施，包括保障措施、安全措施和机制，以确保对个人数据的保护，并在考虑数据主体和其他相关人员的权利和合法权益的情况下证明遵守本条例。

请参阅第1.13.1 节“已建立的 PIA 方法”以了解更多信息。

备案通知制度

根据 1974年修正的《隐私法案》第（e）（3）节，21每个美国联邦机构都必须创建文件化的备案通知制度（System of Record Notices， SORN），以展示在企业用于向个人收集 PII 的文件中，这些公告将保留在隐私法案备案制度中。SORN 是面向公众的正式公告，阐明了收集 PII 的目的、向谁收集这些信息、收集哪些类型的信息、如何在外部共享 PII（日常使用），以及如何访问和更正每个联邦机构所维护的任何 PII。各机构必须在《联邦公报》中公布 SORN。一些联邦机构需要负责一个或多个适用于所有政府机构的备案制度。联邦机构内的隐私工程师或与联邦机构签约的人员需要了解 SORN 和所描述的 PII。

个人信息清单

个人信息清单是企业收集、提取、处理、存储或以其他方式处理的个人数据资产的文档化贮存库。将数据流映射纳入数据清单可提供宝贵的见解，因此建议在任何可能的情况下都这样做。

由于个人信息没有通用的定义，因此每个企业都必须确定要在其企业的 PII 中记录的具体信息项。具体信息项应反映与企业的服务、产品、地点、客户、患者、员工和供应商及其他决定因素有关的个人信息的既定定义。隐私从业人员需要确保存在更新并维护最新清单和现有数据流图（如有）的程序。

个人信息清单通常与 IT、安全或治理手册或自动化工具结合使用，包含有关企业网络、应用程序、系统、存储区和物理形式的信息。个人信息清单支持隐私管理计划举措的工作，以记录有关企业个人信息（例如人力资源数据、客户数据或市场营销数据）。每个企业都是独特的，因此个人信息清单项目会因企业的不同而存在差异。个人信息清单可以记录在硬拷贝媒体、电子表格、文字处理文档、数据库或其他类型的工具中。请参阅第3.1 节“数据清单和分类”以了解更多信息。

其他类型的文档

目前，有许多其他类型的文档可支持企业管理隐私计划并满足广泛的特定法律要求。这些文档的格式和内容通常因企业的不同而存在很大差异。一些重要但没有严格定义的文档类型包括：

●活动日志：记录隐私管理活动的日志，可以手动创建、由应用程序和系统生成，也可以通过供应商提供的或内部创建的各种工具自动生成。日志可详细说明参加过隐私培训的人员姓名、身份验证尝试失败的次数、给员工发放车辆位置，以及有权访问个人信息记录的人员身份等信息。

●数据保护法律要求：企业应识别并记录适用于其运营的所有隐私法律要求。此文档应提供给整个企业的关键利益相关方，尤其是隐私工程师，以帮助他们确保所设计的系统、应用程序、网络及其他服务和产品能够适当地支持法律要求。

●隐私风险评估报告：隐私风险报告反映了关于企业如何收集、使用、共享、维护和销毁个人信息的系统性评估的结果。隐私风险评估报告是概述企业隐私风险状态的重要文档。它不仅有助于满足法律要求（包括 GDPR 和 CCPA 等隐私法规的要求），还能够管理伴随新兴技术带来的风险并解决法律要求未涵盖的隐私风险。有关隐私风险评估的更多信息，请参阅第1.13 节“隐私影响评估”。

●PIA 报告：PIA 通常是一个过程，用于确定个人信息是否得到了适当的保护、使用、共享，是否妥当地提供给了与之相关的个人，以及是否进行了恰当的销毁处置。PIA 报告详细阐述了 PIA 的结果，并且包括如何适当缓解已发现的隐私风险的相关文档。有关 PIA 的更多信息，请参阅第1.13 节“隐私影响评估”。

●隐私治理报告：这份报告旨在向关键利益相关方传达整个企业隐私合规性的当前水平；自上次隐私治理报告发布之后所做的改进；自上次隐私治理报告发布之后遇到的风险、事件和问题，以及隐私计划和实务变更的状态和结果。这类报告之所以必要，有很多原因，主要包括：

■展示隐私部门和治理计划的价值。

■使关键利益相关方了解整个企业的隐私问题和风险。

■在隐私计划中传达成功与改进。

■加强隐私从业人员和关键利益相关方的互动，并了解关键利益相关方所关注的领域。

● 培训活动：记录培训的时间、主题、参加培训的人员及培训的日期是很重要的。此外，记录培训的方式及受训人员的所有测验或测试的结果也很重要。此类文档提供了向审计师或监管机构证明培训活动遵循了应有的谨慎标准的重要证据。文档还提供了已开展的培训活动的历史记录，有助于更好地了解培训的有效性，并能为如何改进培训计划提供见解。

●意识沟通：22意识不同于培训。意识活动可以在不同地点同时开展，而且可以长期进行。隐私意识活动可促进持续合规，保持员工对关键问题的关注。合规性需求和意识活动应随着企业需求而变化。意识通常是教育策略中影响行为和实践的“内容”组成部分。培训通常是实施安全和隐私的“方法”部分。为了有效开展意识活动，了解受众的需求很重要。意识活动的受众非常广泛，包括第三方、客户及消费者，涵盖了与企业合作的每个人。意识活动的受众拥有不同的经验、背景和工作职责。决策层面的意识目标是说服受众相信安全和隐私风险是可以降低的，并确保企业领导者意识到其承担的法律法规义务。所有意识活动的文档记录可证明企业遵循了应有的谨慎标准，并支持各种有关隐私的法律要求。