数据隐私合规

# 数据隐私合规 针对 GDPR、CCPA、HIPAA 及其他全球数据保护法规实施数据隐私合规的综合指南。 ## 何时使用此技能 在以下情况使用此技能： - 实施 GDPR、CCPA 或 HIPAA 合规性 - 进行数据保护影响评估 (DPIA) - 管理数据主体权利（访问、删除、可移植性） - 实施同意管理系统 - 起草隐私政策和通知 - 处理数据泄露和事件响应 - 设计隐私设计系统 - 进行隐私审计和评估 ## 关键法规概述 ### GDPR (通用数据保护条例) **范围：** 欧盟居民的数据，无论公司位于何处 **关键要求：** - 处理的合法性基础（同意、合同、合法利益等） - 数据主体权利（访问、删除、可移植性、反对） - 针对高风险处理的数据保护影响评估 - 72 小时内泄露通知要求 - 处理活动记录 - 隐私设计和默认隐私 **处罚：** 最高 2000 万欧元或全球年营业额的 4% ### CCPA/CPRA (加州消费者隐私法案) **范围：** 加州居民的数据 **关键要求：** - 知晓收集了哪些数据的权利 - 删除个人信息的权利 - 选择拒绝出售/共享的权利 - 更正不准确信息的权利 - 限制使用敏感个人信息的权利 **处罚：** 每次故意违规最高 7,500 美元 ### HIPAA (健康保险流通与责任法案) **范围：** 美国境内的受保护健康信息 (PHI) **关键要求：** - 隐私规则（患者权利和信息使用） - 安全规则（电子受保护健康信息的保障措施） - 泄露通知规则（60 天通知期） - 商业伙伴协议 (BAAs) **处罚：** 每年每类违规最高 150 万美元 ## 数据主体权利实施 ### 1. 访问权 (GDPR 第 15 条 / CCPA § 1798.100) **请求处理程序：** javascript async function handleAccessRequest(userId, email) { // 验证身份 const verified = await verifyIdentity(email); if (!verified) throw new Error('身份验证失败'); // 收集所有个人数据 const userData = await collectUserData(userId); // 格式化以便阅读 const report = { personalInfo: userData.profile, activityLogs: userData.activities, preferences: userData.settings, thirdPartySharing: userData.dataSharing, reten