数据保护原则清单

以下为欧盟《通用数据保护条例》（GDPR）确立的主要数据保护原则（GDPR 第5条，第1款与第2款），适用于所有个人数据处理活动：

1) 合法性、公平性与透明性（Lawfulness, Fairness, Transparency）
- 含义：处理须有合法依据（GDPR 第6条），不得对个人造成意料之外或不公正的影响，并以清晰、易懂的方式告知数据主体处理情况（GDPR 第12–14条）。
- 合规要点：
  - 明确并记录处理的合法依据（同意、合同、法定义务、重大利益、公共任务、合法利益）。
  - 提供准确、完整的隐私声明；确保同意可撤回且记录完备（如以同意为依据）。
  - 禁止“目的外”暗中扩展处理；避免误导性界面或“暗黑模式”。

2) 目的限定（Purpose Limitation）
- 含义：为特定、明确且合法的目的收集数据，不得进行与收集目的不相容的进一步处理（GDPR 第5条1(b)、第6条4）。
- 合规要点：
  - 在收集前定义目的并对外披露；使用“相容性评估”判断二次使用是否相容。
  - 对研究/统计等目的的二次处理须实施适当保障（如去标识化、访问控制）（GDPR 第89条）。

3) 数据最小化（Data Minimisation）
- 含义：处理的数据应当限于达成目的所“适当、相关且必要”的最小量（GDPR 第5条1(c)）。
- 合规要点：
  - 按需收集字段；在设计环节落实默认最小化（GDPR 第25条“内生与默认保护”）。
  - 控制访问范围与权限；避免“将来或许有用”的泛收集。

4) 准确性（Accuracy）
- 含义：数据应准确并保持最新；对不准确数据应及时更正或删除（GDPR 第5条1(d)）。
- 合规要点：
  - 建立校验、纠错与数据质量流程；提供便捷的更正渠道（GDPR 第16条）。
  - 配置定期核验机制与来源可靠性管理。

5) 存储期限限制（Storage Limitation）
- 含义：可识别个人身份的形式仅保留至达成目的所必需的期限（GDPR 第5条1(e)）。
- 合规要点：
  - 建立并执行数据保留与删除（或匿名化）计划；对超期数据进行清理或不可逆匿名化。
  - 对出于公共利益档案、研究或统计目的的长期保存需配套保障（GDPR 第89条）。

6) 完整性与保密性（安全性）（Integrity and Confidentiality）
- 含义：通过适当的技术与组织措施，确保数据免受未经授权或非法处理、意外丢失、破坏或损坏（GDPR 第5条1(f)，第32条）。
- 合规要点：
  - 采用加密、伪名化、分层访问控制、日志与监控、备份与恢复、漏洞管理与渗透测试。
  - 建立事件响应与通报流程（GDPR 第33–34条）。

7) 可追责性（问责制）（Accountability）
- 含义：控制者对遵守上述原则负责，并须能证明合规（GDPR 第5条2）。
- 合规要点：
  - 记录处理活动（GDPR 第30条）、开展隐私影响评估（DPIA，GDPR 第35条）、任命数据保护官（如适用，GDPR 第37条）。
  - 供应商/处理者管理（GDPR 第28条）、政策与培训、定期审计与证据留存。
  - 在系统与流程设计中贯彻“数据保护内生与默认”（GDPR 第25条）。

说明：
- 上述原则构成GDPR合规的基础框架，适用于数据控制者与（在其职责范围内）处理者的处理活动全生命周期。
- 原则之间相互支撑：例如透明性与问责制需要可验证的文档化证据，数据最小化与存储限制应反映在保留计划与访问控制中。

加州（CCPA/CPRA 框架）下的主要数据保护原则如下：

- 透明度与通知
  - 在收集个人信息时提供“收集通知”，明确类别、用途、是否出售/共享、保留期限或判定标准、是否涉及敏感个人信息（Cal. Civ. Code §1798.100(b)、CCPA 规章）。
  - 隐私政策需定期更新，描述消费者权利、请求渠道、出售/共享的类别、与第三方的披露情况、数据保留实践等。

- 目的限制、数据最小化与存储期限限制（CPRA 新增，§1798.100(c)）
  - 不得将个人信息用于与收集时所披露目的不合理或不相称的用途。
  - 仅收集为实现目的所必需的个人信息。
  - 不得保留超过实现披露目的所需时间；需在通知/隐私政策中体现保留期限或判定标准。

- 消费者权利
  - 知情与访问权：可请求了解收集、使用、披露、出售/共享的类别与具体内容（§1798.110、§1798.115）。
  - 数据可携权：在技术可行时以可用格式提供（§1798.100(d) 与规章）。
  - 删除权：在法定例外外，须删除并指示服务商/承包商/第三方同步删除（§1798.105）。
  - 更正权：更正不准确的个人信息（§1798.106）。
  - 选择退出出售/共享权：可随时拒绝将个人信息出售或用于跨情境定向广告（“共享”）（§1798.120、§1798.135）。
  - 限制敏感个人信息使用/披露权：将使用限制在必要范围（如服务交付、安全），并提供“限制使用敏感信息”入口（§1798.121）。
  - 反歧视：不得因行使权利而差别对待；激励计划需披露价值与条款并取得知情同意（§1798.125）。

- 敏感个人信息的专门保护（CPRA）
  - 类别包括精准地理位置、政府身份证号、账户凭据、健康/生物识别数据、种族/民族、宗教、工会成员、邮件/消息内容等。
  - 默认仅在必要范围使用；消费者可要求进一步限制（§1798.121）。

- “合理安全措施”与数据泄露通知
  - 需实施与信息性质相称的合理安全程序与实践（Cal. Civ. Code §1798.81.5）。
  - 发生泄露时履行州法通知义务（§1798.82）。
  - 因未实施合理安全而导致特定个人信息被未经授权访问/泄露，消费者可提起私权诉讼（CCPA §1798.150）。

- 未成年人个人信息保护
  - 未满16岁个人信息的出售/共享需事先“选择加入”（<13 岁需监护人同意）（§1798.120(d)）。
  - 涉及未成年人违规的罚款加重（CPRA）。

- 账户与技术控制：支持偏好信号
  - 必须无摩擦地识别并尊重全局隐私控制（GPC）等“选择退出偏好信号”，将其视为有效的出售/共享拒绝请求（CCPA 规章 §7025 等）。

- 第三方、服务提供商与承包商的合规治理
  - 与受托处理方订立合同，限制用途，禁止未经授权的合并或再利用，要求协助履行消费者请求并采取合理监督措施（§1798.140、§1798.100(d)、规章）。
  - 披露给第三方时，需确保其用途与披露目的相符，并受合同约束。

- 记录保存与请求响应流程
  - 建立身份验证、请求受理与响应机制，遵守法定时限与例外。
  - 保存消费者请求及处理记录（通常至少24个月），用于合规证明（规章要求）。

- 风险评估与网络安全审计（待监管定案）
  - CPRA 要求监管机构制定针对高风险处理的隐私风险评估与网络安全审计规则；相关草案尚未最终生效，落地要求以已发布的最终规章为准（§1798.185）。

- “出售”与“共享”的明确定义与标识
  - 出售：以金钱或其他有价对价披露个人信息。
  - 共享：为跨情境定向广告披露个人信息（CPRA 新增）。
  - 网站与应用需提供“Do Not Sell or Share My Personal Information”和“Limit the Use of My Sensitive Personal Information”直达机制（§1798.135、§1798.121）。

以上原则体现加州隐私法的核心：以透明度和消费者控制为中心，叠加目的/保留限制与合理安全，再通过契约与技术措施加强端到端治理。实际落地应结合企业数据地图、保留政策、请求处理SOP、服务商合同条款、偏好信号识别与安全控制基线，确保证据链可审计与持续合规。

UK data protection principles (UK GDPR and Data Protection Act 2018):

- Lawfulness, fairness, and transparency
  - Process personal data only with a lawful basis (Article 6), and additional conditions for special category data (Article 9) and criminal offence data (DPA 2018, Sch. 1).
  - Be fair in how data is used; do not use data in ways people would not reasonably expect.
  - Provide clear, accessible privacy information to data subjects at the point of collection.

- Purpose limitation
  - Collect data for specified, explicit, and legitimate purposes.
  - Do not process data for incompatible purposes; assess compatibility if considering reuse.
  - Limited exceptions for archiving in the public interest, scientific/historical research, and statistical purposes, with appropriate safeguards (Article 89).

- Data minimisation
  - Ensure data is adequate, relevant, and limited to what is necessary for the stated purposes.
  - Avoid collecting or retaining data not needed to meet those purposes.

- Accuracy
  - Keep personal data accurate and up to date.
  - Take reasonable steps to rectify or erase inaccurate data without delay.

- Storage limitation
  - Retain personal data only for as long as necessary for the purposes collected.
  - Define and apply retention schedules; apply archiving/research exceptions with safeguards where applicable.

- Integrity and confidentiality (security)
  - Protect personal data with appropriate technical and organisational measures against unauthorised or unlawful processing, and against accidental loss, destruction, or damage.
  - Use a risk-based approach; consider measures such as encryption, pseudonymisation, access controls, secure development, monitoring, and incident response.

- Accountability
  - Be responsible for, and able to demonstrate, compliance with all principles.
  - Implement governance: policies, training, records of processing (Article 30), DPIAs (Article 35) where required, privacy by design and by default (Article 25), supplier due diligence and contracts, breach management, and oversight (including DPO where applicable).