公众号文章 2026-06-21

一文了解GDPR的LIA 评估(附模板下载)

LIA即合法利益评估,是企业以GDPR第六条第一款f项正当利益作为处理合法基础时必须事前完成并书面留痕的评估文件,2024年10月EDPB发布《正当利益指南》后正式纳入合规清单。适用于不依赖同意、合同或法律义务的营销、风控、运营优化等场景。核心要求为事前完成、书面留痕、定期复核、不可兜底。相比DPIA更轻量,内容含具体利益、必要性与替代方案、企业利益与个人权利平衡测试三部分。个保法未独立设LIA,已并入PIA兜底条款。

公众号文章 2026-06-21

敏感数据加密和单独存储的补充说明

依据TC260-PG-20244A与GB/T45574-2025最新标准,身份证号与电话已被排除于敏感个人信息法定类别,但分级仍宜列为高敏。SQLServer与MySQL均支持字段级加密函数,但批量查询逐行解密带来CPU损耗,字段须设为二进制、密文体积膨胀两到三倍。微软AlwaysEncrypted提供数据库级方案,结构无需改造,运维DBA无密钥仅见密文。TDE透明加密仅防拖库不防内部人员,不满足字段级合规。分开存储不强制分库,逻辑隔离即可。

公众号文章 2026-06-21

如何落实敏感信息“加密”和“分开存储”的合规要求?

敏感个人信息须加密并与普通信息隔离存储,常用做法是按业务字段与隐私字段拆分两表通过主键关联。指纹与人脸不存原图,仅存关键点特征的加密向量。未成年人姓名电话身份证均属敏感,全字段加密后SQL无法按明文条件查询,需额外建哈希列,先哈希入参再匹配,排序同样需特殊处理。混合存储成年与未成年信息时宜统一升格敏感等级。旧系统改造工程巨大,故倡导PbD从源头融入。

公众号文章 2026-06-21

GDPR合规自查评估(附程序)

中国《个人信息保护法》在告知同意、数据主体权利、保护影响评估、泄露通知、负责人制度与长臂管辖等方面深受通用数据保护条例影响,但通过大量标准与指南形成自成体系,与欧盟版本在合法性基础、罚款标准、出境路径上存在差异。条例覆盖合法性基础、八项权利、控制者与处理者义务、跨境传输机制、数据保护官、违规通报与高额罚款等要点。卓建团队推出自查小程序,将法条转为可勾选问题,覆盖跨境出海等场景。

公众号文章 2026-06-21

我们企业的数据到底是不是“重要数据”?

重要数据是中国法律专用名词,指特定领域、群体、区域或达一定精度规模、一旦泄露篡改可能危害国家安全、经济运行与公共健康的数据,依据《数据安全法》《网络数据安全管理条例》及国标四三六九七等行业指南识别。一旦被认定,企业须履行全方位安保义务,出境前必须通过安全评估。国家互联网信息办公室二零二五年五月三十日答问明确,未被告知或公开发布的,未申报与未出境评估均不会被认定违规。

公众号文章 2026-06-21

个人信息保护合规审计自查(附程序)

国家互联网信息办公室二零二六年四月三日发布的小型个人信息处理者简化措施规定征求意见稿第十四条规定,处理不满十万人个人信息的主体可采用附件自查表,至少每五年开展一次合规审计并保存五年。自查表覆盖处理规则、向外提供、敏感信息、自动化决策、数据出境、权利保障、制度技术保障及评估应急多维度。卓建团队开发的自查小程序支持自动评分、不合规项解析、配套法规显示与整改说明。

公众号文章 2026-06-21

欧盟EDPB发布新的DPIA模板

欧洲数据保护委员会二零二六年四月十四日发布新版数据保护影响评估公众咨询模板,咨询期至同年六月九日,旨在落实赫尔辛基声明、统一各成员国五花八门的旧版本,简化通用数据保护条例合规、提升监管一致性并降低企业成本。新模板更接近法国国家信息与自由委员会版本,因后者执法实践投入更大、专业度更高。定稿后将推动各国监管机构采纳为统一或兼容模板,企业可关注公众号下载模板文件。

公众号文章 2026-06-21

《数据法案》的数据“自行获取”的合规要求

欧盟《数据法案》要求自二零二五年九月起企业提供间接获取方式,二零二六年九月起所有境内电子设备须支持用户自行直接下载,无需厂商审批,且满足免费、结构化、与厂商自用同质、无延迟实时等要求。须提供全部直接采集的原始数据而非加工统计数据,算法、商业秘密、版权内容与内部调试数据可豁免。第十七款规定已采集未汇总的现成可用数据仍须整理交付,企业须投入额外技术成本部署接口。

公众号文章 2026-06-21

OpenClaw合规风险评估,看看你的分数是多少?

国家互联网应急中心二零二六年三月将开源克劳技能插件投毒列为四大核心风险之一,监测显示官方市场三千零一十六个插件中百分之十点八含恶意代码,百分之十七点七获取不可信第三方内容,百分之二点九动态拉取外部代码。恶意插件继承核心权限可窃取系统密码、浏览器小型文本与接口密钥,植入后门劫持设备,删除加密文件勒索。卓建团队开发风险评估小程序,企业可扫码自评并参考整改建议。

公众号文章 2026-06-21

国家层面的数据产权登记工作指引出台,数据的春天来了?

国家数据局综合司二零二六年四月三日发布《数据产权登记工作指引(试行)》征求意见稿,国家层面数据产权登记正式启动,落实数据二十条的资源持有权、加工使用权、产品经营权三权分置。登记机构须省级推荐国家遴选、实缴资本不低于一亿元、具两年流通经验和等保三级,证书统一编码全国互认,有效期不超过五年。登记对象为合法可流通的数据资源与产品,党政机关履职数据不得登记,既有证书需重新登记。