美国大数据应用信息安全合规指南

关于大数据信息安全的话题，去年在涉及到第三方云服务GDPR安全合规性的审查中，对欧盟的通用数据保护条例做了比较透彻的了解，作为最严厉的个人隐私数据保护法案而言，严厉的处罚措施，已经让美国互联网巨头吃到了苦头。

相对而言，中国的《网络安全法》虽然在点上均有提及，但在描述的细致性、准确性和处罚力度上依然相差甚远。据传的《个人信息保护法》会进一步细化对个人隐私数据的保护措施，不过根据中国有法未必依的实际情况来看，其保护道路依然崎岖而漫长。

一般意义上的理解，美国对个人信息的保护，缺少联邦层面的统一法典，不过在具体的行业领域，对个人隐私和个人数据信息的保护仍有不少联邦和州的法律适用，从复杂的法律角度而言，要满足合规性的要求，陷阱更多，这本书从不同行业专业领域的合规性要求和个人隐私数据适用的商业场景谈起，有富理达事务所业务专业隐私律师一一解读相关的法律规定和相关案例，极具参考价值。

通用的隐私保护角度而言《个人隐私保护法案》《信用公平法案》等保护法律，对个人信息权利的保护，获取、查看、纠正、知情同意、授权等要求和欧盟GDPR要求类似，属于共识层面的个人隐私数据保护基础。

针对医疗领域HIPPA作为医疗合规领域的规范和标准，与金融领域的PCI都针对具体的数据和应用场景提供了保护的要求，针对各州的地方性法令和一些针对性的法案仍需要参考以避免违规。

针对商业合作的信息安全合规与隐私，也分门别类阐述了相关的基本原则和适用法案，针对个人数据收集、数据库授权、脱敏数据的应用进行了探讨，对相关案例的启示意义值得借鉴和参考。针对保险行业的大数据应用，尤其是一个人数据为基础的差别定价可能涉及到的违规值得我国立法者参考，同样，从反垄断法角度出发，大数据带来的信息不对称垄断同样需要关注。在行业应用中，基于大数据的人力资源管理与法庭证据展示，体现了技术对行业业务的影响，法律的有效性面对人在处理数据层面的局限性，技术的可信任性让人想起了737-max800这真是个颇具争议的伦理问题。

数据保护仍在未出发的路上，法学界的探讨对IT而言意义重大，跨界的研究合作才能共同促进个人信息保护的进步，让垃圾电话、诈骗电话信息源先无所遁形就是一个比较靠谱的出发点。