数据脱敏与隐私合规（Masking、Pseudonymization、GDPR/CCPA）

数据脱敏与隐私合规（Masking、Pseudonymization、GDPR/CCPA）概述隐私法规要求对个人数据的采集与处理进行严格治理。技术与流程协同可降低风险。关键实践与参数最小化：仅采集必要字段；设定保存期限与访问权限。脱敏：掩码邮箱/手机号/地址；哈希/假名化存储标识。可删除与可导出：实现数据删除与导出能力，符合用户权利。审计：记录访问与变更；按需触发合规检查。示例（策略片段）privacy: retention_days: 90 fields_mask: [email, phone] pseudonymization: sha256(user_id + salt) 验证方法合规扫描与渗透测试；确认无敏感明文泄露。抽检日志与访问权限，验证最小化与审计覆盖。用户数据删除/导出流程演练。注意事项脱敏与加密需结合；不同场景选择不同强度。跨境与第三方共享必须签署与审计。合规团队与技术团队共同维护基线与更新。