国际标准
- ISO/IEC 27001:2013 信息安全管理体系
- ISO/IEC 27002:2013 信息安全控制实用规则
- ISO/IEC 27017:2015 云环境下的信息安全控制
- ISO/IEC 27018:2019 公有云个人隐私保护
- ISO/IEC 27701:2019 隐私管理体系
- ISO/IEC 29100:2011 隐私框架
- ISO/IEC 29151:2017 个人隐私保护标准
欧美安全法案
- 欧盟GDPR《通用数据保护条例》欧盟于2018年5月25日正式发布GDPR《通用数据保护条例》。 GDPR由11章99个条款组成,它是一项的“大而全”的个人数据保护框架。给出个人数据的处理范围十分宽泛,不仅包括一些常见的个人数据,如自然人的姓名、身份证号码、位置数据、地址信息。同时也包括与自然人相关的网络信息,如cookie,IP地址, Mac地址,以及自然人的生物识别数据,如指纹、虹膜等,因为GDPR认为,这些数据在使用合理可能手段,可以唯一确定到“自然人”。对于如何这些数据主体,给出了个人数据的处理原则、处理的合法性、同意的条件等。同时明确了数据主体拥有知情权、访问权、修正权、删除权(被遗忘权)、限制处理权(反对权)、可携带权、拒绝权等基本权利。在儿童同意的条件、跨境传输给出相应的规范和约束。特别值得的是,GDPR的处罚措施非常严厉,对于违反GDPR规定的,最高可以罚款2000万欧元或全球年度营业额的4%(取两者最高数值)
- 欧盟《非个人数据自由流动条例》2018年10月4日,欧洲议会投票通过《非个人数据自由流动条例》,旨在促进欧盟境内非个人数据自由流动,消除欧盟成员国数据本地化的限制。非个人数据是指GDPR规定的“个人数据”以外的数据,比如匿名化数据,设备之间产生的数据。另外,它目的在于与已经实施生效的GDPR形成数据治理的统一框架,以此平衡个人数据保护、数据安全和欧盟数字经济发展
- 欧盟《数字服务法》(Digital Service Act, DSA)和《数字市场法》(Digital Market Act, DMA)欧盟委员会于2020年12月15日推出《数字服务法》(Digital Service Act, DSA)和《数字市场法》(Digital Market Act, DMA)提案;《数字服务法》侧重于加强数字平台在打击非法内容和假新闻及其传播方面的责任;《数字市场法》则是反托拉斯法在数字领域的拓展和体现。
- 英国DPA2018《数据保护法》2018年5月23日,英国正式通过新修订的DPA2018《数据保护法》。该法将废除1998年颁布的《数据保护法》,重新建立英国数据保护框架以促进GDPR在英国的有效落实,并在GDPR框架下对某些条款做出裁剪规定。同时,确保英国在脱欧之后与欧盟在个人数据保护方面保持一致,以促进英国与欧盟国家的数据流动。该法主要内容包括:1) 加强数据主体对其个人数据的控制权。2)加强数据控制者义务。此外,该法还为刑事司法机构出于执法目的而处理数据设计了专门的执法框架,要求在执法过程中同样需要保护个人数据。
- 瑞士DPA《联邦资料保护法》瑞士是少数未加入欧盟的欧洲国家。在欧盟个人资料保护指令 (EU Directive 95/46/EC)实施期间已获得第三国适应性认定,即欧盟认定瑞士关于个人信息保护的相关法规及其保护程度与欧盟个人信息保护指令相当。为应对欧盟GDPR新法规,2017年9月15日瑞士联邦议会通过修订草案,修正DPA相关条文。其目的是配合欧盟GDPR的实施,希望在GDPR正式实施之后,继续获得第三国适应性认定,而不须在每次跨境资料传输皆遵循GDPR规则办理。瑞士DPA与GDPR区别在于其并未制定数据可携带权、没有领域外效力、对于知情同意的要求较低、认证机制于行为守则及罚则较低。
- 德国BDSG《联邦个人资料保护法》德国联邦议院于2018年 4月27日通过《个人信息保护调整和施行法》,其中包含新的德国BDSG《联邦个人信息保护法》。在这部新的法案中,已实施40年的BDSG进行了大幅调整以符合欧盟GDPR《通用数据保护条例》。在新的BDSG法案中德国联邦政府运用了GDPR的开放性条款,导致部分新的BDSG规范内容超越了GDPR的条文规范,与现行欧盟法律不符,很可能被宣布违反欧盟法律。另一方面,旧的BDSG仅有48条规定,而新的BDSG则超过85条规定,且更为复杂,提高了法律适用上的难度。
- SOX法案萨班斯法案,又被称为萨班斯·奥克斯利法案,其全称为《2002年公众公司会计改革和投资者保护法案》,该法案对美国《1933年证券法》、《1934年证券交易法》做出大幅修订,在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定 萨班斯法案对在美国上市的公司提供了合规性要求,使上市公司不得不考虑控制IT风险在内的各种风险
- 美国CCPA《加州消费者隐私保护法》2018年6月28日,美国加州通过《2018加州消费者隐私法案》(California Consumer Privacy Act, CCPA)该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。CCPA规定,要求企业披露其所收集的消费者个人信息的类别、收集或出售、使用信息的目的。同时,CCPA也赋予了消费者创建了访问权、删除权、知情权等一系列隐私权利。
- 美国《健康保险隐私及责任法案》美国于1996年颁布的《健康保险隐私及责任法案》(Health Insurance Portability and Accountability Act, HIPAA),确保健康信息的安全性和隐私性,并且保护个人的健康信息(Protected health information, PHI)。PHI数据包括个人以往、目前或将来的身体(或精神)健康或状况有关的数据;个人接受健康保健服务的相关数据;个人以往、目前或将来接受健康保健服务的费用支付相关等。隐私条例的基本规定是企业只有在隐私条例允许范围内或者获得数据主体的个人书面同意之后才能够披露PHI
- 美国SB 220《内华达州数据隐私法》2019年5月29日美国内华达州发布SB 220《内华达州数据隐私法》,该法案涉及互联网隐私,要求互联网网站和在线服务的运营商遵循消费者的指示,不得出售其个人数据。违反SB 220可能会导致运营商收到禁令或每次违规最高被处以5,000美元的民事处罚。SB 220已于2019年10月1日生效。
国内安全法案
- 《中华人民共和国国家安全法》
- 《 中华人民共和国网络安全法》重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。
- 《中华人民共和国数据安全法》《数据安全法》沿袭了“网信部门 公安部门 国务院其他下属机构联动”的监管体系;《数据安全法》首次将数据安全全局决策统筹工作升格至中央国家安全领导机构,与《国家安全法》保持一致
- 《中华人民共和国个人信息保护法》强调了个人信息包括电子以及其他载体形式的个人信息
- 《网络安全等级保护管理办法》