查看原文
其他

个人信息保护法一周年 | 181项法规政策、标准报告大全(附下载)

数据安全建设就找 炼石网络CipherGateway 2024-01-09

随着党的二十大胜利闭幕,我国迈入了以中国式现代化全面推进中华民族伟大复兴的新征程。国家安全作为民族复兴的根基,是全面建成社会主义现代化强国、实现第二个百年奋斗目标的支撑和前提。二十大报告提出,“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”、“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”、“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”、“加强个人信息保护”。在这份新时代党和国家事业发展的理论指南和行动纲领中,“个人信息保护”被提到前所未有的高度,作为我国新安全格局的重要组成发挥更好地规范和指导作用,以保障新发展格局。


为强化个人信息的制度性保障,2021年11月1日,我国第一部个人信息保护方面的专门法律《个人信息保护法》正式施行,体现个人信息受保护权作为基本权利,是公民人格尊严的重要内容,遵循合宪性原则,也标志着我国个人信息保护立法体系进入新阶段。以《个人信息保护法》为起点,我国不断完善个人信息保护体制机制,形成横跨民法商法、行政法、经济法、刑法等多领域的立法体系,构建了行政法规、部门规章、地方性法规、地方规章、技术标准等多层级的个人信息确权和保护机制,进一步保障个人信息权益,规范个人信息处理活动,促进个人信息合理利用。



值此二十大和《个人信息保护法》施行一周年之际,炼石全面整理了我国个人信息保护相关法规政策,覆盖国家法律、行政法规、部门规章、地方性法规、地方规章、技术标准、报告白皮书等共计181项文件以期为个人信息保护产业各界提供参考,不足之处诚邀大家共同完善。


关注本公众号并在后台回复关键词“炼石就是数据安全024”,即可打包下载本文所有政策文件。


声明:为助力行业进步,欢迎转载引用,但需要注明出处,未经授权,不得用于商业目的。


     一、国家法律      


《个人信息保护法》
  • 施行日期:2021/11/1

  • 发布机构:全国人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:该法涵盖总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等方面,旨在保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,标志着我国个人信息保护立法体系进入新的阶段。


《数据安全法》
  • 施行日期:2021/9/1

  • 发布机构:全国人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:作为我国数据安全领域的基础性法律,该法涵盖总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。法律规定,对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。


《未成年人保护法(2020修订)》
  • 施行日期:2021/6/1

  • 发布机构:全国人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。


《民法典》
  • 施行日期:2021/1/1

  • 发布机构:全国人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:第六章详细规定了隐私权和个人信息保护,要求自然人享有隐私权。自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。


《密码法》
  • 施行日期:2020/1/1

  • 发布机构:全国人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:该法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。该法规定,密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。


《电子商务法》
  • 施行日期:2019/1/1

  • 发布机构:全国人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:电子商务经营者从事经营活动,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任,接受政府和社会的监督。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。


《网络安全法》
  • 施行日期:2017/6/1

  • 发布机构:全国人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:该法旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。该法规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。


《刑法修正案(九)》
  • 施行日期:2015/11/1

  • 发布机构:全国人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。


《消费者权益保护法》


  • 施行日期:2014/3/15

  • 发布机构:全国人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:规定经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。


      二、行政法规      


《全国一体化政务服务平台移动端建设指南》
  • 发布日期:2021/9/29

  • 发布机构:国务院

  • 行业属性:政府

  • 概述/要求:坚持安全可控。全面落实总体国家安全观,树牢网络安全底线思维,统筹发展和安全,增强移动政务服务一体化安全防护能力,加强对重要政务数据、敏感个人信息等的保护,确保政务网络和数据信息安全。


《关键信息基础设施安全保护条例》
  • 施行日期:2021/9/1

  • 发布机构:国务院

  • 行业属性:全行业

  • 概述/要求:专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。


《关于落实政府工作报告重点工作分工的意见》
  • 发布日期:2021/3/25

  • 发布机构:国务院

  • 行业属性:全行业

  • 概述/要求:加强网络安全、数据安全和个人信息保护。


《关于构建更加完善的要素市场化配置体制机制的意见》
  • 发布日期:2020/3/30

  • 发布机构:中共中央 国务院

  • 行业属性:全行业

  • 概述/要求:推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。


《关于加快推进全国一体化在线政务服务平台建设的指导意见》
  • 发布日期:2018/7/31

  • 发布单位:国务院

  • 行业属性:政府

  • 概述/要求:加强政务大数据安全管理,制定平台数据安全管理办法,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理。制定全国一体化在线政务服务平台数据安全管理办法,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理,加强政务大数据安全管理。


《关于印发进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案的通知》
  • 发布日期:2018/6/22

  • 发布机构:国务院

  • 行业属性:政府

  • 概述/要求:推动制定完善信息保护的法律制度,切实保护政务信息资源使用过程中的个人隐私和商业秘密。


《关于促进“互联网+医疗健康”发展的意见》
  • 发布日期:2018/4/28

  • 发布机构:国务院

  • 行业属性:医疗

  • 概述/要求:加强“互联网+医疗健康”标准的规范管理,制订医疗服务、数据安全、个人信息保护、信息共享等基础标准,全面推开病案首页书写规范、疾病分类与代码、手术操作分类与代码、医学名词术语“四统一”。


《科学数据管理办法》
  • 施行日期:2018/4/2

  • 发布机构:国务院

  • 行业属性:全行业

  • 概述/要求:办法旨在进一步加强和规范科学数据管理,保障科学数据安全,提高开放共享水平,更好支撑国家科技创新、经济社会发展和国家安全。办法指出,涉及国家秘密、国家安全、社会公共利益、商业秘密和个人隐私的科学数据,不得对外开放共享;确需对外开放的,要对利用目的、用户资质、保密条件等进行审查,并严格控制知悉范围。


《关于印发政府网站发展指引的通知》
  • 发布日期:2017/6/8

  • 发布机构:国务院

  • 行业属性:政府

  • 概述/要求:建立保密审查机制,严禁涉密信息上网,不得泄露个人隐私和商业秘密。


《关于创新管理优化服务培育壮大经济发展新动能加快新旧动能接续转换的意见》
  • 发布日期:2017/1/20

  • 发布机构:国务院

  • 行业属性:全行业

  • 概述/要求:推动出台电子商务法,以及个人信息保护、数据资源管理、新能源发电并网等新的法律法规规定。根据数据安全属性,依据有关规定,积极稳妥地向社会开放政府数据。制定严格的个人信息保护法规和大数据安全监管制度,严厉打击非法泄露个人信息行为。


《关于促进和规范健康医疗大数据应用发展的指导意见》
  • 发布日期:2016/6/24

  • 发布机构:国务院

  • 行业属性:医疗

  • 概述/要求:建立健全健康医疗大数据开放、保护等法规制度,强化标准和安全体系建设,强化安全管理责任,妥善处理应用发展与保障安全的关系,增强安全技术支撑能力,有效保护个人隐私和信息安全。


《促进大数据发展行动纲要》
  • 发布日期:2015/8/31

  • 发布机构:国务院

  • 行业属性:全行业

  • 概述/要求:研究推动网上个人信息保护立法工作,界定个人信息采集应用的范围和方式,明确相关主体的权利、责任和义务,加强对数据滥用、侵犯个人隐私等行为的管理和惩戒。


《关于积极推进“互联网+”行动的指导意见》
  • 发布日期:2015/7/4

  • 发布机构:国务院

  • 行业属性:全行业

  • 概述/要求:制定国家信息领域核心技术设备发展时间表和路线图,提升互联网安全管理、态势感知和风险防范能力,加强信息网络基础设施安全防护和用户个人信息保护。落实加强网络信息保护和信息公开有关规定,加快推动制定网络安全、电子商务、个人信息保护、互联网信息服务管理等法律法规。


《关于运用大数据加强对市场主体服务和监管的若干意见》
  • 发布日期:2015/7/1

  • 发布机构:国务院

  • 行业属性:全行业

  • 概述/要求:加快研究完善规范电子政务,监管信息跨境流动,保护国家经济安全、信息安全,以及保护企业商业秘密、个人隐私方面的管理制度,加快制定出台相关法律法规。


《征信业管理条例》
  • 施行日期:2013/3/15

  • 发布机构:国务院

  • 行业属性:金融

  • 概述/要求:征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明。未按照与个人信息主体约定的用途使用个人信息或者未经个人信息主体同意向第三方提供个人信息,情节严重或者造成严重后果的,由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款;对个人处1万元以上5万元以下的罚款;有违法所得的,没收违法所得。给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。


    三、部门规章      


1全行业
《网络安全审查办法》
  • 施行日期:2022/2/15

  • 发布单位:国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局

  • 行业属性:全行业

  • 概述/要求:办法提出,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。


《“十四五”国家信息化规划》
  • 发布日期:2021/12/27

  • 发布单位:中央网络安全和信息化委员会

  • 行业属性:全行业

  • 概述/要求:强化数据安全保障。加强数据收集、汇聚、存储、流通、应用等全生命周期的安全管理,建立健全相关技术保障措施。建立数据分类分级管理制度和个人信息保护认证制度,强化数据安全风险评估、监测预警、检测认证和应急处置,加强对重要数据、企业商业秘密和个人信息的保护,规范对未成年人个人信息的使用。


《网络数据安全管理条例(征求意见稿)》
  • 发布日期:2021/11/14

  • 发布单位:国家互联网信息办公室

  • 行业属性:全行业

  • 概述/要求:为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定了该条例。条例提出,数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。


《提升全民数字素养与技能行动纲要》
  • 发布日期:2021/11/5

  • 发布单位:中央网络安全和信息化委员会

  • 行业属性:全行业

  • 概述/要求:强化个人信息和隐私保护。加大个人信息和隐私保护相关法律法规的普及宣传力度,提高全民个人信息和隐私保护意识。制定完善个人信息和隐私保护标准,健全个人信息和隐私保护监管机制,优化社会群众监督举报机制,压实行业组织、企业机构等保护个人信息安全主体责任,加大对侵犯个人信息和隐私等违法犯罪行为的打击力度。


《数据出境安全评估办法(征求意见稿)》
  • 发布日期:2021/10/29

  • 发布单位:国家互联网信息办公室

  • 行业属性:全行业

  • 概述/要求:数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。


《互联网用户账号名称信息管理规定(征求意见稿)》
  • 发布日期:2021/10/26

  • 发布单位:国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:互联网用户账号服务平台应当采取必要措施,确保其收集、存储的个人信息及账号名称信息安全,防止未经授权的访问及信息泄露、篡改、丢失;未经互联网用户账号使用者授权同意,不得收集、存储、使用、加工、传输、提供或者公开个人信息及账号名称信息。不得非法买卖互联网用户账号名称信息。


《互联网信息服务算法推荐管理规定(征求意见稿)》
  • 发布日期:2021/8/27

  • 发布单位:国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:算法推荐服务提供者应当落实算法安全主体责任,建立健全用户注册、信息发布审核、算法机制机理审核、安全评估监测、安全事件应急处置、数据安全保护和个人信息保护等管理制度,制定并公开算法推荐相关服务规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。


《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
  • 施行日期:2021/8/1

  • 发布单位:最高人民法院

  • 行业属性:全行业

  • 概述/要求:为正确审理使用人脸识别技术处理个人信息相关民事案件,保护当事人合法权益,促进数字经济健康发展,根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律的规定,结合审判实践,制定了该规定。


《全国一体化大数据中心协同创新体系算力枢纽实施方案》
  • 发布日期:2021/5/24

  • 发布单位:国家发展改革委、中央网信办、工业和信息化部、国家能源局

  • 行业属性:全行业

  • 概述/要求:加强对个人隐私等敏感信息的保护,确保基础设施和数据的安全。


《常见类型移动互联网应用程序必要个人信息范围规定》
  • 施行日期:2021/5/1

  • 发布单位:国家互联网信息办公室、工业和信息化部、公安部、市场监管总局

  • 行业属性:互联网

  • 概述/要求:为了规范移动互联网应用程序(App)收集个人信息行为,保障公民个人信息安全,根据《中华人民共和国网络安全法》,制定了该规定。


《反间谍安全防范工作规定》
  • 施行日期:2021/4/26

  • 发布单位:国家安全部

  • 行业属性:全行业

  • 概述/要求:规定要求,国家安全机关及其工作人员对履行反间谍安全防范指导和检查工作职责中知悉的国家秘密、工作秘密、商业秘密、个人隐私和个人信息,应当严格保密,不得泄露或者向他人非法提供。


《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
  • 发布日期:2021/4/26

  • 发布单位:工业和信息化部

  • 行业属性:互联网

  • 概述/要求:加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求。


《天津市服务业扩大开放综合试点总体方案》
  • 发布日期:2021/4/21

  • 发布单位:商务部

  • 行业属性:全行业

  • 概述/要求:方案提出,开展重要数据和个人信息出境安全评估,保障数据依法有序自由流动。加快数据安全、个人信息保护等领域基础性法规制度建设,完善政策标准、优化相关技术服务。


《网络直播营销管理办法(试行)》
  • 发布日期:2021/4/16

  • 发布单位:中央网络安全和信息委员会办公室、中华人民共和国公安部、中华人民共和国商务部、中华人民共和国文化和旅游部、国家税务总局、国家市场监督管理总局、国家广播电视总局

  • 行业属性:互联网

  • 概述/要求:直播营销平台应当建立健全账号及直播营销功能注册注销、信息安全管理、营销行为规范、未成年人保护、消费者权益保护、个人信息保护、网络和数据安全管理等机制、措施。


《网络交易监督管理办法》
  • 发布日期:2021/3/15

  • 发布单位:市场监管总局

  • 行业属性:互联网

  • 概述/要求:市场监督管理部门应当采取必要措施保护网络交易经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密。


《互联网用户公众账号信息服务管理规定》
  • 施行日期:2021/2/22

  • 发布单位:国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:公众账号信息服务平台应当履行信息内容和公众账号管理主体责任,配备与业务规模相适应的管理人员和技术能力,设置内容安全负责人岗位,建立健全并严格落实账号注册、信息内容安全、生态治理、应急处置、网络安全、数据安全、个人信息保护、知识产权保护、信用评价等管理制度。


《关于加强网络直播规范管理工作的指导意见》
  • 实施日期:2021/2/9

  • 发布单位:国家互联网信息办公室、全国扫黄打非工作小组、工业和信息化部、公安部、文化和旅游部、国家市场监督管理总局、国家广播电视总局

  • 行业属性:互联网

  • 概述/要求:网络直播平台应当严格遵守个人信息保护相关规定,规范收集和合法使用用户身份、地理位置、联系方式等个人信息行为;充分保障用户知情权、选择权和隐私权等合法权益;依法依规引导和规范用户合理消费、理性打赏;依法依规留存直播图像、互动留言、充值打赏等记录;加大对各类侵害网民权益行为的打击力度,切实维护网络直播行业秩序。


《互联网信息服务管理办法(修订草案征求意见稿)》
  • 发布日期:2021/1/8

  • 发布单位:国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:互联网信息服务提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止所收集、使用的身份信息、日志信息泄漏、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并按照规定及时告知用户并向有关主管部门报告。


《网络数据处理安全规范(征求意见稿)》
  • 发布日期:2020/8/28

  • 发布单位:国家市场监督管理总局、国家标准化管理委员会

  • 行业属性:全行业

  • 概述/要求:该文件规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求。适用于网络运营者规范数据处理活动,提高数据安全管理和个人信息保护水平,也适用于主管监管部门对网络运营者数据处理活动进行监督管理,同时还可为第三方评估机构开展相关评估工作提供指导。


贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
  • 施行日期:2020/7/22

  • 发布单位:公安部

  • 行业属性:全行业

  • 概述/要求:意见提出,加强重要数据和个人信息保护。运营者应建立并落实重要数据和个人信息安全保护制度,对关键信息基础设施中的重要网络和数据库进行容灾备份,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当遵守有关规定并进行安全评估。


网络安全标准实践指南—远程办公安全防护》
  • 施行日期:2020/3/13

  • 发布单位:全国信息安全标准化技术委员会秘书处

  • 行业属性:全行业

  • 概述/要求:该实践指南分析了远程办公面临的主要安全风险,针对远程办公系统使用方和用户分别提出了安全控制措施建议。针对个人信息保护,指南提出,使用方应按照GB/T 35273《信息安全技术 个人信息安全规范》要求保护个人信息。


《信息安全技术 个人信息告知同意指南(征求意见稿)》
  • 发布日期:2020/1/20

  • 发布单位:全国信息安全标准化技术委员会

  • 行业属性:全行业

  • 概述/要求:该标准为网络运营者个人信息处理告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。适用于规范网络运营者在网络环境中进行个人信息告知同意的情形。



《网络预约出租汽车经营服务管理暂行办法》
  • 实施日期:2019/12/28

  • 发布单位:交通运输部、工业和信息化部、公安部、商务部、国家市场监督管理总局、国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:网约车平台公司及网约车驾驶员违法使用或者泄露约车人、乘客个人信息的,由公安、网信等部门依照各自职责处以2000元以上10000元以下罚款;给信息主体造成损失的,依法承担民事责任;涉嫌犯罪的,依法追究刑事责任。


App违法违规收集使用个人信息行为认定方法
  • 发布日期:2019/11/28

  • 发布单位:国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅

  • 行业属性:全行业

  • 概述/要求:根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定了该方法。


《儿童个人信息网络保护规定》
  • 实施日期:2019/10/1

  • 发布单位:国家互联网信息办公室

  • 行业属性:全行业

  • 概述/要求:网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。


《个人信息出境安全评估办法(征求意见稿)》
  • 发布日期:2019/6/13

  • 发布单位:国家互联网信息办公室

  • 行业属性:全行业

  • 概述/要求:为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定了该办法。


《数据安全管理办法(征求意见稿)》
  • 发布日期:2019/5/28

  • 发布单位:国家互联网信息办公室

  • 行业属性:全行业

  • 概述/要求:为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定了该办法。


《互联网个人信息安全保护指南》
  • 发布日期:2019/4/22

  • 发布单位:公安部网络安全保卫局、北京网络行业协会、公安部第三研究所

  • 行业属性:互联网

  • 概述/要求:为深入贯彻落实《网络安全法》,指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究制定该指南。


《关于开展App安全认证工作的公告》
  • 实施日期:2019/3/13

  • 发布单位:国家市场监督管理总局、中央网络安全和信息化委员会办公室

  • 行业属性:互联网

  • 概述/要求:为规范移动互联网应用程序(以下称App)收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,可以依据《移动互联网应用程序(App)安全认证实施规则》,开展APP安全认证活动。


《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》
  • 实施日期:2018/11/30

  • 发布单位:国家互联网信息办公室、公安部

  • 行业属性:互联网

  • 概述/要求:规定提出,互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估。其中,个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施在重点评估内容中。


《关于做好引导和规范共享经济健康良性发展有关工作的通知》
  • 实施日期:2018/5/22

  • 发布单位:国家发展和改革委员会、中央网络安全和信息化委员会办公室、工业和信息化部

  • 行业属性:互联网

  • 概述/要求:通知提出,保障个人信息安全。依法依规强化对平台企业收集、保存、使用、处理、共享、转让、公开披露、向境外提供个人信息等行为的监督,督促平台企业运用匿名化、去标识化等技术手段,提高个人信息保护水平,防止信息泄露、损毁和丢失。


《微博客信息服务管理规定》
  • 实施日期:2018/3/20

  • 发布单位:国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:规定提出,微博客服务提供者应当保障微博客服务使用者的信息安全,不得泄露、篡改、毁损,不得出售或者非法向他人提供。


《互联网群组信息服务管理规定》
  • 实施日期:2017/10/8

  • 发布单位:国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:规定提出,互联网群组信息服务提供者应当采取必要措施保护使用者个人信息安全,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。


《网络空间国际合作战略》
  • 实施日期:2017/3/1

  • 发布单位:外交部、国家互联网信息办公室

  • 行业属性:全行业

  • 概述/要求:战略支持联合国大会及人权理事会有关隐私权保护问题的讨论,推动网络空间确立个人隐私保护原则。推动各国采取措施制止利用网络侵害个人隐私的行为,并就尊重和保护网络空间个人隐私的实践和做法进行交流。促进企业提高数据安全保护意识,支持企业加强行业自律,就网络空间个人信息保护最佳实践展开讨论。推动政府和企业加强合作,共同保护网络空间个人隐私。


《关于全面加强电子商务领域诚信建设的指导意见》
  • 实施日期:2016/12/30

  • 发布单位:国家发展和改革委员会、中国人民银行、中央网络安全和信息化领导小组办公室(已变更)

  • 行业属性:互联网

  • 概述/要求:健全个人信息保护制度,保护电子商务领域消费者个人隐私。


《国家网络空间安全战略》
  • 实施日期:2016/12/27

  • 发布单位:国家互联网信息办公室

  • 行业属性:全行业

  • 概述/要求:战略提出,坚持综合治理、源头控制、依法防范,严厉打击网络诈骗、网络盗窃、贩枪贩毒、侵害公民个人信息、传播淫秽色情、黑客攻击、侵犯知识产权等违法犯罪行为。


《工业和信息化部关于印发大数据产业发展规划(2016-2020年)的通知》
  • 发布日期:2016/12/18

  • 发布单位:工业和信息化部

  • 行业属性:全行业

  • 概述/要求:安全规范。安全是发展的前提,发展是安全的保障,坚持发展与安全并重,增强信息安全技术保障能力,建立健全安全防护体系,保障信息安全和个人隐私。加强行业自律,完善行业监管,促进数据资源有序流动与规范利用。


《关于加强国家网络安全标准化工作的若干意见》
  • 实施日期:2016/8/12

  • 发布单位:中央网络安全和信息化领导小组办公室(已变更)、国家质量监督检验检疫总局(已撤销)、国家标准化管理委员会

  • 行业属性:全行业

  • 概述/要求:意见提出,坚持急用先行,围绕“互联网+”行动计划、“中国制造 2025”和“大数据发展行动纲要”等国家战略需求,加快开展关键信息基础设施保护、网络安全审查、网络空间可信身份、关键信息技术产品、网络空间保密防护监管、工业控制系统安全、大数据安全、个人信息保护、智慧城市安全、物联网安全、新一代通信网络安全、互联网电视终端产品安全、网络安全信息共享等领域的标准研究和制定工作。


《移动互联网应用程序信息服务管理规定》
  • 实施日期:2016/8/1

  • 发布单位:国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:规定提出,移动互联网应用程序提供者应当严格落实信息安全管理责任,依法履行“建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意”等义务。


《互联网用户账号名称管理规定》
  • 实施日期:2015/3/1

  • 发布单位:国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:规定提出,互联网信息服务提供者应当落实安全管理责任,完善用户服务协议,明示互联网信息服务使用者在账号名称、头像和简介等注册信息中不得出现违法和不良信息,配备与服务规模相适应的专业人员,对互联网用户提交的账号名称、头像和简介等注册信息进行审核,对含有违法和不良信息的,不予注册;保护用户信息及公民个人隐私,自觉接受社会监督,及时处理公众举报的账号名称、头像和简介等注册信息中的违法和不良信息。


《即时通信工具公众信息服务发展管理暂行规定》
  • 实施日期:2014/8/7

  • 发布单位:国家互联网信息办公室

  • 行业属性:互联网

  • 概述/要求:规定提出,即时通信工具服务提供者应当落实安全管理责任,建立健全各项制度,配备与服务规模相适应的专业人员,保护用户信息及公民个人隐私,自觉接受社会监督,及时处理公众举报的违法和不良信息。


《规范互联网信息服务市场秩序若干规定》
  • 发布日期:2011/12/29

  • 发布单位:工业和信息化部

  • 行业属性:互联网

  • 概述/要求:规定提出,未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息(简称“用户个人信息”),不得将用户个人信息提供给他人,但是法律、行政法规另有规定的除外。互联网信息服务提供者经用户同意收集用户个人信息的,应当明确告知用户收集和处理用户个人信息的方式、内容和用途,不得收集其提供服务所必需以外的信息,不得将用户个人信息用于其提供服务之外的目的。


2政务


《关于档案部门使用政务云平台过程中加强档案信息安全管理的意见》
  • 发布日期:2020/5/6

  • 发布单位:国家档案局

  • 行业属性:政府

  • 概述/要求:意见提出,各级档案部门要科学规划,明确使用政务云平台的档案数据和业务范围。使用政务云平台的数据和业务,须按程序经过审核审批。工作中注意把握“对于直接影响党政机关运转和公众工作、生活的关键业务,涉及敏感信息和公民隐私的档案数据,可在确保安全的前提下考虑使用政务云平台”等方面。


《关于加快推进流动人员人事档案信息化建设的指导意见》
  • 发布日期:2018/9/20

  • 发布单位:人力资源社会保障部办公厅

  • 行业属性:政府

  • 概述/要求:意见提出,注重信息安全和个人隐私保护,采取切实有效的安全防护措施,增强系统支撑能力,保证系统安全平稳运行。


《国土资源部关于印发促进国土资源大数据应用发展实施意见的通知》
  • 发布日期:2016/7/4

  • 发布单位:国土资源部

  • 行业属性:政府

  • 概述/要求:切实加强对涉及国家利益、公共安全、商业秘密、个人隐私等信息的保护。妥善处理共享开放与保障安全的关系,促进数据在安全保障、风险可控的原则下最大程度共享开放。


3金融


《征信业务管理办法(征求意见稿)》
  • 发布日期:2021/1/11

  • 发布单位:中国人民银行

  • 行业属性:金融

  • 概述/要求:办法突出了信息安全的重要性,并规范了信息采集的过程,保护了被征信人的信息权属,明确了征信授权。办法规范个人征信全流程,为未来常态化监管创造条件。同时也对征信企业使用征信数据获利方面进行了规范,对信息使用者作出了规范化要求。


《保险中介机构信息化工作监管办法》
  • 发布日期:2021/1/5

  • 发布单位:中国银保监会

  • 行业属性:金融

  • 概述/要求:保险中介机构应建立健全信息安全管理制度,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施,保障业务持续和数据安全。


《中国银保监会监管数据安全管理办法(试行)》
  • 发布日期:2020/9/23

  • 发布单位:中国银保监会

  • 行业属性:金融

  • 概述/要求:办法提出,保险中介机构的重要信息化机制、设施及其管理应保持独立完整,与关联企业相关设施有效隔离,严格规范信息系统和数据的访问、使用、转移、复制等行为,不得违规向关联企业泄露保单、个人信息等数据信息。重要信息化机制、设施包括但不限于信息化治理与规划,业务、财务、人员等重要信息系统及其中的数据信息。


《关于规范保险公司健康管理服务的通知》
  • 发布日期:2020/9/6

  • 发布单位:中国银行保险监督管理委员会

  • 行业属性:金融

  • 概述/要求:未经客户授权不得对外提供客户个人信息或任何健康数据,依法保证数据安全和保护个人隐私。


《个人金融信息保护技术规范》
  • 发布日期:2020/2/13

  • 发布单位:中国人民银行

  • 行业属性:金融

  • 概述/要求:该标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。


《网上银行系统信息安全通用规范》
  • 发布日期:2020/2/5

  • 发布单位:中国人民银行

  • 行业属性:金融

  • 概述/要求:规范提出,对客户办理金融业务时留存的身份信息与相关影像资料、个人财产信息、征信信息等敏感客户资料,应参照国家及行业个人信息、个人金融信息相关保护要求,加强信息安全管理。


《金融信息服务管理规定》
  • 实施日期:2019/2/1

  • 发布单位:国家互联网信息办公室

  • 行业属性:金融

  • 概述/要求:金融信息服务提供者应当履行主体责任,配备与服务规模相适应的管理人员,建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。


《关于进一步加强征信信息安全管理的通知》
  • 发布日期:2018/5/2

  • 发布单位:中国人民银行

  • 行业属性:金融

  • 概述/要求:为贯彻落实党的十九大精神和第五次全国金融工作会议精神,加强个人信息保护,做好新时代征信信息安全管理工作,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号发布)等法规规章的相关规定,现就进一步加强金融信用信息基础数据库运行机构和接入机构征信信息安全管理有关事项作出了该通知。


《关于推动资本市场服务网络强国建设的指导意见》
  • 实施日期:2018/3/30

  • 发布单位:中央网络安全和信息化委员会办公室、中国证券监督管理委员会

  • 行业属性:金融

  • 概述/要求:落实网络与信息安全保障措施。指导网信企业遵守《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络产品和服务安全审查办法(试行)》等法律法规和制度,提高网络与信息安全意识,建立健全网络与信息安全保障措施,维护国家网络空间主权、安全和发展利益,积极参与国家关键信息基础设施安全保护,维护公民网络空间合法权益,保障个人信息和重要数据安全。


《关于促进互联网金融健康发展的指导意见》
  • 实施日期:2015/7/14

  • 发布单位:中国人民银行、工业和信息化部、公安部

  • 行业属性:金融

  • 概述/要求:网络与信息安全。从业机构应当切实提升技术安全水平,妥善保管客户资料和交易信息,不得非法买卖、泄露客户个人信息。人民银行、银监会、证监会、保监会、工业和信息化部、公安部、国家互联网信息办公室分别负责对相关从业机构的网络与信息安全保障进行监管,并制定相关监管细则和技术安全标准。

4教育
《教育部关于加强新时代教育管理信息化工作的通知》
  • 发布日期:2021/3/25

  • 发布单位:教育部

  • 行业属性:教育

  • 概述/要求:提升安全保障能力。全面落实《中华人民共和国网络安全法》等法律法规和政策要求,建立健全网络安全责任体系,明晰各方职责。落实网络安全等级保护制度,重点保障关键信息基础设施。开展网络安全监测预警通报,提升网络安全态势感知能力。建立供应链安全管理体系,定期组织审计,优先选用具有自主核心技术以及安全性达到要求的国产化产品。全面加强数据安全保障,建立覆盖全生命周期的数据安全保障机制,重点保护广大师生和家长,特别是未成年人的个人隐私信息。


《高等学校数字校园建设规范(试行)》
  • 发布日期:2021/3/12

  • 发布单位:教育部

  • 行业属性:教育

  • 概述/要求:数字校园相关系统产生的数据量大,且关系到师生的隐私,因此针对数字校园相关系统产生的数据应具备保护措施。比如,重要数据在传输和存储过程中的完整性应采用校验技术或密码技术保证,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。



《2020年教育信息化和网络安全工作要点》
  • 发布日期:2020/2/26

  • 发布单位:教育部

  • 行业属性:教育

  • 概述/要求:文件提出,推动落实《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》,完成现有教育移动互联网应用的备案,建立事中事后监管机制,重点治理强制使用收费、违规采集个人信息、呈现低俗信息等问题,开展高等学校管理服务类教育移动互联网应用专项治理行动,促进移动互联网有序健康发展。


《关于促进在线教育健康发展的指导意见》
  • 实施日期:2019/9/19

  • 发布单位:教育部中央网络安全和信息化委员会办公室、国家发展和改革委员会、工业和信息化部、公安部、财政部、中国人民银行、国家市场监督管理总局、中国银行保险监督管理委员会、中国证券监督管理委员会、国家知识产权局

  • 行业属性:教育

  • 概述/要求:建立规范化准入体系。按照包容审慎原则,完善在线教育准入制度,明确准入条件与资质认证流程,建立健全在线教育资源的备案审查制度,切实维护国家安全、社会公共利益和师生个人信息安全。


《关于引导规范教育移动互联网应用有序健康发展的意见》
  • 实施日期:2019/8/10

  • 发布单位:教育部、工业和信息化部、中央网络安全和信息化委员会办公室、公安部、民政部、国家市场监督管理总局、国家新闻出版署、全国扫黄打非工作小组

  • 行业属性:教育

  • 概述/要求:意见提出,规范数据管理。教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制。按照“后台实名、前台自愿”的原则,对注册用户进行身份信息认证。收集使用个人信息应当明示收集使用信息的目的、方式和范围,并经用户同意。收集使用未成年人信息应当取得监护人同意、授权。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供服务无关的个人信息,不得违反法律法规与用户约定, 不得泄露、非法出售或非法向他人提供个人信息。


《关于规范校外线上培训的实施意见》
  • 实施日期:2019/7/12

  • 发布单位:教育部、中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家广播电视总局、全国扫黄打非工作小组

  • 行业属性:教育

  • 概述/要求:信息安全。严格遵守《中华人民共和国网络安全法》的要求,落实网络安全等级保护制度、网络安全预警通报制度和用户信息保护制度,具有完善的安全保护技术措施。按照“后台实名、前台自愿”的原则,经培训对象及其监护人同意后,对培训对象进行真实身份信息认证。做好培训对象信息和数据安全防护,防止泄露隐私,不得非法出售或者非法向他人提供培训对象信息。用户行为日志须留存1年以上。


《教育部机关及直属事业单位教育数据管理办法》
  • 发布日期:2018/1/22

  • 发布单位:教育部

  • 行业属性:教育

  • 概述/要求:办法提出,规范程序,保障安全。明确教育数据各环节的管理程序,做到教育数据管理全过程有规可依。依托国家信息安全保障体系,完善教育数据共享与公开安全机制,保护个人隐私信息,保障教育数据资源安全。


5医疗《互联网诊疗监管细则(征求意见稿)》
  • 发布日期:2021/10/26

  • 发布单位:国家卫生健康委

  • 行业属性:医疗

  • 概述/要求:医疗机构应当建立网络安全、个人信息保护、数据使用管理等制度,并与相关合作方签订协议,明确各方权责关系。


国家医疗保障局关于加强网络安全和数据保护工作的指导意见》
  • 发布日期:2021/4/6

  • 发布单位:国家医疗保障局

  • 行业属性:医疗

  • 概述/要求:意见提出,强化个人隐私保护,采用适当的安全控制措施,确保数据的产生、采集和汇集过程合规、安全。个人信息的采集,坚持法定授权原则,法定授权外个人信息采集事项须先获得自然人或者其监护人同意。处理个人信息应当遵循合法、正当、必要原则,不得过度使用。


《关于做好信息化支撑常态化疫情防控工作的通知》
  • 发布日期:2020/6/28

  • 发布单位:国家卫生健康委

  • 行业属性:医疗

  • 概述/要求:通知提出,指导属地医疗卫生机构持续保证涉疫情防控网络信息系统和数据安全,做好个人信息保护工作,防范供应链安全风险,加大督促检查和监测力度。


《国家健康医疗大数据标准、安全和服务管理办法(试行)》
  • 发布日期:2018/7/12

  • 发布单位:国家卫生健康委

  • 行业属性:医疗

  • 概述/要求:责任单位应当按照国家网络安全等级保护制度要求,构建可信的网络安全环境,加强健康医疗大数据相关系统安全保障体系建设,提升关键信息基础设施和重要信息系统的安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作。


《人口健康信息管理办法(试行)》
  • 发布日期:2014/5/5

  • 发布单位:国家卫生计生委

  • 行业属性:医疗

  • 概述/要求:责任单位应当做好人口健康信息安全和隐私保护工作,按照国家信息安全等级保护制度要求,加强建设人口健康信息相关系统安全保障体系,制定安全管理制度、操作规程和技术规范,保障人口健康信息安全。


6交通
《民用航空安全信息保护管理办法》
  • 施行日期:2021/10/1

  • 发布单位:中国民用航空局

  • 行业属性:交通

  • 概述/要求:办法明确,下列信息应当被确定为敏感安全信息:(一)涉及航空器损伤的图片、视频信息。(二)涉及人员伤亡、医疗及个人隐私的文字、图片、音频、视频信息。(三)机场跑道、滑行道、机坪以及其他设施设备损坏的图片、视频信息。(四)陆空通话记录的文字、音频信息。(五)人员访谈记录相关的文字、音频、视频信息。(六)航空器驾驶舱舱音的文字、音频信息和驾驶舱图像视频信息。(七)航空器快速存取记录器(QAR)、飞行数据记录器(FDR)数据的文字信息及其仿真视频信息。(八)事件调查过程中获取的音频、视频信息。(九)事件调查初步报告、调查续报和未发布的最终调查报告。(十)未公布的事件调查处理意见。



《在线旅游经营服务管理暂行规定》
  • 施行日期:2020/10/1

  • 发布单位:文旅部

  • 行业属性:交通

  • 概述/要求:规定提出,在线旅游经营者应当保护旅游者个人信息等数据安全,在收集旅游者信息时事先明示收集旅游者个人信息的目的、方式和范围,并经旅游者同意。


《民用航空旅客服务信息系统信息安全保护规范》
  • 发布日期:2020/6/12

  • 发布单位:中国民用航空局

  • 行业属性:交通

  • 概述/要求:规范提出,运营者共享旅客信息应遵循旅客隐私保护协议和国家相关监管要求,共享前应执行旅客信息共享影响评估,需要通过旅客信息共享协议建立恰当的安全防护责任框架和审计框架,确保旅客信息安全防护措施能够得到切实执行。


《邮政业寄递安全监督管理办法》
  • 施行日期:2020/2/15

  • 发布单位:交通运输部

  • 行业属性:交通

  • 概述/要求:办法提出,邮政企业、快递企业应当建立寄递详情单及电子数据管理制度,定期销毁已经使用过的寄递详情单,妥善保管用户信息等电子数据,采取有效手段保证用户信息安全。


《推进综合交通运输大数据发展行动纲要(2020—2025年)》
  • 发布日期:2019/12/9

  • 发布单位:交通运输部

  • 行业属性:交通

  • 概述/要求:完善数据安全保障措施。推进交通运输领域数据分类分级管理,加强重要数据和个人信息安全保护,制定数据分级安全管理、数据脱敏等制度规范。推进重要信息系统密码技术应用和重要软硬件设备自主可控。


《关于推进交通运输行业数据资源开放共享的实施意见》
  • 发布日期:2016/9/2

  • 发布单位:交通运输部

  • 行业属性:交通

  • 概述/要求:加强数据安全。落实数据安全管理有关法规制度,加强数据采集、传输、存储、使用、开发等关键环节的安全防护。加强行业重要数据资源容灾备份,提升重要数据容灾恢复能力。细化界定行业涉密信息内容,依法加强对涉及国家秘密、个人隐私和商业秘密数据的保护。


7工业
《汽车数据安全管理若干规定(试行)》
  • 施行日期:2021/10/1

  • 发布单位:国家互联网信息办公室、国家发展和改革委员会、工信部、公安部、交通运输部

  • 行业属性:工业

  • 概述/要求:规定提出,汽车数据处理者处理敏感个人信息,应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求:(一)具有直接服务于个人的目的,包括增强行车安全、智能驾驶、导航等;(二)通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响;(三)应当取得个人单独同意,个人可以自主设定同意期限;(四)在保证行车安全的前提下,以适当方式提示收集状态,为个人终止收集提供便利;(五)个人要求删除的,汽车数据处理者应当在十个工作日内删除。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。


《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》
  • 发布日期:2021/9/30

  • 发布单位:工业和信息化部

  • 行业属性:工业

  • 概述/要求:办法提出,工业和电信数据处理者公开数据应当真实、准确,并在公开前开展安全评估,对涉及个人隐私、个人信息、商业秘密、保密商务信息以及可能对公共利益及国家安全产生重大影响的,不得公开。


《关于加强车联网网络安全和数据安全工作的通知》
  • 发布日期:2021/9/15

  • 发布单位:工业和信息化部

  • 行业属性:工业

  • 概述/要求:通知提出,加强数据分类分级管理。按照“谁主管、谁负责,谁运营、谁负责”的原则,智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。


《智能网联汽车生产企业及产品准入管理指南(试行)(征求意见稿)》
  • 发布日期:2021/4/7

  • 发布单位:工业和信息化部

  • 行业属性:工业

  • 概述/要求:指南提出,智能网联汽车生产企业应依法收集、使用和保护个人信息,实施数据分类分级管理,制定重要数据目录,不得泄露涉及国家安全的敏感信息。


《移动智能终端应用软件预置和分发管理暂行规定》
  • 实施日期:2017/7/1

  • 发布单位:工业和信息化部

  • 行业属性:工业

  • 概述/要求:应加强网络安全防护以及对相关人员的教育培训,保障自身系统安全和用户个人信息安全。


《水利网络安全事件应急预案》
  • 实施日期:2017年

  • 发布单位:水利部

  • 行业属性:工业

  • 概述/要求:该预案适用于水利网络安全事件的应对工作。其中有关信息内容安全事件的应对遵循国家有关要求,国家秘密信息事件的应对遵循国家保密有关法律法规要求。预案明确,水利关键信息基础设施是事关国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能,将严重危害国家安全、公共利益的水利信息设施,包括但不限于大型水利工程、防洪重点中型水库以及跨省、跨流域引调水工程的运行控制和生产调度系统,省级以上防汛抗旱指挥系统、水资源信息管理系统或其他全国联网的重要水利信息系统,省级以上集中存储的水利工程基础数据和存储100万以上公民个人信息的系统等。


8运营商
《关于开展信息通信服务感知提升行动的通知》
  • 发布日期:2021/11/1

  • 发布单位:工业和信息化部

  • 行业属性:电信

  • 概述/要求:坚持以习近平新时代中国特色社会主义思想为指导,贯彻以人民为中心的发展思想,按照党中央、国务院决策部署,聚焦影响用户感知的信息通信服务环节,推动实现服务举措“五优化”,建立个人信息保护“双清单”,实现服务能力“四提升”。到2022年3月底,信息通信行业综合服务明显改善,用户获得感、幸福感和安全感进一步提升。


《电信和互联网行业数据安全标准体系建设指南》
  • 发布日期:2020/12/17

  • 发布单位:工业和信息化部

  • 行业属性:电信

  • 概述/要求:为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,指导电信和互联网行业数据安全标准化工作,工业和信息化部组织制定了该指南。


《电信和互联网行业提升网络数据安全保护能力专项行动方案》
  • 发布日期:2019/6/28

  • 发布单位:工业和信息化部

  • 行业属性:电信

  • 概述/要求:方案提出,深化App违法违规专项治理。持续推进App违法违规收集使用个人信息专项治理行动,组织第三方评测机构开展App安全滚动式评测,对在网络数据安全和用户信息保护方面存在违法违规行为的App及时进行下架和公开曝光。


《电信和互联网用户个人信息保护规定》
  • 施行日期:2013/9/1

  • 发布单位:工业和信息化部

  • 行业属性:电信

  • 概述/要求:为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定了该规定。在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。


    四、地方性法规     


《河南省数字经济促进条例》


  • 施行日期:2022/3/1

  • 发布单位:河南省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》为了促进数字经济发展,全面建设数字经济强省,推动经济社会高质量发展,要求县级以上人民政府网信、公安等部门应当加强对个人信息数据采集和流通各环节的监督管理,依法查处危害个人信息数据安全的违法活动。


《福建省大数据发展条例》


  • 施行日期:2022/2/1

  • 发布单位:福建省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》规定开展涉及个人信息的数据活动,应当对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。


《上海市数据条例》

  • 施行日期:2022/1/1

  • 发布单位:上海市人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》要求数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度,并采取有效措施保护数据安全,保护个人隐私、个人信息、商业秘密、保密商务信息。


《湖南省网络安全和信息化条例》

  • 施行日期:2022/1/1

  • 发布单位:湖南省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》要求县级以上网信、工业和信息化、公安、保密、密码管理等部门和国家安全机关、省通信管理机构依照有关法律、行政法规的规定,在各自职责范围内负责网络安全、数据安全、个人信息保护和相关监督管理工作。


《深圳经济特区数据条例》

  • 施行日期:2022/1/1

  • 发布单位:深圳市人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储;针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。


《广东省数字经济促进条例》

  • 施行日期:2021/9/1

  • 发布单位:广东省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》要求互联网平台经营者应当建立健全平台管理规则和制度,依法依约履行产品和服务质量保障、网络安全保障、数据安全保障、消费者权益保护、个人信息保护等方面的义务。


《广东省社会信用条例》

  • 施行日期:2021/6/1

  • 发布单位:广东省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》要求互联网平台经营者应当建立健全平台管理规则和制度,依法依约履行产品和服务质量保障、网络安全保障、数据安全保障、消费者权益保护、个人信息保护等方面的义务。


《安徽省大数据发展条例》

  • 施行日期:2021/5/1

  • 发布单位:安徽省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》明确数据采集、传输、存储、使用、共享、开放等各环节保障数据安全的范围边界、责任主体和具体要求,采取相应的技术措施,保障数据安全。开展数据活动的单位应当采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改,保障数据安全。


《浙江省数字经济促进条例》

  • 施行日期:2021/3/1

  • 发布单位:浙江省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》为了促进数字经济发展,加快建设现代化经济体系,提升核心竞争力,推动高质量发展,结合本省实际,发展数字经济是本省经济社会发展的重要战略,应当遵循优先发展、应用先导、数据驱动、创新引领、人才支撑、包容审慎以及保障数据安全、保护个人信息的原则。


《吉林省促进大数据发展应用条例》

  • 施行日期:2021/1/1

  • 发布单位:吉林省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》加强数据安全保障,推进关键信息基础设施安全保护工作,收集、使用个人信息,应当遵守法律、行政法规和国家有关个人信息保护的规定,并采取必要措施加强对个人信息的安全防护,确保个人信息安全。


《天津市社会信用条例》

  • 施行日期:2021/1/1

  • 发布单位:天津市人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》为了加强社会诚信建设,培育和践行社会主义核心价值观,要求社会信用信息的采集、归集、应用和相关管理活动,应当遵循合法、正当、必要、客观、安全的原则,不得侵犯国家秘密、商业秘密、个人隐私和其他个人信息。


《山西省政务数据管理与应用办法》

  • 施行日期:2021/1/1

  • 发布单位:山西省人民代表大会常务委员会

  • 行业属性:政府

  • 概述/要求:《办法》为了促进政务数据共享开放、开发应用,提高数据要素配置效率,要求政务信息管理部门和政务服务实施机构应当加强国家秘密、商业秘密和公民个人信息的保护,防止被非法获取或者泄露。


《沈阳市政务数据资源共享开放条例》

  • 施行日期:2020/10/1

  • 发布单位:沈阳市人民代表大会常务委员会

  • 行业属性:政府

  • 概述/要求:《条例》为了推动政务数据资源优化配置和有效利用,规范政务数据资源的归集、共享、开放及其安全管理,在政务数据资源共享或者开放过程中违反安全管理规定,泄露国家秘密、商业秘密和个人信息的,依照相关法律、法规的规定给予处罚。


《河南省社会信用条例》

  • 施行日期:2020/5/1

  • 发布单位:河南省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》为了增强社会诚信意识,保障信用主体的合法权益,要求信用服务机构对在业务过程中获悉的国家秘密、商业秘密、个人隐私和其他个人信息负有保密义务,不得妨碍国家安全、公共安全和公共利益,不得损害信用主体的合法权益。


《海南省大数据开发应用条例》

  • 施行日期:2019/11/1

  • 发布单位:海南省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》为了推动大数据的开发应用,发挥大数据提升经济发展、社会治理和改善民生的作用,促进大数据产业的发展,要求采集个人信息,还应当遵守本条例和有关法律法规关于个人信息保护的规定。


《贵州省大数据安全保障条例》

  • 施行日期:2019/10/1

  • 发布单位:贵州省人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》为了保障大数据安全和个人信息安全,明确大数据安全责任,促进大数据发展应用,根据《中华人民共和国网络安全法》和有关法律、法规的规定,结合贵州省实际,制定本条例。


《贵阳市大数据安全管理条例》


  • 施行日期:2018/10/1

  • 发布单位:贵阳市人民代表大会常务委员会

  • 行业属性:全行业

  • 概述/要求:《条例》为了加强大数据安全管理,维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进大数据发展应用,对个人信息和重要数据实行加密等安全保护,对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。



      五、地方规章      


《江苏省公共数据管理办法》

  • 施行日期:2022/2/1

  • 发布单位:江苏省人民政府

  • 行业属性:政府

  • 概述/要求:《办法》为了规范公共数据管理,保障公共数据安全,推进数字化发展,公共数据要求依法实行分类分级保护。公共数据主管部门会同有关主管部门结合数据安全、个人信息保护和数据应用需求等因素,根据国家分类分级保护制度要求,推动制定本省公共数据分类分级具体规则。



《广东省公共数据管理办法》

  • 施行日期:2021/10/25

  • 发布单位:广东省人民政府

  • 行业属性:政府

  • 概述/要求:《办法》为了规范公共数据采集、使用、管理,保障公共数据安全,要求涉及商业秘密、个人隐私,或者根据法律、法规、规章等规定不得开放的公共数据,不予开放。但是,经过依法脱密、脱敏处理或者相关权利人同意开放的,应当开放。


《浙江省信息通信业发展“十四五”规划》

  • 发布日期:2021/6/10

  • 发布单位:浙江省发展和改革委员会 浙江省通信管理局

  • 行业属性:电信

  • 概述/要求:《规划》要求加强用户权益保护,持续加大行业整治力度,开展APP专项整治行动,强化APP安全检测和个人信息保护,督促企业严格落实个人信息保护主体责任。


《湖北省政务数据资源应用与管理办法》

  • 施行日期:2021/4/1

  • 发布单位:湖北省人民政府

  • 行业属性:政府

  • 概述/要求:《办法》要求政务数据共享开放和开发利用应当落实数据安全管理要求,遵守保护国家秘密、商业秘密和个 人隐私的相关规定,不得损害国家利益、社会公共利益和第三方合法权益。


《上海市公安局关于网络安全管理行政处罚的裁量基准》

  • 施行日期:2021/3/8

  • 发布单位:上海市公安局

  • 行业属性:全行业

  • 概述/要求:《裁量基准》要求网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。


《安徽省政务数据资源管理办法》

  • 施行日期:2021/3/1

  • 发布单位:安徽省人民政府

  • 行业属性:政府

  • 概述/要求:《办法》要求,政务数据资源管理,应当维护国家安全、公共安全,保守国家秘密,保护商业秘密、个人信息和隐私,对在履行职责中知悉的商业秘密、个人信息和隐私严格保密,不得泄露、出售或者非法向他人提供。


《宁波市公共数据安全管理暂行规定》

  • 施行日期:2020/12/1

  • 发布单位:宁波市人民政府

  • 行业属性:政府

  • 概述/要求:《暂行规定》为了保障公共数据安全,促进和规范公共数据使用,公共管理和服务机构应当根据公共数据类型、规模、用途、安全等级、重要程度等因素选择相应安全性能和防护级别的网络、系统、介质、设施设备。其中,涉及个人信息等事项的重要数据应当采取加密存储、身份鉴别和访问控制等措施,保障存储系统和数据安全。


《郑州市政务数据安全管理暂行办法》

  • 施行日期:2020/11/25

  • 发布单位:郑州市人民政府

  • 行业属性:政府

  • 概述/要求:《办法》为加强政务数据安全管理,建立健全政务数据安全保障体系,要求各政务部门重要信息系统应当启用备份容灾机制,在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,不得向境外发送。


《济南市公共数据管理办法》

  • 施行日期:2020/11/1

  • 发布单位:济南市政府

  • 行业属性:政府

  • 概述/要求:《办法》为加强公共数据管理,推动公共数据共享、开放和应用,提升政府治理能力和公共服务水平,要求公共数据的开发应用,应当符合保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全法律法规的规定。


《山东省健康医疗大数据管理办法》

  • 施行日期:2020/10/1

  • 发布单位:山东省人民政府

  • 行业属性:医疗

  • 概述/要求:《办法》要求健康医疗大数据活动应当坚持政府主导、开放融合、创新驱动、安全可控原则,严格遵守生物安全、网络安全等法律、法规,依法保守国家秘密、商业秘密,保护个人隐私以及维护信息安全。


《东莞市政务数据资源共享管理办法(试行)》

  • 施行日期:2020/8/24

  • 发布单位:东莞市人民政府

  • 行业属性:政府

  • 概述/要求:《办法》试行,按照我市“数字政府”改革建设工作部署,为进一步规范政务数据资源编目、采集、共享、应用和安全管理,要求市大数据管理局、市信息中心会同数据开放主体应当通过必要的技术防控措施,加强对商业秘密、个人隐私等合法权益的保护。


《浙江省公共数据开放与安全管理暂行办法》

  • 施行日期:2020/8/1

  • 发布单位:浙江省人民政府

  • 行业属性:政府

  • 概述/要求:《暂行办法》为了规范和促进本省公共数据开放、利用和安全管理,要求公共管理和服务机构应当落实公共数据安全管理要求,采取措施保护国家秘密、商业秘密和个人隐私。


《天津市数据交易管理暂行办法(征求意见稿)》

  • 发布日期:2020/7/30

  • 发布单位:天津市互联网信息办公室

  • 行业属性:全行业

  • 概述/要求:《暂行办法》为引导培育我市大数据交易市场,规范数据交易行为,激发数据交易主体活力,促进数据资源流通,要求在数据交易过程中非法采集、传播、销售涉及国家安全、公共安全、商业秘密、个人隐私等数据的,按照有关法律法规的规定处罚。


《山东省电子政务和政务数据管理办法》

  • 施行日期:2020/2/1

  • 发布单位:山东省人民政府

  • 行业属性:政府

  • 概述/要求:《办法》主要为了规范电子政务建设与发展,推进政务数据共享与开放,提高政府服务与管理能力,优化营商环境,要求县级以上人民政府有关部门开放本部门政务数据,应当遵守保守国家秘密、政府信息公开等法律、法规的规定,并按照数据安全、隐私保护和使用需求等确定本部门政务数据的开放范围。开放范围内的政务数据分为无条件开放和依申请开放两种类型。


《连云港市公共数据开放与开发利用管理暂行办法》

  • 施行日期:2020/1/1

  • 发布单位:连云港市人民政府

  • 行业属性:政府

  • 概述/要求:《暂行办法》,为促进政务大数据在服务“放管服”改革、服务实体经济、服务民生、服务社会治理等领域推广应用,要求市大数据管理局、市信息中心会同数据开放主体应当通过必要的技术防控措施,加强对商业秘密、个人隐私等合法权益的保护。


《福州市政务数据资源管理办法》

  • 施行日期:2019/11/15

  • 发布单位:福州市人民政府

  • 行业属性:政府

  • 概述/要求:《办法》要求,政务数据开放应当以需求为导向,遵守国家和省有关数据开放的要求。市大数据委会同相关政务部门编制、公布政务数据开放目录,并及时更新。除法律、法规另有规定外,涉及商业秘密、个人隐私的政务数据应当进行脱敏脱密处理后开放。


《福州市公共数据开放管理暂行办法》

  • 施行日期:2019/11/15

  • 发布单位:福州市人民政府

  • 行业属性:政府

  • 概述/要求:《暂行办法》要求当发现商业秘密、个人隐私泄露或有泄露风险时,数据提供部门应当会同市大数据委在开放平台上及时撤回相关数据集,并进行评估。对确需开放的数据,由数据提供部门重新进行脱敏、脱密等数据预处理后再行开放。


《南京市政务数据管理暂行办法》

  • 施行日期:2019/9/20

  • 发布单位:南京市大数据管理局

  • 行业属性:政府

  • 概述/要求:《办法》为了推进本市政务数据整合、共享、开放和创新应用,保障数据安全,市大数据中心应当建立政务数据开放申请用户信息保护制度,采取技术措施和其他必要措施,确保其收集的用户信息安全。


《天津市数据安全管理办法(暂行)》

  • 施行日期:2019/8/1

  • 发布单位:天津市互联网信息办公室

  • 行业属性:全行业

  • 概述/要求:《办法》暂行,要求数据运营者应当按照相关法律法规的规定,制定并落实安全管理制度,对数据进行分类分级,采取加密、脱敏、备份、审计等措施,加强对个人信息和重要数据采集、传输、存储、处理和使用的保护。


《广东省政务数据资源共享管理办法(试行)》

  • 施行日期:2019/1/1

  • 发布单位:广东省人民政府

  • 行业属性:政府

  • 概述/要求:《办法》进一步规范政务数据资源编目、采集、共享、应用和安全管理,在个人信息保护方面,要求设定个人敏感信息使用权限;在展示界面对个人信息进行脱敏处理;在使用界面进行个人信息保护提示和约定;传输和存储个人敏感信息时,应采用加密等安全措施。




《西安市政务数据资源共享管理办法》

  • 发布日期:2018/11/12

  • 发布单位:西安市人民政府

  • 行业属性:政府

  • 概述/要求:《条例》为加强政务数据资源管理,要求市大数据产业发展管理机构应当会同西安市各政务部门编制、公布政务数据开放目录,并及时更新,涉及国家安全、商业秘密、个人隐私的政务数据应当进行脱密脱敏处理后开放。


《福建省政务数据管理办法》

  • 施行日期:2016/10/15

  • 发布单位:福建省人民政府

  • 行业属性:政府

  • 概述/要求:《办法》为了加强政务数据管理,要求省、设区市数据管理机构应当会同数据生产应用单位编制、公布政务数据开放目录,并及时更新。除法律、法规另有规定外,涉及商业秘密、个人隐私的政务数据应当进行脱密脱敏处理后开放。




《崇州市政务数据资源共享管理办法》

  • 施行日期:2016/9/8

  • 发布单位:崇州市人民政府

  • 行业属性:政府

  • 概述/要求:《办法》要求促进政务数据资源的优化配置和有效利用,进一步加快我市智慧城市建设,其中政府部门违反规定使用涉及国家秘密、商业秘密和个人隐私的共享数据,或者造成国家秘密、商业秘密和个人隐私泄漏的,按国家有关法律法规或国家保密规定处理;构成犯罪的,依法追究刑事责任。


《浙江省信息安全等级保护管理办法》

  • 施行日期:2007/1/1

  • 发布单位:浙江省人民政府

  • 行业属性:全行业

  • 概述/要求:《办法》为规范数据信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,要求从事信息系统安全等级测评的机构,应当履行保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险的义务。



      六、技术标准      


01

国标



《信息技术 安全技术 公有云中个人信息保护实践指南》
  • 实施日期:2023/2/1

  • 标准分类:国标

  • 标准编号:GB/T 41574-2022

  • 概述/要求:本文件给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T 22081基础上给出了公有云个人信息保护指南。本文件适用于作为个人信息处理者的所有类型和规模的组织,包括公有和私营公司,政府机构和非营利组织。本文件也可能适用于作为个人信息控制者的组织。但是,个人信息控制者可能还受额外的个人信息保护法律法规和义务的约束,而这些法律法规和义务不适用于个人信息处理者。本文件不涵盖此类额外义务。


《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
  • 实施日期:2022/11/1

  • 标准分类:国标

  • 标准编号:GB/T 41391-2022

  • 概述/要求:本文件规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。本文件适用于App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。


《智能家用电器个人信息保护要求和测评方法》
  • 实施日期:2022/6/1

  • 标准分类:国标

  • 标准编号:GB/T 40979-2021

  • 概述/要求:本文件规定了智能家用电器应用过程中个人信息保护的技术要求、组织管理要求及测评方法。本文件适用于智能家用电器、智能家用电器系统和智能家居应用过程中相关各类组织的个人信息处理活动,包括个人信息收集、存储、使用(公开披露、共享与转让,委托处理及跨境传输)等业务流程,以及个人信息保护的组织管理与评价。


《信息安全技术 个人信息安全影响评估指南》
  • 实施日期:2021/6/1

  • 标准分类:国标

  • 标准编号:GB/T 39335-2020

  • 概述/要求:本标准给出了个人信息安全影响评估的基本原理、实施流程。本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。


《信息安全技术 个人信息安全规范》
  • 实施日期:2020/10/1

  • 标准分类:国标

  • 标准编号:GB/T 35273-2020

  • 概述/要求:本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。


《信息安全技术 个人信息去标识化指南》
  • 实施日期:2020/3/1

  • 标准分类:国标

  • 标准编号:GB/T 37964-2019

  • 概述/要求:本标准描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施。本标准针对微数据提供具体的个人信息去标识化指导,适用于组织开展个人信息去标识化工作,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。


《信息安全技术 移动智能终端个人信息保护技术要求》
  • 实施日期:2018/5/1

  • 标准分类:国标

  • 标准编号:GB/T 34978-2017

  • 概述/要求:本标准规定了移动智能终端的个人信息分类及个人信息的保护原则和技术要求。本标准适用于指导公共及商业用途的移动智能终端进行个人信息的处理,其他有关各方也可参照使用。


《信息安全技术 公共及商用服务信息系统个人信息保护指南》
  • 实施日期:2013/2/1

  • 标准分类:国标

  • 标准编号:GB/Z 28828-2012

  • 概述/要求:本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。


02

行标


《车联网信息服务 用户个人信息保护要求》
  • 实施日期:2020/10/1

  • 标准分类:行标

  • 标准编号:YD/T 3746-2020

  • 概述/要求:本标准适用于车联网相关的汽车厂商、零部件和元器件供应商、软件提供商、数据内容提供商和服务提供商等在提供服务过程中的用户个人信息保护。


《移动浏览器个人信息保护技术要求》
  • 实施日期:2019/4/1

  • 标准分类:行标

  • 标准编号:YD/T 3367-2018

  • 概述/要求:本标准规范了移动浏览器个人信息的类型,分析了安全威胁,确定了相应的安全防护目标和技术要求。本标准适用于移动智能终端上的浏览器。


《电信和互联网服务 用户个人信息保护技术要求 即时通信服务》
  • 实施日期:2019/4/1

  • 标准分类:行标

  • 标准编号:YD/T 3327-2018

  • 概述/要求:本标准规定了即时通信服务的用户个人信息保护技术要求。本标准适用于即时通信服务。


《电信和互联网服务 用户个人信息保护技术要求 移动应用商店》
  • 实施日期:2016/10/1

  • 标准分类:行标

  • 标准编号:YD/T 3106-2016

  • 概述/要求:本标准规定了移动应用商店服务的用户个人信息保护要求及与用户相关权益保护要求。本标准适用于移动应用商店。


《电信和互联网服务 用户个人信息保护技术要求电子商务服务》
  • 实施日期:2016/10/1

  • 标准分类:行标

  • 标准编号:YD/T 3105-2016

  • 概述/要求:本标准规定了电子商务服务的用户个人信息及相关权益的保护要求。本标准适用于电子商务服务。


《移动智能终端上的个人信息保护技术要求》
  • 实施日期:2016/7/1

  • 标准分类:行标

  • 标准编号:YD/T 3082-2016

  • 概述/要求:本标准规定了移动智能终端上的个人信息的类型,根据其不同的处理环节,结合每类信息的特点,对相应类型的个人信息保护提出具体的技术要求。本标准适用于移动智能终端和移动应用软件,可穿戴设备等其他类型的终端可参考使用。


《寄递服务用户个人信息保护指南》
  • 实施日期:2016/1/1

  • 标准分类:行标

  • 标准编号:YZ/T 0147-2015

  • 概述/要求:本标准规定了寄递服务用户个人信息(以下简称寄递用户信息)的组成、信息保护的基本原则及信息保护的具体要求。本标准适用于邮政企业、快递企业和其他从事寄递服务的企业(以下统称寄递企业)所涉及的寄递用户信息保护工作。


《电信和互联网服务 用户个人信息保护 分级指南》
  • 实施日期:2014/12/24

  • 标准分类:行标

  • 标准编号:YD/T 2782-2014

  • 概述/要求:本标准规定了电信和互联网服务用户个人信息保护的分级对象和分级方法。本标准适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息保护。


《电信和互联网服务 用户个人信息保护定义及分类》
  • 实施日期:2014/12/24

  • 标准分类:行标

  • 标准编号:YD/T 2781-2014

  • 概述/要求:本标准规定了电信和互联网服务用户个人信息保护的术语和定义、保护范围、信息内容和分类。本标准适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息保护。


《中国金融移动支付 检测规范 第8部分:个人信息保护》
  • 实施日期:2012/12/12

  • 标准分类:行标

  • 标准编号:JR/T 0098.8-2012

  • 概述/要求:本部分规定了移动支付个人信息保护的内部管理、组织管理、访问控制和个人信息生命周期管理4个方面的基本要求以及检测细则。本部分适用于指导检测机构制定移动支付个人信息保护检测方案和执行检测,同时可用于指导个人信息管理机构制造相关产品和建设业务系统。


      七、报告白皮书      


《银行如何保障数字身份安全》
  • 发布日期:2022

  • 报告来源:奥纬咨询

  • 概述/要求:本报告从全球视角,全面总结了当前全球各国数字身份体系发展情况和数字生态体系的必要构成,同时对银行以何种角色参与数字身份生态体系这一命题进行了探讨。


《2022数据安全产业洞察报告》
  • 发布日期:2022/6

  • 报告来源:炼石网络

  • 概述/要求:《报告》涵盖增强数据安全技术与产业的意识形态建设、做好数据安全技术与产业发展的顶层设计、营造数据安全技术与产业良好的环境氛围、建立新技术与应用实践落地的“民族自信”、国家和监管共同构造产业格局“中国之治”、重要数据和个人信息治理推动“中国规则”、国际数据安全技术与产业彰显“中国智慧”等方向,并从产业和技术等方面展望了发展趋势和应用热点。


《区块链+隐私计算一线实践报告(2022)》
  • 发布日期:2022/4

  • 报告来源:零壹财经·零壹智库

  • 概述/要求:报告重点探讨了“区块链对隐私计算的需求是如何出现的”、“隐私计算对区块链的需求是如何出现的”等问题。


《5G数据安全防护白皮书(2022)》
  • 发布日期:2022/4

  • 报告来源:中国移动通信集团有限公司、中国信息通信研究院、中国通信学会和华为技术有限公司

  • 概述/要求:本白皮书系统梳理国内外5G数据安全政策、动态,全面分析5G数据安全面临的风险,结合我国国情提出5G数据安全防护体系架构。


《2021网信自主创新调研报告》
  • 发布日期:2022/4

  • 报告来源:网信自主创新调研报告编委会

  • 概述/要求:《2021网信自主创新调研报告》归纳了三年来取得的创新成果,分析了这些创新成果在各行业数字经济建设中发挥的作用,同时以产业一线的视角探讨了未来一个时期网信核心技术自主创新和产业生态建设的方向和发力点。


《中国隐私计算行业研究报告》
  • 发布日期:2022/3

  • 报告来源:艾瑞咨询研究院

  • 概述/要求:本报告重点从中国隐私计算行业发展研究、隐私计算技术能力研究、产业落地实践情况分析、中国隐私计算发展趋势分析进行了相关研究。


《车联网数据安全监管制度研究报告2022》
  • 发布日期:2022/3

  • 报告来源:毕马威中国与观韬中茂律师事务所

  • 概述/要求:本报告对当前车联网领域涉及的汽车数据类型、数据安全的监管现状、行业监管重点等问题进行梳理和分析,并提出监管建议,希望能为社会各界提供借鉴和参考。


《隐私计算技术金融应用研究报告》
  • 发布日期:2022/2

  • 报告来源:北京金融科技产业联盟

  • 概述/要求:本报告围绕隐私计算,展开政策法规、标准、技术、场景调研,对应用场景进行探索实验,形成解决方案,并发布技术研究报告。


《智能网联汽车个人隐私保护白皮书》
  • 发布日期:2022/2

  • 报告来源:罗兰贝格

  • 概述/要求:报告以案例为切入点,分析智能网联汽车个人隐私保护的三大发展趋势,旨在就此课题为业界带来全新视角。


《2021密码应用技术白皮书》
  • 发布日期:2022/1

  • 报告来源:炼石网络

  • 概述/要求:本白皮书以“用密”为主线展开介绍密码技术、产品、服务、集成、合规等密码相关知识,从业务视角归纳了20种密码应用模式,尝试在保密性、完整性、真实性、不可否认性等的基础上,从数据开发利用场景提炼更直观的密码使用方案。


《2021数据安全与个人信息保护技术白皮书》
  • 发布日期:2021/12

  • 报告来源:炼石网络

  • 概述/要求:《白皮书》由北京炼石网络技术有限公司发布,旨在对于当下数据安全发展面临的挑战与机遇,结合真实的数据泄漏事件,分析业务流转各环节伴生的安全风险与应对,探索数据安全“新框架”与“新战法”,本报告参考经典的网络安全框架ATT&CK,提出了新的数据安全技术框架DTTACK(以数据为中心的战术、技术和通用知识),结合两大框架实现“攻防兼备、网数一体”。最后,报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景,简要阐述了数据安全的应用示例方案以供参考。


《移动互联网应用程序(APP)个人信息保护治理白皮书》
  • 发布日期:2021/11

  • 报告来源:中国信息通信研究院

  • 概述/要求:白皮书从法律法规、标准体系、检测平台、监管实践等方面,系统梳理了前期有关部门组织开展APP个人信息保护治理工作的情况,并对下一步纵深推进治理工作提出了展望。期待白皮书能为相关企业和广大用户了解我国APP个人信息保护治理工作提供有益参考。


《移动应用(APP)个人信息保护白皮书》
  • 发布日期:2021/10

  • 报告来源:德勤·OPPO

  • 概述/要求:白皮书围绕移动应用(APP)个人信息保护工作为读者呈现以下内容:首先,基于近三年来公开的数据,重点分析移动应用(APP)产业现状与趋势、个人信息保护特征和新技术的应用对移动应用(APP)个人信息保护带来挑战和机遇;基于我国个人信息保护法律制度框架逐步形成的背景,对近两年来监管部门开展的移动应用的个人信息保护的专项监督活动和侵犯个人信息的判罚趋势进行分析,并对《个人信息保护法》生效后的监管与司法诉讼的趋势进行研判,呈现我国的个人信息保护治理环境;结合德勤、OPPO和公开的数据,展现我国网民对移动应用(APP)个人信息保护的关注点;重点以OPPO在移动应用(APP)个人信息保护的实践作为蓝本,分享如何开展个人信息保护工作;最后以行业生态视角提出倡议,以及为消费者总结一些实用的个人信息保护建议。


《智能终端产业个人信息保护白皮书》
  • 发布日期:2018

  • 报告来源:中国泰尔实验室

  • 概述/要求:白皮书着眼于智能终端产业新的发展阶段,阐述了个人信息保护现状和面临的挑战,基于业界最佳实践,在终端设备、分发平台、应用开发等方面提出个人信息保护建议,并倡议产业界落实企业主体责任,加强行业自律,强化产业协作体系,共同构筑智能终端产业个人信息保护良好生态。


《电信和互联网用户个人信息保护白皮书》
  • 发布日期:2018

  • 报告来源:中国信息通信研究院

  • 概述/要求:白皮书认为,随着个人信息链条延长,侵犯个人信息行为纷繁涌现,用户个人信息保护面临严峻态势,主要体现在感知层面智能设备的普及和多样化放大了个人信息收集的安全风险;网络层面数据传输量巨大,传输安全存在隐患;应用层面新技术的涌现挑战个人信息流通安全;商业层面企业收集使用个人信息存在泄露风险。如何在保护用户个人信息安全的同时努力做到合理、正当使用,成为了工作重点。


关注本公众号并在后台回复关键词“炼石就是数据安全024”,即可打包下载本文所有政策文件。


声明:为助力行业进步,欢迎转载引用,但需要注明出处,未经授权,不得用于商业目的。

▼ 往期精彩回顾 


                                   

数据安全法一周年 | 2022数据安全技术白皮书(19万字附下载)


22万字数据安全产业洞察报告(下载)  |《数据安全法》一周年


17万字 | 2021密码应用技术白皮书(附下载)


三万字 | 2021密码产业洞察报告(附下载)


200页幻灯片图解典型行业与省市数据法规要求(附下载)


幻灯片下载 | 图解《个人信息保护法》《数据安全法》


200页幻灯片图解《网络数据安全管理条例(征求意见稿)》及数据安全技术体系





炼石网络是一家数据安全技术创新厂商,先后获得安天、国科嘉和、腾讯等投资,面向个人信息和商业数据保护等场景,开创自研“免改造数据安全”产品,以及DSM数据安全管理平台。炼石免改造数据安全夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军,技术特色是免开发改造应用的数据保护、高性能国产密码和去标识化技术,为政府、金融、运营商、交通、教医旅、工业等用户提供个人信息保护、商业数据保护、DSM数据安全管理合规改造、国密合规改造。面向《密码法》《数据安全法》《个人信息保护法》等法律法规,企业重要数据与个人信息亟待提升防护水平与合规改造。炼石基于免改造数据安全技术,通过高覆盖率的数据控制点,横向覆盖广泛应用,纵向叠加发现识别、加密、去标识化、检测/响应、审计追溯等安全能力,有效保护结构化与非结构化数据,实现集中式管控、分布式保护,可应用在数据存储、使用、加工、传输、提供等环节。炼石方案可在不影响业务的前提下敏捷实施上线,将安全与业务在技术上解耦、但又在能力上融合交织,实现主体到应用内用户、客体到字段/文档级的有效保护,打造实战化数据安全防护体系。


微信号:炼石网络CipherGateway


继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存