我国个人信息保护相关法规政策合集
值此二十大和《个人信息保护法》施行一周年之际,我们全面整理了我国个人信息保护相关法规政策,覆盖国家法律、行政法规、部门规章、地方性法规、地方规章、技术标准、报告白皮书等共计百余项文件,以期为个人信息保护产业各界提供参考,不足之处诚邀大家共同完善。
国家法律
施行日期:2021/11/1
发布机构:全国人民代表大会常务委员会
行业属性:全行业
概述/要求:该法涵盖总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等方面,旨在保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,标志着我国个人信息保护立法体系进入新的阶段。
《数据安全法》
施行日期:2021/9/1
发布机构:全国人民代表大会常务委员会
行业属性:全行业
概述/要求:作为我国数据安全领域的基础性法律,该法涵盖总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。法律规定,对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
《未成年人保护法(2020修订)》
施行日期:2021/6/1
发布机构:全国人民代表大会常务委员会
行业属性:全行业
概述/要求:信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。
《民法典》
施行日期:2021/1/1
发布机构:全国人民代表大会常务委员会
行业属性:全行业
概述/要求:第六章详细规定了隐私权和个人信息保护,要求自然人享有隐私权。自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。
《密码法》
施行日期:2020/1/1
发布机构:全国人民代表大会常务委员会
行业属性:全行业
概述/要求:该法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。该法规定,密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
《电子商务法》
施行日期:2019/1/1
发布机构:全国人民代表大会常务委员会
行业属性:全行业
概述/要求:电子商务经营者从事经营活动,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任,接受政府和社会的监督。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
《网络安全法》
施行日期:2017/6/1
发布机构:全国人民代表大会常务委员会
行业属性:全行业
概述/要求:该法旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。该法规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
行政法规
《全国一体化政务服务平台移动端建设指南》
发布日期:2021/9/29
发布机构:国务院
行业属性:政府
概述/要求:坚持安全可控。全面落实总体国家安全观,树牢网络安全底线思维,统筹发展和安全,增强移动政务服务一体化安全防护能力,加强对重要政务数据、敏感个人信息等的保护,确保政务网络和数据信息安全。
《关键信息基础设施安全保护条例》
施行日期:2021/9/1
发布机构:国务院
行业属性:全行业
概述/要求:专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。
《关于落实政府工作报告重点工作分工的意见》
发布日期:2021/3/25
发布机构:国务院
行业属性:全行业
概述/要求:加强网络安全、数据安全和个人信息保护。
《关于构建更加完善的要素市场化配置体制机制的意见》
发布日期:2020/3/30
发布机构:中共中央 国务院
行业属性:全行业
概述/要求:推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。
《关于加快推进全国一体化在线政务服务平台建设的指导意见》
发布日期:2018/7/31
发布单位:国务院
行业属性:政府
概述/要求:加强政务大数据安全管理,制定平台数据安全管理办法,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理。制定全国一体化在线政务服务平台数据安全管理办法,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理,加强政务大数据安全管理。
《关于印发进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案的通知》
发布日期:2018/6/22
发布机构:国务院
行业属性:政府
概述/要求:推动制定完善信息保护的法律制度,切实保护政务信息资源使用过程中的个人隐私和商业秘密。
《关于印发政府网站发展指引的通知》
发布日期:2017/6/8
发布机构:国务院
行业属性:政府
概述/要求:建立保密审查机制,严禁涉密信息上网,不得泄露个人隐私和商业秘密。
《关于创新管理优化服务培育壮大经济发展新动能加快新旧动能接续转换的意见》
发布日期:2017/1/20
发布机构:国务院
行业属性:全行业
概述/要求:推动出台电子商务法,以及个人信息保护、数据资源管理、新能源发电并网等新的法律法规规定。根据数据安全属性,依据有关规定,积极稳妥地向社会开放政府数据。制定严格的个人信息保护法规和大数据安全监管制度,严厉打击非法泄露个人信息行为。
部门规章
施行日期:2022/2/15
发布单位:国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局
行业属性:全行业
概述/要求:办法提出,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
《“十四五”国家信息化规划》
发布日期:2021/12/27
发布单位:中央网络安全和信息化委员会
行业属性:全行业
概述/要求:强化数据安全保障。加强数据收集、汇聚、存储、流通、应用等全生命周期的安全管理,建立健全相关技术保障措施。建立数据分类分级管理制度和个人信息保护认证制度,强化数据安全风险评估、监测预警、检测认证和应急处置,加强对重要数据、企业商业秘密和个人信息的保护,规范对未成年人个人信息的使用。
《网络数据安全管理条例(征求意见稿)》
发布日期:2021/11/14
发布单位:国家互联网信息办公室
行业属性:全行业
概述/要求:为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定了该条例。条例提出,数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。
《提升全民数字素养与技能行动纲要》
发布日期:2021/11/5
发布单位:中央网络安全和信息化委员会
行业属性:全行业
概述/要求:强化个人信息和隐私保护。加大个人信息和隐私保护相关法律法规的普及宣传力度,提高全民个人信息和隐私保护意识。制定完善个人信息和隐私保护标准,健全个人信息和隐私保护监管机制,优化社会群众监督举报机制,压实行业组织、企业机构等保护个人信息安全主体责任,加大对侵犯个人信息和隐私等违法犯罪行为的打击力度。
《数据出境安全评估办法(征求意见稿)》
发布日期:2021/10/29
发布单位:国家互联网信息办公室
行业属性:全行业
概述/要求:数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
《互联网用户账号名称信息管理规定(征求意见稿)》
发布日期:2021/10/26
发布单位:国家互联网信息办公室
行业属性:互联网
概述/要求:互联网用户账号服务平台应当采取必要措施,确保其收集、存储的个人信息及账号名称信息安全,防止未经授权的访问及信息泄露、篡改、丢失;未经互联网用户账号使用者授权同意,不得收集、存储、使用、加工、传输、提供或者公开个人信息及账号名称信息。不得非法买卖互联网用户账号名称信息。
《互联网信息服务算法推荐管理规定(征求意见稿)》
发布日期:2021/8/27
发布单位:国家互联网信息办公室
行业属性:互联网
概述/要求:算法推荐服务提供者应当落实算法安全主体责任,建立健全用户注册、信息发布审核、算法机制机理审核、安全评估监测、安全事件应急处置、数据安全保护和个人信息保护等管理制度,制定并公开算法推荐相关服务规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。
《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
施行日期:2021/8/1
发布单位:最高人民法院
行业属性:全行业
概述/要求:为正确审理使用人脸识别技术处理个人信息相关民事案件,保护当事人合法权益,促进数字经济健康发展,根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律的规定,结合审判实践,制定了该规定。
《全国一体化大数据中心协同创新体系算力枢纽实施方案》
发布日期:2021/5/24
发布单位:国家发展改革委、中央网信办、工业和信息化部、国家能源局
行业属性:全行业
概述/要求:加强对个人隐私等敏感信息的保护,确保基础设施和数据的安全。
《常见类型移动互联网应用程序必要个人信息范围规定》
施行日期:2021/5/1
发布单位:国家互联网信息办公室、工业和信息化部、公安部、市场监管总局
行业属性:互联网
概述/要求:为了规范移动互联网应用程序(App)收集个人信息行为,保障公民个人信息安全,根据《中华人民共和国网络安全法》,制定了该规定。
《反间谍安全防范工作规定》
施行日期:2021/4/26
发布单位:国家安全部
行业属性:全行业
概述/要求:规定要求,国家安全机关及其工作人员对履行反间谍安全防范指导和检查工作职责中知悉的国家秘密、工作秘密、商业秘密、个人隐私和个人信息,应当严格保密,不得泄露或者向他人非法提供。
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
发布日期:2021/4/26
发布单位:工业和信息化部
行业属性:互联网
概述/要求:加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求。
《天津市服务业扩大开放综合试点总体方案》
发布日期:2021/4/21
发布单位:商务部
行业属性:全行业
概述/要求:方案提出,开展重要数据和个人信息出境安全评估,保障数据依法有序自由流动。加快数据安全、个人信息保护等领域基础性法规制度建设,完善政策标准、优化相关技术服务。
《网络交易监督管理办法》
发布日期:2021/3/15
发布单位:市场监管总局
行业属性:互联网
概述/要求:市场监督管理部门应当采取必要措施保护网络交易经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密。
《互联网用户公众账号信息服务管理规定》
施行日期:2021/2/22
发布单位:国家互联网信息办公室
行业属性:互联网
概述/要求:公众账号信息服务平台应当履行信息内容和公众账号管理主体责任,配备与业务规模相适应的管理人员和技术能力,设置内容安全负责人岗位,建立健全并严格落实账号注册、信息内容安全、生态治理、应急处置、网络安全、数据安全、个人信息保护、知识产权保护、信用评价等管理制度。
《互联网信息服务管理办法(修订草案征求意见稿)》
发布日期:2021/1/8
发布单位:国家互联网信息办公室
行业属性:互联网
概述/要求:互联网信息服务提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止所收集、使用的身份信息、日志信息泄漏、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并按照规定及时告知用户并向有关主管部门报告。
《网络数据处理安全规范(征求意见稿)》
发布日期:2020/8/28
发布单位:国家市场监督管理总局、国家标准化管理委员会
行业属性:全行业
概述/要求:该文件规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求。适用于网络运营者规范数据处理活动,提高数据安全管理和个人信息保护水平,也适用于主管监管部门对网络运营者数据处理活动进行监督管理,同时还可为第三方评估机构开展相关评估工作提供指导。
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
施行日期:2020/7/22
发布单位:公安部
行业属性:全行业
概述/要求:意见提出,加强重要数据和个人信息保护。运营者应建立并落实重要数据和个人信息安全保护制度,对关键信息基础设施中的重要网络和数据库进行容灾备份,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当遵守有关规定并进行安全评估。
《网络安全标准实践指南—远程办公安全防护》
施行日期:2020/3/13
发布单位:全国信息安全标准化技术委员会秘书处
行业属性:全行业
概述/要求:该实践指南分析了远程办公面临的主要安全风险,针对远程办公系统使用方和用户分别提出了安全控制措施建议。针对个人信息保护,指南提出,使用方应按照GB/T 35273《信息安全技术 个人信息安全规范》要求保护个人信息。
《信息安全技术 个人信息告知同意指南(征求意见稿)》
发布日期:2020/1/20
发布单位:全国信息安全标准化技术委员会
行业属性:全行业
概述/要求:该标准为网络运营者个人信息处理告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。适用于规范网络运营者在网络环境中进行个人信息告知同意的情形。
《App违法违规收集使用个人信息行为认定方法》
发布日期:2019/11/28
发布单位:国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅
行业属性:全行业
概述/要求:根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定了该方法。
《儿童个人信息网络保护规定》
实施日期:2019/10/1
发布单位:国家互联网信息办公室
行业属性:全行业
概述/要求:网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。
《个人信息出境安全评估办法(征求意见稿)》
发布日期:2019/6/13
发布单位:国家互联网信息办公室
行业属性:全行业
概述/要求:为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定了该办法。
《数据安全管理办法(征求意见稿)》
发布日期:2019/5/28
发布单位:国家互联网信息办公室
行业属性:全行业
概述/要求:为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定了该办法。
《互联网个人信息安全保护指南》
发布日期:2019/4/22
发布单位:公安部网络安全保卫局、北京网络行业协会、公安部第三研究所
行业属性:互联网
概述/要求:为深入贯彻落实《网络安全法》,指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究制定该指南。
《关于开展App安全认证工作的公告》
实施日期:2019/3/13
发布单位:国家市场监督管理总局、中央网络安全和信息化委员会办公室
行业属性:互联网
概述/要求:为规范移动互联网应用程序(以下称App)收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,可以依据《移动互联网应用程序(App)安全认证实施规则》,开展APP安全认证活动。
《关于档案部门使用政务云平台过程中加强档案信息安全管理的意见》
发布日期:2020/5/6
发布单位:国家档案局
行业属性:政府
概述/要求:意见提出,各级档案部门要科学规划,明确使用政务云平台的档案数据和业务范围。使用政务云平台的数据和业务,须按程序经过审核审批。工作中注意把握“对于直接影响党政机关运转和公众工作、生活的关键业务,涉及敏感信息和公民隐私的档案数据,可在确保安全的前提下考虑使用政务云平台”等方面。
《关于加快推进流动人员人事档案信息化建设的指导意见》
发布日期:2018/9/20
发布单位:人力资源社会保障部办公厅
行业属性:政府
概述/要求:意见提出,注重信息安全和个人隐私保护,采取切实有效的安全防护措施,增强系统支撑能力,保证系统安全平稳运行。
《征信业务管理办法(征求意见稿)》
发布日期:2021/1/11
发布单位:中国人民银行
行业属性:金融
概述/要求:办法突出了信息安全的重要性,并规范了信息采集的过程,保护了被征信人的信息权属,明确了征信授权。办法规范个人征信全流程,为未来常态化监管创造条件。同时也对征信企业使用征信数据获利方面进行了规范,对信息使用者作出了规范化要求。
《保险中介机构信息化工作监管办法》
发布日期:2021/1/5
发布单位:中国银保监会
行业属性:金融
概述/要求:保险中介机构应建立健全信息安全管理制度,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施,保障业务持续和数据安全。
《中国银保监会监管数据安全管理办法(试行)》
发布日期:2020/9/23
发布单位:中国银保监会
行业属性:金融
概述/要求:办法提出,保险中介机构的重要信息化机制、设施及其管理应保持独立完整,与关联企业相关设施有效隔离,严格规范信息系统和数据的访问、使用、转移、复制等行为,不得违规向关联企业泄露保单、个人信息等数据信息。重要信息化机制、设施包括但不限于信息化治理与规划,业务、财务、人员等重要信息系统及其中的数据信息。
《关于规范保险公司健康管理服务的通知》
发布日期:2020/9/6
发布单位:中国银行保险监督管理委员会
行业属性:金融
概述/要求:未经客户授权不得对外提供客户个人信息或任何健康数据,依法保证数据安全和保护个人隐私。
《个人金融信息保护技术规范》
发布日期:2020/2/13
发布单位:中国人民银行
行业属性:金融
概述/要求:该标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
《网上银行系统信息安全通用规范》
发布日期:2020/2/5
发布单位:中国人民银行
行业属性:金融
概述/要求:规范提出,对客户办理金融业务时留存的身份信息与相关影像资料、个人财产信息、征信信息等敏感客户资料,应参照国家及行业个人信息、个人金融信息相关保护要求,加强信息安全管理。
《金融信息服务管理规定》
实施日期:2019/2/1
发布单位:国家互联网信息办公室
行业属性:金融
概述/要求:金融信息服务提供者应当履行主体责任,配备与服务规模相适应的管理人员,建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。
《关于进一步加强征信信息安全管理的通知》
发布日期:2018/5/2
发布单位:中国人民银行
行业属性:金融
概述/要求:为贯彻落实党的十九大精神和第五次全国金融工作会议精神,加强个人信息保护,做好新时代征信信息安全管理工作,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号发布)等法规规章的相关规定,现就进一步加强金融信用信息基础数据库运行机构和接入机构征信信息安全管理有关事项作出了该通知。
地方性法规
《河南省数字经济促进条例》
施行日期:2022/3/1
发布单位:河南省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》为了促进数字经济发展,全面建设数字经济强省,推动经济社会高质量发展,要求县级以上人民政府网信、公安等部门应当加强对个人信息数据采集和流通各环节的监督管理,依法查处危害个人信息数据安全的违法活动。
《福建省大数据发展条例》
施行日期:2022/2/1
发布单位:福建省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》规定开展涉及个人信息的数据活动,应当对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。
《上海市数据条例》
施行日期:2022/1/1
发布单位:上海市人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》要求数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度,并采取有效措施保护数据安全,保护个人隐私、个人信息、商业秘密、保密商务信息。
《湖南省网络安全和信息化条例》
施行日期:2022/1/1
发布单位:湖南省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》要求县级以上网信、工业和信息化、公安、保密、密码管理等部门和国家安全机关、省通信管理机构依照有关法律、行政法规的规定,在各自职责范围内负责网络安全、数据安全、个人信息保护和相关监督管理工作。
《深圳经济特区数据条例》
施行日期:2022/1/1
发布单位:深圳市人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储;针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。
《广东省数字经济促进条例》
施行日期:2021/9/1
发布单位:广东省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》要求互联网平台经营者应当建立健全平台管理规则和制度,依法依约履行产品和服务质量保障、网络安全保障、数据安全保障、消费者权益保护、个人信息保护等方面的义务。
《广东省社会信用条例》
施行日期:2021/6/1
发布单位:广东省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》要求互联网平台经营者应当建立健全平台管理规则和制度,依法依约履行产品和服务质量保障、网络安全保障、数据安全保障、消费者权益保护、个人信息保护等方面的义务。
《安徽省大数据发展条例》
施行日期:2021/5/1
发布单位:安徽省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》明确数据采集、传输、存储、使用、共享、开放等各环节保障数据安全的范围边界、责任主体和具体要求,采取相应的技术措施,保障数据安全。开展数据活动的单位应当采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改,保障数据安全。
《浙江省数字经济促进条例》
施行日期:2021/3/1
发布单位:浙江省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》为了促进数字经济发展,加快建设现代化经济体系,提升核心竞争力,推动高质量发展,结合本省实际,发展数字经济是本省经济社会发展的重要战略,应当遵循优先发展、应用先导、数据驱动、创新引领、人才支撑、包容审慎以及保障数据安全、保护个人信息的原则。
《吉林省促进大数据发展应用条例》
施行日期:2021/1/1
发布单位:吉林省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》加强数据安全保障,推进关键信息基础设施安全保护工作,收集、使用个人信息,应当遵守法律、行政法规和国家有关个人信息保护的规定,并采取必要措施加强对个人信息的安全防护,确保个人信息安全。
《天津市社会信用条例》
施行日期:2021/1/1
发布单位:天津市人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》为了加强社会诚信建设,培育和践行社会主义核心价值观,要求社会信用信息的采集、归集、应用和相关管理活动,应当遵循合法、正当、必要、客观、安全的原则,不得侵犯国家秘密、商业秘密、个人隐私和其他个人信息。
《山西省政务数据管理与应用办法》
施行日期:2021/1/1
发布单位:山西省人民代表大会常务委员会
行业属性:政府
概述/要求:《办法》为了促进政务数据共享开放、开发应用,提高数据要素配置效率,要求政务信息管理部门和政务服务实施机构应当加强国家秘密、商业秘密和公民个人信息的保护,防止被非法获取或者泄露。
《沈阳市政务数据资源共享开放条例》
施行日期:2020/10/1
发布单位:沈阳市人民代表大会常务委员会
行业属性:政府
概述/要求:《条例》为了推动政务数据资源优化配置和有效利用,规范政务数据资源的归集、共享、开放及其安全管理,在政务数据资源共享或者开放过程中违反安全管理规定,泄露国家秘密、商业秘密和个人信息的,依照相关法律、法规的规定给予处罚。
《河南省社会信用条例》
施行日期:2020/5/1
发布单位:河南省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》为了增强社会诚信意识,保障信用主体的合法权益,要求信用服务机构对在业务过程中获悉的国家秘密、商业秘密、个人隐私和其他个人信息负有保密义务,不得妨碍国家安全、公共安全和公共利益,不得损害信用主体的合法权益。
《海南省大数据开发应用条例》
施行日期:2019/11/1
发布单位:海南省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》为了推动大数据的开发应用,发挥大数据提升经济发展、社会治理和改善民生的作用,促进大数据产业的发展,要求采集个人信息,还应当遵守本条例和有关法律法规关于个人信息保护的规定。
《贵州省大数据安全保障条例》
施行日期:2019/10/1
发布单位:贵州省人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》为了保障大数据安全和个人信息安全,明确大数据安全责任,促进大数据发展应用,根据《中华人民共和国网络安全法》和有关法律、法规的规定,结合贵州省实际,制定本条例。
《贵阳市大数据安全管理条例》
施行日期:2018/10/1
发布单位:贵阳市人民代表大会常务委员会
行业属性:全行业
概述/要求:《条例》为了加强大数据安全管理,维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进大数据发展应用,对个人信息和重要数据实行加密等安全保护,对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。
五、地方规章
《江苏省公共数据管理办法》
施行日期:2022/2/1
发布单位:江苏省人民政府
行业属性:政府
概述/要求:《办法》为了规范公共数据管理,保障公共数据安全,推进数字化发展,公共数据要求依法实行分类分级保护。公共数据主管部门会同有关主管部门结合数据安全、个人信息保护和数据应用需求等因素,根据国家分类分级保护制度要求,推动制定本省公共数据分类分级具体规则。
《广东省公共数据管理办法》
施行日期:2021/10/25
发布单位:广东省人民政府
行业属性:政府
概述/要求:《办法》为了规范公共数据采集、使用、管理,保障公共数据安全,要求涉及商业秘密、个人隐私,或者根据法律、法规、规章等规定不得开放的公共数据,不予开放。但是,经过依法脱密、脱敏处理或者相关权利人同意开放的,应当开放。
《浙江省信息通信业发展“十四五”规划》
发布日期:2021/6/10
发布单位:浙江省发展和改革委员会 浙江省通信管理局
行业属性:电信
概述/要求:《规划》要求加强用户权益保护,持续加大行业整治力度,开展APP专项整治行动,强化APP安全检测和个人信息保护,督促企业严格落实个人信息保护主体责任。
《湖北省政务数据资源应用与管理办法》
施行日期:2021/4/1
发布单位:湖北省人民政府
行业属性:政府
概述/要求:《办法》要求政务数据共享开放和开发利用应当落实数据安全管理要求,遵守保护国家秘密、商业秘密和个 人隐私的相关规定,不得损害国家利益、社会公共利益和第三方合法权益。
《上海市公安局关于网络安全管理行政处罚的裁量基准》
施行日期:2021/3/8
发布单位:上海市公安局
行业属性:全行业
概述/要求:《裁量基准》要求网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
《安徽省政务数据资源管理办法》
施行日期:2021/3/1
发布单位:安徽省人民政府
行业属性:政府
概述/要求:《办法》要求,政务数据资源管理,应当维护国家安全、公共安全,保守国家秘密,保护商业秘密、个人信息和隐私,对在履行职责中知悉的商业秘密、个人信息和隐私严格保密,不得泄露、出售或者非法向他人提供。
《宁波市公共数据安全管理暂行规定》
施行日期:2020/12/1
发布单位:宁波市人民政府
行业属性:政府
概述/要求:《暂行规定》为了保障公共数据安全,促进和规范公共数据使用,公共管理和服务机构应当根据公共数据类型、规模、用途、安全等级、重要程度等因素选择相应安全性能和防护级别的网络、系统、介质、设施设备。其中,涉及个人信息等事项的重要数据应当采取加密存储、身份鉴别和访问控制等措施,保障存储系统和数据安全。
《郑州市政务数据安全管理暂行办法》
施行日期:2020/11/25
发布单位:郑州市人民政府
行业属性:政府
概述/要求:《办法》为加强政务数据安全管理,建立健全政务数据安全保障体系,要求各政务部门重要信息系统应当启用备份容灾机制,在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,不得向境外发送。
《济南市公共数据管理办法》
施行日期:2020/11/1
发布单位:济南市政府
行业属性:政府
概述/要求:《办法》为加强公共数据管理,推动公共数据共享、开放和应用,提升政府治理能力和公共服务水平,要求公共数据的开发应用,应当符合保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全法律法规的规定。
《东莞市政务数据资源共享管理办法(试行)》
施行日期:2020/8/24
发布单位:东莞市人民政府
行业属性:政府
概述/要求:《办法》试行,按照我市“数字政府”改革建设工作部署,为进一步规范政务数据资源编目、采集、共享、应用和安全管理,要求市大数据管理局、市信息中心会同数据开放主体应当通过必要的技术防控措施,加强对商业秘密、个人隐私等合法权益的保护。
《浙江省公共数据开放与安全管理暂行办法》
施行日期:2020/8/1
发布单位:浙江省人民政府
行业属性:政府
概述/要求:《暂行办法》为了规范和促进本省公共数据开放、利用和安全管理,要求公共管理和服务机构应当落实公共数据安全管理要求,采取措施保护国家秘密、商业秘密和个人隐私。
《天津市数据交易管理暂行办法(征求意见稿)》
发布日期:2020/7/30
发布单位:天津市互联网信息办公室
行业属性:全行业
概述/要求:《暂行办法》为引导培育我市大数据交易市场,规范数据交易行为,激发数据交易主体活力,促进数据资源流通,要求在数据交易过程中非法采集、传播、销售涉及国家安全、公共安全、商业秘密、个人隐私等数据的,按照有关法律法规的规定处罚。
《山东省电子政务和政务数据管理办法》
施行日期:2020/2/1
发布单位:山东省人民政府
行业属性:政府
概述/要求:《办法》主要为了规范电子政务建设与发展,推进政务数据共享与开放,提高政府服务与管理能力,优化营商环境,要求县级以上人民政府有关部门开放本部门政务数据,应当遵守保守国家秘密、政府信息公开等法律、法规的规定,并按照数据安全、隐私保护和使用需求等确定本部门政务数据的开放范围。开放范围内的政务数据分为无条件开放和依申请开放两种类型。
《连云港市公共数据开放与开发利用管理暂行办法》
施行日期:2020/1/1
发布单位:连云港市人民政府
行业属性:政府
概述/要求:《暂行办法》,为促进政务大数据在服务“放管服”改革、服务实体经济、服务民生、服务社会治理等领域推广应用,要求市大数据管理局、市信息中心会同数据开放主体应当通过必要的技术防控措施,加强对商业秘密、个人隐私等合法权益的保护。
《福州市政务数据资源管理办法》
施行日期:2019/11/15
发布单位:福州市人民政府
行业属性:政府
概述/要求:《办法》要求,政务数据开放应当以需求为导向,遵守国家和省有关数据开放的要求。市大数据委会同相关政务部门编制、公布政务数据开放目录,并及时更新。除法律、法规另有规定外,涉及商业秘密、个人隐私的政务数据应当进行脱敏脱密处理后开放。
《福州市公共数据开放管理暂行办法》
施行日期:2019/11/15
发布单位:福州市人民政府
行业属性:政府
概述/要求:《暂行办法》要求当发现商业秘密、个人隐私泄露或有泄露风险时,数据提供部门应当会同市大数据委在开放平台上及时撤回相关数据集,并进行评估。对确需开放的数据,由数据提供部门重新进行脱敏、脱密等数据预处理后再行开放。
《南京市政务数据管理暂行办法》
施行日期:2019/9/20
发布单位:南京市大数据管理局
行业属性:政府
概述/要求:《办法》为了推进本市政务数据整合、共享、开放和创新应用,保障数据安全,市大数据中心应当建立政务数据开放申请用户信息保护制度,采取技术措施和其他必要措施,确保其收集的用户信息安全。
《天津市数据安全管理办法(暂行)》
施行日期:2019/8/1
发布单位:天津市互联网信息办公室
行业属性:全行业
概述/要求:《办法》暂行,要求数据运营者应当按照相关法律法规的规定,制定并落实安全管理制度,对数据进行分类分级,采取加密、脱敏、备份、审计等措施,加强对个人信息和重要数据采集、传输、存储、处理和使用的保护。
《广东省政务数据资源共享管理办法(试行)》
施行日期:2019/1/1
发布单位:广东省人民政府
行业属性:政府
概述/要求:《办法》进一步规范政务数据资源编目、采集、共享、应用和安全管理,在个人信息保护方面,要求设定个人敏感信息使用权限;在展示界面对个人信息进行脱敏处理;在使用界面进行个人信息保护提示和约定;传输和存储个人敏感信息时,应采用加密等安全措施。
《西安市政务数据资源共享管理办法》
发布日期:2018/11/12
发布单位:西安市人民政府
行业属性:政府
概述/要求:《条例》为加强政务数据资源管理,要求市大数据产业发展管理机构应当会同西安市各政务部门编制、公布政务数据开放目录,并及时更新,涉及国家安全、商业秘密、个人隐私的政务数据应当进行脱密脱敏处理后开放。
《福建省政务数据管理办法》
施行日期:2016/10/15
发布单位:福建省人民政府
行业属性:政府
概述/要求:《办法》为了加强政务数据管理,要求省、设区市数据管理机构应当会同数据生产应用单位编制、公布政务数据开放目录,并及时更新。除法律、法规另有规定外,涉及商业秘密、个人隐私的政务数据应当进行脱密脱敏处理后开放。
《崇州市政务数据资源共享管理办法》
施行日期:2016/9/8
发布单位:崇州市人民政府
行业属性:政府
概述/要求:《办法》要求促进政务数据资源的优化配置和有效利用,进一步加快我市智慧城市建设,其中政府部门违反规定使用涉及国家秘密、商业秘密和个人隐私的共享数据,或者造成国家秘密、商业秘密和个人隐私泄漏的,按国家有关法律法规或国家保密规定处理;构成犯罪的,依法追究刑事责任。
《浙江省信息安全等级保护管理办法》
施行日期:2007/1/1
发布单位:浙江省人民政府
行业属性:全行业
概述/要求:《办法》为规范数据信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,要求从事信息系统安全等级测评的机构,应当履行保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险的义务。
技术标准
实施日期:2023/2/1
标准分类:国标
标准编号:GB/T 41574-2022
概述/要求:本文件给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T 22081基础上给出了公有云个人信息保护指南。本文件适用于作为个人信息处理者的所有类型和规模的组织,包括公有和私营公司,政府机构和非营利组织。本文件也可能适用于作为个人信息控制者的组织。但是,个人信息控制者可能还受额外的个人信息保护法律法规和义务的约束,而这些法律法规和义务不适用于个人信息处理者。本文件不涵盖此类额外义务。
《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
实施日期:2022/11/1
标准分类:国标
标准编号:GB/T 41391-2022
概述/要求:本文件规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。本文件适用于App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。
《信息安全技术 个人信息安全影响评估指南》
实施日期:2021/6/1
标准分类:国标
标准编号:GB/T 39335-2020
概述/要求:本标准给出了个人信息安全影响评估的基本原理、实施流程。本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
《信息安全技术 个人信息安全规范》
实施日期:2020/10/1
标准分类:国标
标准编号:GB/T 35273-2020
概述/要求:本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
《信息安全技术 个人信息去标识化指南》
实施日期:2020/3/1
标准分类:国标
标准编号:GB/T 37964-2019
概述/要求:本标准描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施。本标准针对微数据提供具体的个人信息去标识化指导,适用于组织开展个人信息去标识化工作,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。
《信息安全技术 移动智能终端个人信息保护技术要求》
实施日期:2018/5/1
标准分类:国标
标准编号:GB/T 34978-2017
概述/要求:本标准规定了移动智能终端的个人信息分类及个人信息的保护原则和技术要求。本标准适用于指导公共及商业用途的移动智能终端进行个人信息的处理,其他有关各方也可参照使用。
《信息安全技术 公共及商用服务信息系统个人信息保护指南》
实施日期:2013/2/1
标准分类:国标
标准编号:GB/Z 28828-2012
概述/要求:本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
《移动浏览器个人信息保护技术要求》
实施日期:2019/4/1
标准分类:行标
标准编号:YD/T 3367-2018
概述/要求:本标准规范了移动浏览器个人信息的类型,分析了安全威胁,确定了相应的安全防护目标和技术要求。本标准适用于移动智能终端上的浏览器。
《电信和互联网服务 用户个人信息保护技术要求 即时通信服务》
实施日期:2019/4/1
标准分类:行标
标准编号:YD/T 3327-2018
概述/要求:本标准规定了即时通信服务的用户个人信息保护技术要求。本标准适用于即时通信服务。
《电信和互联网服务 用户个人信息保护技术要求 移动应用商店》
实施日期:2016/10/1
标准分类:行标
标准编号:YD/T 3106-2016
概述/要求:本标准规定了移动应用商店服务的用户个人信息保护要求及与用户相关权益保护要求。本标准适用于移动应用商店。
《电信和互联网服务 用户个人信息保护技术要求电子商务服务》
实施日期:2016/10/1
标准分类:行标
标准编号:YD/T 3105-2016
概述/要求:本标准规定了电子商务服务的用户个人信息及相关权益的保护要求。本标准适用于电子商务服务。
《移动智能终端上的个人信息保护技术要求》
实施日期:2016/7/1
标准分类:行标
标准编号:YD/T 3082-2016
概述/要求:本标准规定了移动智能终端上的个人信息的类型,根据其不同的处理环节,结合每类信息的特点,对相应类型的个人信息保护提出具体的技术要求。本标准适用于移动智能终端和移动应用软件,可穿戴设备等其他类型的终端可参考使用。
《电信和互联网服务 用户个人信息保护 分级指南》
实施日期:2014/12/24
标准分类:行标
标准编号:YD/T 2782-2014
概述/要求:本标准规定了电信和互联网服务用户个人信息保护的分级对象和分级方法。本标准适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息保护。
《电信和互联网服务 用户个人信息保护定义及分类》
实施日期:2014/12/24
标准分类:行标
标准编号:YD/T 2781-2014
概述/要求:本标准规定了电信和互联网服务用户个人信息保护的术语和定义、保护范围、信息内容和分类。本标准适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息保护。
《中国金融移动支付 检测规范 第8部分:个人信息保护》
实施日期:2012/12/12
标准分类:行标
标准编号:JR/T 0098.8-2012
概述/要求:本部分规定了移动支付个人信息保护的内部管理、组织管理、访问控制和个人信息生命周期管理4个方面的基本要求以及检测细则。本部分适用于指导检测机构制定移动支付个人信息保护检测方案和执行检测,同时可用于指导个人信息管理机构制造相关产品和建设业务系统。
报告白皮书
发布日期:2022/6
报告来源:炼石网络
概述/要求:《报告》涵盖增强数据安全技术与产业的意识形态建设、做好数据安全技术与产业发展的顶层设计、营造数据安全技术与产业良好的环境氛围、建立新技术与应用实践落地的“民族自信”、国家和监管共同构造产业格局“中国之治”、重要数据和个人信息治理推动“中国规则”、国际数据安全技术与产业彰显“中国智慧”等方向,并从产业和技术等方面展望了发展趋势和应用热点。
《区块链+隐私计算一线实践报告(2022)》
发布日期:2022/4
报告来源:零壹财经·零壹智库
概述/要求:报告重点探讨了“区块链对隐私计算的需求是如何出现的”、“隐私计算对区块链的需求是如何出现的”等问题。
《5G数据安全防护白皮书(2022)》
发布日期:2022/4
报告来源:中国移动通信集团有限公司、中国信息通信研究院、中国通信学会和华为技术有限公司
概述/要求:本白皮书系统梳理国内外5G数据安全政策、动态,全面分析5G数据安全面临的风险,结合我国国情提出5G数据安全防护体系架构。
《2021网信自主创新调研报告》
发布日期:2022/4
报告来源:网信自主创新调研报告编委会
概述/要求:《2021网信自主创新调研报告》归纳了三年来取得的创新成果,分析了这些创新成果在各行业数字经济建设中发挥的作用,同时以产业一线的视角探讨了未来一个时期网信核心技术自主创新和产业生态建设的方向和发力点。
《中国隐私计算行业研究报告》
发布日期:2022/3
报告来源:艾瑞咨询研究院
概述/要求:本报告重点从中国隐私计算行业发展研究、隐私计算技术能力研究、产业落地实践情况分析、中国隐私计算发展趋势分析进行了相关研究。
《隐私计算技术金融应用研究报告》
发布日期:2022/2
报告来源:北京金融科技产业联盟
概述/要求:本报告围绕隐私计算,展开政策法规、标准、技术、场景调研,对应用场景进行探索实验,形成解决方案,并发布技术研究报告。
《2021密码应用技术白皮书》
发布日期:2022/1
报告来源:炼石网络
概述/要求:本白皮书以“用密”为主线展开介绍密码技术、产品、服务、集成、合规等密码相关知识,从业务视角归纳了20种密码应用模式,尝试在保密性、完整性、真实性、不可否认性等的基础上,从数据开发利用场景提炼更直观的密码使用方案。
《2021数据安全与个人信息保护技术白皮书》
发布日期:2021/12
报告来源:炼石网络
概述/要求:《白皮书》由北京炼石网络技术有限公司发布,旨在对于当下数据安全发展面临的挑战与机遇,结合真实的数据泄漏事件,分析业务流转各环节伴生的安全风险与应对,探索数据安全“新框架”与“新战法”,本报告参考经典的网络安全框架ATT&CK,提出了新的数据安全技术框架DTTACK(以数据为中心的战术、技术和通用知识),结合两大框架实现“攻防兼备、网数一体”。最后,报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景,简要阐述了数据安全的应用示例方案以供参考。
《移动互联网应用程序(APP)个人信息保护治理白皮书》
发布日期:2021/11
报告来源:中国信息通信研究院
概述/要求:白皮书从法律法规、标准体系、检测平台、监管实践等方面,系统梳理了前期有关部门组织开展APP个人信息保护治理工作的情况,并对下一步纵深推进治理工作提出了展望。期待白皮书能为相关企业和广大用户了解我国APP个人信息保护治理工作提供有益参考。
《移动应用(APP)个人信息保护白皮书》
发布日期:2021/10
报告来源:德勤·OPPO
概述/要求:白皮书围绕移动应用(APP)个人信息保护工作为读者呈现以下内容:首先,基于近三年来公开的数据,重点分析移动应用(APP)产业现状与趋势、个人信息保护特征和新技术的应用对移动应用(APP)个人信息保护带来挑战和机遇;基于我国个人信息保护法律制度框架逐步形成的背景,对近两年来监管部门开展的移动应用的个人信息保护的专项监督活动和侵犯个人信息的判罚趋势进行分析,并对《个人信息保护法》生效后的监管与司法诉讼的趋势进行研判,呈现我国的个人信息保护治理环境;结合德勤、OPPO和公开的数据,展现我国网民对移动应用(APP)个人信息保护的关注点;重点以OPPO在移动应用(APP)个人信息保护的实践作为蓝本,分享如何开展个人信息保护工作;最后以行业生态视角提出倡议,以及为消费者总结一些实用的个人信息保护建议。
end