随着党的二十大胜利闭幕,我国迈入了以中国式现代化全面推进中华民族伟大复兴的新征程。国家安全作为民族复兴的根基,是全面建成社会主义现代化强国、实现第二个百年奋斗目标的支撑和前提。二十大报告提出,“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”、“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”、“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”、“加强个人信息保护”。在这份新时代党和国家事业发展的理论指南和行动纲领中,“个人信息保护”被提到前所未有的高度,作为我国新安全格局的重要组成发挥更好地规范和指导作用,以保障新发展格局。
为强化个人信息的制度性保障,2021年11月1日,我国第一部个人信息保护方面的专门法律《个人信息保护法》正式施行,体现个人信息受保护权作为基本权利,是公民人格尊严的重要内容,遵循合宪性原则,也标志着我国个人信息保护立法体系进入新阶段。以《个人信息保护法》为起点,我国不断完善个人信息保护体制机制,形成横跨民法商法、行政法、经济法、刑法等多领域的立法体系,构建了行政法规、部门规章、地方性法规、地方规章、技术标准等多层级的个人信息确权和保护机制,进一步保障个人信息权益,规范个人信息处理活动,促进个人信息合理利用。
一、国家法律
《个人信息保护法》
施行日期:2021/11/1
发布机构:全国人民代表大会常务委员会
行业属性:全行业
概述/要求:该法涵盖总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等方面,旨在保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,标志着我国个人信息保护立法体系进入新的阶段。
《数据安全法》
施行日期:2021/9/1
概述/要求:作为我国数据安全领域的基础性法律,该法涵盖总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。法律规定,对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
《未成年人保护法(2020修订)》
施行日期:2021/6/1
概述/要求:信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。
《民法典》
施行日期:2021/1/1
概述/要求:第六章详细规定了隐私权和个人信息保护,要求自然人享有隐私权。自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。
《密码法》
施行日期:2020/1/1
《电子商务法》
施行日期:2019/1/1
概述/要求:电子商务经营者从事经营活动,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任,接受政府和社会的监督。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
《网络安全法》
施行日期:2017/6/1
概述/要求:该法旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。该法规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
《刑法修正案(九)》
施行日期:2015/11/1
概述/要求:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
《消费者权益保护法》
施行日期:2014/3/15
概述/要求:规定经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。
二、行政法规
《全国一体化政务服务平台移动端建设指南》
发布日期:2021/9/29
发布机构:国务院
行业属性:政府
概述/要求:坚持安全可控。全面落实总体国家安全观,树牢网络安全底线思维,统筹发展和安全,增强移动政务服务一体化安全防护能力,加强对重要政务数据、敏感个人信息等的保护,确保政务网络和数据信息安全。
《关键信息基础设施安全保护条例》
概述/要求:专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。
《关于落实政府工作报告重点工作分工的意见》
发布日期:2021/3/25
概述/要求:加强网络安全、数据安全和个人信息保护。
《关于构建更加完善的要素市场化配置体制机制的意见》
发布日期:2020/3/30
发布机构:中共中央国务院
概述/要求:推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。
《关于加快推进全国一体化在线政务服务平台建设的指导意见》
发布日期:2018/7/31
发布单位:国务院
概述/要求:加强政务大数据安全管理,制定平台数据安全管理办法,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理。制定全国一体化在线政务服务平台数据安全管理办法,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理,加强政务大数据安全管理。
《关于印发进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案的通知》
发布日期:2018/6/22
概述/要求:推动制定完善信息保护的法律制度,切实保护政务信息资源使用过程中的个人隐私和商业秘密。
《关于促进“互联网+医疗健康”发展的意见》
发布日期:2018/4/28
行业属性:医疗
概述/要求:加强“互联网+医疗健康”标准的规范管理,制订医疗服务、数据安全、个人信息保护、信息共享等基础标准,全面推开病案首页书写规范、疾病分类与代码、手术操作分类与代码、医学名词术语“四统一”。
《科学数据管理办法》
施行日期:2018/4/2
概述/要求:办法旨在进一步加强和规范科学数据管理,保障科学数据安全,提高开放共享水平,更好支撑国家科技创新、经济社会发展和国家安全。办法指出,涉及国家秘密、国家安全、社会公共利益、商业秘密和个人隐私的科学数据,不得对外开放共享;确需对外开放的,要对利用目的、用户资质、保密条件等进行审查,并严格控制知悉范围。
《关于印发政府网站发展指引的通知》
发布日期:2017/6/8
概述/要求:建立保密审查机制,严禁涉密信息上网,不得泄露个人隐私和商业秘密。
《关于创新管理优化服务培育壮大经济发展新动能加快新旧动能接续转换的意见》
发布日期:2017/1/20
概述/要求:推动出台电子商务法,以及个人信息保护、数据资源管理、新能源发电并网等新的法律法规规定。根据数据安全属性,依据有关规定,积极稳妥地向社会开放政府数据。制定严格的个人信息保护法规和大数据安全监管制度,严厉打击非法泄露个人信息行为。
《关于促进和规范健康医疗大数据应用发展的指导意见》
发布日期:2016/6/24
概述/要求:建立健全健康医疗大数据开放、保护等法规制度,强化标准和安全体系建设,强化安全管理责任,妥善处理应用发展与保障安全的关系,增强安全技术支撑能力,有效保护个人隐私和信息安全。
《促进大数据发展行动纲要》
发布日期:2015/8/31
《关于积极推进“互联网+”行动的指导意见》
发布日期:2015/7/4
《关于运用大数据加强对市场主体服务和监管的若干意见》
发布日期:2015/7/1
《征信业管理条例》
施行日期:2013/3/15
行业属性:金融
概述/要求:征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明。未按照与个人信息主体约定的用途使用个人信息或者未经个人信息主体同意向第三方提供个人信息,情节严重或者造成严重后果的,由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款;对个人处1万元以上5万元以下的罚款;有违法所得的,没收违法所得。给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。
三、部门规章
全行业
《网络安全审查办法》
施行日期:2022/2/15
发布单位:国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局
概述/要求:办法提出,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
《“十四五”国家信息化规划》
发布日期:2021/12/27
发布单位:中央网络安全和信息化委员会
《网络数据安全管理条例(征求意见稿)》
发布日期:2021/11/14
发布单位:国家互联网信息办公室
概述/要求:为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定了该条例。条例提出,数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。
《提升全民数字素养与技能行动纲要》
发布日期:2021/11/5
《数据出境安全评估办法(征求意见稿)》
发布日期:2021/10/29
概述/要求:数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
《互联网用户账号名称信息管理规定(征求意见稿)》
发布日期:2021/10/26
行业属性:互联网
《互联网信息服务算法推荐管理规定(征求意见稿)》
发布日期:2021/8/27
施行日期:2021/8/1
发布单位:最高人民法院
《全国一体化大数据中心协同创新体系算力枢纽实施方案》
发布日期:2021/5/24
发布单位:国家发展改革委、中央网信办、工业和信息化部、国家能源局
概述/要求:加强对个人隐私等敏感信息的保护,确保基础设施和数据的安全。
《常见类型移动互联网应用程序必要个人信息范围规定》
施行日期:2021/5/1
发布单位:国家互联网信息办公室、工业和信息化部、公安部、市场监管总局
概述/要求:为了规范移动互联网应用程序(App)收集个人信息行为,保障公民个人信息安全,根据《中华人民共和国网络安全法》,制定了该规定。
《反间谍安全防范工作规定》
施行日期:2021/4/26
发布单位:国家安全部
概述/要求:规定要求,国家安全机关及其工作人员对履行反间谍安全防范指导和检查工作职责中知悉的国家秘密、工作秘密、商业秘密、个人隐私和个人信息,应当严格保密,不得泄露或者向他人非法提供。
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
发布日期:2021/4/26
发布单位:工业和信息化部
概述/要求:加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求。
《天津市服务业扩大开放综合试点总体方案》
发布日期:2021/4/21
发布单位:商务部
《网络直播营销管理办法(试行)》
发布日期:2021/4/16
发布单位:中央网络安全和信息委员会办公室、中华人民共和国公安部、中华人民共和国商务部、中华人民共和国文化和旅游部、国家税务总局、国家市场监督管理总局、国家广播电视总局
概述/要求:直播营销平台应当建立健全账号及直播营销功能注册注销、信息安全管理、营销行为规范、未成年人保护、消费者权益保护、个人信息保护、网络和数据安全管理等机制、措施。
《网络交易监督管理办法》
发布日期:2021/3/15
发布单位:市场监管总局
概述/要求:市场监督管理部门应当采取必要措施保护网络交易经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密。
《互联网用户公众账号信息服务管理规定》
施行日期:2021/2/22
概述/要求:公众账号信息服务平台应当履行信息内容和公众账号管理主体责任,配备与业务规模相适应的管理人员和技术能力,设置内容安全负责人岗位,建立健全并严格落实账号注册、信息内容安全、生态治理、应急处置、网络安全、数据安全、个人信息保护、知识产权保护、信用评价等管理制度。
《关于加强网络直播规范管理工作的指导意见》
实施日期:2021/2/9
发布单位:国家互联网信息办公室、全国扫黄打非工作小组、工业和信息化部、公安部、文化和旅游部、国家市场监督管理总局、国家广播电视总局
《互联网信息服务管理办法(修订草案征求意见稿)》
发布日期:2021/1/8
概述/要求:互联网信息服务提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止所收集、使用的身份信息、日志信息泄漏、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并按照规定及时告知用户并向有关主管部门报告。
《网络数据处理安全规范(征求意见稿)》
发布日期:2020/8/28
发布单位:国家市场监督管理总局、国家标准化管理委员会
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
施行日期:2020/7/22
发布单位:公安部
概述/要求:意见提出,加强重要数据和个人信息保护。运营者应建立并落实重要数据和个人信息安全保护制度,对关键信息基础设施中的重要网络和数据库进行容灾备份,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当遵守有关规定并进行安全评估。
《网络安全标准实践指南—远程办公安全防护》
施行日期:2020/3/13
发布单位:全国信息安全标准化技术委员会秘书处
概述/要求:该实践指南分析了远程办公面临的主要安全风险,针对远程办公系统使用方和用户分别提出了安全控制措施建议。针对个人信息保护,指南提出,使用方应按照GB/T35273《信息安全技术个人信息安全规范》要求保护个人信息。
《信息安全技术个人信息告知同意指南(征求意见稿)》
发布日期:2020/1/20
发布单位:全国信息安全标准化技术委员会
概述/要求:该标准为网络运营者个人信息处理告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。适用于规范网络运营者在网络环境中进行个人信息告知同意的情形。
《网络预约出租汽车经营服务管理暂行办法》
实施日期:2019/12/28
发布单位:交通运输部、工业和信息化部、公安部、商务部、国家市场监督管理总局、国家互联网信息办公室
概述/要求:网约车平台公司及网约车驾驶员违法使用或者泄露约车人、乘客个人信息的,由公安、网信等部门依照各自职责处以2000元以上10000元以下罚款;给信息主体造成损失的,依法承担民事责任;涉嫌犯罪的,依法追究刑事责任。
《App违法违规收集使用个人信息行为认定方法》
发布日期:2019/11/28
发布单位:国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅
概述/要求:根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定了该方法。
《儿童个人信息网络保护规定》
实施日期:2019/10/1
概述/要求:网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。
《个人信息出境安全评估办法(征求意见稿)》
发布日期:2019/6/13
《数据安全管理办法(征求意见稿)》
发布日期:2019/5/28
概述/要求:为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定了该办法。
《互联网个人信息安全保护指南》
发布日期:2019/4/22
发布单位:公安部网络安全保卫局、北京网络行业协会、公安部第三研究所
概述/要求:为深入贯彻落实《网络安全法》,指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究制定该指南。
《关于开展App安全认证工作的公告》
实施日期:2019/3/13
发布单位:国家市场监督管理总局、中央网络安全和信息化委员会办公室
概述/要求:为规范移动互联网应用程序(以下称App)收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,可以依据《移动互联网应用程序(App)安全认证实施规则》,开展APP安全认证活动。
《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》
实施日期:2018/11/30
发布单位:国家互联网信息办公室、公安部
概述/要求:规定提出,互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估。其中,个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施在重点评估内容中。
《关于做好引导和规范共享经济健康良性发展有关工作的通知》
实施日期:2018/5/22
发布单位:国家发展和改革委员会、中央网络安全和信息化委员会办公室、工业和信息化部
概述/要求:通知提出,保障个人信息安全。依法依规强化对平台企业收集、保存、使用、处理、共享、转让、公开披露、向境外提供个人信息等行为的监督,督促平台企业运用匿名化、去标识化等技术手段,提高个人信息保护水平,防止信息泄露、损毁和丢失。
《微博客信息服务管理规定》
实施日期:2018/3/20
概述/要求:规定提出,微博客服务提供者应当保障微博客服务使用者的信息安全,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
《互联网群组信息服务管理规定》
实施日期:2017/10/8
概述/要求:规定提出,互联网群组信息服务提供者应当采取必要措施保护使用者个人信息安全,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。
《网络空间国际合作战略》
实施日期:2017/3/1
发布单位:外交部、国家互联网信息办公室
概述/要求:战略支持联合国大会及人权理事会有关隐私权保护问题的讨论,推动网络空间确立个人隐私保护原则。推动各国采取措施制止利用网络侵害个人隐私的行为,并就尊重和保护网络空间个人隐私的实践和做法进行交流。促进企业提高数据安全保护意识,支持企业加强行业自律,就网络空间个人信息保护最佳实践展开讨论。推动政府和企业加强合作,共同保护网络空间个人隐私。
《关于全面加强电子商务领域诚信建设的指导意见》
实施日期:2016/12/30
发布单位:国家发展和改革委员会、中国人民银行、中央网络安全和信息化领导小组办公室(已变更)
概述/要求:健全个人信息保护制度,保护电子商务领域消费者个人隐私。
《国家网络空间安全战略》
实施日期:2016/12/27
概述/要求:战略提出,坚持综合治理、源头控制、依法防范,严厉打击网络诈骗、网络盗窃、贩枪贩毒、侵害公民个人信息、传播淫秽色情、黑客攻击、侵犯知识产权等违法犯罪行为。
《工业和信息化部关于印发大数据产业发展规划(2016-2020年)的通知》
发布日期:2016/12/18
概述/要求:安全规范。安全是发展的前提,发展是安全的保障,坚持发展与安全并重,增强信息安全技术保障能力,建立健全安全防护体系,保障信息安全和个人隐私。加强行业自律,完善行业监管,促进数据资源有序流动与规范利用。
《关于加强国家网络安全标准化工作的若干意见》
实施日期:2016/8/12
发布单位:中央网络安全和信息化领导小组办公室(已变更)、国家质量监督检验检疫总局(已撤销)、国家标准化管理委员会
概述/要求:意见提出,坚持急用先行,围绕“互联网+”行动计划、“中国制造2025”和“大数据发展行动纲要”等国家战略需求,加快开展关键信息基础设施保护、网络安全审查、网络空间可信身份、关键信息技术产品、网络空间保密防护监管、工业控制系统安全、大数据安全、个人信息保护、智慧城市安全、物联网安全、新一代通信网络安全、互联网电视终端产品安全、网络安全信息共享等领域的标准研究和制定工作。
《移动互联网应用程序信息服务管理规定》
实施日期:2016/8/1
概述/要求:规定提出,移动互联网应用程序提供者应当严格落实信息安全管理责任,依法履行“建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意”等义务。
《互联网用户账号名称管理规定》
实施日期:2015/3/1
概述/要求:规定提出,互联网信息服务提供者应当落实安全管理责任,完善用户服务协议,明示互联网信息服务使用者在账号名称、头像和简介等注册信息中不得出现违法和不良信息,配备与服务规模相适应的专业人员,对互联网用户提交的账号名称、头像和简介等注册信息进行审核,对含有违法和不良信息的,不予注册;保护用户信息及公民个人隐私,自觉接受社会监督,及时处理公众举报的账号名称、头像和简介等注册信息中的违法和不良信息。
《即时通信工具公众信息服务发展管理暂行规定》
实施日期:2014/8/7
概述/要求:规定提出,即时通信工具服务提供者应当落实安全管理责任,建立健全各项制度,配备与服务规模相适应的专业人员,保护用户信息及公民个人隐私,自觉接受社会监督,及时处理公众举报的违法和不良信息。
《规范互联网信息服务市场秩序若干规定》
发布日期:2011/12/29
政务
《关于档案部门使用政务云平台过程中加强档案信息安全管理的意见》
发布日期:2020/5/6
发布单位:国家档案局
概述/要求:意见提出,各级档案部门要科学规划,明确使用政务云平台的档案数据和业务范围。使用政务云平台的数据和业务,须按程序经过审核审批。工作中注意把握“对于直接影响党政机关运转和公众工作、生活的关键业务,涉及敏感信息和公民隐私的档案数据,可在确保安全的前提下考虑使用政务云平台”等方面。
《关于加快推进流动人员人事档案信息化建设的指导意见》
发布日期:2018/9/20
发布单位:人力资源社会保障部办公厅
概述/要求:意见提出,注重信息安全和个人隐私保护,采取切实有效的安全防护措施,增强系统支撑能力,保证系统安全平稳运行。
《国土资源部关于印发促进国土资源大数据应用发展实施意见的通知》
发布日期:2016/7/4
发布单位:国土资源部
概述/要求:切实加强对涉及国家利益、公共安全、商业秘密、个人隐私等信息的保护。妥善处理共享开放与保障安全的关系,促进数据在安全保障、风险可控的原则下最大程度共享开放。
金融
《征信业务管理办法(征求意见稿)》
发布日期:2021/1/11
发布单位:中国人民银行
《保险中介机构信息化工作监管办法》
发布日期:2021/1/5
发布单位:中国银保监会
概述/要求:保险中介机构应建立健全信息安全管理制度,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施,保障业务持续和数据安全。
《中国银保监会监管数据安全管理办法(试行)》
发布日期:2020/9/23
《关于规范保险公司健康管理服务的通知》
发布日期:2020/9/6
发布单位:中国银行保险监督管理委员会
《个人金融信息保护技术规范》
发布日期:2020/2/13
概述/要求:该标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
《网上银行系统信息安全通用规范》
发布日期:2020/2/5
《金融信息服务管理规定》
实施日期:2019/2/1
概述/要求:金融信息服务提供者应当履行主体责任,配备与服务规模相适应的管理人员,建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。
《关于进一步加强征信信息安全管理的通知》
发布日期:2018/5/2
《关于推动资本市场服务网络强国建设的指导意见》
实施日期:2018/3/30
发布单位:中央网络安全和信息化委员会办公室、中国证券监督管理委员会
概述/要求:落实网络与信息安全保障措施。指导网信企业遵守《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络产品和服务安全审查办法(试行)》等法律法规和制度,提高网络与信息安全意识,建立健全网络与信息安全保障措施,维护国家网络空间主权、安全和发展利益,积极参与国家关键信息基础设施安全保护,维护公民网络空间合法权益,保障个人信息和重要数据安全。
《关于促进互联网金融健康发展的指导意见》
实施日期:2015/7/14
发布单位:中国人民银行、工业和信息化部、公安部
教育
《教育部关于加强新时代教育管理信息化工作的通知》
发布单位:教育部
行业属性:教育
概述/要求:提升安全保障能力。全面落实《中华人民共和国网络安全法》等法律法规和政策要求,建立健全网络安全责任体系,明晰各方职责。落实网络安全等级保护制度,重点保障关键信息基础设施。开展网络安全监测预警通报,提升网络安全态势感知能力。建立供应链安全管理体系,定期组织审计,优先选用具有自主核心技术以及安全性达到要求的国产化产品。全面加强数据安全保障,建立覆盖全生命周期的数据安全保障机制,重点保护广大师生和家长,特别是未成年人的个人隐私信息。
《高等学校数字校园建设规范(试行)》
发布日期:2021/3/12
《2020年教育信息化和网络安全工作要点》
发布日期:2020/2/26
概述/要求:文件提出,推动落实《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》,完成现有教育移动互联网应用的备案,建立事中事后监管机制,重点治理强制使用收费、违规采集个人信息、呈现低俗信息等问题,开展高等学校管理服务类教育移动互联网应用专项治理行动,促进移动互联网有序健康发展。
《关于促进在线教育健康发展的指导意见》
实施日期:2019/9/19
发布单位:教育部中央网络安全和信息化委员会办公室、国家发展和改革委员会、工业和信息化部、公安部、财政部、中国人民银行、国家市场监督管理总局、中国银行保险监督管理委员会、中国证券监督管理委员会、国家知识产权局
概述/要求:建立规范化准入体系。按照包容审慎原则,完善在线教育准入制度,明确准入条件与资质认证流程,建立健全在线教育资源的备案审查制度,切实维护国家安全、社会公共利益和师生个人信息安全。
《关于引导规范教育移动互联网应用有序健康发展的意见》
实施日期:2019/8/10
发布单位:教育部、工业和信息化部、中央网络安全和信息化委员会办公室、公安部、民政部、国家市场监督管理总局、国家新闻出版署、全国扫黄打非工作小组
《关于规范校外线上培训的实施意见》
实施日期:2019/7/12
发布单位:教育部、中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家广播电视总局、全国扫黄打非工作小组
概述/要求:信息安全。严格遵守《中华人民共和国网络安全法》的要求,落实网络安全等级保护制度、网络安全预警通报制度和用户信息保护制度,具有完善的安全保护技术措施。按照“后台实名、前台自愿”的原则,经培训对象及其监护人同意后,对培训对象进行真实身份信息认证。做好培训对象信息和数据安全防护,防止泄露隐私,不得非法出售或者非法向他人提供培训对象信息。用户行为日志须留存1年以上。
《教育部机关及直属事业单位教育数据管理办法》
发布日期:2018/1/22
概述/要求:办法提出,规范程序,保障安全。明确教育数据各环节的管理程序,做到教育数据管理全过程有规可依。依托国家信息安全保障体系,完善教育数据共享与公开安全机制,保护个人隐私信息,保障教育数据资源安全。
医疗
《互联网诊疗监管细则(征求意见稿)》
发布单位:国家卫生健康委
《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》
发布日期:2021/4/6
发布单位:国家医疗保障局
《关于做好信息化支撑常态化疫情防控工作的通知》
发布日期:2020/6/28
概述/要求:通知提出,指导属地医疗卫生机构持续保证涉疫情防控网络信息系统和数据安全,做好个人信息保护工作,防范供应链安全风险,加大督促检查和监测力度。
《国家健康医疗大数据标准、安全和服务管理办法(试行)》
发布日期:2018/7/12
《人口健康信息管理办法(试行)》
发布日期:2014/5/5
发布单位:国家卫生计生委
交通
《民用航空安全信息保护管理办法》
施行日期:2021/10/1
发布单位:中国民用航空局
行业属性:交通
《在线旅游经营服务管理暂行规定》
施行日期:2020/10/1
发布单位:文旅部
概述/要求:规定提出,在线旅游经营者应当保护旅游者个人信息等数据安全,在收集旅游者信息时事先明示收集旅游者个人信息的目的、方式和范围,并经旅游者同意。
《民用航空旅客服务信息系统信息安全保护规范》
发布日期:2020/6/12
《邮政业寄递安全监督管理办法》
施行日期:2020/2/15
发布单位:交通运输部
概述/要求:办法提出,邮政企业、快递企业应当建立寄递详情单及电子数据管理制度,定期销毁已经使用过的寄递详情单,妥善保管用户信息等电子数据,采取有效手段保证用户信息安全。
《推进综合交通运输大数据发展行动纲要(2020—2025年)》
发布日期:2019/12/9
概述/要求:完善数据安全保障措施。推进交通运输领域数据分类分级管理,加强重要数据和个人信息安全保护,制定数据分级安全管理、数据脱敏等制度规范。推进重要信息系统密码技术应用和重要软硬件设备自主可控。
《关于推进交通运输行业数据资源开放共享的实施意见》
发布日期:2016/9/2
概述/要求:加强数据安全。落实数据安全管理有关法规制度,加强数据采集、传输、存储、使用、开发等关键环节的安全防护。加强行业重要数据资源容灾备份,提升重要数据容灾恢复能力。细化界定行业涉密信息内容,依法加强对涉及国家秘密、个人隐私和商业秘密数据的保护。
工业
《汽车数据安全管理若干规定(试行)》
发布单位:国家互联网信息办公室、国家发展和改革委员会、工信部、公安部、交通运输部
行业属性:工业
《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》
发布日期:2021/9/30
概述/要求:办法提出,工业和电信数据处理者公开数据应当真实、准确,并在公开前开展安全评估,对涉及个人隐私、个人信息、商业秘密、保密商务信息以及可能对公共利益及国家安全产生重大影响的,不得公开。
《关于加强车联网网络安全和数据安全工作的通知》
发布日期:2021/9/15
概述/要求:通知提出,加强数据分类分级管理。按照“谁主管、谁负责,谁运营、谁负责”的原则,智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。
《智能网联汽车生产企业及产品准入管理指南(试行)(征求意见稿)》
发布日期:2021/4/7
概述/要求:指南提出,智能网联汽车生产企业应依法收集、使用和保护个人信息,实施数据分类分级管理,制定重要数据目录,不得泄露涉及国家安全的敏感信息。
《移动智能终端应用软件预置和分发管理暂行规定》
实施日期:2017/7/1
《水利网络安全事件应急预案》
实施日期:2017年
发布单位:水利部
概述/要求:该预案适用于水利网络安全事件的应对工作。其中有关信息内容安全事件的应对遵循国家有关要求,国家秘密信息事件的应对遵循国家保密有关法律法规要求。预案明确,水利关键信息基础设施是事关国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能,将严重危害国家安全、公共利益的水利信息设施,包括但不限于大型水利工程、防洪重点中型水库以及跨省、跨流域引调水工程的运行控制和生产调度系统,省级以上防汛抗旱指挥系统、水资源信息管理系统或其他全国联网的重要水利信息系统,省级以上集中存储的水利工程基础数据和存储100万以上公民个人信息的系统等。
运营商
《关于开展信息通信服务感知提升行动的通知》
发布日期:2021/11/1
行业属性:电信
概述/要求:坚持以习近平新时代中国特色社会主义思想为指导,贯彻以人民为中心的发展思想,按照党中央、国务院决策部署,聚焦影响用户感知的信息通信服务环节,推动实现服务举措“五优化”,建立个人信息保护“双清单”,实现服务能力“四提升”。到2022年3月底,信息通信行业综合服务明显改善,用户获得感、幸福感和安全感进一步提升。
《电信和互联网行业数据安全标准体系建设指南》
发布日期:2020/12/17
概述/要求:为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,指导电信和互联网行业数据安全标准化工作,工业和信息化部组织制定了该指南。
《电信和互联网行业提升网络数据安全保护能力专项行动方案》
发布日期:2019/6/28
概述/要求:方案提出,深化App违法违规专项治理。持续推进App违法违规收集使用个人信息专项治理行动,组织第三方评测机构开展App安全滚动式评测,对在网络数据安全和用户信息保护方面存在违法违规行为的App及时进行下架和公开曝光。
《电信和互联网用户个人信息保护规定》
施行日期:2013/9/1
概述/要求:为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定了该规定。在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。
地方性法规
《河南省数字经济促进条例》
施行日期:2022/3/1
发布单位:河南省人民代表大会常务委员会
概述/要求:《条例》为了促进数字经济发展,全面建设数字经济强省,推动经济社会高质量发展,要求县级以上人民政府网信、公安等部门应当加强对个人信息数据采集和流通各环节的监督管理,依法查处危害个人信息数据安全的违法活动。
《福建省大数据发展条例》
施行日期:2022/2/1
发布单位:福建省人民代表大会常务委员会
概述/要求:《条例》规定开展涉及个人信息的数据活动,应当对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。
《上海市数据条例》
施行日期:2022/1/1
发布单位:上海市人民代表大会常务委员会
概述/要求:《条例》要求数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度,并采取有效措施保护数据安全,保护个人隐私、个人信息、商业秘密、保密商务信息。
《湖南省网络安全和信息化条例》
发布单位:湖南省人民代表大会常务委员会
《深圳经济特区数据条例》
发布单位:深圳市人民代表大会常务委员会
概述/要求:《条例》应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储;针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。
《广东省数字经济促进条例》
发布单位:广东省人民代表大会常务委员会
概述/要求:《条例》要求互联网平台经营者应当建立健全平台管理规则和制度,依法依约履行产品和服务质量保障、网络安全保障、数据安全保障、消费者权益保护、个人信息保护等方面的义务。
《广东省社会信用条例》
《安徽省大数据发展条例》
发布单位:安徽省人民代表大会常务委员会
概述/要求:《条例》明确数据采集、传输、存储、使用、共享、开放等各环节保障数据安全的范围边界、责任主体和具体要求,采取相应的技术措施,保障数据安全。开展数据活动的单位应当采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改,保障数据安全。
《浙江省数字经济促进条例》
施行日期:2021/3/1
发布单位:浙江省人民代表大会常务委员会
概述/要求:《条例》为了促进数字经济发展,加快建设现代化经济体系,提升核心竞争力,推动高质量发展,结合本省实际,发展数字经济是本省经济社会发展的重要战略,应当遵循优先发展、应用先导、数据驱动、创新引领、人才支撑、包容审慎以及保障数据安全、保护个人信息的原则。
《吉林省促进大数据发展应用条例》
发布单位:吉林省人民代表大会常务委员会
概述/要求:《条例》加强数据安全保障,推进关键信息基础设施安全保护工作,收集、使用个人信息,应当遵守法律、行政法规和国家有关个人信息保护的规定,并采取必要措施加强对个人信息的安全防护,确保个人信息安全。
《天津市社会信用条例》
发布单位:天津市人民代表大会常务委员会
《山西省政务数据管理与应用办法》
发布单位:山西省人民代表大会常务委员会
概述/要求:《办法》为了促进政务数据共享开放、开发应用,提高数据要素配置效率,要求政务信息管理部门和政务服务实施机构应当加强国家秘密、商业秘密和公民个人信息的保护,防止被非法获取或者泄露。
《沈阳市政务数据资源共享开放条例》
发布单位:沈阳市人民代表大会常务委员会
《河南省社会信用条例》
施行日期:2020/5/1
概述/要求:《条例》为了增强社会诚信意识,保障信用主体的合法权益,要求信用服务机构对在业务过程中获悉的国家秘密、商业秘密、个人隐私和其他个人信息负有保密义务,不得妨碍国家安全、公共安全和公共利益,不得损害信用主体的合法权益。
《海南省大数据开发应用条例》
施行日期:2019/11/1
发布单位:海南省人民代表大会常务委员会
概述/要求:《条例》为了推动大数据的开发应用,发挥大数据提升经济发展、社会治理和改善民生的作用,促进大数据产业的发展,要求采集个人信息,还应当遵守本条例和有关法律法规关于个人信息保护的规定。
《贵州省大数据安全保障条例》
施行日期:2019/10/1
发布单位:贵州省人民代表大会常务委员会
概述/要求:《条例》为了保障大数据安全和个人信息安全,明确大数据安全责任,促进大数据发展应用,根据《中华人民共和国网络安全法》和有关法律、法规的规定,结合贵州省实际,制定本条例。
《贵阳市大数据安全管理条例》
施行日期:2018/10/1
发布单位:贵阳市人民代表大会常务委员会
概述/要求:《条例》为了加强大数据安全管理,维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进大数据发展应用,对个人信息和重要数据实行加密等安全保护,对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。
五、地方规章
《江苏省公共数据管理办法》
发布单位:江苏省人民政府
概述/要求:《办法》为了规范公共数据管理,保障公共数据安全,推进数字化发展,公共数据要求依法实行分类分级保护。公共数据主管部门会同有关主管部门结合数据安全、个人信息保护和数据应用需求等因素,根据国家分类分级保护制度要求,推动制定本省公共数据分类分级具体规则。
《广东省公共数据管理办法》
施行日期:2021/10/25
发布单位:广东省人民政府
《浙江省信息通信业发展“十四五”规划》
发布日期:2021/6/10
发布单位:浙江省发展和改革委员会浙江省通信管理局
概述/要求:《规划》要求加强用户权益保护,持续加大行业整治力度,开展APP专项整治行动,强化APP安全检测和个人信息保护,督促企业严格落实个人信息保护主体责任。
《湖北省政务数据资源应用与管理办法》
施行日期:2021/4/1
发布单位:湖北省人民政府
《上海市公安局关于网络安全管理行政处罚的裁量基准》
施行日期:2021/3/8
发布单位:上海市公安局
概述/要求:《裁量基准》要求网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
《安徽省政务数据资源管理办法》
发布单位:安徽省人民政府
概述/要求:《办法》要求,政务数据资源管理,应当维护国家安全、公共安全,保守国家秘密,保护商业秘密、个人信息和隐私,对在履行职责中知悉的商业秘密、个人信息和隐私严格保密,不得泄露、出售或者非法向他人提供。
《宁波市公共数据安全管理暂行规定》
施行日期:2020/12/1
发布单位:宁波市人民政府
概述/要求:《暂行规定》为了保障公共数据安全,促进和规范公共数据使用,公共管理和服务机构应当根据公共数据类型、规模、用途、安全等级、重要程度等因素选择相应安全性能和防护级别的网络、系统、介质、设施设备。其中,涉及个人信息等事项的重要数据应当采取加密存储、身份鉴别和访问控制等措施,保障存储系统和数据安全。
《郑州市政务数据安全管理暂行办法》
施行日期:2020/11/25
发布单位:郑州市人民政府
概述/要求:《办法》为加强政务数据安全管理,建立健全政务数据安全保障体系,要求各政务部门重要信息系统应当启用备份容灾机制,在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,不得向境外发送。
《济南市公共数据管理办法》
施行日期:2020/11/1
发布单位:济南市政府
概述/要求:《办法》为加强公共数据管理,推动公共数据共享、开放和应用,提升政府治理能力和公共服务水平,要求公共数据的开发应用,应当符合保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全法律法规的规定。
《山东省健康医疗大数据管理办法》
发布单位:山东省人民政府
概述/要求:《办法》要求健康医疗大数据活动应当坚持政府主导、开放融合、创新驱动、安全可控原则,严格遵守生物安全、网络安全等法律、法规,依法保守国家秘密、商业秘密,保护个人隐私以及维护信息安全。
《东莞市政务数据资源共享管理办法(试行)》
施行日期:2020/8/24
发布单位:东莞市人民政府
概述/要求:《办法》试行,按照我市“数字政府”改革建设工作部署,为进一步规范政务数据资源编目、采集、共享、应用和安全管理,要求市大数据管理局、市信息中心会同数据开放主体应当通过必要的技术防控措施,加强对商业秘密、个人隐私等合法权益的保护。
《浙江省公共数据开放与安全管理暂行办法》
施行日期:2020/8/1
发布单位:浙江省人民政府
概述/要求:《暂行办法》为了规范和促进本省公共数据开放、利用和安全管理,要求公共管理和服务机构应当落实公共数据安全管理要求,采取措施保护国家秘密、商业秘密和个人隐私。
《天津市数据交易管理暂行办法(征求意见稿)》
发布日期:2020/7/30
发布单位:天津市互联网信息办公室
概述/要求:《暂行办法》为引导培育我市大数据交易市场,规范数据交易行为,激发数据交易主体活力,促进数据资源流通,要求在数据交易过程中非法采集、传播、销售涉及国家安全、公共安全、商业秘密、个人隐私等数据的,按照有关法律法规的规定处罚。
《山东省电子政务和政务数据管理办法》
施行日期:2020/2/1
概述/要求:《办法》主要为了规范电子政务建设与发展,推进政务数据共享与开放,提高政府服务与管理能力,优化营商环境,要求县级以上人民政府有关部门开放本部门政务数据,应当遵守保守国家秘密、政府信息公开等法律、法规的规定,并按照数据安全、隐私保护和使用需求等确定本部门政务数据的开放范围。开放范围内的政务数据分为无条件开放和依申请开放两种类型。
《连云港市公共数据开放与开发利用管理暂行办法》
发布单位:连云港市人民政府
概述/要求:《暂行办法》,为促进政务大数据在服务“放管服”改革、服务实体经济、服务民生、服务社会治理等领域推广应用,要求市大数据管理局、市信息中心会同数据开放主体应当通过必要的技术防控措施,加强对商业秘密、个人隐私等合法权益的保护。
《福州市政务数据资源管理办法》
施行日期:2019/11/15
发布单位:福州市人民政府
《福州市公共数据开放管理暂行办法》
《南京市政务数据管理暂行办法》
施行日期:2019/9/20
发布单位:南京市大数据管理局
概述/要求:《办法》为了推进本市政务数据整合、共享、开放和创新应用,保障数据安全,市大数据中心应当建立政务数据开放申请用户信息保护制度,采取技术措施和其他必要措施,确保其收集的用户信息安全。
《天津市数据安全管理办法(暂行)》
施行日期:2019/8/1
《广东省政务数据资源共享管理办法(试行)》
概述/要求:《办法》进一步规范政务数据资源编目、采集、共享、应用和安全管理,在个人信息保护方面,要求设定个人敏感信息使用权限;在展示界面对个人信息进行脱敏处理;在使用界面进行个人信息保护提示和约定;传输和存储个人敏感信息时,应采用加密等安全措施。
《西安市政务数据资源共享管理办法》
发布日期:2018/11/12
发布单位:西安市人民政府
概述/要求:《条例》为加强政务数据资源管理,要求市大数据产业发展管理机构应当会同西安市各政务部门编制、公布政务数据开放目录,并及时更新,涉及国家安全、商业秘密、个人隐私的政务数据应当进行脱密脱敏处理后开放。
《福建省政务数据管理办法》
施行日期:2016/10/15
发布单位:福建省人民政府
概述/要求:《办法》为了加强政务数据管理,要求省、设区市数据管理机构应当会同数据生产应用单位编制、公布政务数据开放目录,并及时更新。除法律、法规另有规定外,涉及商业秘密、个人隐私的政务数据应当进行脱密脱敏处理后开放。
《崇州市政务数据资源共享管理办法》
施行日期:2016/9/8
发布单位:崇州市人民政府
概述/要求:《办法》要求促进政务数据资源的优化配置和有效利用,进一步加快我市智慧城市建设,其中政府部门违反规定使用涉及国家秘密、商业秘密和个人隐私的共享数据,或者造成国家秘密、商业秘密和个人隐私泄漏的,按国家有关法律法规或国家保密规定处理;构成犯罪的,依法追究刑事责任。
《浙江省信息安全等级保护管理办法》
施行日期:2007/1/1
概述/要求:《办法》为规范数据信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,要求从事信息系统安全等级测评的机构,应当履行保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险的义务。
六、技术标准
01国标
《信息技术安全技术公有云中个人信息保护实践指南》
实施日期:2023/2/1
标准分类:国标
标准编号:GB/T41574-2022
概述/要求:本文件给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T22081基础上给出了公有云个人信息保护指南。本文件适用于作为个人信息处理者的所有类型和规模的组织,包括公有和私营公司,政府机构和非营利组织。本文件也可能适用于作为个人信息控制者的组织。但是,个人信息控制者可能还受额外的个人信息保护法律法规和义务的约束,而这些法律法规和义务不适用于个人信息处理者。本文件不涵盖此类额外义务。
《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》
实施日期:2022/11/1
标准编号:GB/T41391-2022
概述/要求:本文件规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。本文件适用于App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。
《智能家用电器个人信息保护要求和测评方法》
实施日期:2022/6/1
标准编号:GB/T40979-2021
《信息安全技术个人信息安全影响评估指南》
实施日期:2021/6/1
标准编号:GB/T39335-2020
概述/要求:本标准给出了个人信息安全影响评估的基本原理、实施流程。本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
《信息安全技术个人信息安全规范》
实施日期:2020/10/1
标准编号:GB/T35273-2020
概述/要求:本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
《信息安全技术个人信息去标识化指南》
实施日期:2020/3/1
标准编号:GB/T37964-2019
《信息安全技术移动智能终端个人信息保护技术要求》
实施日期:2018/5/1
标准编号:GB/T34978-2017
概述/要求:本标准规定了移动智能终端的个人信息分类及个人信息的保护原则和技术要求。本标准适用于指导公共及商业用途的移动智能终端进行个人信息的处理,其他有关各方也可参照使用。
《信息安全技术公共及商用服务信息系统个人信息保护指南》
实施日期:2013/2/1
标准编号:GB/Z28828-2012
概述/要求:本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
02行标
《车联网信息服务用户个人信息保护要求》
标准分类:行标
标准编号:YD/T3746-2020
《移动浏览器个人信息保护技术要求》
实施日期:2019/4/1
标准编号:YD/T3367-2018
概述/要求:本标准规范了移动浏览器个人信息的类型,分析了安全威胁,确定了相应的安全防护目标和技术要求。本标准适用于移动智能终端上的浏览器。
《电信和互联网服务用户个人信息保护技术要求即时通信服务》
标准编号:YD/T3327-2018
概述/要求:本标准规定了即时通信服务的用户个人信息保护技术要求。本标准适用于即时通信服务。
《电信和互联网服务用户个人信息保护技术要求移动应用商店》
实施日期:2016/10/1
标准编号:YD/T3106-2016
《电信和互联网服务用户个人信息保护技术要求电子商务服务》
标准编号:YD/T3105-2016
《移动智能终端上的个人信息保护技术要求》
实施日期:2016/7/1
标准编号:YD/T3082-2016
概述/要求:本标准规定了移动智能终端上的个人信息的类型,根据其不同的处理环节,结合每类信息的特点,对相应类型的个人信息保护提出具体的技术要求。本标准适用于移动智能终端和移动应用软件,可穿戴设备等其他类型的终端可参考使用。
《寄递服务用户个人信息保护指南》
实施日期:2016/1/1
标准编号:YZ/T0147-2015
概述/要求:本标准规定了寄递服务用户个人信息(以下简称寄递用户信息)的组成、信息保护的基本原则及信息保护的具体要求。本标准适用于邮政企业、快递企业和其他从事寄递服务的企业(以下统称寄递企业)所涉及的寄递用户信息保护工作。
《电信和互联网服务用户个人信息保护分级指南》
实施日期:2014/12/24
标准编号:YD/T2782-2014
概述/要求:本标准规定了电信和互联网服务用户个人信息保护的分级对象和分级方法。本标准适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息保护。
《电信和互联网服务用户个人信息保护定义及分类》
标准编号:YD/T2781-2014
概述/要求:本标准规定了电信和互联网服务用户个人信息保护的术语和定义、保护范围、信息内容和分类。本标准适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息保护。
《中国金融移动支付检测规范第8部分:个人信息保护》
实施日期:2012/12/12
标准编号:JR/T0098.8-2012
七、报告白皮书
《银行如何保障数字身份安全》
发布日期:2022
概述/要求:本报告从全球视角,全面总结了当前全球各国数字身份体系发展情况和数字生态体系的必要构成,同时对银行以何种角色参与数字身份生态体系这一命题进行了探讨。
《2022数据安全产业洞察报告》
发布日期:2022/6
概述/要求:《报告》涵盖增强数据安全技术与产业的意识形态建设、做好数据安全技术与产业发展的顶层设计、营造数据安全技术与产业良好的环境氛围、建立新技术与应用实践落地的“民族自信”、国家和监管共同构造产业格局“中国之治”、重要数据和个人信息治理推动“中国规则”、国际数据安全技术与产业彰显“中国智慧”等方向,并从产业和技术等方面展望了发展趋势和应用热点。
《区块链+隐私计算一线实践报告(2022)》
发布日期:2022/4
概述/要求:报告重点探讨了“区块链对隐私计算的需求是如何出现的”、“隐私计算对区块链的需求是如何出现的”等问题。
《5G数据安全防护白皮书(2022)》
概述/要求:本白皮书系统梳理国内外5G数据安全政策、动态,全面分析5G数据安全面临的风险,结合我国国情提出5G数据安全防护体系架构。
《2021网信自主创新调研报告》
概述/要求:《2021网信自主创新调研报告》归纳了三年来取得的创新成果,分析了这些创新成果在各行业数字经济建设中发挥的作用,同时以产业一线的视角探讨了未来一个时期网信核心技术自主创新和产业生态建设的方向和发力点。
《中国隐私计算行业研究报告》
发布日期:2022/3
《车联网数据安全监管制度研究报告2022》
概述/要求:本报告对当前车联网领域涉及的汽车数据类型、数据安全的监管现状、行业监管重点等问题进行梳理和分析,并提出监管建议,希望能为社会各界提供借鉴和参考。
《隐私计算技术金融应用研究报告》
发布日期:2022/2
概述/要求:本报告围绕隐私计算,展开政策法规、标准、技术、场景调研,对应用场景进行探索实验,形成解决方案,并发布技术研究报告。
《智能网联汽车个人隐私保护白皮书》
概述/要求:报告以案例为切入点,分析智能网联汽车个人隐私保护的三大发展趋势,旨在就此课题为业界带来全新视角。
《2021密码应用技术白皮书》
发布日期:2022/1
《2021数据安全与个人信息保护技术白皮书》
发布日期:2021/12
概述/要求:《白皮书》由北京炼石网络技术有限公司发布,旨在对于当下数据安全发展面临的挑战与机遇,结合真实的数据泄漏事件,分析业务流转各环节伴生的安全风险与应对,探索数据安全“新框架”与“新战法”,本报告参考经典的网络安全框架ATT&CK,提出了新的数据安全技术框架DTTACK(以数据为中心的战术、技术和通用知识),结合两大框架实现“攻防兼备、网数一体”。最后,报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景,简要阐述了数据安全的应用示例方案以供参考。
《移动互联网应用程序(APP)个人信息保护治理白皮书》
发布日期:2021/11
《移动应用(APP)个人信息保护白皮书》
发布日期:2021/10
《智能终端产业个人信息保护白皮书》
发布日期:2018
概述/要求:白皮书着眼于智能终端产业新的发展阶段,阐述了个人信息保护现状和面临的挑战,基于业界最佳实践,在终端设备、分发平台、应用开发等方面提出个人信息保护建议,并倡议产业界落实企业主体责任,加强行业自律,强化产业协作体系,共同构筑智能终端产业个人信息保护良好生态。
《电信和互联网用户个人信息保护白皮书》
概述/要求:白皮书认为,随着个人信息链条延长,侵犯个人信息行为纷繁涌现,用户个人信息保护面临严峻态势,主要体现在感知层面智能设备的普及和多样化放大了个人信息收集的安全风险;网络层面数据传输量巨大,传输安全存在隐患;应用层面新技术的涌现挑战个人信息流通安全;商业层面企业收集使用个人信息存在泄露风险。如何在保护用户个人信息安全的同时努力做到合理、正当使用,成为了工作重点。