8月3日,为指导、规范个人信息保护合规审计活动,根据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室就《个人信息保护合规审计管理办法(征求意见稿)》(简称《办法》)及配套的《个人信息保护合规审计参考要点》(简称《要点》)公开征求意见。
其中,《办法》提到,处理超过 100 万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
《办法》和《要点》主要为我国《个人信息保护法》第五十四条 “个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”和第六十四条 “履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患”的落地,提供了具体的执行细则。
开展个人信息保护合规审计,能够有效地识别和控制个人信息处理产生的风险,以防止个人信息保护违规行为的发生;同时,履行个人信息保护职责的部门也可以利用个人信息保护合规审计,全面系统地了解特定个人信息处理者的个人信息保护所处情况。
个人信息保护合规审计除了及时发现、预防、整治个人信息安全风险之外,还能通过开展审计,提高个人信息处理者内部上下人员对个人信息保护、数据和网络安全等方面的认识;审计的开展和报告的对外发布,能够向外界表明个人信息处理者认识到对个人信息保护与个人权益维护的实际行动程度,对外界展示个人信息处理者所实施的政策和程序的质量,提高公信度。
我国在已发布的相关法律法规中,对数据安全合规审计的必要性做出了明确要求,规定数据处理者需要针对自身所使用的数据情况开展合规审计工作。但对于我国现阶段的个人信息保护的合规审计工作,需要从信息安全合规细化至数据安全合规,并精确定位到对个人信息的处理,这需要审计方、安全厂商以及各行业的共同努力,帮助企业进行全面、透彻的审计工作。
以下汇总了我国关于个人信息保护相关的国家法律(共 9 部)、行政法规(共 9 部)、部门规章(共 37 项)、技术标准(共 15 项)合集:
国家法律
2021年11月1日,《中华人民共和国个人信息保护法》正式实施。
《个人信息保护法》就“个人信息处理规则”、“个人信息跨境提供的规则”、“个人在个人信息处理活动中的权利”、“个人信息处理者的义务”、“履行个人信息保护职责的部门”等,以及相关各方的“法律责任”作出了明确界定。《个人信息保护法》是我国保护个人信息的基础性法律,为个人信息保护工作提供了明确的法律依据,同时也奠定了网络社会与数字经济的法律基础。
2021年9月1日,《数据安全法》正式实施。
作为我国数据安全领域的基础性法律,该法涵盖总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。法律规定,对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
2021年6月1日,《未成年人保护法(2020 修订)》正式施行。
该法要求,信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。
2021年1月1日,《民法典》正式施行。
第六章详细规定了隐私权和个人信息保护,要求自然人享有隐私权。自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。
2020年1月1日,《密码法》正式施行。
该法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。该法规定,密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
2019年1月1日,《 电子商务法》正式施行。
该法规定,电子商务经营者从事经营活动,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任,接受政府和社会的监督。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
2017年6月1日,《网络安全法》正式施行。
该法旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。该法规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
2013年9月1日,《电信和互联网用户个人信息保护规定》正式施行。
为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
1997年10月1日,《中华人民共和国刑法》正式施行。
二百五十三条之一第一款规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。该法条第二款甚至明确规定:违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。也就是说,出售、提供通过履职或服务获取公民个人信息,处罚会更重。
行政法规
2022年12月22日,《关于构建数据基础制度更好发挥数据要素作用的意见》
《实施意见》提出,在加强数据分类分级保护方面,要落实自动驾驶、医疗健康、工业、金融、交通等行业数据分类分级指南,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要数据的保护。
2021年9月29日,《全国一体化政务服务平台移动端建设指南》
坚持安全可控。全面落实总体国家安全观,树牢网络安全底线思维,统筹发展和安全,增强移动政务服务一体化安全防护能力,加强对重要政务数据、敏感个人信息等的保护,确保政务网络和数据信息安全。
2021年9月1日,《关键信息基础设施安全保护条例》
专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。
2021年3月5日,《关于落实政府工作报告重点工作分工的意见》
加强网络安全、数据安全和个人信息保护。
2020年3月30日,《关于构建更加完善的要素市场化配置体制机制的意见》
推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。
2018年7月31日,《关于加快推进全国一体化在线政务服务平台建设的指导意见》
加强政务大数据安全管理,制定平台数据安全管理办法,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理。制定全国一体化在线政务服务平台数据安全管理办法,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理,加强政务大数据安全管理。
2018年6月22日,《关于印发进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案的通知》
推动制定完善信息保护的法律制度,切实保护政务信息资源使用过程中的个人隐私和商业秘密。
2017年6月8日,《关于印发政府网站发展指引的通知》
建立保密审查机制,严禁涉密信息上网,不得泄露个人隐私和商业秘密。
2017年1月20日,《关于创新管理优化服务培育壮大经济发展新动能加快新旧动能接续转换的意见》
推动出台电子商务法,以及个人信息保护、数据资源管理、新能源发电并网等新的法律法规规定。根据数据安全属性,依据有关规定,积极稳妥地向社会开放政府数据。制定严格的个人信息保护法规和大数据安全监管制度,严厉打击非法泄露个人信息行为。
部门规章
2023年7月24日,《中国人民银行业务领域数据安全管理办法(征求意见稿)》
办法要求规范数据处理者行为,压实数据处理活动全流程安全合规底线。针对收集、存储、使用、加工、传输、提供、公开和删除各环节,向数据处理者明确采取哪些安全保护管理和技术措施后,可视为总体满足尽职尽责的合规底线要求。注重与个人信息保护管理制度的衔接,个人信息作为一类特殊数据,除需要做好分类分级和处理过程全流程安全管理外,还要遵守《中华人民共和国民法典》《中华人民共和国个人信息保护法》有关隐私权、知情权、决定权、查阅复制权、删除权、解释说明权等的特别规定。
2022年2月15日,《网络安全审查办法》
办法提出,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
2021年12月27日,《“十四五”国家信息化规划》
要求强化数据安全保障。加强数据收集、汇聚、存储、流通、应用等全生命周期的安全管理,建立健全相关技术保障措施。建立数据分类分级管理制度和个人信息保护认证制度,强化数据安全风险评估、监测预警、检测认证和应急处置,加强对重要数据、企业商业秘密和个人信息的保护,规范对未成年人个人信息的使用。
2021年11月14日,《网络数据安全管理条例(征求意见稿)》
为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定了该条例。条例提出,数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。
2021年11月5日,《提升全民数字素养与技能行动纲要》
要求强化个人信息和隐私保护。加大个人信息和隐私保护相关法律法规的普及宣传力度,提高全民个人信息和隐私保护意识。制定完善个人信息和隐私保护标准,健全个人信息和隐私保护监管机制,优化社会群众监督举报机制,压实行业组织、企业机构等保护个人信息安全主体责任,加大对侵犯个人信息和隐私等违法犯罪行为的打击力度。
2021年10月29日,《数据出境安全评估办法(征求意见稿)》
数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
2021年10月26日,《互联网用户账号名称信息管理规定(征求意见稿)》
互联网用户账号服务平台应当采取必要措施,确保其收集、存储的个人信息及账号名称信息安全,防止未经授权的访问及信息泄露、篡改、丢失;未经互联网用户账号使用者授权同意,不得收集、存储、使用、加工、传输、提供或者公开个人信息及账号名称信息。不得非法买卖互联网用户账号名称信息。
2021年8月27日,《互联网信息服务算法推荐管理规定(征求意见稿)》
算法推荐服务提供者应当落实算法安全主体责任,建立健全用户注册、信息发布审核、算法机制机理审核、安全评估监测、安全事件应急处置、数据安全保护和个人信息保护等管理制度,制定并公开算法推荐相关服务规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。
2021年8月1日,《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
为正确审理使用人脸识别技术处理个人信息相关民事案件,保护当事人合法权益,促进数字经济健康发展,根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律的规定,结合审判实践,制定了该规定。
2021年5月24日,《全国一体化大数据中心协同创新体系算力枢纽实施方案》
加强对个人隐私等敏感信息的保护,确保基础设施和数据的安全。
2021年5月1日,《常见类型移动互联网应用程序必要个人信息范围规定》
为了规范移动互联网应用程序(App)收集个人信息行为,保障公民个人信息安全,根据《中华人民共和国网络安全法》,制定了该规定。
2021年4月26日,《反间谍安全防范工作规定》
规定要求,国家安全机关及其工作人员对履行反间谍安全防范指导和检查工作职责中知悉的国家秘密、工作秘密、商业秘密、个人隐私和个人信息,应当严格保密,不得泄露或者向他人非法提供。
2021年4月26日,《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求。
2021年4月21日,《天津市服务业扩大开放综合试点总体方案》
方案提出,开展重要数据和个人信息出境安全评估,保障数据依法有序自由流动。加快数据安全、个人信息保护等领域基础性法规制度建设,完善政策标准、优化相关技术服务。
2021年3月15日,《网络交易监督管理办法》
市场监督管理部门应当采取必要措施保护网络交易经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密。
2021年1月11日,《征信业务管理办法(征求意见稿)》
办法突出了信息安全的重要性,并规范了信息采集的过程,保护了被征信人的信息权属,明确了征信授权。办法规范个人征信全流程,为未来常态化监管创造条件。同时也对征信企业使用征信数据获利方面进行了规范,对信息使用者作出了规范化要求。
2021年1月5日,《保险中介机构信息化工作监管办法》
保险中介机构应建立健全信息安全管理制度,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施,保障业务持续和数据安全。
2020年9月23日,《中国银保监会监管数据安全管理办法(试行)》
办法提出,保险中介机构的重要信息化机制、设施及其管理应保持独立完整,与关联企业相关设施有效隔离,严格规范信息系统和数据的访问、使用、转移、复制等行为,不得违规向关联企业泄露保单、个人信息等数据信息。重要信息化机制、设施包括但不限于信息化治理与规划,业务、财务、人员等重要信息系统及其中的数据信息。
2020年9月6日,《关于规范保险公司健康管理服务的通知》
未经客户授权不得对外提供客户个人信息或任何健康数据,依法保证数据安全和保护个人隐私。
2020年2月13日,《个人金融信息保护技术规范》
该标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
2020年2月5日,《网上银行系统信息安全通用规范》
规范提出,对客户办理金融业务时留存的身份信息与相关影像资料、个人财产信息、征信信息等敏感客户资料,应参照国家及行业个人信息、个人金融信息相关保护要求,加强信息安全管理。
2019年2月1日,《金融信息服务管理规定》
金融信息服务提供者应当履行主体责任,配备与服务规模相适应的管理人员,建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。
2018年5月2日,《关于进一步加强征信信息安全管理的通知》
为贯彻落实党的十九大精神和第五次全国金融工作会议精神,加强个人信息保护,做好新时代征信信息安全管理工作,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号发布)等法规规章的相关规定,现就进一步加强金融信用信息基础数据库运行机构和接入机构征信信息安全管理有关事项作出了该通知。
2021年2月22日 ,《互联网用户公众账号信息服务管理规定》
公众账号信息服务平台应当履行信息内容和公众账号管理主体责任,配备与业务规模相适应的管理人员和技术能力,设置内容安全负责人岗位,建立健全并严格落实账号注册、信息内容安全、生态治理、应急处置、网络安全、数据安全、个人信息保护、知识产权保护、信用评价等管理制度。
2021年1月8日,《互联网信息服务管理办法(修订草案征求意见稿)》
互联网信息服务提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止所收集、使用的身份信息、日志信息泄漏、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并按照规定及时告知用户并向有关主管部门报告。
2020年8月28日,《网络数据处理安全规范(征求意见稿)》
该文件规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求。适用于网络运营者规范数据处理活动,提高数据安全管理和个人信息保护水平,也适用于主管监管部门对网络运营者数据处理活动进行监督管理,同时还可为第三方评估机构开展相关评估工作提供指导。
2020年7月22日,《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
意见提出,加强重要数据和个人信息保护。运营者应建立并落实重要数据和个人信息安全保护制度,对关键信息基础设施中的重要网络和数据库进行容灾备份,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当遵守有关规定并进行安全评估。
2020年5月6日,《关于档案部门使用政务云平台过程中加强档案信息安全管理的意见》
意见提出,各级档案部门要科学规划,明确使用政务云平台的档案数据和业务范围。使用政务云平台的数据和业务,须按程序经过审核审批。工作中注意把握“对于直接影响党政机关运转和公众工作、生活的关键业务,涉及敏感信息和公民隐私的档案数据,可在确保安全的前提下考虑使用政务云平台”等方面。
2020年3月13日,《网络安全标准实践指南—远程办公安全防护》
该实践指南分析了远程办公面临的主要安全风险,针对远程办公系统使用方和用户分别提出了安全控制措施建议。针对个人信息保护,指南提出,使用方应按照GB/T 35273《信息安全技术 个人信息安全规范》要求保护个人信息。
2020年1月20日,《信息安全技术 个人信息告知同意指南(征求意见稿)》
该标准为网络运营者个人信息处理告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。适用于规范网络运营者在网络环境中进行个人信息告知同意的情形。
2019年11月28日,《App违法违规收集使用个人信息行为认定方法》
根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定了该方法。
2019年10月1日,《儿童个人信息网络保护规定》
网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。
2019年6月13日,《个人信息出境安全评估办法(征求意见稿)》
为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定了该办法。
2019年5月28日,《数据安全管理办法(征求意见稿)》
为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定了该办法。
2019年4月22日,《互联网个人信息安全保护指南》
为深入贯彻落实《网络安全法》,指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究制定该指南。
2019年3月13日,《关于开展 App 安全认证工作的公告》
为规范移动互联网应用程序(以下称App)收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,可以依据《移动互联网应用程序(App)安全认证实施规则》,开展APP安全认证活动。
2018年9月20日,《关于加快推进流动人员人事档案信息化建设的指导意见》
意见提出,注重信息安全和个人隐私保护,采取切实有效的安全防护措施,增强系统支撑能力,保证系统安全平稳运行。
技术标准
标准分类:国标
2023年2月1日,《信息技术 安全技术 公有云中个人信息保护实践指南》
本文件给出了在公有云中实施个人信息保护的控制目标和控制措施,在 GB/T 22081 基础上给出了公有云个人信息保护指南。本文件适用于作为个人信息处理者的所有类型和规模的组织,包括公有和私营公司,政府机构和非营利组织。本文件也可能适用于作为个人信息控制者的组织。但是,个人信息控制者可能还受额外的个人信息保护法律法规和义务的约束,而这些法律法规和义务不适用于个人信息处理者。本文件不涵盖此类额外义务。
2022年11月1日,《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
本文件规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。本文件适用于App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。
2021年6月1日,《信息安全技术 个人信息安全影响评估指南》
本标准给出了个人信息安全影响评估的基本原理、实施流程。本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
2020年10月1日,《信息安全技术 个人信息安全规范》
本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
2020年3月1日,《信息安全技术 个人信息去标识化指南》
本标准描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施。本标准针对微数据提供具体的个人信息去标识化指导,适用于组织开展个人信息去标识化工作,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。
2018年5月1日,《信息安全技术 移动智能终端个人信息保护技术要求》
本标准规定了移动智能终端的个人信息分类及个人信息的保护原则和技术要求。本标准适用于指导公共及商业用途的移动智能终端进行个人信息的处理,其他有关各方也可参照使用。
2013年2月1日,《信息安全技术 公共及商用服务信息系统个人信息保护指南》
本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
标准分类:行标
2019年4月1日,《电信和互联网服务 用户个人信息保护技术要求 即时通信服务》
本标准规定了即时通信服务的用户个人信息保护技术要求。本标准适用于即时通信服务。
2019年4月1日,《移动浏览器个人信息保护技术要求》
本标准规范了移动浏览器个人信息的类型,分析了安全威胁,确定了相应的安全防护目标和技术要求。本标准适用于移动智能终端上的浏览器。
2016年10月1日,《电信和互联网服务 用户个人信息保护技术要求 移动应用商店》
本标准规定了移动应用商店服务的用户个人信息保护要求及与用户相关权益保护要求。本标准适用于移动应用商店。
2016年10月1日,《电信和互联网服务 用户个人信息保护技术要求电子商务服务》
本标准规定了电子商务服务的用户个人信息及相关权益的保护要求。本标准适用于电子商务服务。
2016年7月1日,《移动智能终端上的个人信息保护技术要求》
本标准规定了移动智能终端上的个人信息的类型,根据其不同的处理环节,结合每类信息的特点,对相应类型的个人信息保护提出具体的技术要求。本标准适用于移动智能终端和移动应用软件,可穿戴设备等其他类型的终端可参考使用。
2014年12月24日,《电信和互联网服务 用户个人信息保护 分级指南》
本标准规定了电信和互联网服务用户个人信息保护的分级对象和分级方法。本标准适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息保护。
2014年12月24日,《电信和互联网服务 用户个人信息保护定义及分类》
本标准规定了电信和互联网服务用户个人信息保护的术语和定义、保护范围、信息内容和分类。本标准适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息保护。
2012年12月12日,《中国金融移动支付 检测规范 第 8 部分:个人信息保护》
本部分规定了移动支付个人信息保护的内部管理、组织管理、访问控制和个人信息生命周期管理4个方面的基本要求以及检测细则。本部分适用于指导检测机构制定移动支付个人信息保护检测方案和执行检测,同时可用于指导个人信息管理机构制造相关产品和建设业务系统。
一体化数据安全平台可实现组织内敏感数据发现与数据分类分级,并形成敏感数据资产目录;在此之上提供一体化的敏感数据访问控制、数据权限管控、数据动态脱敏、敏感数据访问审计等功能,满足数据安全管控、个人信息保护和数据出境安全合规要求,让企业的数据更安全,合规更高效。
数据安全平台可涵盖企业数据安全管理常见手段及管理方式,包括数据资产盘点管理,敏感数据识别、数据分类分级;数据库防火墙、数据审计,数据库安全审计、云数据库审计、API 审计;敏感数据脱敏,数据脱敏、数据动态脱敏、实时脱敏,敏感数据访问监督;数据库安全防护、数据库运维管控、云数据库安全运维,数据库权限管理设置、访问权限设置、数据访问治理,达到细粒度权限管控,做好数据安全运营,防止敏感数据泄露,满足数据合规与业务合规要求。