在我国,数据安全治理同样需要遵循国家级的安全政策和行业内的安全政策。
网络安全法
《×××网络安全法》(以下简称:网络安全法),由×××第十二届×××常务委员会第二十四次会议于2016年11月7日通过并公布,自2017年6月1日起施行。
在该报告明确地对个人隐私数据和国家重要数据提出了保护要求,其中包含一些具体化的措施要求,比如:
(1)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(2)采取数据分类、重要数据备份和加密等措施;
该法案,对中国所有政府单位和企业的IT系统建设、数据采集和应用产业造成深远影响;并随之配套产生的《数据出境管理办法》、《个人隐私数据管理办法》、《大数据安全标准》等,将对数据安全行业的发展产生重要影响。
等级保护政策
全称为《信息安全等级保护管理办法》规定,由公安部牵头推动,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
所有的政府单位、央企、金融单位、互联网企业等都将接受该管理办法的约束;等级保护在过去的10年中,是我国信息安全建设中最重要的需要遵循的法规。
GDPR
GDPR即《通用数据保护条例》是欧盟在2015年颁布,2018年5月25日正式实施,堪称史上最严格的数据保护法案:
GDPR第八十三条规定了对不同违法行为的处罚标准:
1)对未采取技术或管理措施来避免、降低隐私侵权损害的数据控制者或处理者,最高可处以1000万欧元或全球营业额的2%(以较高者为准)作为罚款。
2)对违反个人数据收集和处理原则,没有保障数据主体权利的数据控制者或处理者,最高可处2000万欧元或全球营业额的4%(以较高者为准)作为罚款。
第三条第一款规定,只要数据的控制者或处理者在欧盟境内设有办公地点,无论收集数据和使用数据的行为是否发生在欧盟境内,都要遵守GDPR法案。哪怕只有一个人的办事处也属于适用范围。
第三条第二款还规定,在两种特殊情形下,只要是数据控制者或处理者收集或使用了欧盟内数据主体的个人数据,即使并未在欧盟境内设有办公地点,也要遵守GDPR,这两种特殊情形是:
1)向欧盟内的数据主体提供商品或服务,无论是有偿还是无偿。
2)对欧盟内的数据主体在欧盟境内的行为进行监控的组织。
这一条款对于在华的与欧盟有关的外企,进军欧盟的中国企业,特别是互联网企业来说非常重要。
其它重要或行业相关的政策要求举例
a) 个人信息安全管理规范
b) 中央企业商业秘密保护暂行规定
c) 银行业金融机构数据治理指引
d) PCI-DSS、Sarbanes-Oxley Act(SOX法案)、HIPPA