数据安全合规和法规
数据安全经常与“数据保护”和“数据隐私”等类似术语混淆,因为它们都指保护数据的方法。然而,这些术语之间的区别在于,为什么首先要保护数据,以及如何保护数据,数据安全是指保护数据免遭可能导致数据泄露、删除或损坏的未经授权的访问或使用。数据安全至关重要,因为数据泄露可能会对组织产生严重影响。以下是一些可能影响您的组织的最重要和最广泛的数据治理规则。
数据安全合规和法规
1、《中华人民共和国数据安全法》
《数据安全法》2021年9月1日起正式施行,明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。
2、《中华人民共和国个人信息保护法》
《中华人民共和国个人信息保护法》,自2021年11月1日起施行。作为我国首部针对个人信息保护的专门性立法,《个人信息保护法》构建了完整的个人信息保护框架,对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。
3、通用数据保护监管(GDPR)
GDPR是欧盟的数据保护和隐私法。它于2016年通过并于2018年实施,以保护消费者,并统一有关国内和国际企业数据管理的规定。
GDPR要求任何处理个人数据的组织实施“适当的技术和组织措施”来保护该数据(包括获得个人存储和使用该数据的同意)。这意味着在收集用户数据时需要征得用户的同意,在数据被破坏时将数据匿名化以保护用户,并遵循在数据被破坏时通知用户的具体指导原则。
4、健康保险流通与责任法案(HIPAA)
HIPAA是美国关于电子保护健康信息(ePHI)的数据安全和保护法。该法案于1996年通过,旨在控制和现代化个人健康数据管理,包括欺诈和盗窃保护标准,保险公司如何利用它向个人收取服务费用,等等。
对于任何处理ePHI的公司,HIPAA都需要特定的技术、物理和管理保障。违规者可被处以10年监禁,罚款从10万美元到25万美元不等。
5、萨班斯-奥克斯利法案(SOX)
萨班斯-奥克斯利法案于2002年通过,旨在更好地保护公司投资者免受欺诈性金融活动的伤害。它是为了应对一些著名的公司会计丑闻(例如安然公司)而设立的,旨在增加对不准确或不完整的财务报告(包括篡改财务数据以某种方式呈现)的惩罚。它还包括有关管理企业财务信息获取的规定。SOX主要适用于上市公司及其披露财务信息的方式。但也有一些因素同样适用于私营企业——例如,伪造财务记录或报复举报金融犯罪的员工。
6、联邦信息安全管理法(FISMA)
FISMA于2002年通过,以标准化美国联邦机构处理数据的方式。它要求任何联邦机构(以及任何作为分包商/服务提供商的私营企业)遵守严格的信息安全政策(FIPS 200)和审计程序,以确保它们得到遵守。