合规与框架
CCPA
别称: California Consumer Privacy Act, CPRA
定义
美国加州消费者隐私法,赋予加州居民对企业所持有的个人信息相关权利。
2018 年通过的《加州消费者隐私法》(CCPA)经 2020 年《加州隐私权法》(CPRA)修订,自 2023 年起由加州隐私保护署(CPPA)负责执法,是美国最具影响力的州级隐私法律。它适用于收集加州居民个人信息且符合营收、数据量或个人信息销售门槛的营利性企业。法律赋予消费者知情、删除、更正、拒绝出售或共享,以及限制敏感个人信息使用等权利。企业必须发布隐私通知、提供选择退出机制,并通过合同约束其服务提供商与承包商。
示例
- 美国大型零售商在网站上发布「Do Not Sell or Share My Personal Information」链接。
- SaaS 公司与其数据处理者签署 CCPA 服务商附加协议。
相关术语
GDPR(欧盟通用数据保护条例)
欧盟通用数据保护条例,规范对位于欧盟和欧洲经济区个人的个人数据处理活动。
Data Protection Impact Assessment
Data Protection Impact Assessment — definition coming soon.
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。
HIPAA
美国《健康保险流通与责任法》,为可识别个人健康信息的保护设立国家级标准。
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。