合规与框架
GDPR(欧盟通用数据保护条例)
别称: 欧盟通用数据保护条例, Regulation (EU) 2016/679
定义
欧盟通用数据保护条例,规范对位于欧盟和欧洲经济区个人的个人数据处理活动。
《通用数据保护条例》(Regulation (EU) 2016/679)是欧盟全面的个人数据保护法律,自 2018 年 5 月 25 日起生效。该条例适用于任何处理欧盟或欧洲经济区个人数据的组织,无论组织位于何处,并确立了合法性、目的限制、数据最小化和问责制等原则。它赋予数据主体访问、更正、删除、可携带性及反对等权利,并要求控制者对高风险处理活动开展数据保护影响评估(DPIA)。监管机构可处以最高相当于全球年营业额 4% 或 2000 万欧元(以较高者为准)的行政罚款。
示例
- 向欧盟消费者销售商品的美国电商必须发布符合 GDPR 的隐私声明。
- 法国雇主在一个月内回应员工的访问权请求。
相关术语
Data Protection Impact Assessment
Data Protection Impact Assessment — definition coming soon.
CCPA
美国加州消费者隐私法,赋予加州居民对企业所持有的个人信息相关权利。
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。
HIPAA
美国《健康保险流通与责任法》,为可识别个人健康信息的保护设立国家级标准。
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。