法律
中华人民共和国生物安全法
中华人民共和国生物安全法维护国家安全,防范和应对生物安全风险,适用于防控重大新发突发传染病、动植物疫情、生物技术研究开发应用、病原微生物实验室安全、人类遗传资源与生物资源安全、防范生物恐怖与生物武器威胁等活动,建立风险监测预警、调查评估、信息共享、信息发布、名录清单、标准、审查、应急、调查溯源等制度。
证券期货业数据分类分级指引
证券期货业数据分类分级指引旨在规范证券期货业数据分类分级工作,明确数据分类原则、分级标准、数据定级方法和差异化保护要求,指导证券期货经营机构建立健全数据安全管理制度,落实数据安全主体责任,加强重要数据、核心数据和敏感个人信息保护,提升数据安全管理能力,保障行业数据安全、有序流通和合规使用。
个人信息保护合规审计管理办法
《网络弹性法案》(CRA,编号 (EU) 2024R2847)(英文版本)
欧盟网络弹性法案2024/2847针对具有数字元素的产品制定横向网络安全要求,适用于在欧盟市场投放的硬件和软件产品,要求制造商在产品设计、开发和全生命周期内落实网络安全,减少漏洞并及时提供安全更新,明确支持期限、漏洞处理、技术文档、合格评定、市场监管和CE标志要求,提升供应链和消费者层面的网络安全水平与透明度。
欧盟《人工智能法》最终通过版本
欧洲议会和理事会2024年通过的关于人工智能统一规则的条例,旨在促进以人为本、值得信赖的人工智能应用,改善内部市场运作,适用于人工智能系统提供者、部署者及相关主体,根据风险等级对人工智能系统分类管理,禁止不可接受风险实践,对高风险系统提出严格合规要求,明确透明度、技术文件、记录保存、人工监督等义务,并设立人工智能办公室、公告机构和市场监管机制。
克罗地亚-对一家电信运营商处以450万欧元行政罚款
RGA欧盟约束性公司规则(BCRs)
RGA集团制定的控制者政策型约束性公司规则,适用于集团成员在欧洲起源的个人信息的跨境传输和处理,规定适用范围、控制者与处理者定义及义务、数据主体权利、敏感个人信息处理、安全措施、向第三国转移规则、员工合规责任及违规后果,确保无论个人信息转移至何处均能提供与欧盟法律实质相当的数据保护水平,并明确与处理者政策的关系。
《企业数据资源相关会计处理暂行规定》(财会〔2023〕11号)
欧盟《电子隐私指令》
欧洲议会和理事会2002年7月12日通过的关于电子通信领域个人数据处理和隐私保护的指令,旨在向公开电子通信服务用户提供统一水平的个人数据和隐私保护,无论使用何种技术,保障通信保密性,规范流量数据、位置数据、订阅者目录信息等处理,要求最小化处理、使用匿名或假名数据,并允许成员国基于公共安全等目的依法采取必要限制措施。
欧盟GDPR合规指引-CAICT
由中国信息通信研究院等机构编写,系统介绍GDPR立法背景、制度要点和执法机制,详细阐述域外适用、数据主体权利扩张、控制者与处理者问责、数据跨境流动机制及监管体制改革,并从风险评估、组织架构、合规体系设立与执行、培训审计等方面为企业提供合规指引,最后比较GDPR与中国个人信息保护法律的异同及冲突应对策略。
GDPR
欧盟一般数据保护条例,适用于欧盟境内控制者或处理者的个人数据处理,以及向欧盟数据主体提供商品服务或监控其行为的域外处理活动,确立合法性、公平透明、目的限制、数据最小化、准确性、存储限制、完整性和机密性等原则,赋予数据主体知情权、访问权、更正权、删除权、被遗忘权、限制处理权、可携带权、反对权和免受自动化决策权,规定控制者与处理者义务、数据跨境传输机制、监管体制及高额罚款等法律责任。
生成式人工智能服务管理暂行办法
自2023年8月15日起施行,适用于向境内公众提供生成文本、图片、音频、视频等服务的生成式人工智能服务,坚持发展和安全并重、包容审慎与分类分级监管原则,要求提供者承担网络信息内容生产者和个人信息处理者责任,使用合法来源数据和基础模型,规范数据标注、服务协议、内容标识、用户信息保护和投诉举报机制,对违法内容及时处置,违规可处警告、暂停服务等处罚。
人工智能 计算中心计算能力评估(征求意见稿)
规定人工智能计算中心计算能力的评估指标和方法,从资源规模、计算性能、可用性三个维度设置算力规模、组网规模、存储规模、训练性能、推理性能、通信性能、计算效率、长稳运行时间、故障恢复时间和计算可用度等评估指标,明确各指标测试方法和量纲,将智算中心按算力规模分为五类,适用于计算能力评估及规划、设计、建设和运维参考。
人工智能安全治理框架2.0
围绕人工智能安全治理提出包容审慎、风险导向、技管结合、开放合作、可信应用等原则,将安全风险分为技术内生、技术应用、应用衍生三类并探索分级应对,从技术应对和综合治理两个维度提出防范措施,明确模型算法研发者、服务提供者、系统使用者等主体责任,给出研发、部署、运行、访问使用的安全指引,推动协同共治、国际交流与合作。
人工智能 管理体系
人工智能 深度学习算法评估
确立人工智能深度学习算法评估指标体系,涵盖基础性能、效率、正确性、兼容性、可解释性、鲁棒性、安全性、公平性八个质量特性,规定各维度具体评估指标和计算方法,将评估结果分为优越级、进阶级、条件级、受限级四个等级,明确黑盒和白盒评估流程,适用于算法开发方、用户方及第三方对算法及其训练所得模型开展评估。
信息安全技术 机器学习算法安全评估规范
信息技术 人工智能 术语
地理信息数据分类分级工作指南
汽车采集数据处理安全指南
适用于汽车制造商及相关监管部门,将汽车采集数据分为车外数据、座舱数据、运行数据和位置轨迹数据,规定传输、存储和出境安全要求,未经同意不得向外传输含个人信息的车外数据,不得传输座舱数据,车外数据和位置轨迹数据保存不超过14天,重要数据出境须通过安全评估,制造商应对整车数据安全负责并向用户披露。
车联网信息服务用户个人信息保护要求
规定车联网信息服务中用户个人信息处理的基本原则和安全要求,明确个人信息收集应遵循最小必要、合法正当原则,规范敏感个人信息处理、告知同意、数据存储、传输加密、访问控制和共享披露等行为,要求建立用户权益保障机制,支持查询、更正、删除等权利行使,强化安全保障措施和违规处理责任,保护用户个人信息权益。
工业和信息化部关于加强车联网网络安全和数据安全工作的通知
明确智能网联汽车生产企业、车联网服务平台运营企业等主体责任,要求建立网络安全和数据安全管理制度,加强车辆网络安全架构设计、漏洞管理、安全认证和分域隔离,落实车联网网络设施和系统分级防护、定级备案、身份认证、加密传输和监测预警,规范OTA升级、应用程序管理和数据分类分级,强化重要数据出境安全评估,健全安全标准体系。
汽车数据出境安全指引(2025版)(征求意见稿)
该指引贯彻落实数据安全、网络安全、个人信息保护等法律法规,引导汽车数据处理者规范、安全、便利地开展汽车数据出境活动。文件明确汽车数据出境行为认定、出境路径选择,规定应申报数据出境安全评估、可订立标准合同或通过认证、免予申报评估的情形,并分研发设计、生产制造、驾驶自动化、软件升级服务、联网运行等场景细化重要数据识别标准和出境管理要求。
工业互联网企业网络安全 第1部分:应用工业互联网的工业企业 防护要求
该标准规定应用工业互联网的工业企业在设备、控制、网络、应用平台软件、安全管理及物理环境等方面的网络安全防护要求,适用于指导应用工业互联网的工业企业开展网络安全分类分级防护。文件面向一级、二级、三级企业分别提出初始级、基本级和增强级防护要求,重点覆盖工业主机、网络设备、工业控制设备、控制系统、控制软件、智能装备、网络安全域划分、边界防护、通信安全、工业APP及供应链安全等。
工业互联网企业网络安全 第2部分:平台企业防护要求
该标准规定工业互联网平台企业在接入层、基础设施层、平台层、应用层、安全管理及物理环境等方面的网络安全防护要求,适用于指导工业互联网平台企业开展网络安全分类分级防护。文件面向一级、二级、三级平台企业分别提出初始级、基本级和增强级防护要求,涵盖接入设备、计算环境、网络设备、虚拟化、通用组件、接口、容器、业务应用及供应链安全等内容。
电信和互联网服务 用户个人信息保护技术要求
该标准界定电信和互联网服务用户个人信息和权益保护的术语、保护范围、信息分类、分级对象和方法,适用于电信业务经营者和互联网信息服务提供者。文件将用户个人信息分为身份和鉴权信息、数据和服务内容信息、服务相关信息三类,依据敏感性将服务划分为一至五级,并针对不同级别提出基本保护和增强保护的技术与管理要求。
科学数据安全分类分级指南
该指南规定科学数据安全分类分级的方法、原则和流程,适用于科学数据生产、管理、使用和共享单位开展数据安全分类分级工作。文件明确科学数据的分类框架、分级要素、级别判定规则、重要数据和核心数据识别方法及动态管理要求,旨在指导科学数据所有者识别重要科学数据,并采取与其级别相适应的安全保护措施。
网络安全技术 生成式人工智能数据标注安全规范
该标准规定生成式人工智能训练数据标注的平台或工具安全、标注规则安全、标注人员要求和标注核验要求,适用于数据标注组织方开展训练数据标注及需求方验收、第三方安全评估。文件明确数据标注人员安全培训、任务分配和人员管理要求,区分功能性标注与安全性标注,提出标注结果核验、重新标注、质量及安全性评估方法。
网络安全技术 生成式人工智能服务安全基本要求
该标准规定生成式人工智能服务在训练数据安全、模型安全、安全措施等方面的基本要求,适用于服务提供者开展相关活动及主管部门和第三方评估机构参考。训练数据安全包括数据来源安全、内容管理和数据标注安全;模型安全涵盖训练、输出、监测测评、更新升级和环境安全;安全措施要求涉及服务适用人群、透明度、用户投诉举报、服务稳定性、端侧模型服务等。
网络安全技术 生成式人工智能预训练和优化训练数据安全规范
该标准规定生成式人工智能预训练和优化训练数据及其处理活动的安全要求,适用于服务提供者开展相关数据处理活动和安全自评估。文件提出通用安全要求,并从数据收集、预处理、使用等环节分别规定预训练数据和优化训练数据的安全要求,涵盖数据来源管理、违法不良信息过滤、个人信息保护、知识产权管理、投毒数据检测和真实性评估等内容。
数据安全技术 数据安全风险评估方法
该标准描述数据安全风险评估的基本概念、要素关系、分析原理和实施流程,适用于数据处理者、第三方评估机构及主管部门开展数据安全风险评估。评估围绕数据和数据处理活动,通过信息调研、风险识别、风险分析与评价等阶段,从管理、处理活动、技术、个人信息保护等方面识别风险,形成风险清单、评估报告和整改建议。
数据安全技术 敏感个人信息处理安全要求
该标准确立敏感个人信息的识别和界定规则,规定敏感个人信息处理的通用安全要求和特殊安全要求。通用要求涵盖收集合法性、收集要求、告知同意、安全保护、访问控制、加密传输存储、安全审计等方面;特殊要求针对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人个人信息等类别提出差异化保护要求。
网络安全技术 人工智能生成合成内容标识方法
该标准规定人工智能生成合成内容的显式标识和隐式标识方法,适用于生成合成服务提供者和内容传播服务提供者。显式标识包括文本、图片、音频、视频、虚拟场景等内容显式标识及交互场景界面显式标识,要求包含人工智能和生成合成要素;隐式标识包括文件元数据隐式标识和内容隐式标识,文件元数据标识应记录生成合成属性、服务提供者、内容制作编号等信息。
工业和信息化领域数据安全合规指引
该指引面向工业和信息化领域数据处理者,旨在引导其合法合规开展数据处理活动并履行数据安全保护义务。文件依据数据安全法、网络安全法、个人信息保护法等法律法规,围绕数据分类分级、数据安全管理体系、数据全生命周期保护、风险监测预警与应急处置、数据安全风险评估、数据出境和数据交易等方面提供实务指引。
网络安全技术 网络弹性评价准则
该标准给出网络弹性评价指标体系和评价方法,适用于组织的网络弹性自评价、第三方评价及设计建设提升。网络弹性包括预防、承受、恢复和适应四类能力,细分为态势感知、检查分析、协同防御、供应链管理、应急响应、损失限制、遏制、生存性、灾难备份、业务连续性、数据与业务恢复、自主管理、重构、节点适应性和网络适应性等三级指标。
网络安全技术 存储介质数据恢复服务安全规范
该标准确立存储介质数据恢复服务的安全原则、管理要求和实施要求,适用于非涉密数据恢复服务的实施管理、机构自评价和第三方监督评审。文件遵循合规、可用、保密、完整、可审计和分级原则,从机构、人员、环境、设施设备、质量控制、安全审计等方面提出管理要求,并规范介质接收、检测、恢复、交付和销毁等全环节安全实施要求。
网络安全技术 终端计算机通用安全技术规范
该标准规定终端计算机通用安全技术要求和测试评价方法,适用于终端计算机安全功能的设计、开发、测试和评价。文件将终端计算机分为基本级和增强级,安全功能包括硬件接口安全、BIOS固件安全、个人信息安全、身份标识与鉴别、访问控制、运行时防护、安全审计、安全性分析、备份恢复、可信度量、无线安全和配置基线检查等。
信息安全技术 移动互联网应用程序 (APP) 个人信息安全测评规范
该标准规定移动互联网应用程序个人信息安全测评的技术要求、测评指标和方法流程,适用于移动智能终端上的APP、小程序等个人信息安全的测评、检测和评估。文件围绕个人信息收集、使用、存储、传输、披露、删除、用户权利保障等处理活动,提出安全测评指标、测试方法和结果判定规则,旨在规范APP个人信息处理行为,保护用户个人信息权益。
汽车企业数据安全管理体系要求(没有下载)
信息安全技术 云计算服务安全能力评估方法
该标准是云计算服务安全能力要求的配套评估规范,适用于第三方评估机构对云服务商开展评估及云服务商自评估。文件依据安全能力要求,从系统开发与供应链安全、系统与通信保护、访问控制、数据保护、配置管理、维护管理、应急响应、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面给出评估方法。
信息安全技术 数据交易服务安全要求
该标准规范数据交易服务安全要求,适用于数据交易服务提供者、交易平台及数据供方、需方。文件明确数据交易服务相关术语和定义,提出数据交易参与方、交易平台、交易过程以及数据交易服务质量、权益保障和安全管理等方面的安全要求,涵盖在线与离线交付、数据委托保管等交易环节,旨在保障数据交易活动安全有序开展。
信息安全技术 数据安全风险评估方法
该标准规定了数据安全风险评估的基本概念、要素关系、分析原理和实施流程,适用于指导数据处理者、第三方评估机构及有关主管监管部门开展数据安全风险评估。评估围绕数据和数据处理活动,通过信息调研、风险识别、风险分析与评价等阶段,从数据安全管理、处理活动安全、技术措施、个人信息保护等方面识别风险,形成风险清单、评估报告和整改建议。
网络安全标准实践指南 - 生成式人工智能服务内容标识方法
该指南为落实生成式人工智能服务管理暂行办法的标识要求,给出文本、图片、音频、视频四类生成内容的标识方法。要求在交互界面或背景添加显式水印提示,图片视频须添加隐式水印,文件输出时应在元数据中添加扩展字段记录服务提供者、生成时间和内容ID,并在人工智能替代自然人服务可能造成混淆时进行提示。
信息安全技术 网络安全产品互联互通框架
该标准确立网络安全产品互联互通框架,适用于网络安全产品的设计、开发和应用。框架包括互联互通功能与信息两类内容,功能分为识别、防护、监测、处置四类并给出功能接口要求,信息包括资产、脆弱性、威胁、行为、告警、事件六类,附录提供多级安全管理系统、安全管理系统与产品、不同产品间互联互通的典型应用场景及HTTP接口实现示例。
网络安全标准实践指南 - 车外画面局部轮廓化处理效果验证
该指南针对汽车车外画面的人脸、车牌局部轮廓化处理效果提供验证方法,适用于汽车数据处理者自验及第三方机构验证。文件规定了验证流程、测试道路与光照条件、样本数量、效果验证方法及通过标准,要求采用算法检测与人工肉眼相结合的方式,统计未通过率并形成验证结论,同时附录给出验证准备、位置信息文件格式和检测算法选取要求。
互联网广告 匿名化实施指南
本指南面向互联网广告领域,明确数据匿名化的参考架构、适用主体、行为、对象与场景,提出构建可信环境、开展合规评估、保障基础技术、限制使用范围等目标,以及主体权益保护、平衡产业发展、机构互信制衡、过程有序可控等原则,规定环境维护、目标确定、技术处理、效果评估、行为控制和过程监管等实施流程,为广告数据安全合规利用提供系统性操作指引。
快递电子运单
本标准规定快递电子运单的术语定义、产品分类、技术要求、试验方法、检验规则以及标志包装运输贮存等内容,适用于快递电子运单的设计生产与使用,明确热敏纸、铜版纸、格拉辛纸等基材规格,规范条码信息区、背胶剥离力、印刷质量、耐高温高湿、环保安全及挥发性有机物等性能指标,为快递电子运单的印制质量和使用安全提供技术依据。
工业互联网企业网络安全 第3部分:标识解析企业防护要求
本标准面向工业互联网标识解析企业,依据企业网络安全级别划分,规定设备和系统、网络、业务和应用、安全管理及物理环境等方面的初始级、基本级和增强级防护要求,适用于标识解析企业开展网络安全分类分级防护工作,指导企业建设与自身级别相适应的安全防护体系,提升工业互联网标识解析节点的安全保障能力。
网络安全标准实践指南 - 网络数据安全风险评估实施指引
本指南依据网络安全法、数据安全法、个人信息保护法及相关国家标准,提出网络数据安全风险评估的思路、流程与内容,围绕数据安全管理、数据处理活动、数据安全技术和个人信息保护等方面识别风险隐患,适用于数据处理者自评估、第三方机构评估及监管部门检查评估,旨在发现数据安全问题、防范安全风险、提升整体数据安全保护水平。
信息安全技术 电信领域数据安全指南
本指南为电信领域数据安全工作提供指引,明确电信数据处理者的安全责任与管理要求。内容涵盖数据分类分级、数据全生命周期安全保护、重要数据与核心数据识别管理、数据安全风险评估、数据出境安全管理、安全事件应急处置等方面,要求电信企业建立健全数据安全管理制度和技术防护措施,保障电信数据安全,维护国家安全、公共利益和个人组织合法权益。
信息安全技术 网络数据分类分级指引
本实践指南依据数据安全法要求,给出网络数据分类分级的原则、框架和方法。数据分类采用面分类法,从公民个人、公共管理、信息传播、行业领域、组织经营等维度进行识别划分。数据分级按照危害程度将数据分为一般数据、重要数据、核心数据三个级别,并遵循合法合规、分类多维、分级明确、就高从严、动态调整等原则。指南适用于指导数据处理者开展分类分级工作,也可为主管监管部门提供参考。
信息安全技术 关键信息基础设施网络安全保护基本要求
本标准规定了关键信息基础设施安全保护的基本要求,建立分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等核心活动体系,明确运营者应开展业务、资产、风险识别和重大变更管理,落实等级保护、安全管理制度、机构人员、通信网络、计算环境、供应链和数据安全等保护措施,强化暴露面收敛、攻击发现阻断、攻防演练和威胁情报应用,提升关键信息基础设施整体网络安全防护能力。
信息安全技术 网络数据处理安全要求
本标准规定了网络数据处理活动的安全要求,适用于网络运营者开展数据处理活动,明确数据收集、存储、使用、加工、传输、提供、公开、删除等环节的安全义务,要求建立数据安全管理制度、落实个人信息保护、重要数据保护、数据出境安全评估等措施,强化数据分类分级、安全审计、应急响应、供应链安全管理,保障网络数据全生命周期安全,支撑数据安全法和个人信息保护法的落地实施。
信息安全技术 - 移动智能终端个人信息保护技术要求
本标准提出移动智能终端及应用程序个人信息保护技术要求,明确智能终端、终端应用、终端个人信息、个人信息主体和明示同意等术语定义,规定个人信息收集、使用、存储、传输、删除等处理活动的安全原则和具体技术要求,要求终端制造商、操作系统提供者和应用开发者采取技术与管理措施,防止信息泄露、滥用和非法访问,保障用户个人信息安全。
信息安全技术 - 网络数据处理安全要求
本标准规定网络数据处理安全要求,明确网络运营者开展数据收集、存储、使用、加工、传输、提供、公开、删除等活动的安全义务,要求建立数据分类分级保护、风险评估、安全审计与事件应急机制,规范个人信息、重要数据与第三方应用管理,细化数据主体权利响应与持续改进要求,适用于网络数据处理活动的安全建设与合规管理。
信息安全技术 - 移动互联网应用 (App) 收集个人信息基本要求
本标准规范移动应用软件收集个人信息活动,明确App运营者收集个人信息的基本原则与最小必要要求,规定告知同意、权限申请、收集范围、敏感信息处理、第三方软件开发工具包管理及拒绝提供服务的限制,要求建立个人信息保护机制、开展安全评估并持续改进,保障用户合法权益,适用于App收集、使用个人信息的设计、开发与运营。
民营经济促进法
本法促进民营经济持续健康发展,明确民营经济组织平等法律地位与合法权益受法律保护,规范市场准入、公平竞争、投资融资、科技创新、规范经营、服务保障与权益保护,要求国家机关依法平等保护产权,禁止歧视性待遇、乱收费与乱摊派,建立涉企收费、拖欠账款清理与民营企业投诉维权机制,优化营商环境,推动经济高质量发展。
保守国家秘密法
本法维护国家安全和利益,明确国家秘密的范围、密级与保密期限,规定机关单位保密责任制与定密、解密、变更程序,要求采取技术与管理措施及保密技术防护保护国家秘密载体与信息系统,规范涉密人员、涉密载体、网络与信息设备管理,禁止非法获取、持有、买卖、转递国家秘密,对泄密行为设定行政处分与刑事责任,维护国家秘密安全。
反电信网络诈骗法
本法预防和惩治电信网络诈骗活动,建立政府、部门、企业与社会协同治理机制,要求电信业务、金融业务、互联网服务经营者履行实名制、监测预警、风险防控与协助调查义务,规范电话卡、银行卡、物联网卡与互联网账号管理,建立预警劝阻、紧急止付、快速冻结与跨境协作机制,对诈骗行为及关联违法活动设定行政处罚与刑事责任。
电子签名法
本法确立电子签名与数据电文的法律效力,明确可靠的电子签名与手写签名或盖章具有同等效力,规范电子签名认证服务机构的资质、义务与责任,要求保证电子签名制作数据的专有性、控制性与改动可发现性,适用于电子商务、电子政务及其他民事活动中需要确认身份与意思表示真实性的场景,保障电子交易安全。
测绘法
本法规范测绘活动与地理信息管理,明确测绘基准、测绘系统与测绘成果管理制度,要求使用国家规定的测绘基准和坐标系统,保障地理信息安全,禁止非法获取、持有、提供、买卖涉密测绘成果,规范卫星导航定位基准站建设与互联网地图服务,强化涉外测绘与地理信息数据出境监管,对违法行为设定行政处罚与刑事责任。
反垄断法
本法预防和制止垄断行为,保护市场公平竞争与消费者权益,规定垄断协议、滥用市场支配地位、具有或可能具有排除限制竞争效果的经营者集中等三类垄断行为,明确公平竞争审查与反垄断执法机构调查程序,对达成垄断协议、滥用市场支配地位与违法实施经营者集中等行为设定罚款、没收违法所得、责令停止实施集中等处罚。
全国人民代表大会常务委员会关于加强网络信息保护的决定
本决定强化网络信息保护,明确国家保护能够识别公民个人身份与涉及公民个人隐私的电子信息的立法原则,要求网络服务提供者依法收集使用信息、履行安全管理义务,禁止泄露、篡改、毁损、出售或非法向他人提供个人信息,赋予公民要求删除、更正个人信息的权利,规定有关部门监管职责与对侵权行为的处罚措施。
密码法
本法规范密码应用与管理,将密码分为核心密码、普通密码与商用密码并实行分类管理,明确核心密码与普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息,鼓励商用密码技术创新与产业发展,规范商用密码检测认证、市场准入、应用促进与进出口管理,维护国家安全与社会公共利益,促进密码事业健康发展。
反不正当竞争法
本法规制不正当竞争行为,明确经营者应当遵循自愿、平等、公平、诚信原则,禁止市场混淆、商业贿赂、虚假宣传、侵犯商业秘密、不正当有奖销售、商业诋毁以及利用技术手段实施的网络不正当竞争等行为,规定监督检查、调查取证与行政强制措施,对违法者设定罚款、吊销营业执照等处罚,保护经营者与消费者合法权益,维护公平竞争市场秩序。
广告法
本法规范广告活动,明确广告应当真实、合法、健康,禁止虚假、引人误解与绝对化用语,规范医疗、药品、保健食品、金融投资、教育培训等重点领域广告,要求广告发布者与代言人核对内容并承担相应责任,保护未成年人免受不良广告影响,规定互联网广告须显著标明广告身份、不得欺骗误导用户点击,对违法广告设定罚款与停止发布等责任。
消费者权益保护法
本法保护消费者合法权益,明确消费者安全权、知情权、自主选择权、公平交易权、求偿权等权利,规定经营者提供真实信息、保障商品服务质量、明码标价、不得欺诈与使用不公平格式条款等义务,建立缺陷产品召回、网购七日无理由退货、公益诉讼与惩罚性赔偿制度,强化社会保护与行政监管,规范消费争议解决机制,促进社会主义市场经济健康发展。
未成年人保护法
本法保护未成年人身心健康与合法权益,构建家庭、学校、社会、网络、政府、司法六大保护体系,规定网络产品和服务提供者不得向未成年人提供危害其身心健康的内容,实施网络沉迷防治、个人信息保护、欺凌防控与性教育,要求密切接触未成年人单位实行从业查询与强制报告,对侵害未成年人行为设定民事、行政与刑事责任。
电子商务法
本法规范电子商务经营活动,明确电子商务经营者与电子商务平台经营者的义务,要求公示营业执照与行政许可信息、保障商品服务质量与消费者权益,禁止虚假宣传、虚构交易、默认搭售与不合理限制竞争,规定平台对经营者资质审核、知识产权保护、网络安全与个人信息保护责任,以及电子合同、电子支付、争议解决与法律责任。
刑法
本法规定犯罪与刑罚制度,明确罪刑法定、法律面前人人平等、罪责刑相适应原则,界定故意犯罪、过失犯罪、犯罪预备、未遂、中止、共同犯罪与单位犯罪,规定主刑与附加刑种类、量刑、累犯、自首、立功、数罪并罚、缓刑、减刑、假释及刑罚执行等规则,适用于危害国家安全、公共安全、侵犯公民权利、破坏经济秩序等各类犯罪及刑事责任。
民法典
本法系统整合民事法律规范,规定自然人、法人和非法人组织的民事权利能力与民事行为能力,涵盖物权、合同、人格权、婚姻家庭、继承、侵权责任等制度,确立平等、自愿、公平、诚信与公序良俗原则,保护人身权益、财产权益与个人信息,调整平等主体之间的人身关系与财产关系,维护社会经济秩序,是我国民事领域的基础性法律。
数据安全法
本法规范数据处理活动,确立数据安全与发展并重的总体国家安全观,建立数据分类分级保护、重要数据目录、风险评估、监测预警、应急处置与国家安全审查制度,明确数据处理者全流程安全管理、定期风险评估与数据出境安全义务,规定政务数据安全与开放要求,对危害国家核心数据及违法出境等行为设定民事、行政与刑事责任。
个人信息保护法
本法规范个人信息处理活动,确立合法、正当、必要与诚信原则,明确处理规则、告知同意、敏感个人信息单独同意及国家机关处理个人信息的特别规定,赋予个人查阅、复制、更正、删除、可携带、撤回同意等权利,规定个人信息处理者安全保护、合规审计、影响评估与境外接收方管理义务,构建个人信息跨境提供规则与法律责任体系。
网络安全法
本法确立网络安全等级保护与关键信息基础设施重点保护制度,明确网络运营者、网络产品与服务提供者的安全保护义务,规范网络运行安全、信息安全与监测预警,要求采取技术措施防范网络攻击、侵入、干扰、破坏与数据泄露,保障网络数据完整性、保密性与可用性,规定个人信息保护、违法信息处置及关键数据境内存储要求,并设定行政处罚与刑事责任。
法规
中华人民共和国人类遗传资源管理条例
中华人民共和国人类遗传资源管理条例是国务院行政法规,规范人类遗传资源材料和信息的采集、保藏、利用、对外提供活动,明确外国组织和个人不得在我国境内采集保藏或向境外提供我国人类遗传资源,规定国际合作科学研究审批、临床试验备案、材料出境证明、信息对外提供安全审查和备案制度以及相应法律责任。
政务数据共享开放条例
2025年8月1日起施行,规范政府部门之间政务数据共享及相关安全监督管理工作,明确政务数据定义和共享属性分为无条件共享、有条件共享和不予共享三类,规定目录管理、共享申请与答复、数据质量、校核纠错、平台支撑、安全保障等要求,建立全国一体化政务大数据体系,并对违规编制目录、阻碍共享、擅自提供数据等行为规定法律责任。
未成年人网络保护条例
自2024年1月1日起施行,构建国家统筹、部门协同、社会共治的未成年人网络保护体系,要求网络产品和服务提供者、个人信息处理者、智能终端企业履行保护义务,强化网络素养促进、信息内容规范、个人信息保护和网络沉迷防治,规定大型网络平台须成立独立监督机构、每年发布社会责任报告,违法可处警告、高额罚款、暂停业务、吊销许可等处罚。
关键信息基础设施安全保护条例
明确关键信息基础设施范围涵盖公共通信、能源、交通、金融、电子政务等重要行业和领域,规定保护工作部门负责认定,运营者承担主体责任,须同步规划、建设、使用安全保护措施,设置专门安全管理机构,每年检测评估,优先采购安全可信产品,采购影响国家安全的须安全审查,个人信息和重要数据境内存储,违法可处警告、罚款、停业整顿、吊销许可等处罚,构成犯罪的追究刑事责任。
网络数据安全管理条例
本条例细化网络数据处理活动的安全管理要求,明确网络数据处理者主体责任,规范个人信息保护、重要数据安全、网络数据跨境传输与网络平台服务提供者义务,要求建立安全管理制度、事件应急预案、风险评估与合规审计机制,强化大型平台特殊义务、算法公平与网络身份认证,对违法行为设定警告、罚款、停业整顿、吊销许可等处罚。
部门规章
网络数据安全风险评估办法及答记者问
2026 年 6 月 18 日,网信办、工信部、公安部联合发布第 24 号令《网络数据安全风险评估办法》,8 月 20 日实施。办法规范境内数据风险评估,建立多部门协同监管机制。要求重要数据处理者每年评估,数据重大变动即时评估,一般数据建议每 3 年评估,可自评或委托第三方机构。评估机构不得转包、连续多次服务同一企业,发现重大风险需及时告知企业。企业需按时报送评估报告并留存至少 3 年,违规主体将被责令整改、暂停数据处理,群众可举报相关违法行为。
关于加快公共数据资源开发利用的意见
中共中央办公厅国务院办公厅关于加快公共数据资源开发利用的意见,提出到2025年初步建立制度规则和到2030年全面建成开发利用体系的目标,统筹推进政务数据共享、有序开放和授权运营,健全资源登记管理制度、运营监督机制和价格形成机制,鼓励应用场景创新、区域数据协作、数据服务能力建设和数据产业生态繁荣,统筹发展和安全,强化组织实施保障。
中共中央国务院关于构建数据基础制度 更好发挥数据要素作用的意见(数据20条)
2022年12月发布,以数据产权、流通交易、收益分配、安全治理为重点,提出建立保障权益合规使用的数据产权制度、合规高效的流通交易制度、体现效率促进公平的收益分配制度、安全可控弹性包容的治理制度,明确公共数据、企业数据、个人数据分类分级确权授权,培育数据要素市场,促进数据合规高效流通使用,更好发挥数据要素作用。
中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见
2020年3月30日发布,旨在深化要素市场化配置改革,提出市场决定有序流动、健全制度创新监管、问题导向分类施策、稳中求进循序渐进等原则,围绕土地、劳动力、资本、技术、数据五大要素部署市场化配置改革任务,特别强调推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护、培育数据要素市场,并完善要素价格形成机制、交易平台和监管机制。
其他规范性文件
人工智能拟人化互动服务管理暂行办法
本办法规范境内 AI 拟人情感陪伴类服务,明确客服、办公助手等无持续情感交互服务不适用。坚持发展安全并重,由网信部门统筹多部门分级监管。规定服务商严禁生成违法有害内容,落实数据、未成年人、老年人保护义务,做好人机标识、防沉迷与极端情绪干预;上线、用户规模达标等情形需提交安全评估。要求完成算法备案,违规企业将被警告、罚款乃至关停,涉卫健、金融类服务还需遵守对应行业规定。
数据跨境合规流通体系建设指南
关于银行业保险业人工智能安全开发应用的指导意见及答记者问
台州市人民政府办公室关于印发台州市公共数据授权运营管理实施细则(试行)的通知
台州市公共数据授权运营管理实施细则,坚持依场景授权、不搞一揽子授权,建立市县两级协调机制,明确发布公告、资格初审、专家评审、会议审议、授权备案、协议签订等授权程序,规定授权运营域的登记开通、数据获取、数据开发、产品发布和权限关闭等要求,落实谁运营谁负责、谁使用谁负责的安全责任制、年度绩效评估和退出机制。
浦东新区人民政府关于印发《浦东新区公共数据授权运营管理若干规定(试行)》的通知
盐城市公共数据授权运营管理暂行办法
盐城市公共数据授权运营管理办法征求意见稿,规范数据供给、平台建运、加工治理、开发利用、流通交易和安全监管等活动,实行运营主体和开发主体两级授权模式,依托统一授权运营平台开展数据加工治理与开发利用,明确数据归集、目录编制、产品发布、交易流通、定价收益、安全责任、违规处置和退出机制等制度,并附实施方案阐述授权运营的必要性、可行性与具体实施路径。
烟台市公共数据授权运营管理暂行办法
规范烟台市行政区域内公共数据授权运营活动,明确数据主管部门、财政部门和数据提供单位职责分工,实行目录化与分类分级管理,确定运营单位并建设全市统一运营平台,按照一场景一授权一申请原则开展数据产品开发,建立收益分配、数据贡献评价和运营评估机制,落实谁管理谁负责、谁运营谁负责、谁持有谁负责、谁使用谁负责的安全责任制,自2025年1月1日起施行。
滨州市人民政府办公室关于印发滨州市公共数据授权运营管理暂行办法的通知
本办法适用于滨州市行政区域内公共数据授权运营相关活动。市、县政府为授权主体,委托公共数据主管部门负责具体实施和日常监管。授权运营单位按应用场景申请,经专家评审后签订协议。运营域由公共数据主管部门统筹建设,不得新建运营通道。运营单位在域内加工数据,原始数据不出域、数据可用不可见。主管部门开展年度评估,整改不到位的终止授权。本办法自印发之日起施行,有效期三年。
威海市公共数据授权运营管理办法
本办法适用于威海市行政区域内公共数据授权运营相关活动。市大数据工作主管部门受市政府委托授权运营单位开展公共数据加工处理和产品开发。运营单位建设统一的公共数据授权运营平台。运营单位按一场景一申请原则获取数据,在平台内加工,确保原始数据不导出平台。公共数据产品收益按国有资源有偿使用规定执行。主管部门开展日常监督和评估。本办法自2024年10月30日起施行,有效期至2026年10月29日。
惠州市公共数据管理实施细则
本细则适用于惠州市行政区域内公共管理和服务机构的公共数据采集、使用、管理活动。公共数据管理遵循统筹管理、统一标准、分类分级、依法采集、依职共享、有序开放、流通融合、安全可控原则。实行统一目录管理,公共数据按共享类型和开放属性进行分类。共享申请通过一网共享平台办理,数源部门按规定审批。公共管理和服务机构应加强数据安全管理,定期开展安全检查和风险评估。本细则为征求意见稿。
柳州市公共数据授权运营实施方案
本方案适用于柳州市公共数据授权运营工作,目标是到2026年底形成规范流程和安全保障体系,打造10个以上典型应用场景。市人民政府为授权主体,市数据局负责具体实施。坚持一场景一授权、无场景不授权,建设数据授权运营专区,实现原始数据不出域、数据可用不可见。优先在工业制造、商贸流通、交通运输、金融服务、文化旅游、医疗健康、城市治理等领域突破。探索收益分配,培育数据要素市场生态。
肇庆市人民政府关于印发《肇庆市公共数据资源授权运营管理办法(试行)》的通知
本办法适用于肇庆市本级行政机关及财政保障的公共管理和服务机构开展的公共数据资源授权运营活动。市政务和数据局为数据管理机构,市人民政府确定实施机构。实施方案经三重一大决策机制审议后,实施机构通过公平竞争方式选择运营机构并签订协议。运营机构按一场景一授权原则遴选开发机构。实施机构定期公开授权运营情况,开展年度成效评价。本办法自2025年5月1日起施行,有效期三年。
江山市公共数据授权运营管理实施细则
本细则适用于江山市行政区域内公共数据授权运营相关活动。江山市人民政府为授权主体,公共数据主管部门牵头实施,建立协调机制和专家组。授权运营坚持无场景不授权,经公告、申请、审查、公开、签约等程序确定,期限一般不超过三年。依托衢州市授权运营域开展工作,不再单独建设。运营单位在域内加工数据产品,原始数据包不得导出。违反协议或安全规定的责令整改或终止授权。本细则为征求意见稿。
衢州市公共数据授权运营管理实施细则
本细则适用于衢州市行政区域内公共数据授权运营相关活动。市县政府为授权主体,建立协调机制和专家组,公共数据主管部门负责具体实施。授权运营坚持无场景不授权,经申请、审查、签约等程序确定。授权运营期限一般不超过三年。市级依托一体化智能化公共数据平台建设授权运营域,各县市区原则上不再单独建设。运营单位在域内加工数据产品,原始数据包不得导出。本细则自2024年7月19日起施行。
扬州市公共数据授权运营管理办法(试行)
本办法适用于扬州市行政区域内公共数据授权运营相关活动。采用两级主体、分级授权模式,市政府授权数据主管部门试点确定一级运营主体,一级运营主体选择二级开发主体并签订授权协议。一级运营主体负责平台建设、数据加工和安全保障,二级开发主体依场景开发数据产品。授权运营平台是全市统一通道,各县市区不再单独建设。数据产品由市场定价。本办法自2024年7月16日起施行,有效期至2026年7月15日。
绍兴市公共数据授权运营管理实施细则(试行)(征求意见稿)
本细则适用于绍兴市行政区域内公共数据授权运营相关活动。公共数据主管部门负责日常工作,建立专家组。授权运营经发布公告、资格审查、签订协议等程序确定,期限一般不超过三年。市级依托一体化智能化公共数据平台建设授权运营域。运营单位在域内加工数据产品,原始数据包和可还原原始数据的产品不得导出。主管部门开展年度评估,未通过或整改不到位的终止授权。本细则为征求意见稿。
德清县公共数据授权运营管理实施细则(试行)
本细则适用于德清县行政区域内公共数据授权运营相关活动。建立由数据提供单位、主管单位、运营单位、使用主体、监管单位及协调小组、专家组组成的工作体系,县大数据局负责统筹管理和建设授权运营域。授权运营流程包括信息发布、申请提交、资格审查、协议签订、培训考核、加工处理、产品开发、市场运营等环节。运营协议有效期为三年,连续三次评估不合格取消授权资格。本细则自2023年施行之日起施行。
舟山市人民政府办公室关于印发舟山市公共数据授权运营实施方案(试行)的通知
本方案适用于舟山市公共数据授权运营试点工作。建立市级协调机制和专家组,依托一体化智能化公共数据平台构建公共数据授权运营平台。授权运营实行一场景一授权,经发布通告、提交申请、专家评审、结果公开、签订协议等程序确定运营单位。重点推进公共信用、先进制造、文化旅游、卫生健康、市场监管、金融服务等领域场景建设。定期开展年度评估。本方案自印发之日起施行。
云和县公共数据授权运营管理实施细则
本细则适用于云和县行政区域内公共数据授权运营相关活动。县人民政府为授权主体,县公共数据主管部门负责具体实施和日常监管,依托市级授权运营域开展工作。授权运营按发布公告、提交申请、综合评审、签订协议等程序进行,期限一般不超过三年。运营单位应在域内加工数据产品,原始数据包不得导出。主管部门开展年度评估,不合格或未按要求整改的终止授权。本细则自2024年3月11日起施行。
无锡市公共数据授权运营管理办法(试行)
本办法适用于无锡市行政区域内公共数据授权运营相关活动。建立市级协调机制,数据主管部门统筹规划平台与授权运营域建设。运营单位采取综合授权、领域授权、场景授权等方式,经审核公示等程序确定,运营期限最长不超过两年。形成的数据产品经审核后在合法数据交易平台流通。有偿使用收入纳入非税收入管理。违规或评估不合格的暂停权限直至终止授权。本办法自2024年3月1日起施行。
金华市公共数据授权运营实施细则(试行)
本办法适用于金华市行政区域内公共数据授权运营相关活动。县级以上政府按程序授权运营单位,市公共数据主管部门依托一体化智能化公共数据平台统筹建设授权运营域。授权运营依应用场景开展,协议期限一般不超过一年。运营单位在域内加工数据产品,经审核后上线,或可还原原始数据的产品不得出域。主管部门开展安全评估和绩效评估,实行动态管理,不合格取消授权。本细则自2024年2月15日起施行。
温州市公共数据授权运营管理实施细则(试行)
本办法适用于温州市行政区域内公共数据授权运营相关活动。县级以上政府按程序授权运营单位,市公共数据主管部门统筹建设运营域。授权运营坚持无场景不授权,经公告、申请、预审、专家评审、终审、公开、备案、签约等程序确定。期限一般不超过三年。运营单位应在运营域内加工数据产品,原始数据包不得导出,不得用于未经审批场景。主管部门定期开展安全和绩效评估,不合格取消授权。本细则自2023年10月21日起施行。
新余市公共数据授权运营管理办法(试行)
本办法适用于新余市行政区域内公共数据授权运营及监督管理。市数据主管部门作为实施机构,采用分领域、依场景授权方式,编制实施方案经市政府审议后,按公平竞争方式选择运营机构。授权运营期限原则上最长不超过五年。运营机构在授权运营域内加工数据产品,原始数据包不得出域。数据产品依法登记并按规定定价。违反规定依法追责。本办法自2025年6月1日起试行,有效期两年。
齐齐哈尔市人民政府办公室关于印发齐齐哈尔市公共数据授权运营管理暂行办法的通知(齐政办规〔2024〕6号)
本办法适用于齐齐哈尔市行政区域内公共数据授权运营及相关活动。市政府委托市数据局作为实施机构,通过公平竞争方式选择运营机构。运营机构依场景开展数据运营,引入主体开发数据产品,经安全合规审核后交易流通。市级公共数据服务机构负责数据汇聚、治理和脱敏脱密支撑。原始数据不得交易。对违规或重大经营问题的,市数据局可终止授权。本办法自2024年11月29日起施行,有效期两年。
福田区公共数据授权运营暂行管理办法
规范深圳市福田区行政区域内公共数据授权运营活动,明确适用范围、基本原则和职责分工,区政务服务数据管理部门为区公共数据主管部门负责统筹监督,规定授权运营单位资质要求、选定程序和协议内容,规范授权运营服务平台建设、平台合作方入驻退出、数据资源授权申请、公共数据产品开发、登记备案、交易定价、全过程成效评估、监督管理和安全保障。
《光明区公共数据授权运营管理暂行办法》
规范深圳市光明区行政区域内公共数据授权运营及其监督管理活动,明确公共数据、授权运营单位等定义和基本原则,区政务服务和数据管理部门为区公共数据主管部门负责统筹监督,规定区公共数据主管部门和数源部门职责,明确授权运营单位资质要求、选定程序、协议内容和退出机制,规范授权运营服务平台建设、运营合作方管理、产品登记备案、交易定价和安全保障。
工业和信息化领域数据安全管理办法
规范工业、电信、无线电等领域数据处理活动,将数据分为一般、重要、核心三级并实施动态目录管理,要求处理者落实全生命周期安全保护、备案、风险评估、事件应急处置等义务,重要数据和核心数据优先境内存储,出境须安全评估,不得擅自向境外执法机构提供境内数据,行业监管部门开展监督检查,违法可给予约谈、罚款、暂停业务、吊销许可证等处罚。
个人信息出境认证办法
该办法规范个人信息出境认证活动,适用于通过个人信息保护认证方式向境外提供个人信息的处理者。文件明确认证机构资质、认证申请条件、认证程序、证书有效期、认证信息共享、认证证书暂停与撤销、专业认证机构备案及监督管理要求,并规定个人信息处理者申请认证前应履行告知、取得单独同意和开展个人信息保护影响评估等义务。
汽车数据安全管理若干规定(试行)
该规定规范中华人民共和国境内汽车数据处理活动及其安全监管,适用于汽车制造商、零部件和软件供应商、经销商、维修机构、出行服务企业等处理者。文件明确汽车数据、个人信息、敏感个人信息和重要数据的范围,要求处理活动合法正当,落实网络安全等级保护,倡导车内处理、默认不收集、精度范围适用和脱敏处理原则,并规定重要数据风险评估、境内存储、出境安全评估和年度安全管理情况报告制度。
网络安全标准实践指南 —— 人工智能生成合成内容检测技术指南
网络安全标准实践指南 —— 人工智能生成合成内容标识方法 文件元数据隐式标识安全防护技术指南
网络安全标准实践指南 —— 人工智能生成合成内容标识方法 文件元数据隐式标识视频文件
网络安全标准实践指南 —— 人工智能生成合成内容标识方法 文件元数据隐式标识音频文件
网络安全标准实践指南 —— 人工智能生成合成内容标识方法 文件元数据隐式标识图片文件
网络安全标准实践指南 —— 人工智能生成合成内容标识方法 文件元数据隐式标识文本文件
移动智能终端人工智能应用的个人信息保护技术要求及评估方法
移动互联网应用未成年人个人信息保护技术要求
网络空间安全仿真 电力系统信息安全仿真平台接入技术要求
移动互联网应用程序 (APP) 儿童个人信息处理的告知同意技术要求
APP 收集使用个人信息最小必要评估规范
移动智能终端个人信息保护规范
信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法
互联网域名服务信息安全管理系统及接口测试方法
医院信息平台交互标准 第 2 部分:个人信息注册、查询服务
移动互联网应用程序(APP)收集使用个人信息最小必要评估规范 第 13 部分:传感器信息
移动应用软件个人信息保护要求和评估方法
数据安全技术 机密计算通用框架
服务机器人信息安全通用要求
数据安全技术 数据安全风险评估方法
网络安全技术 信息系统灾难恢复规范
网络安全技术 信息安全管理体系 要求
网络安全技术 数字水印技术实现指南
网络安全标准实践指南 —— 摇一摇广告个人权益规范指引(征求意见稿)
人工智能安全标准体系(V1.0)(征求意见稿)
网络安全技术 信息安全管理体系审核和认证机构要求(征求意见稿)
网络安全技术 网络安全事件管理 第 2 部分:事件响应规划和准备指南(征求意见稿)
网络安全技术 网络安全事件管理 第 1 部分 原理和过程(征求意见稿)
人工智能 知识图谱 知识交换协议(GB/T 45628-2025)
人工智能 计算设备调度与协同 第 2 部分:分布式计算框架(GB/T 45401.2-2025)
临港新片区印发再保险、国际航运、生物医药 3 个领域数据出境操作指引
关于发布 2025 年度第一批网络安全国家标准需求的通知
网络关键设备安全技术要求 可编程逻辑控制器(PLC)
数据安全技术 大型互联网企业内设个人信息保护监督机构要求
数据安全技术 政务数据处理安全要求
数据安全技术 基于个人信息的自动化决策安全要求
数据安全技术 数据安全评估机构能力要求
网络安全技术 运维安全管理产品技术规范
网络安全标准实践指南 —— 移动互联网未成年人模式技术要求
网络安全标准实践指南 —— 人工智能生成合成内容标识 服务提供者编码规则
网络安全技术 网络安全保险应用指南
信息安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)
信息安全技术 数字水印技术实现指南(征求意见稿)
网络安全技术 网络安全运维实施指南(征求意见稿)
网络安全技术 软件物料清单数据格式(征求意见稿)
网络安全技术 关键信息基础设施安全保护能力指标体系(征求意见稿)
网络安全技术 标识密码认证系统密码及其相关安全技术要求(征求意见稿)
网络安全技术 安全技术 网络安全 第 7 部分:网络虚拟化安全(征求意见稿)
数据安全技术 二手电子产品信息清除技术要求(征求意见稿)
网络安全技术 网络安全试验平台 体系架构(征求意见稿)
网络安全技术 网络空间安全图谱要素表示要求(征求意见稿)
网络安全技术 公钥基础设施 时间戳规范(征求意见稿)
网络安全技术 公钥基础设施 PKI 组件最小互操作规范(征求意见稿)
网络安全技术 公钥基础设施 证书管理协议(征求意见稿)
网络安全技术 网络身份认证公共服务 应用接入规范(征求意见稿)
网络安全技术 抗拒绝服务攻击产品技术规范(征求意见稿)
网络安全技术 数据销毁软件产品技术规范(征求意见稿)
网络安全技术 安全配置检查产品技术规范(征求意见稿)
网络安全技术 日志分析产品技术规范(征求意见稿)
网络安全技术 终端安全监测产品技术规范(征求意见稿)
网络安全技术 电子文档安全管理产品技术规范(征求意见稿)
网络安全技术 信息过滤产品技术规范(征求意见稿)
网络安全技术 USB 移动存储介质管理系统技术规范(征求意见稿)
网络安全技术 网络型流量控制产品技术规范(征求意见稿)
网络安全技术 负载均衡产品技术规范(征求意见稿)
网络安全技术 终端接入控制产品技术规范(征求意见稿)
网络安全技术 数据泄露防护产品技术规范(征求意见稿)
网络安全技术 身份鉴别产品技术规范
网络安全技术 公钥密码应用技术体系框架(征求意见稿)
网络安全技术 统一威胁管理产品 (UTM) 技术规范(征求意见稿)
信息技术 安全技术 网络安全 第6部分:无线网络访问安全(征求意见稿)
网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则
证券业区块链电子数据存证应用规范
数据安全技术 数据接口安全风险监测方法
网络安全标准实践指南 —— 互联网平台停服数据处理安全要求
网络安全标准实践指南 —— 学术科技服务平台数据安全要求
网络安全技术 智能门锁网络安全技术规范
网络安全技术 办公设备安全规范
网络安全技术 信息安全控制
网络安全技术 网络和终端隔离产品技术规范
网络安全技术 杂凑函数 第3部分:专门设计的杂凑函数
网络安全技术 杂凑函数 第2部分:采用分组密码的杂凑函数
网络安全技术 杂凑函数 第1部分:总则
网络安全技术 消息鉴别码第2部分:采用专用杂凑函数的机制
网络安全技术 实体鉴别 第2部分:采用鉴别式加密的机制
网络安全标准实践指南 —— 一键停止收集车外数据指引
网络安全标准实践指南 —— 生成式人工智能服务安全应急响应指南(征求意见稿)
人脸识别支付场景下个人信息保护安全要求 (征求意见稿)
直播电子商务平台管理与服务规范
人工智能安全标准化白皮书
信息安全技术 移动互联网应用程序 (App) 生命周期安全管理指南
网络安全技术 关键信息基础设施边界确定方法 (征求意见稿)
数据安全技术 数字水印技术实现指南 (征求意见稿)
网络安全标准实践指南—网络安全产品互联互通 资产信息格式
数据合规审计 指南(团体标准)
数据安全技术 基于个人请求的个人信息转移要求
儿童智能手表个人信息和权益保护指南
信息安全技术 重要数据处理安全要求
信息安全技术 信息安全控制
信息安全技术 关键信息基础设施网络安全应急体系框架
信息安全技术 互联网平台及产品服务隐私协议要求
信息技术 - 安全技术 - 网络安全 第3部分:面向网络接入场景的威胁、设计技术和控制
信息技术 - 安全技术 - 网络安全 第4部分:使用安全网关的网间通信安全保护
网络安全标准实践指南 - 移动互联网应用程序 (App) 个人信息保护常见问题及处置指南
数据出境安全评估办法
个人信息出境标准合同办法
促进和规范数据跨境流动规定
标准
数据管理能力成熟度评估模型(DCMM 2.0)
金融信息服务数据分类分级指南
六部门联合发布的行业合规文件,统一金融信息领域数据分类分级标准,划分业务、用户、企业三大类数据,设置四级数据防护等级,明确金融机构数据梳理、重要数据识别的实操规范,是金融行业开展数据安全合规治理的核心依据
人类遗传资源管理条例实施细则
人类遗传资源管理条例实施细则由科技部制定,细化人类遗传资源管理条例,规范采集、保藏、利用、对外提供人类遗传资源的行政许可、备案和事先报告程序,明确重要遗传家系、特定地区、大规模人群研究的采集许可条件,国际合作科学研究、临床试验备案要求,信息对外提供的安全审查、备份要求以及监督检查和法律责任。
国家发展改革委 国家数据局关于建立公共数据资源授权运营价格形成机制的通知
国家发展改革委国家数据局关于建立公共数据资源授权运营价格形成机制的通知建立公共数据资源授权运营价格形成机制,明确定价范围和管理权限,公共数据运营服务费实行政府指导价管理,规范定价程序,科学核定最高准许收入,合理制定上限收费标准,建立定期评估调整制度,加强指导监督,自2025年3月1日起施行。
关于严格执行企业会计准则 切实做好企业2025年年报工作的通知
关于严格执行企业会计准则切实做好企业2025年年报工作的通知由财政部等部门发布,要求企业严格执行国家统一会计制度编制2025年年报,重点关注长期股权投资、固定资产、无形资产、数据资源、资产减值、收入确认、政府补助、企业合并、租赁、金融工具、标准仓单、保险合同、会计政策变更、合并财务报表、关联方及财务报表编制等领域,加强内部控制和财会监督,遏制财务造假。
大型网络平台个人信息保护规定 (征求意见稿)
大型网络平台个人信息保护规定征求意见稿由国家网信办和公安部起草,规范境内大型网络平台个人信息处理活动,明确平台认定标准,要求设立由管理层成员担任的个人信息保护负责人和专门工作机构,实行个人信息境内存储和数据中心安全管理,开展合规审计、风险评估和社会责任报告,保障个人权利,强化监管措施和法律责任。
粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引
粤港澳大湾区内地澳门个人信息跨境流动标准合同实施指引由国家网信办与澳门相关机构共同制定,适用于粤港澳大湾区内地九市与澳门之间的个人信息跨境流动,采用标准合同与备案管理相结合方式,要求开展个人信息保护影响评估,合同生效后十个工作日内向广东省网信办或澳门个人资料保护局备案,明确变更重评、投诉举报和安全事件处置等要求。
生成式人工智能个人信息保护技术要求 第1部分:总则.
网信办数据出境安全管理政策问答202510
国家互联网信息办公室数据出境安全管理政策问答2025年10月版,就促进和规范数据跨境流动规定中的豁免场景理解、酒店行业个人信息出境、员工个人信息跨境人力资源管理、重要数据申报时限、境外访问判定、系统升级是否重评、标准合同多次备案、重新订立合同情形、向境外第三方提供个人信息、认证依据和标准等十个问题作出解答。
网信办数据出境安全管理政策问答202504
国家互联网信息办公室数据出境安全管理政策问答2025年4月版,系统回应数据出境安全管理制度设计、自贸试验区负面清单一致性、负面清单覆盖领域、个人信息出境必要性判断、重要数据识别、重要数据出境、外资企业参与标准制定、集团公司跨境传输个人信息、延长安全评估结果有效期等代表性问题,明确法律依据和实施路径。
公共数据资源登记管理暂行办法
公共数据资源登记管理暂行办法,规范全国公共数据资源登记活动,明确直接持有或管理公共数据资源的单位及授权运营法人组织为登记主体,国家或地方数据管理部门设立登记机构和平台,规定首次登记、变更登记、更正登记和注销登记程序,登记结果有效期三年,建立分级监督管理和撤销登记等制度,2025年3月1日起施行。
公共数据资源授权运营实施规范
国家数据局制定,2025年3月1日起施行,适用于境内公共数据资源授权运营活动,明确授权运营、实施机构、运营机构定义,要求遵循依法合规、公平公正、公益优先、合理收益、安全可控原则,规定实施方案编制、运营机构选择、授权运营协议签订、运营实施、安全管理、信息披露和监督管理等全流程要求,授权运营期限原则上最长不超过5年。
数据出境安全评估申报指南(第三版)
根据数据出境安全评估办法和促进规范数据跨境流动规定制定,明确关键信息基础设施运营者和自当年起累计向境外提供100万人以上个人信息或1万人以上敏感个人信息的处理者应申报安全评估,规定线上申报流程、材料要求、完备性查验、受理、评估、复评及有效期延长申请条件与程序,数据处理者须对材料真实性负责。
人工智能 风险管理能力评估(征求意见稿)
提出组织级人工智能风险管理能力评级与划分规则,将能力分为初始级、规范级、全面级、量化级、卓越级五级,构建涵盖风险管理策划、沟通、评估、处理、监控、回顾六个过程域的能力框架,明确各能力主域、子域和子项要求及量化评分方法,并提供推荐权重设置、风险源和风险管理方法工具等资料性附录,适用于评估组织在人工智能系统全生命周期中识别、分析、应对和监控风险的能力。
电信领域重要数据识别指南
规定电信领域重要数据识别的原则、流程和方法,适用于电信数据处理者,将重要数据分为网络规划运维、安全保障、经济运行与业务发展、关键技术成果等类别,通过定量与定性相结合分析数据领域、群体、区域、精度、规模、深度、覆盖度和重要性等要素,评估对国家安全、公共利益的影响,形成重要数据目录并动态更新,涉及军事、政务、国家秘密等除外。
关于加强智能网联汽车生产企业及产品准入管理的意见
压实智能网联汽车企业主体责任,要求建立汽车数据安全和网络安全管理制度,实施数据分类分级、境内存储、出境安全评估,规范OTA在线升级备案和申报程序,禁止未经审批新增或更新自动驾驶功能,加强驾驶辅助和自动驾驶功能安全管理,明确事件数据记录、功能安全、预期功能安全和网络安全测试要求,企业须建立自查机制并及时整改报告。
粤港澳大湾区(内地、澳门) 个人信息跨境流动标准合同
该合同为促进粤港澳大湾区内地与澳门之间个人信息跨境安全有序流动而制定,适用于注册于或位于大湾区内地部分及澳门特别行政区的个人信息处理者和接收方。合同明确双方权利义务,要求处理者履行告知、取得同意、开展个人信息保护影响评估等义务,接收方采取技术和管理措施保障信息安全、不得向大湾区以外提供个人信息,并约定个人信息主体权利、救济、违约责任、合同解除及争议解决等条款。
粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引
该指引为促进粤港澳大湾区内地与香港之间个人信息跨境安全有序流动而制定,适用于注册于或位于粤港澳大湾区内地部分及香港特别行政区的个人信息处理者和接收方。文件明确通过订立标准合同跨境提供个人信息应坚持自主缔约与备案管理、保护权益与防范风险相结合,规定个人信息保护影响评估、标准合同备案、接收方义务、个人信息主体权利、监管及投诉举报等要求。
征信业务管理办法
该办法规范中华人民共和国境内对企业和个人开展征信业务及其相关活动,适用于征信机构、信息提供者和信息使用者。文件明确征信业务、信用信息定义,规定个人征信业务许可、企业征信和信用评级业务备案要求,规范信用信息采集、整理保存加工、提供使用、信息安全、监督管理及法律责任,强调保护信息主体合法权益、保障信息安全、遵循独立客观公正原则。
工业企业数据安全防护要求
该标准规定工业企业数据安全防护的基础性要求和数据全生命周期防护要求,适用于指导工业企业开展数据安全防护及风险评估。文件区分一般数据、重要数据和核心数据三个防护级别,从管理制度、人员保障、权限管理、系统与设备安全、供应链安全、分类分级、安全评估、日志留存、审计、监测预警与应急处置等方面提出基础性要求,并覆盖数据收集、存储、使用、传输、提供、公开、销毁、出境和转移等全生命周期环节。
工业领域重要数据识别指南
该指南给出工业领域重要数据识别的基本原则、流程和考虑因素,适用于工业数据处理者识别重要数据及行业监管部门制定重要数据目录。识别维度包括与国家秘密生成相关、与国家安全相关、与行业发展安全相关、与出口管制物项相关、与行业特色相关及其他,覆盖钢铁、有色、石化、装备、消费品、电子信息、软件和信息技术服务等行业。
工业领域数据安全风险评估规范
该规范规定工业领域数据安全风险评估的基本原则、要素、流程和方法,适用于工业领域重要数据和核心数据处理者开展数据安全风险评估,一般数据处理者可参照执行。评估包括合规性评估和安全风险分析两部分,通过人员访谈、资料查验、人工核验和工具测试等方法,对数据处理活动进行风险识别、分析和等级研判。
个人信息出境标准合同备案指南(第二版)
该指南指导和帮助个人信息处理者规范备案个人信息出境标准合同,适用于非关键信息基础设施运营者且出境个人信息规模符合规定条件的数据处理者。文件明确适用范围、备案方式与流程、所需材料、标准合同范本及个人信息保护影响评估报告模板,要求自合同生效之日起十个工作日内通过数据出境申报系统向省级网信部门备案。
数据出境安全评估申报指南(第二版)
该指南指导和帮助数据处理者规范、有序申报数据出境安全评估,适用于向境外提供重要数据或达到规定规模个人信息的数据处理者。文件明确申报适用范围、数据出境行为认定、申报方式与流程、材料完备性查验、评估结果及复评机制、所需材料清单及数据出境风险自评估报告模板,要求通过所在地省级网信办向国家网信办提交书面材料及电子版。
促进和规范金融业数据跨境流动合规指南
网络安全标准实践指南 —— 大型互联网平台网络安全评估指南
该指南从影响社会稳定和公共利益的角度,提出大型互联网平台网络安全评估的内容和方法,适用于大型互联网平台开展网络安全评估。评估由平台主要负责人领导的工作组组织实施,包括年度评估和重要事项评估,内容涵盖核心业务连续性、灾难恢复能力、关键软硬件供应链安全、对外提供数据可控性、数据泄露应急处置、平台控制权和用户权益保护等方面。
数据安全技术 数据分类分级规则
该标准规定了数据分类分级的原则、框架、方法和流程,适用于行业主管部门、各地区各部门及数据处理者。数据分类按行业领域和业务属性逐级细化,数据分级依据重要程度和危害程度将数据分为核心数据、重要数据和一般数据,给出了重要数据识别指南,并要求遵循科学实用、边界清晰、就高从严、点面结合和动态更新原则。
信息安全技术 人工智能计算平台安全框架
本标准确立人工智能计算平台安全框架,规定安全功能、安全管理和角色安全职责。安全功能包括资源层计算存储网络虚拟资源安全、调度层资源与任务调度安全、应用支撑层数据处理与模型训练推理安全。安全管理涵盖身份管理、密码管理、日志管理、安全监测审计、风险管理及个人信息保护。角色职责明确平台提供方、数据提供方、模型提供方和应用提供方在保护模型与数据安全中的分工协作要求。
信息安全技术 移动互联网应用程序 (App) 个人信息安全测评规范
本标准规范移动互联网应用程序个人信息安全测评要求,明确测评对象、测评内容与测评方法。测评覆盖个人信息收集、存储、使用、共享、转让、公开披露、删除等处理活动,重点评估告知同意、最小必要、权限申请、数据脱敏、安全保护措施、用户权利保障等内容。通过技术检测与管理审查相结合的方式,评估App个人信息处理活动的合规性与安全性,防范个人信息泄露滥用风险,保护用户合法权益。
网络安全标准实践指南 - 网络数据分类分级指引
本实践指南依据数据安全法要求,给出网络数据分类分级的原则、框架和方法。数据分类采用面分类法,从公民个人、公共管理、信息传播、行业领域、组织经营等维度进行识别划分。数据分级按照危害程度将数据分为一般数据、重要数据、核心数据三个级别,遵循合法合规、分类多维、分级明确、就高从严、动态调整等原则,适用于指导数据处理者开展分类分级工作,也可为主管监管部门提供参考。
信息安全技术 区块链信息服务安全规范
本标准规定区块链信息服务安全规范,明确服务提供者的安全责任与技术要求。规范涵盖区块链服务基础设施安全、智能合约安全、节点安全管理、数据安全与隐私保护、密码应用安全、身份认证与访问控制、安全审计与监测处置等内容,要求服务提供者建立健全安全管理制度,防范篡改攻击、私钥泄露、节点失效等风险,保障区块链信息服务可信运行,维护用户合法权益与网络数据安全。
信息安全技术 数据安全评估机构能力要求
本标准规定数据安全评估机构的能力要求,包括基础条件、管理能力、技术能力、人力资源能力、场所与设备资源能力五方面。机构应在境内注册、具备独立公正性、拥有认可证书,并建立评估制度、人员管理、安全保密、风险控制、业务持续性保障等管理机制。技术能力覆盖数据处理活动识别分析、风险源识别、风险分析与评价及控制建议,适用于机构能力建设、能力评价及数据处理者选择第三方评估机构。
智能网联汽车 自动驾驶数据记录系统
本标准规定智能网联汽车自动驾驶数据记录系统的技术要求与试验方法,适用于M类N类车辆。系统分Ⅰ型和Ⅱ型,需记录碰撞、有碰撞风险等时间段事件,以及系统激活退出、介入请求、严重失效等时间戳事件。数据元素涵盖车辆基本信息、状态动态信息、自动驾驶运行信息、行车环境信息及驾乘人员操作信息,对数据存储、信息安全、耐撞性能提出要求,明确触发试验、碰撞试验、数据准确性验证等试验方法及型式判定规则。
汽车整车信息安全技术要求
本标准规定了汽车整车信息安全管理体系、基本要求和技术要求及试验方法,适用于M类、N类及装有电子控制单元的O类车辆,明确车辆制造商应建立覆盖全生命周期的信息安全管理体系,开展风险评估与处置,规范外部连接安全、通信安全、软件升级安全和数据安全等技术措施,要求验证远程控制指令、V2X通信、密钥保护、敏感个人信息处理、入侵检测等能力,并规定了相应的检查与试验方法及同一型式判定规则。
健康医疗数据合规流通标准
本标准规定了健康医疗数据合规流通的总体原则、管理体系、流通框架、流通过程及监管要求,明确数据分类体系与五级分级方法,界定个人属性、健康状况、医疗应用、医疗支付、卫生资源、公共卫生等数据类别,规范数据来源证明、合规处理、存储传输、合约签订、接收使用、审计评估、销毁处置等全流程要求,适用于医疗机构、医药企业等参与方开展健康医疗数据流通共享活动。
信息安全技术 恶意软件事件预防和处理指南
本指南提供了恶意软件事件的预防与处理指导,明确恶意软件、病毒、蠕虫、木马、勒索软件、后门、间谍软件、Rootkit等术语定义,要求组织建立事件响应团队,开展风险评估、安全培训、技术防护和监测预警,规范事件识别、遏制、根除、恢复、跟踪等处置流程,强调数据备份恢复、溯源取证、信息共享和漏洞修复,适用于各类组织防范和应对恶意软件引发的信息安全事件,提升整体安全防护能力。
信息安全技术 移动智能终端的移动互联网应用程序 (App) 个人信息处理管理指南
本指南面向移动智能终端,提出App个人信息处理活动的管理措施,围绕安装、启动、运行、更新、退出、卸载等生命周期阶段,规范风险识别与控制要求,明确终端应提供权限调用指示、行为记录、敏感数据访问提示、唯一设备识别码控制、自启动关联启动管理等功能,强化用户对个人信息的可见性与可控性,适用于智能手机等终端的系统设计和开发,旨在促进App合理收集使用个人信息。
信息安全技术 个人信息安全工程
本标准提出个人信息安全工程的实施指南,适用于ICT产品和服务全生命周期,要求开展个人信息保护影响评估,明确采集、传输、存储、使用、删除等处理活动的安全设计原则,覆盖需求分析、设计开发、测试验证、上线运行、运维处置等阶段,强调最小必要、公开透明、用户自主控制,指导组织将个人信息保护要求融入系统工程过程,防范第三方组件和自动化决策带来的安全风险。
信息安全技术 健康医疗数据安全指南
本指南规定了健康医疗数据的分类分级和安全保护要求,明确个人健康医疗数据、健康数据、健康服务等术语定义,将数据划分为个人属性、健康状况、医疗应用等类别,并提出采集、存储、使用、传输、共享、公开披露等各环节的安全控制措施,涵盖去标识化、访问控制、安全审计、应急响应等内容,适用于医疗卫生机构、健康医疗信息系统运营者等开展健康医疗数据安全保护工作。
信息安全技术 汽车数据处理安全要求
本标准规定汽车数据处理活动的通用安全要求,明确汽车数据、个人信息、敏感个人信息、重要数据、座舱数据等术语定义,提出数据收集、存储、使用、传输、删除、跨境提供等环节的安全处理要求,规范车外数据、座舱数据、个人信息和重要数据的处理原则与具体措施,强调默认不收集、告知同意、匿名化、访问控制等要求,适用于汽车数据处理者的安全管理和合规评估。
信息安全技术 移动互联网应用程序 (App) 个人信息安全测评规范
本标准规定移动互联网应用程序个人信息安全测评的总体要求、测评内容和测评方法,明确测评对象、测评流程、判定准则及分级评估方法,围绕个人信息收集、使用、存储、共享、转让、公开披露、用户权利保障等环节提出具体测评指标和技术要求,规范App个人信息安全的第三方测评、自查整改和合规性评估活动,适用于各类移动互联网应用程序的个人信息安全测评工作。
产品质量信息系统 信息分类与共享交换
本标准规定产品质量信息系统的信息分类、元数据、共享交换及服务接口要求,建立涵盖产品信用信息、质量基础信息、检验检测信息、行政许可信息等的分类体系与编码规则,明确各信息类别的数据项内容、数据格式、接口协议、安全认证与交换流程,支持JSON、XML等结构化数据交换格式,适用于产品质量信息系统的设计开发、建设运维、互联互通与信息共享交换服务。
信息技术 移动设备生物特征识别 第4部分:虹膜
本标准规定移动设备虹膜识别的技术框架、功能要求、性能指标和安全要求,明确虹膜特征、虹膜采集、识别、样本、模板、数据、呈现攻击及活体检测等术语定义,提出注册、识别、呈现攻击检测、虹膜数据保护等环节的具体要求,规范调制传递函数、识别时间、误识率、拒识率等性能指标及测试方法,适用于移动设备虹膜识别系统的设计、开发、部署与安全测评。
信息技术 移动设备生物特征识别 第3部分:人脸
本标准规定移动设备人脸识别的技术框架、功能要求、性能指标和安全要求,明确人脸识别、人脸特征、采集设备、样本、模板、数据、呈现攻击及活体检测等术语定义,提出注册、识别、呈现攻击检测、人脸数据保护等环节的具体要求,规范误识率、拒识率、识别时间、不同光照条件等性能指标及测试方法,适用于移动设备人脸识别系统的设计、开发、部署与安全测评。
信息技术 移动设备生物特征识别 第2部分:指纹
本标准规定移动设备指纹识别的技术框架、功能要求、性能指标和安全要求,明确指纹特征、指纹采集、识别、模板、数据及呈现攻击检测等术语定义,提出注册、识别、采集、呈现攻击检测等环节的具体要求,规范误识率、拒识率、识别时间等性能指标及测试方法,适用于移动设备指纹识别模块和系统的设计、开发、部署安全测评及评价。
信息技术 移动设备生物特征识别 第1部分:通用要求
本标准规定移动设备生物特征识别的通用框架和技术要求,明确移动设备、用户、呈现攻击检测、质量、执行环境等术语定义,提出注册、识别、呈现攻击检测、可信执行环境等功能要求与性能指标,规范安全架构、数据保护、抗呈现攻击能力及测试方法,适用于移动设备指纹识别、人脸识别等生物特征识别系统的设计、开发、部署及安全测评。
个人信息处理法律合规性评估指引
本文件为个人信息处理法律合规性评估建立统一术语和概念体系,明确评估目的、评估主体、评估对象、评估准则与评估方法,支持组织开展第一方、第二方和第三方法律合规性评估与咨询认证服务,帮助组织证明和声明个人信息处理的合规状态与合规能力,适用于各类组织的自我评估、监管检查、独立机构评估及监督管理工作。
个人金融信息保护技术规范
本标准规定个人金融信息全生命周期安全保护要求,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,覆盖收集、传输、存储、使用、删除、销毁等处理环节,明确账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等范围,从安全技术和安全管理两个维度提出金融业机构应遵循的安全防护措施和管理要求。
信息安全技术 网络安全保险应用指南
本标准描述网络安全保险的目的、作用、主要角色责任与基本应用流程,界定保险人、投保人、被保险人和服务方等主体职责,明确可承保恶意程序、网络攻击、数据安全、违规操作等网络安全事件以及第一方直接经济损失、应急响应费用、第三者法定赔偿责任等损失类型,给出投保前风险评估、保险期间风险控制、出险后事件评估与理赔等方法指引。
金融业数据能力建设指引
本指引提出金融业数据能力建设总体框架,将数据能力划分为数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用和数据生存周期八个能力域,共二十九个能力项,明确各能力项的建设目标与思路,确立用户授权、安全合规、分类施策、最小够用、可用不可见五项基本原则,为银行、证券、保险等金融机构系统开展数据能力建设提供指导。
网络安全标准实践指南 - 移动互联网应用程序 (App) 系统权限申请使用指引
本实践指南依据网络安全法律法规和政策标准要求,归纳总结App个人信息保护十大常见问题,包括未说明收集使用目的、超范围收集、强制捆绑授权、未经同意收集、申请权限未同步告知目的、实际行为与声明不一致、未提供有效账号注销途径等,针对每类问题给出典型情形识别方法和具体处置建议,帮助App提供者防范、发现和整改个人信息保护合规风险。
网络安全标准实践指南 - 移动互联网应用程序 (App) 中的第三方软件开发工具包 (SDK) 安全指引
本实践指南针对移动互联网应用程序使用软件开发工具包过程中面临的安全风险,明确App用户、App提供者和SDK提供者三方角色与责任,梳理SDK自身安全漏洞、恶意行为以及违法违规收集使用个人信息等常见问题,提出最小必要、公开透明、权责一致等安全原则,分别给出App提供者选型评估、嵌入集成、安全检测和SDK提供者设计开发、发布运维、更新升级等安全措施。
网络安全标准实践指南 - 移动互联网应用程序 (App) 收集使用个人信息自评估指南
本指南为App运营者提供个人信息收集使用自评估方法,明确评估目的、原则与流程,围绕隐私政策、告知同意、收集范围、使用目的、用户权利保障、第三方共享、安全措施等维度设计评估要点,帮助组织识别合规差距、制定整改措施、开展合规培训并持续改进,提升个人信息保护能力,推动行业合规发展,适用于App自评估与第三方评估参考。
移动互联网应用程序 (App) 个人信息安全防范常见问题及处置指南
本指南梳理移动互联网应用程序个人信息安全防范常见问题,覆盖隐私政策、权限申请、收集使用、账号注销、第三方共享、跨境传输、安全事件等场景,提出针对性处置建议、最佳实践与合规培训要求,帮助App运营者识别合规风险、落实告知同意与最小必要原则,提升个人信息保护水平,适用于移动互联网应用安全自查与整改。
信息安全技术 - 网络安全等级保护基本要求
本标准规定网络安全等级保护的基本要求,明确等级保护对象的安全通用要求及云计算、移动互联、物联网、工业控制系统等安全扩展要求,涵盖安全物理环境、通信网络、区域边界、计算环境、管理中心与安全管理制度,要求按定级开展安全建设、测评、整改、持续运营及安全运营,提升整体安全防护能力,适用于指导网络安全等级保护工作。
⼈⼯智能 安全治理框架2.0
金融数据安全+数据安全分级指南
网络安全标准实践指南-人脸识别支付场景个人信息安全保护要求
本指南针对人脸识别支付场景提出个人信息安全保护要求,明确支付服务提供者、收单机构、终端设备厂商等主体责任,规范人脸信息采集、存储、比对、传输与删除等环节,要求取得用户单独同意、采取加密与不可逆处理、建立安全审计与事件应急机制,防范人脸信息泄露、冒用与欺诈风险,保障支付安全与用户合法权益。
信息安全技术 人脸识别数据安全要求
本标准规定人脸识别数据的安全要求,明确人脸数据采集、存储、使用、传输、提供、删除等环节的安全规范,要求遵循最小必要、单独同意原则,采取加密、脱敏、访问控制、活体检测与深度伪造防范措施,规范公共场所采集、第三方共享与跨境传输,细化安全事件应急与用户权益保护要求,建立风险评估与持续监督机制,保障个人人脸信息安全。
信息安全技术 声纹识别数据安全要求
本标准规定声纹识别数据的安全要求,明确声纹数据采集、传输、存储、使用、共享、转让、删除等处理活动的安全规范,要求运营者采取加密、去标识化、访问控制、防伪与活体检测措施,保障声纹模板与原始数据安全,规范第三方接入、跨境传输、安全审计与事件处置,细化数据主体权利响应与风险评估要求,适用于声纹识别服务提供者。
信息安全技术 基因识别数据安全要求
本标准规定基因识别数据的安全要求,明确基因数据、基因识别数据主体及敏感属性等定义,要求采集、存储、使用、共享、转让、删除等环节遵循严格保护原则,实施分类分级管理、加密存储、访问控制、匿名化处理与溯源管理,防范基因信息泄露、歧视与滥用,规范向境外提供与第三方共享行为及数据主体权利保障,适用于基因识别服务提供者。
信息安全技术 步态识别数据安全要求
本标准规定步态识别数据的安全要求,明确步态数据在采集、传输、存储、使用、共享、转让、删除等全生命周期处理规范,要求运营者采取去标识化、加密、访问控制、安全审计等技术措施,防范重识别、滥用与泄露风险,规范第三方提供、跨境传输及安全事件应急处置,细化个人信息影响评估与权益保护要求,建立持续改进机制。
信息安全技术 生物特征识别信息保护基本要求
本标准规定生物特征识别信息的保护基本要求,明确生物特征数据、生物特征比对数据、样本等概念及采集、传输、存储、处理、删除等环节的安全原则,要求遵循最小必要、知情同意、安全可控,强化防伪攻击、模板保护、不可逆变换、访问控制与审计追溯,细化安全评估与数据主体权利响应要求,适用于各类生物特征识别系统运营者及相关数据处理活动。
网络安全标准实践指南-扫码点餐个人信息保护要求
儿童手表安全技术要求
信息安全技术 网络预约汽车服务数据安全要求
本标准规定网络预约汽车服务的数据安全要求,明确网约车平台、驾驶员、乘客及第三方合作方等主体在订单、位置轨迹、支付、评价等数据全生命周期中的安全责任,要求采取加密、脱敏、访问控制、安全审计等技术措施,规范数据共享、第三方应用接入与跨境传输,细化数据主体权利响应与安全审计要求,建立安全事件应急响应与用户权益保护机制。
信息安全技术 网络音视频服务数据安全要求
本标准规定网络音视频服务的数据安全要求,适用于网络音视频平台、内容生产者、第三方服务提供者及用户等主体,明确个人信息与内容数据在收集、存储、使用、共享、公开披露、删除等处理活动中的安全规范,要求建立分类分级保护、访问控制、内容审核、日志留存与应急处置机制,细化日志审计与数据主体权利响应要求,防范数据泄露与滥用风险。
信息安全技术 网络支付服务数据安全要求
本标准规定网络支付服务的数据安全要求,覆盖网络支付平台、支付账户、交易处理及清算等环节,明确支付服务提供者、账户机构及用户等主体义务,规范个人金融信息与支付数据的收集、存储、使用、共享、转让、删除及跨境传输,强化身份鉴别、交易验证、安全审计、风险监测与事件应急处置,保障支付数据的保密性、完整性与可用性。
信息安全技术 网上购物服务数据安全要求
本标准规定网上购物服务的数据安全要求,明确网上购物平台经营者、卖家及其他相关主体在数据收集、存储、使用、共享、转让、公开披露及删除等全生命周期环节的安全义务,要求建立数据安全管理制度,采取加密、访问控制等技术措施保障用户个人信息与交易数据安全,规范第三方接入与跨境传输行为,适用于通过互联网销售商品或提供服务的网络购物活动。
信息安全技术 快递物流服务数据安全要求
本标准规定快递物流服务数据安全要求,适用于快递物流服务提供者处理寄件人、收件人、运单信息、物流轨迹、支付信息等数据活动,明确数据分类分级、全生命周期安全、移动应用安全管理、第三方管理和个人信息保护要求,要求采取加密、脱敏、访问控制、日志审计等技术措施和管理制度,防范数据泄露、篡改、滥用与非法使用,保障用户合法权益和物流数据安全。
信息安全技术 即时通信服务数据安全要求
本标准规范即时通信服务数据安全要求,适用于提供即时通信服务的组织与个人用户场景,明确服务提供者、平台运营者等主体安全责任,界定账号信息、联系人信息、消息内容等数据类型,提出数据收集、存储、使用、传输、共享、删除等全生命周期安全要求,要求建立安全管理制度、采取加密、访问控制、安全审计等技术措施,防范数据泄露与滥用,保障用户个人信息和通信数据安全。
信息技术 安全技术 公有云中个人信息保护实践指南
智能手机预装应用程序分类指南
本文件给出了智能手机预装应用程序的分类与要求,将预装应用分为不可卸载和可卸载两类,明确不可卸载预装应用仅限于直接支撑操作系统运行或实现智能手机基本功能所必须的应用,且同一功能至多有一款不可卸载,具体功能范围包括系统设置、文件管理、多媒体摄录、接打电话、收发短信、通讯录、浏览器和应用商店。
信息安全技术 移动智能终端预置应用软件基本安全要求
本标准规定了移动智能终端预置应用软件的基本安全要求,明确除基本功能软件外其他预置应用软件均应可卸载,基本功能软件限于系统设置、文件管理、多媒体摄录、接打电话、收发短信、通讯录、浏览器、应用商店等范围,并对卸载安全、安全技术要求、个人信息安全、预置环节安全管理、安全信息明示及安全问题响应等作出规范。
数据安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南
本指南针对移动智能终端上App在安装、启动、运行、更新、退出、卸载等生命周期阶段的个人信息安全风险,提出了公开透明、方便管理、确保安全、细致管控、合理适度的管理原则,要求终端提供敏感权限使用提示、调用行为记录、个人信息集中展示、唯一设备识别码访问控制、细粒度权限管理、自启动与关联启动管理等机制,以增强用户对个人信息处理的感知和控制能力。
数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南
本标准给出了应用商店运营者对移动互联网应用程序个人信息处理规范性进行审核与管理的指南,涵盖App上架前的运营者信息、隐私政策、个人信息范围、系统敏感权限、第三方SDK等审核验证要求,以及上架后个人信息处理情况展示、安全标识、运营者管理、日常监督与问题处置等管理措施,适用于应用商店运营者及第三方评估机构参考。
网络安全标准实践指南-移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引
本实践指南分析了App使用SDK过程中面临的安全漏洞、恶意行为及违法违规收集使用个人信息等常见安全问题,明确了App用户、App提供者和SDK提供者等相关方责任,提出了权责一致、目的明确、选择同意、最小必要、公开透明、确保安全等基本原则,并从安全选型、嵌入审查、运行监测、信息披露、用户同意等方面给出了具体安全措施,旨在减少因SDK造成的App安全与个人信息保护风险。
信息安全技术 移动互联网应用程序(App)软件开发工具包 (SDK)安全要求
本标准规定了移动互联网应用程序软件开发工具包在设计、开发、发布、运营、终止运营等全生命周期的安全要求,以及个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,明确了SDK运营者应仅包含声明功能、进行安全自评估、提供数字签名、建立投诉响应机制等义务,适用于SDK开发运营及安全检测评估。
网络安全标准实践指南-摇一摇广告触发行为安全要求
本实践指南针对App开屏摇一摇广告触发阈值过低、将用户走路乘车或拿起放下手机等日常动作误识别为广告点击而乱跳转的问题,提出了合法性、透明性、适度性和个人信息保护原则,要求广告标识显著、操作结果明确、跳转灵敏度阈值设置合理以避免非自愿触发,并在App设置中提供便捷的关闭渠道,以保障用户对摇一摇广告的知情权和选择权。
网络安全标准实践指南-移动互联网应用程序(App)系统权限申请使用指南
本实践指南针对移动互联网应用程序申请使用系统权限中存在的强制、频繁、过度索权及捆绑授权等问题,提出了最小必要、用户可知、不强制不捆绑、动态申请等基本原则和通用要求,并针对安卓系统日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储等十类典型权限的申请使用场景、目的及限制条件作出具体规定,旨在规范App系统权限申请使用行为,防范个人信息安全风险。
网络安全标准实践指南-移动互联网应用程序(App)个人信息保护常见问题及处置指南
本指南针对移动互联网应用程序个人信息保护中存在的未说明收集目的类型方式、隐私政策未明示同意、超范围收集、强制捆绑授权、未经同意收集、申请权限未同步告知目的、实际行为与声明不一致、未经同意向第三方提供、未提供删除更正投诉渠道、未提供有效注销途径等十大常见问题,逐一描述典型情形并提出具体处置建议,供App提供者开发者和分发平台等防范处置参考。
网络安全实践指南-移动互联网应用基本业务功能必要信息规范
本指南依据网络安全法等法律法规及相关国家标准,围绕移动互联网应用程序收集使用个人信息行为,从公开收集使用规则、明示目的方式范围、征得用户同意、遵循必要原则、经同意向他人提供信息、提供删除更正及投诉举报渠道六个方面提出自评估要求,为App运营者及小程序快应用等规范个人信息处理活动提供实践指引。
信息安全技术 移动互联网应用程序(App)收集个人信息基本要求
本标准规定移动互联网应用程序收集个人信息的基本要求,明确App运营者责任、个人信息分类及必要信息界定,规范收集目的、方式、范围、用户告知、同意机制、系统权限申请、第三方代码插件管理、定向推送及用户画像等活动,要求仅收集与业务功能直接相关的必要个人信息,适用于App个人信息收集活动的设计、开发、运行和监督管理。
网络安全标准实践指南-粤港澳大湾区(内地、香港)个人信息跨境处理保护要求 (V1.0)
本文件为促进粤港澳大湾区内地与香港个人信息跨境安全有序流动提供指引,规定合法正当诚信、最小必要、公开透明、权益保障、确保安全、责任明确等基本原则,明确个人信息收集、存储、使用、加工、委托处理、提供、公开及跨境传输等处理要求,以及个人信息主体权利保障、安全管理措施和跨境安全互认认证认可安排,适用于大湾区内地与香港间的个人信息跨境处理活动。
网络安全标准实践指南-个人信息跨境处理活动安全认证规范(V2.0)
本规范作为个人信息跨境处理活动个人信息保护认证的依据,明确合法正当必要诚信、公开透明、信息质量保障、同等保护、责任明确、自愿认证等基本原则,规定法律约束力文件、组织管理、跨境处理规则、个人信息保护影响评估等要求,保障个人信息主体知情权、决定权、删除权、投诉举报及司法救济等权益,适用于认证机构开展认证和运营者规范跨境处理活动。
数据安全技术 个人信息跨境处理活动安全认证要求
本文件规定个人信息跨境处理活动应遵循合法正当必要诚信、公开透明、同等保护、责任明确等基本原则,以及具有法律约束力文件、组织管理、跨境处理规则、个人信息保护影响评估等基本要求,明确个人信息主体知情权、决定权、删除权等权利与境内外处理者的告知、同意、安全保护、事件应急等义务责任,适用于规范个人信息跨境处理活动及开展监督管理和安全认证。
网络安全标准实践指南-移动互联网应用程序(App)收集使用个人信息自评估指南
本指南依据网络安全法等法律法规及相关标准,针对移动互联网应用程序收集使用个人信息行为提出六项自评估要点,包括公开收集使用规则、明示目的方式范围、征得用户同意、遵循必要原则、经同意向他人提供信息、提供删除更正及投诉举报渠道,为App运营者和小程序快应用等开展个人信息保护自评估提供实践指引。
信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范
本规范明确移动互联网应用程序个人信息安全测评的对象、方法、流程与判定准则,围绕个人信息收集、使用、存储、传输、共享、删除及用户权利保障等环节建立测评指标,系统评估App个人信息保护水平与合规程度,适用于第三方测评机构开展App个人信息安全测评,也可为运营者自查整改和主管部门监督管理提供技术依据与操作指引。
网络安全标准实践指南-个人信息保护合规审计要求
本实践指南依据个人信息保护法及相关法规标准制定,提出个人信息保护合规审计原则与总体要求,规定审计准备、实施、报告、问题整改和归档流程,详细规定处理合法性、规则规范、告知义务、共同与委托处理、自动化决策、敏感信息、未成年人信息、跨境提供、删除权、主体权利响应、内部制度、安全技术措施、影响评估、应急预案、事件处置、大型平台规则和社会责任报告等审计内容与方法。
网络安全标准实践指南-个人信息保护合规审计 专业机构服务能力要求
本实践指南规范承担个人信息保护合规审计服务的专业机构能力要求,从基本条件、管理能力、专业能力、人员能力和场所设备资源能力五个方面提出要求,涵盖机构资质、管理制度、风险控制、业务持续、人员分级与数量、培训学时、审计工具、环境安全等内容,为专业机构建设服务能力和个人信息处理者选择合适机构提供参考依据。
数据安全技术 个人信息保护合规审计专业机构服务能力要求
数据安全技术 个人信息保护合规审计要求
本标准提出个人信息保护合规审计原则与总体要求,规定审计准备、实施、报告、问题整改和归档管理等实施流程,明确处理活动合法性、处理规则规范性、告知义务、共同与委托处理、自动化决策、敏感信息、未成年人信息、跨境提供、删除权保障、权利响应、内部制度、安全技术措施、教育培训、保护负责人、影响评估、安全事件应急、大型平台规则、社会责任报告等审计内容和方法。
信息安全技术 个人信息安全影响评估指南
本标准提供个人信息安全影响评估的系统方法,明确评估的适用情形、目标、流程、参与人员及评估报告内容,要求识别个人信息处理活动的类型、规模、目的、方式、处理者和接收方,分析对个人信息主体权益的影响及风险等级,提出安全保护措施有效性和残余风险评估方法,适用于个人信息处理者开展自评估和主管监管部门、第三方机构实施监督评价。
数据安全技术 未成年人产品和服务个人信息保护要求
数据安全技术 基于个人请求的个人信息转移要求
数据安全技术 基于个人信息的自动化决策安全要求
本标准针对基于个人信息的自动化决策,提出合法正当、公开透明、公平公正、主体参与和数据质量原则,规定通用安全要求、算法安全要求、特征生成安全要求、决策安全要求以及教育就业、信用贷款、公共治理、劳动关系、特殊群体、信息推送、商业交易等典型场景的特别要求,适用于规范自动化决策算法开发、特征生成和决策活动以及监管评估。
信息安全技术 个人信息处理中告知和同意的实施指南
本标准围绕个人信息处理中的告知与同意义务,明确告知的内容要素、形式方式、时机场景以及告知豁免情形,规范同意的自愿性、明确性和具体性要求,确立撤回同意、拒绝处理、重新征求同意和特殊群体告知等机制,帮助个人信息处理者落实公开透明和主体参与原则,保障个人信息主体对其信息处理的自主决定权和合法权益。
数据安全技术 互联网平台及产品服务个人信息处理规则
本标准针对互联网平台及产品服务,系统规定个人信息处理规则的基本要求、编制程序、内容构成和发布修订机制,要求规则清晰完整、便于理解,须包含处理主体、适用范围、摘要、收集使用、安全保护、跨境流动、主体权利、更新规则及争议解决等内容,并强调在收集前提示阅读、设置一键访问、按业务功能分别获取授权,保障个人信息主体知情权与选择权。
数据安全技术 小型个人信息处理者个人信息保护指南
数据安全技术 数据安全和个人信息保护社会责任指南
本标准旨在为各类组织提供数据安全和个人信息保护社会责任履行指南,内容涵盖组织治理、合规性与创新性、公平运行及竞争合作、用户权益保护、公益参与和社会发展、社会责任披露等主题,帮助组织识别适用议题、配置资源、开展绩效评价并定期披露履责情况,适用于组织开展相关活动以及第三方机构评价组织履行数据安全和个人信息保护社会责任的情况。
数据安全技术 大型互联网企业内设个人信息保护监督机构要求
本标准规定了大型互联网企业建立和运行个人信息保护监督机构的要求,明确机构由七至十五名内外部成员组成且外部成员不低于三分之二,规定成员任职资格、提名任免、履职保障及工作机制,对个人信息保护制度、影响评估、合规审计、社会责任报告、安全事件应急和泄露事件等实施监督,适用于企业建立监督机构及监管评估活动。
信息安全技术 个人信息安全工程指南
本标准提供了个人信息安全工程的技术指南,指导组织将个人信息保护要求系统融入信息系统全生命周期,明确需求分析、设计开发、测试验证、发布运行、维护退役等各阶段的安全工程活动,强调风险识别、个人信息保护影响评估、安全技术措施和管理制度相结合,适用于组织提升系统个人信息保护能力、合规水平和工程化实践水平。
数据安全技术 个人信息匿名化处理指南及评价方法
信息安全技术 个人信息去标识化效果评估指南
本标准给出了个人信息去标识化效果评估的技术指南,明确评估原则、流程和方法,提出重标识风险分析、数据集效用评价及评估结果判定等技术要求,帮助组织科学衡量去标识化措施的有效性,合理控制个人信息重标识风险,为数据共享流通与开发利用提供安全保障,在促进数据价值释放的同时保护个人信息权益。
信息安全技术 个人信息去标识化指南
本标准提供了个人信息去标识化的技术指导,界定去标识化、直接标识符、准标识符、重标识等核心概念,明确去标识化目标、原则和流程,介绍抑制、泛化、置换、扰动、分解、截断等常用技术方法,提出重标识风险分析、效果评估和分级保护要求,适用于组织降低个人信息可识别性、在保障数据可用性和业务价值的同时保护个人信息安全。
网络安全标准实践指南-敏感个人信息识别指南
本实践指南依据个人信息保护法、网络安全法、数据安全法等法律法规制定,给出敏感个人信息识别规则,明确一旦泄露或非法使用容易导致人格尊严、人身安全或财产安全受到侵害的个人信息应识别为敏感个人信息,列举生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹及未成年人个人信息等常见类别和示例,为组织开展敏感个人信息识别与保护工作提供指引。
数据安全技术 敏感个人信息处理安全要求
本标准确立了敏感个人信息的识别和界定规则,规定其处理通用安全要求与特殊安全要求。通用要求涵盖收集合法性、收集要求、告知同意及安全保护等方面;特殊要求针对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人个人信息等类别分别提出差异化保护措施,适用于个人信息处理者及相关监管评估活动。
信息安全技术 个人信息安全规范
本标准系统规范了个人信息处理全过程中的安全要求,界定个人信息与敏感个人信息的范围,确立合法正当必要诚信等基本原则,对收集、存储、使用、共享、转让、公开披露、删除等生命周期环节提出管理规范和安全技术措施,强调告知同意、最小必要、质量保障和个人权利保护,为各类组织建立健全个人信息安全保护体系提供依据。
信息安全技术 术语
本标准界定了信息安全技术领域中基本和通用概念的术语及定义,并按密码机制、鉴别授权、计算安全、通信安全、应用安全、数据安全、安全服务、安全测评、安全管理九大类进行分类整理。文件适用于信息安全技术概念的理解、相关标准的制定以及国内外技术交流,为统一规范信息安全领域基础术语、促进技术沟通和研究提供支撑。
地方法规
中国(江苏)自由贸易试验区数据出境 负面清单管理办法(试行)及负面清单
中国江苏自由贸易试验区数据出境负面清单管理办法适用于南京、苏州、连云港片区,建立负面清单和操作指引相结合的合规出境机制,明确省级管理部门和片区管委会职责,规定需求调研、重要数据识别、业务场景分析、论证征求意见、审批报备等制定流程,明确负面清单实施、动态管理、报备要求、监督检查、促进措施和法律责任。
中国(重庆)自由贸易试验区数据出境负面清单管理办法(试行)负面清单及实施指南
中国重庆自由贸易试验区数据出境负面清单管理办法规范负面清单管理,明确市网信办、市大数据发展局、市商务委、市公安局等部门职责,建立联席会议和信息共享机制,规定负面清单制定流程、适用规则、使用情况报告、监督检查、数据处理者义务和法律责任,核心数据不纳入负面清单管理,本办法自发布之日起施行,有效期两年。
中国(广西)自由贸易试验区 数据出境负面清单管理办法(试行)及负面清单
中国广西自由贸易试验区数据出境管理清单2025版适用于区内登记注册的数据处理者,按行业领域分批次制定,发布地理信息与气象数据服务、企业信用信息服务、直播跨境电商、海外音视频制作与传播四个领域负面清单,明确需申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证的数据范围,负面清单外数据可自行出境,实行动态管理。
中国(福建)自由贸易试验区 数据出境负面清单管理办法(试行)及负面清单
中国福建自由贸易试验区数据出境负面清单管理办法规范负面清单制定、执行和管理,明确省级管理部门、片区实施机构和数据处理者职责分工,规定需求调研、重要数据识别、业务场景分析、论证征求意见、审批报备等制定流程,明确申请备案、有效期三年、变更延续、监督检查和法律责任,关系国家安全等核心数据不纳入负面清单管理。
《海南自由贸易港数据出境管理清单(负面清单)(2024版)》
中国上海自由贸易试验区及临港新片区数据出境负面清单实施指南指导区内注册的数据处理者使用负面清单依法有序开展数据出境活动,明确适用主体范围、使用情况提交与报备流程、材料核验要求和时限、终止使用情形、咨询服务和注意事项,规定统一社会信用代码证件、法定代表人身份证件、经办人授权委托书、使用情况说明、承诺书等提交材料清单以及各片区数据跨境服务中心联系方式。
中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)及负面清单及实施指南
中国上海自由贸易试验区及临港新片区数据出境负面清单管理办法建立负面清单和操作指引相结合的合规出境机制,明确市级管理部门、管委会职责分工,规定负面清单适用、使用情况报告、监督检查、促进措施、重要数据识别和法律责任,支持数据出境便利化并与国际高标准经贸规则对接,打造国家制度型开放示范区。
中国(浙江)自由贸易试验区数据出境负面清单管理办法及负面清单
中国浙江自由贸易试验区数据出境负面清单管理办法规范负面清单制定、审批和使用管理,明确省级管理部门、自贸片区和数据处理者职责,规定需求调研、重要数据识别、业务分析、论证征求意见、审批报备等制定流程,实行分批分类和动态管理,明确申请、备案、合规出境、重大变更等实施程序,附数据分类分级参考规则。
中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)
中国北京自由贸易试验区数据出境管理清单2024版列明汽车、医药、民航、零售与现代服务业、人工智能训练数据等领域的数据出境管理要求,区分需通过数据出境安全评估的重要数据和个人信息、需通过个人信息出境标准合同备案或个人信息保护认证出境的个人信息,明确各场景下的数据量级标准和具体数据类型范围。
中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024 年版)
中国天津自由贸易试验区数据出境管理清单2024年版列明区内企业向境外提供数据需申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证的情形,涵盖战略物资和大宗商品、自然资源和环境、工业、金融、统计、通信传播、住房建设、交通运输、公共卫生、公共安全、互联网服务和电子商务、科学技术、个人信息等十三大类,负面清单外数据免予相关程序。
呼和浩特市人民政府办公室关于印发呼和浩特市公共数据管理暂行办法的通知
规范呼和浩特市行政区域内公共数据处理及监督管理活动,明确市大数据管理局为公共数据主管部门,建立统一公共数据平台与目录管理机制,实行分类分级管理,规定公共数据采集、共享、开放、开发利用及安全管理的具体要求,落实数据安全责任制和年度考核评价机制,推动公共数据高效共享、有序开放和安全可控利用。
山东省公共数据资源授权运营管理办法(试行)
本办法适用于山东省行政区域内公共数据资源授权运营活动。公共数据资源实行统一目录管理,运营模式包括整体授权、分领域授权和依场景授权。县级以上数据管理部门编制实施方案,经本级人民政府审议通过后组织实施。运营机构通过公平竞争方式确定并签订协议。各主体落实数据安全责任,主管部门定期评估并公开情况。本办法自2025年5月1日起施行,有效期至2028年5月1日。
石家庄市公共数据运营管理办法(试行)
南京市公共数据授权运营管理暂行办法
本办法适用于南京市行政区域内公共数据授权运营工作。公共数据专区分为综合领域和行业领域,采取政府授权运营模式。市数据主管部门统筹协调,相关行业主管部门负责行业领域监管。运营单位经专家评审、市政府同意后确定,协议有效期一般不超过五年。原始数据不得对外提供。定期组织绩效考核,连续两次评估较差的终止授权。本办法自2024年5月24日起施行,有效期至2026年5月23日。
天津市公共数据资源登记管理实施细则 (试行)
本细则适用于天津市行政区域内公共数据资源登记活动。登记主体包括直接持有或管理公共数据资源的单位。市数据主管部门指定市级登记机构,区数据主管部门确定本区登记机构。登记平台作为统一入口,提供首次、变更、更正、注销登记服务,登记机构应在受理后20个工作日内完成形式审核并公示,公示期满无异议后赋码。登记结果有效期原则上为三年。本细则自2025年3月1日起实施,有效期五年。
宁夏回族自治区公共数据资源授权运营管理办法(试行)
本办法适用于宁夏回族自治区行政区域内公共数据资源授权运营活动。试行期间采取整体授权模式,运营机构按程序确定,数据开发商依场景申请开发利用。实施方案应明确数据资源范围、产品清单、收益分配、安全责任和退出机制。授权运营协议期限一般不超过三年。违反网络安全、数据安全、个人信息保护等规定的由相关部门依法处理。本办法自2025年11月1日起施行,有效期至2027年10月31日。
银川市公共数据授权运营试点实施方案(2024—2025年)
本方案适用于银川市公共数据授权运营试点工作,试点期为2024年至2025年。构建1套制度体系、一体化大数据平台和公共数据运营平台2个平台、N个运营专区、X个运营场景的1+2+N+X模式。率先在医疗健康领域完成首笔数据运营交易闭环,逐步拓展工业、农业、金融、交通、文旅等场景。建立工作协调小组,实行一场景一清单一审核。落实原始数据不出域、数据可用不可见和一数一源一标准等要求。
苏州市公共数据开放实施细则
本细则适用于苏州市行政区域内公共数据开放活动。公共数据按开放属性分为不予开放、有条件开放和无条件开放三类,数据开放主体应编制开放目录并在统一的数据开放平台发布。有条件开放数据需经申请、审核、签订利用协议后使用。数据利用主体获取的数据不得提供给第三方或用于约定外目的。市大数据主管部门统筹指导,市信息中心负责平台建设运维。本细则自2023年9月13日起施行。
济南市公共数据授权运营办法
本办法适用于济南市行政区域内公共数据授权运营相关活动。市、区县大数据主管部门统筹指导和监督。授权运营采取综合授权、分领域授权等方式,由大数据主管部门或数据提供单位与运营单位签订协议。市大数据主管部门建设统一运营平台,运营单位按应用场景一事一申请,在平台内加工数据,原始数据不得导出。运营单位落实安全责任并接受评估。本办法自2023年12月1日起施行。
沈阳市公共数据授权运营管理办法(试行)
本办法适用于沈阳市公共数据授权运营活动,由市数据局授权运营单位统一建设公共数据授权运营平台,原则上不再新建独立运营渠道。平台应具备数据需求管理、分类分级、全流程溯源和安全保障能力,按网络安全等级保护三级及以上标准建设。运营单位负责数据管理、开发利用和安全保障。授权运营期一般不超过三年,期满需重新申请。市数据局会同财政局开展绩效评估。本办法自发布之日起三十日后施行。
北京市公共数据专区授权运营管理办法(试行)
本办法适用于北京市公共数据专区授权运营管理,专区分为领域类、区域类和综合基础类。采取政府授权运营模式,由市大数据主管部门统筹,相关部门作为监管单位,择优确定运营单位并签订协议,协议有效期一般为五年。运营单位承担专区建设运营、数据管理和安全保障主体责任,落实原始数据不出域、数据可用不可见要求。连续两次评估结果较差的,终止授权运营协议。本办法自发布之日起施行。
广州市公共数据授权运营管理暂行办法
本办法适用于广州市公共数据授权运营活动,由市人民政府授权运营机构,依托统一平台为数据商提供开发利用环境。运营机构负责平台建设、数据加工、合规核查和出域管理;数据商依场景形成数据产品和服务。公共数据使用申请由市政务大数据管理机构、数源部门和区公共数据主管部门协同审核,原始数据不得交易和直接导出。市公共数据主管部门每年开展评估。本办法自印发之日起施行,有效期三年。
山西省公共数据资源授权运营管理办法(试行)
本办法适用于山西省行政区域内公共数据资源授权运营活动,省级采用一级授权加分行业授权模式。一级运营主体负责平台建设运维和数据初级加工,二级运营主体依托平台开展开发运营。省级数据管理部门统一组织建设授权运营平台。授权运营协议期限原则上不超过五年。运营主体应履行数据安全责任并接受评估。本办法自2025年9月1日起施行,有效期两年。
河南省公共数据资源授权运营实施办法(试行)
本办法适用于河南省行政区域内公共数据资源授权运营活动,实行一级开发与二级开发相衔接的分级开发模式。实施机构编制实施方案并审核场景与数据需求,一级开发主体依托公共数据运营服务平台加工形成数据产品。协议期限原则上不超过三年,实行年度评价。对违反规定的,主管部门可通报批评并责令整改。本办法自印发之日起施行,有效期三年。
江西省公共数据资源授权运营管理办法
本办法适用于江西省行政区域内公共数据资源授权运营活动,采取整体授权、分领域授权、依场景授权等模式,省级实施机构由省大数据中心担任。实施机构通过公平竞争方式选择运营机构并签订协议。省数据主管部门探索建设全省统一的公共数据资源授权运营平台,各地原则上不再独立建设。对不遵守协议或发生重大安全事件的,实施机构可暂停或提前终止授权。本办法自2025年12月15日起施行,有效期两年。
河北省公共数据资源授权运营管理办法(试行)
本办法适用于河北省公共数据资源授权运营活动,由数据管理部门编制实施方案并按三重一大机制审议,通过公共资源交易中心公平竞争确定运营机构。运营机构在统一的公共数据平台内依场景开发利用数据,坚持原始数据不出域、数据可用不可见。协议期限原则上最长不超过三年,明确数据范围、安全责任和退出机制。发生安全等事故或拒不整改的,实施机构可终止协议。本办法自2025年2月1日起施行,有效期两年。
贵州省公共数据授权运营管理办法
本办法适用于贵州省行政区域内公共数据授权运营及相关管理活动,原则上以整体授权为主、分领域授权为辅。授权运营机构建设运营授权运营空间,对公共数据进行初级加工形成数据产品和服务;开发利用机构依场景再开发并向社会提供服务。公共数据服务平台为全省统一总枢纽,实现可管可控可追溯。原始数据不得出域,产品不得还原原始数据。本办法自2025年1月7日起实施。
浙江省公共数据资源授权运营管理办法
本办法适用于浙江省行政区域内公共数据资源授权运营活动,实行依场景授权模式,由县级以上数据主管部门作为实施机构,通过公平竞争择优确定运营机构。授权运营域依托一体化智能化公共数据平台或可信数据空间建设,确保原始数据不出域、数据可用不可见。运营机构在域内加工形成数据产品和服务后向社会提供。协议期限一般不超过三年,实施机构应年度评估并动态管理。本办法自2025年10月1日起施行。
江苏省公共数据授权运营管理暂行办法
本办法适用于江苏省公共数据授权运营及相关管理活动,确立运营主体与开发主体两级主体、分级授权模式,依托授权运营域和平台依场景开发利用公共数据,坚持原始数据不出域、数据可用不可见。运营主体负责平台建设、数据加工与安全管理,开发主体依协议形成数据产品并在依法设立的数据交易场所交易。对违规或整改不到位的,主管部门可终止授权协议。本办法自2024年12月1日起施行,有效期至2026年11月30日。
深圳市南山区公共数据授权运营管理暂行办法
规范深圳市南山区行政区域内与公共数据相关的汇聚、治理、授权、加工、经营、流通、安全、监管等数据活动,建立公共数据授权运营管理工作协调机制,区政务和数据局为区公共数据主管部门负责统筹管理,明确授权运营单位资质要求、选取程序和退出机制,规定开发利用方入驻、数据资源授权申请、产品服务加工登记、数据流通与收益分配、安全保障和监督管理要求。
广东省数据条例(草案征求意见稿)
加强广东省行政区域内数据处理、数据流通、数据相关区域和国际合作以及数据安全管理等活动,保护数据权益,保障数据安全,促进数据依法有序流通和应用,省数据主管部门负责协调推进数据基础制度建设,建立数据持有使用经营权益分置机制和数据权益登记制度,推进公共数据共享开放、授权运营和数据交易,支持粤港澳大湾区数据流通与国际合作。
青海省支持大数据产业发展政策措施
为青海省行政区域内大数据产业发展提供全方位政策支持,适用于在青海省注册具有法人资格的大数据企业,包括绿电保供和用电保障、招商引资奖补和东西部协作、用地要素保障、科技创新平台支持、投融资及税收优惠、人才引育和营商环境优化等,推动大数据产业主动融入东数西算国家布局,建设零碳大数据中心,成为经济社会发展新引擎。
宁夏回族自治区数据条例
加强宁夏回族自治区行政区域内数据资源管理、流通交易、发展应用和安全保障等活动,保护数据权益,保障数据安全,健全数据要素基础制度,促进数据要素高效流通利用,县级以上人民政府数据主管部门负责统筹推进本行政区域内数据工作,建立统一公共数据资源平台和目录管理,推进公共数据共享开放、授权运营和数据交易,培育数据产业。
安徽省大数据发展条例
发挥安徽省数据要素作用、发展数字经济、创新社会治理、保障数据安全、建设数字江淮,县级以上人民政府数据资源主管部门负责统筹推进大数据发展工作,推进政务数据等公共数据向江淮大数据中心平台归集,支持非公共数据汇聚共享,促进大数据在制造业、服务业、农业和政府治理等领域开发应用,培育大数据产业,加强大数据人才培养、促进措施和安全管理。
贵州省大数据发展应用促进条例
推动贵州省行政区域内大数据发展应用,明确大数据发展应用原则和目标,省人民政府信息化行政主管部门负责大数据发展应用具体工作,设立大数据发展专项资金和基金,加强信息基础设施建设,建立云上贵州大数据平台,推进公共数据共享开放和开放负面清单制度,培育数据交易市场,加强数据安全管理,建设国家大数据综合试验区和产业发展聚集区。
云南省公共数据管理办法(试行)
规范云南省行政区域内公共数据收集、归集、存储、加工、传输、共享、开放、开发和安全管理,建设全省统一公共数据平台,实行统一目录和分类分级管理,县级以上政府数据管理机构作为公共数据主管部门,建立公共数据共享申请审批反馈机制,推进公共数据无条件、有条件开放和开发利用,强化公共数据安全责任制,将公共数据发展管理纳入政府目标责任制考核。
江西省数据应用条例
规范江西省行政区域内数据应用及相关数据管理、安全保护、数据要素市场培育等活动,明确数据、公共数据和非公共数据定义,省人民政府数据主管部门负责协调推进数据基础制度建设,建设全省大数据资源平台,推进公共数据目录管理、共享开放和授权运营,培育数据要素市场和数据交易场所,推动工业、农业、服务业、民生服务和政府治理等领域数据应用。
广西壮族自治区大数据发展条例
促进广西壮族自治区行政区域内大数据发展及其相关活动,明确大数据、公共数据等定义,实行公共数据统一目录和分类分级管理,建设统一公共数据资源平台,自治区人民政府大数据主管部门负责本行政区域内大数据发展统筹推进,推进公共数据收集归集、共享开放,培育数据市场和授权运营机制,加强基础设施建设和数据安全保障。
湖南省数据条例
规范湖南省行政区域内数据权益保护、资源管理、共享开放、开发利用、流通交易、产业发展、要素应用、安全与保障等活动,明确数据持有、使用、经营权益和产权登记,省人民政府数据主管部门负责统筹推进全省数据工作,建设统一公共数据资源平台,推进政务数据共享和公共数据开放、授权运营,支持人工智能、数据标注产业发展,建立数据要素收益分配机制。
甘肃省数据条例
加强甘肃省行政区域内数据权益保护、资源管理、流通交易、发展应用、安全和保障等活动,保护数据权益,保障数据安全,促进数据资源有序流通和应用,省人民政府数据主管部门负责协调推进全省数据工作,推进公共数据目录管理、共享开放和授权运营,培育数据产业,推动东数西算和全国一体化算力网络国家枢纽节点建设,支持可信数据空间建设应用。
新疆维吾尔自治区数据条例
加强新疆维吾尔自治区行政区域内数据基础设施建设、资源管理、流通、开发应用和安全管理等活动,促进数据资源有序流通和应用,保护数据权益,保障数据安全,县级以上人民政府数据主管部门负责推进本行政区域数据工作,建设统一公共数据平台,推进公共数据共享开放、授权运营和数据交易,促进兵地融合发展,支持丝绸之路沿线国家和地区数据交流合作。
内蒙古自治区数字经济促进条例
促进内蒙古自治区行政区域内促进数字经济发展及其相关活动,明确数字经济发展定位、目标和基本原则,旗县级以上人民政府数据管理部门统筹推进数字经济发展工作,加强数字基础设施建设和布局并将其纳入国土空间规划,推进数据资源开发利用和公共数据开放共享,发展服务器及存储、集成电路、软件、人工智能等数字产业,推动传统产业数字化改造。
辽宁省大数据发展条例
发挥辽宁省数据效用、加快大数据发展,明确大数据发展目标、适用范围和基本原则,加强信息、融合和创新基础设施建设,实行公共数据目录管理和统一大数据资源平台,省、市、县人民政府大数据主管部门负责规划指导协调,推进公共数据共享开放和授权运营,专章规定工业大数据发展,培育数据要素市场和数据交易,强化数据安全责任制。
黑龙江省促进大数据发展应用条例
促进黑龙江省行政区域内大数据管理应用、促进发展、安全保护及相关活动,明确大数据、公共数据和非公共数据定义,建立全省一体化公共数据平台和统一目录管理,省政务数据主管部门负责全省一体化公共数据平台规划和管理,推进公共数据共享开放、有条件开放和授权运营,培育数据要素市场和数据交易平台,促进大数据产业发展,加强数据安全保护。
河南省数字经济促进条例
促进河南省行政区域内促进数字经济发展、保障数字经济安全等相关活动,明确数字经济定义,县级以上人民政府发展改革部门是数字经济主管部门,加强通信网络、算力、新技术和融合基础设施建设,推进公共数据共享开放和非公共数据开发利用,发展电子信息、软件和信息技术服务、人工智能等数字产业,推动工业、农业、服务业等产业数字化转型。
河北省数字经济促进条例
促进河北省行政区域内促进数字经济发展相关活动,明确数字经济发展相关活动适用范围和基本原则,县级以上人民政府发展改革部门负责统筹推进、协调、督促数字经济发展,加强数字基础设施建设并将其纳入国土空间规划,推进公共数据目录管理、共享开放和数据资源开发利用,发展电子信息制造、软件、人工智能等数字产业,推动传统产业数字化转型。
山东省数字经济促进条例
促进山东省行政区域内促进数字经济发展等相关活动,明确数字经济定义和适用范围,加强信息通信、空天信息、物联网、算力、数据等基础设施建设,县级以上人民政府工业和信息化、数据管理部门按职责分工统筹推进,支持数字技术创新和成果转化,推动电子信息制造、软件和信息技术服务等数字产业化,促进工业、农业、服务业等产业数字化,推进数据价值化和治理服务数字化。
天津市促进大数据发展应用条例
发挥天津市大数据促进经济发展、服务改善民生、完善社会治理作用,规范本市行政区域内大数据发展应用及相关活动,市和区互联网信息主管部门负责大数据发展应用具体工作,推进政务数据目录管理、共享交换和开放平台建设,规范政务数据无条件共享、有条件共享和不予共享类型,鼓励社会数据采集利用和数据交易,加强大数据开发应用、保障措施和安全管理。
北京市数字经济促进条例
促进北京市行政区域内数字经济促进相关活动,明确数字经济定义和适用范围,加强信息网络、算力、新技术等数字基础设施建设,市经济和信息化部门负责具体组织协调指导全市数字经济促进工作,推动公共数据共享开放和数据要素市场培育,支持数字产业化和产业数字化,推进智慧城市建设,完善数字经济安全保障、治理体系和保障措施,建设全球数字经济标杆城市。
北京市公共数据资源登记管理实施细则
规范北京市各级党政机关、企事业单位开展公共数据资源的登记活动及其监督管理,明确登记平台、登记机构、登记主体和登记类型,北京市大数据中心为登记机构,市数据管理部门统筹监管,规定首次登记、变更登记、更正登记和注销登记的程序与材料要求,建立登记结果公示、异议处理、有效期续展和监督管理机制,促进公共数据资源合规高效开发利用。
吉林省大数据条例
规范吉林省行政区域内大数据建设管理、发展应用、生态培育和安全保障及相关活动,明确大数据、公共数据、企业数据和个人数据定义,建立公共数据、企业数据、个人数据分类分级确权授权制度,省大数据主管部门负责指导协调全省大数据工作,推进公共数据平台建设和共享开放,促进企业数据和个人数据合理利用,推动大数据产业发展和安全保护。
福建省大数据发展条例
促进福建省行政区域内大数据有序健康发展,明确大数据、公共数据和非公共数据定义,实行公共数据统一目录、分类分级和共享开放管理,建立全省公共数据汇聚共享平台和开放平台,县级以上地方人民政府大数据主管部门负责本行政区域内大数据统筹管理,实行公共数据资源分级开发,培育数据交易市场,加强数字基础设施建设和数据安全保障。
陕西省大数据条例
加强陕西省行政区域内大数据基础设施建设、资源管理、开发应用、产业发展和安全保障,推进政务数据统一目录管理和共享交换平台建设,省大数据主管部门统筹规划指导协调本行政区域大数据发展,促进政务数据共享开放和跨行业应用,培育数据要素市场,支持工业、农业、服务业、文化旅游、交通、金融、城市治理等领域大数据融合应用,明确相关法律责任。
四川省数据条例
加强四川省行政区域内数据资源管理,规范数据处理活动,保护自然人、法人和非法人组织合法权益,保障数据安全,促进数据依法有序流通和应用,建立全省统一公共数据资源体系和目录管理,县级以上地方各级人民政府建立协调机制和考核评价机制,推进公共数据共享、开放、授权运营和数据交易,推动以数据为关键要素的数字经济高质量发展和区域合作。
上海市数据条例
保护上海市自然人、法人和非法人组织与数据有关的权益,规范本市数据处理活动,加强个人信息特别保护,健全公共数据资源体系和统一目录管理,推进公共数据共享、开放和授权运营,培育数据要素市场,支持数据资源开发和应用,保障数据安全,市政府办公厅负责统筹规划综合协调全市数据发展和管理工作,实行数据工作与业务工作协同管理,鼓励建立首席数据官制度。
重庆市数据条例
规范重庆市行政区域内数据处理和安全管理、数据资源汇聚共享开放、数据要素市场培育、数据发展应用和区域协同等活动,明确数据、公共数据等定义,实行数据安全责任制,推进公共数据资源汇聚、共享、开放和授权运营,培育数据要素市场,市数据主管部门协调指导和区县数据主管部门分级负责,促进数据在经济发展、民生服务、城市治理中的应用,强化川渝数据合作。
江苏省数据条例
规范江苏省行政区域内数据权益保护、资源管理、流通交易、产业发展、开发利用和安全保障等活动,明确数据持有、使用、经营权益,实行公共数据统一目录和分类管理,建立健全公共数据共享、开放、授权运营机制,培育数据要素市场,推动数据产业和应用发展,县级以上地方人民政府数据主管部门负责统筹推进本行政区域数据工作,落实数据安全责任制度和法律责任。
浙江省公共数据条例
规范浙江省行政区域内公共数据收集、归集、存储、加工、传输、共享、开放、利用和安全管理活动,建设一体化智能化公共数据平台,实行统一目录和分类分级,建立无条件共享、受限共享和不共享机制,推动公共数据授权运营,强化数据质量管控和安全责任,县级以上人民政府大数据发展主管部门负责统筹推进,并将公共数据发展管理纳入政府目标责任制考核。
广东省公共数据管理办法
规范广东省行政区域内公共管理和服务机构实施的公共数据采集、使用、管理行为,明确公共数据、数源部门等定义,实行统一目录和分类分级管理,建立省政务大数据中心,推进公共数据无条件共享、有条件共享和有序开放,鼓励开发利用和数据交易,保障数据主体权益与数据安全,县级以上人民政府政务服务数据管理机构为公共数据主管部门。
深圳经济特区数字经济产业促进条例
促进深圳经济特区数字经济产业高质量发展,明确本条例适用于特区范围内促进数字经济产业发展的相关活动,统筹推进通信网络、算力、数字技术等基础设施建设,培育数据要素市场,支持技术创新、产业集聚和多元化应用场景建设,深化开放合作并完善支撑保障措施,推动数字技术与实体经济深度融合,市工业和信息化部门牵头推进并会同相关部门落实。
深圳经济特区数据条例
规范深圳经济特区数据处理活动,明确个人数据保护中的告知同意、敏感与生物识别数据处理规则,建立公共数据目录、共享开放和分类管理制度,培育数据要素市场,落实数据安全责任制与法律责任,促进数据作为生产要素开放流动和开发利用,适用于深圳经济特区范围内的数据处理及相关管理活动,由市网信部门和政务服务数据管理部门分工负责监督管理。
上海市公共数据开放暂行办法
2019年10月1日起施行,适用于上海市公共数据开放及相关管理活动,遵循需求导向、安全可控、分级分类、统一标准、便捷高效原则,将公共数据分为无条件开放、有条件开放和非开放三类,要求制定开放清单并通过统一开放平台提供数据,规范数据利用协议、数据质量、平台建设、行为记录、权益保护和利用监管,鼓励社会主体利用公共数据开展创新应用。
湖北省数据条例
2025年7月31日通过,适用于湖北省行政区域内数据权益保护、资源管理、流通利用、产业发展、安全及相关保障措施,明确数据、公共数据、非公共数据等定义,规定自然人、法人和非法人组织享有数据持有、使用、经营等权益,建立数据产权登记体系,实行公共数据统一目录管理和分类分级,推动数据流通交易、公共数据授权运营,强化数据安全责任和法律责任,促进数字湖北建设。
湖北省人民政府办公厅关于印发湖北省公共数据资源授权运营实施办法(试行)
湖北省规范公共数据资源授权运营的实施办法,适用于本省行政区域内公共数据资源授权运营工作,明确公共数据、授权运营、实施机构、运营机构等定义,规定整体授权为主、逐步探索分领域或依场景授权的模式,要求建设统一授权运营平台、编制实施方案、依法确定运营机构,明确数据申请使用、加工处理、产品合规审核、登记发布和再开发要求,强化安全管理、监督检查和年度报告制度。
深圳市地方标准 数据交易合规评估规范
国外法规
《国务院关于对外投资的规定》
2026年7月1日,我国首部对外投资领域行政法规——国务院837号令正式落地,终结了过往多头监管、规则分散的局面。新规全覆盖企业、社会组织及个人出海主体,确立投资分类管控、境外安全审查、全链条合规监管机制,严管技术、数据跨境隐性转移行为。同时搭建海外权益保护与涉外反制体系,并明确分级处罚规则,大幅提升违规成本,标志我国企业出海正式进入法治化、规范化新阶段。
14117法案
美国总统第14117号行政命令于2024年2月28日签署,旨在限制受关注国家获取美国人批量敏感个人信息和美国政府相关数据,认为此类获取对美国国家安全和外交政策构成异常和重大威胁,授权司法部长制定规则禁止或限制涉及批量敏感个人信息和政府相关数据的特定交易,同时支持开放、全球、可互操作、可靠和安全的跨境数据流动,不实施普遍数据本地化要求,也不广泛禁止与受关注国家的商业往来。
欧盟无线电设备指令(RED,2014-53-EU)
欧盟无线电设备指令2014/53/EU协调成员国无线电设备投放市场法律,适用于有意发射或接收无线电波的各类设备,规定有效利用无线电频谱、避免有害干扰、电磁兼容、健康安全、个人数据与隐私保护、防范欺诈、紧急服务接入、残疾人无障碍使用、软件加载合规及通用充电器等基本要求,要求制造商进行合格评定并加贴CE标志,以保障内部市场统一运行。
欧盟 车联网个人数据保护指南
欧洲数据保护委员会车联网个人数据保护指南适用于联网车辆非专业使用场景中的个人数据处理,涵盖驾驶员、乘客、车主和承租人等数据主体,以及车辆传感器、车载设备和手机应用等数据收集方式,强调设计和默认数据保护、数据最小化、透明度、数据主体权利、安全性、向第三方传输和跨境传输等合规要求,并通过案例研究说明具体应用。
美国《2018年加州消费者隐私法案》(CCPA)
美国2018年加州消费者隐私法案赋予加州消费者了解所收集个人信息、要求删除、选择退出出售、访问个人信息以及享有平等服务和价格等权利,要求企业披露个人信息收集、出售、共享的类别、来源、目的和第三方,规范企业回应消费者请求的程序,禁止因行使权利而歧视消费者,并对十六岁以下未成年人信息出售设置选择加入要求。
2025《欧洲健康数据空间条例》(EHDS)
欧盟欧洲健康数据空间条例2025/327旨在建立欧洲健康数据空间,改善自然人在医疗保健领域对其个人电子健康数据的访问和控制,促进研究创新、政策制定、公共卫生威胁防范应对、患者安全和个性化医疗等领域的电子健康数据二次利用,并统一电子健康记录系统的法律和技术框架,强化数据保护、安全、保密与伦理使用。
MDR-EU2024-745-欧盟医疗器械新法规-中文版
欧盟《执法数据保护指令》 (EU) 2016-680)英文版_翻译
欧盟执法数据保护指令2016/680适用于主管当局为预防、调查、侦查或起诉刑事犯罪、执行刑事处罚而处理个人数据的活动,以及此类数据在欧盟境内的自由流动,补充通用数据保护条例,明确数据保护原则、数据主体权利、处理者和控制者义务、跨境传输规则以及独立监管机构的执法权力,强化刑事司法和警务合作中的个人数据保护。
欧盟《人工智能法》
欧盟人工智能法由欧洲议会和理事会制定,为联盟内人工智能系统的开发、投放市场、提供服务和加以使用建立统一法律框架,旨在促进以人为本和值得信赖的人工智能,保护健康、安全、基本权利、民主法治和环境,对高风险人工智能系统、透明度义务、生物识别、情绪识别、远程生物识别以及通用人工智能模型等作出规制,并设置创新支持措施。
欧盟《数字服务法》
欧洲议会和理事会2022年10月19日通过的关于数字服务单一市场的条例,旨在为中介服务提供者建立统一、有效的强制性规则,防止内部市场碎片化,适用于与欧盟有紧密联系的信息社会服务提供者,明确纯粹渠道、缓存、托管服务和在线平台的分类及责任豁免条件,要求平台履行透明度、风险管理和内容审核等义务,保护基本权利并促进创新。
CNIL GDPR软件开发指南
法国国家信息与自由委员会发布的软件开发GDPR合规指南,强调在项目全生命周期中保护用户数据和个人数据处理,要求了解GDPR核心原则、必要时指定数据保护官、对数据和处理活动进行映射分类、留存处理活动记录、开展隐私影响评估管控高风险,建立内部流程应对安全事件、用户权利请求、供应商变更等情况,并持续记录和更新合规文档以证明合规。
欧盟《设计端与默认设置端的数据保护》(英文及中文)
欧盟bcrs审批意见(埃森哲)(中英文)
爱尔兰数据保护委员会批准埃森哲全球控股有限公司作为数据处理方的约束性公司规则的决定,依据GDPR第47条等规定,确认其BCR符合法律约束力、第三方受益人权利、数据保护原则、数据主体权利、责任承担、信息提供等要求,同时强调数据出口方须在转移前评估目标第三国保护水平,必要时采取补充措施以确保实质同等保护,否则应暂停或终止转移。
欧盟标准合同(sccs)(英文版)
欧盟委员会2021年6月4日通过的实施决定,制定根据GDPR向第三国传输个人数据的标准合同条款,作为第46条下的适当保障措施之一,确保个人数据转移至第三国时维持欧盟保护水平,包含通用条款和模块化条款,适用于控制者到控制者、控制者到处理者、处理者到处理者、处理者到控制者等多种传输情形,要求数据出口方履行告知义务,并可补充额外保障措施。
欧盟《网络和信息系统安全指令》(NIS2 Directive)(英文)
欧洲议会和理事会2022年12月14日通过的网络和信息系统安全指令,取代2016/1148号指令,旨在消除成员国网络安全规则的差异,建立协调的监管框架,扩大适用范围至更多关键部门和重要实体,要求实体采取风险管理措施、报告重大事件,加强主管机构合作与执法,并规定统一的标准以提升欧盟整体网络安全水平和内部市场功能。
欧盟《数字市场法案》英文(中文)
欧洲议会和理事会2022年9月14日通过的关于数字领域可竞争和公平市场的条例,旨在解决核心平台服务提供者作为守门人滥用市场力量的不公平行为,弥补传统竞争法事后执法的不足,通过统一规则确保数字市场的可竞争性和公平性,适用于满足特定规模、用户数量和业务影响标准的守门人,禁止其实施一系列不公平行为,以促进创新和消费者选择。
cnil《关于 Cookies 和类似技术的指南》
欧盟车辆数据指南
欧盟委员会2025年9月发布的关于车辆数据的指南,随附数据法案2023/2854,为汽车行业利益相关者提供实施数据法案第二章的定制化建议,明确网联产品、相关服务及第二章范围内数据的定义,区分原始数据、预处理数据、推断或衍生数据,解释用户访问和使用车辆数据的权利、访问成本规则,并说明与型式批准法规、竞争法、GDPR等行业立法的关系,仅作指导之用。
欧盟数据法案(含英文)
app开发人员gdpr指南(OCR)
法国国家数据保护委员会针对应用程序开发人员发布的GDPR合规操作指南,覆盖从开发准备、架构选择、数据收集最小化、用户管理、代码安全、测试到告知用户、数据主体权利行使、数据保留期限和访问统计等全生命周期,强调隐私保护设计、数据保护影响分析、安全措施、文档记录和合规证明,为开发者提供具体技术方法和最佳实践建议。