核心要义:确立"告知-同意"为核心的个人信息处理规则,首次将敏感个人信息(生物识别、医疗健康、金融账户、行踪轨迹等)纳入专门保护。企业须取得单独同意方可处理敏感信息,违规最高可处5000万元或上年营业额5%罚款。
🔑 企业合规要点
- 建立个人信息分类分级制度,区分一般/敏感信息
- DLP系统需支持对身份证、银行卡、生物特征等敏感数据的识别与阻断
- 跨境传输须通过安全评估或认证
- 数据泄露72小时内通知主管部门与个人
高影响持续合规
战略定位:与《网络安全法》《个人信息保护法》构成中国数据治理"三驾马车"。核心建立数据分类分级保护制度,要求企业根据数据重要程度采取差异化保护措施。明确数据处理活动的全生命周期安全义务。
🔑 企业合规要点
- 必须完成数据资产盘点与分类分级
- 核心数据、重要数据须本地化存储
- 建立数据安全风险评估与监测预警机制
- DLP方案需覆盖数据采集→存储→使用→共享→销毁全链路
高影响持续合规
双轨并进:《网络安全法》确立网络运营者安全保护义务,等保2.0(GB/T 22239-2019)将其工程化落地。等保2.0新增云计算、物联网、移动互联、工控、大数据五大扩展安全要求,三级以上系统须每年测评。
🔑 企业合规要点
- 等保定级备案是法定义务,未履行可处罚
- DLP可作为等保"数据安全"控制项的技术实现手段
- 日志留存不少于6个月,支持审计追溯
- 云上系统需满足"云计算安全扩展要求"
高影响已成熟
跨境红线:明确数据处理者向境外提供数据的安全评估路径。重要数据和个人信息达到一定量级(100万人以上个人信息、或累计10万人敏感信息)必须申报安全评估,否则不得出境。
🔑 企业合规要点
- 外资/跨国企业须优先盘点出境数据清单
- DLP策略需配置出境数据传输检测规则
- 评估有效期2年,需提前续期
- 与境外接收方签订标准合同作为替代路径
高影响持续关注
分级体系:将个人金融信息分为C3(账户信息)、C2(可识别身份信息)、C1(机构内部信息)三个等级。C3类信息(银行卡密码、CVV等)禁止传输和共享,C2类需加密传输,C1类可使用。这是中国金融行业DLP方案实施的核心依据。
🔑 落地策略
- DLP规则按C3/C2/C1分级配置检测策略
- C3信息检测到外发应立即阻断并告警
- 金融账号(银行卡、支付账户)属最高保护级别
- 委托处理须签订数据安全协议并监督
金融必读
分级方法论:提供金融数据安全定级的四要素框架:安全性(保密性、完整性、可用性)遭受破坏后的影响对象+影响程度+影响范围。将数据分为5级,其中5级为最高安全级别。
🔑 落地策略
- 基于影响分析建立数据资产分级清单
- 不同安全级别配置差异化DLP策略
- 5级数据禁止离开安全域,4级需审批+审计
- 定期复审分级合理性(建议每年)
金融必读
治理升级:首次以专门办法形式规范银行保险机构数据安全,要求建立数据安全治理架构(董监高责任),明确数据分类分级、全生命周期保护、个人信息保护三大核心要求。
🔑 落地策略
- 须设立数据安全管理部门或指定牵头部门
- 重要数据与核心数据须本地化处理
- 数据安全事件须2小时内上报
- 每年至少一次数据安全风险评估
银行保险必读
全球支付卡安全基准:PCI DSS v4.0.1 在v4.0基础上进行了澄清和勘误,核心12项要求不变但更强调持续安全而非静态合规。新增对网络分段、多因素认证、自动化监控的细化要求。
🔑 落地策略
- 持卡人数据(CHD)和敏感认证数据(SAD)须加密存储
- 禁止在公共网络明文传输卡号(要求3.4)
- DLP规则须覆盖16-19位卡号及CVV/CVC检测
- v4.0过渡期至2025年3月31日已到期
支付行业必读