美国广泛使用的数据合规法规有哪些?以下是美国及其他地区最重要和最广泛适用 的监管合规 法律列表。虽然这不是所有管理敏感数据使用的监管法律的详尽列表,但它涵盖了您在维护合规性方面想了解的许多最常见和最重要的法律。
GDPR
欧盟于 2018 年将通用数据保护条例 (GDPR) 签署为法律,为处理欧盟居民个人数据的任何组织指定了标准。实际上, GDPR 不仅 适用于欧洲公司,也适用于广泛的美国组织。
GDPR 要求公司以有助于防止未经授权的数据收集、处理、丢失、损坏或破坏的方式处理个人数据。不这样做的罚款很高——组织可能被处以高达其年收入的 4% 或 2000 万欧元的罚款,以较高者为准。
CCPA
加州消费者隐私法 (CCPA) 适用于收入达到或超过 2500 万美元或拥有至少 50,000 个人数据的组织。根据该法案,加利福尼亚州的每个居民都有权随时查看公司保存的有关他们的所有数据,以及公司与之共享数据的任何和所有第三方。
如果消费者认为公司在其数据方面违反了 CCPA,他们有权起诉该公司。
需要注意的是,这适用于加州个人消费者的数据,而不是公司的数据。因此,即使组织不在加利福尼亚并且在那里没有实体存在,如果它存储任何加利福尼亚居民的数据,它仍然会受到 CCPA 的影响。
不遵守 CCPA 可能会导致诉讼和罚款。最近,加州选民通过了一项名为《加州隐私权法案》的 CCPA 更新。
CPRA
加州隐私权法案 (CPRA) 是 CCPA 的演变,将于 2023 年初生效 。CPRA 通常会扩展 CCPA,使其某些方面更加严格,但也会将较小的公司排除在其管辖范围之外。
CPRA 的变化包括禁止企业保留客户数据超过必要的时间,扩大客户选择不收集其数据的权利等等。
HIPAA
作为更广为人知的合规法律之一,健康保险流通与责任法案 (HIPAA) 要求医疗保健提供者确保数字健康信息在存储或传输时是机密、安全和可用的。它还要求医疗保健提供者做出合理的努力,以防止威胁、安全漏洞和 健康数据的不当使用。
未能遵守 HIPAA的罚款 可能很高——每次违规高达 50,000 美元,每年高达 150 万美元。一些违反 HIPAA 的行为甚至可能面临长达 10 年的监禁。
FISMA
2002 年联邦信息安全管理法案 (FISMA) 影响所有联邦机构、其分包商和服务提供商,以及为联邦机构运营 IT 系统的任何组织。
FISMA 要求这些组织对他们存储的数据进行分类,按照如果被黑客攻击、破坏或泄露所产生的负面影响来进行分类。此外,这些机构和组织必须定期进行风险评估,以通过适当的数据控制将数据泄露的风险降低到“可接受的水平”。不符合 FISMA 标准的组织可能会受到预算减少、官僚监督和能力有限的打击。
索克斯
2002 年萨班斯-奥克斯利法案 (SOX) 提高了对上市公司在公司披露中准确和可靠的要求。SOX 旨在保护投资者和公众,由 SEC 颁布,以直接应对 2000 年代初期的金融丑闻,例如安然和 WorldCom。
任何上市公司以及管理和公共会计师事务所都必须遵守 SOX 中概述的规定,其中包括企业必须如何记录和存储信息以及必须保留某些记录的时间。
PCI DSS
PCI DSS 是支付卡行业数据安全标准。它适用于处理、存储或传输信用卡信息的任何业务,旨在保护以电子方式和纸质记录形式存储的卡数据。
必须遵循 PCI DSS 的组织必须构建安全网络,对持卡人数据实施某些访问控制,并维护定期测试的安全系统和漏洞管理计划。不遵守 PCI DSS 的公司可能会因不合规而每月被罚款高达 100,000 美元,甚至可能失去接受卡的权利。
其他需要了解的标准和框架
以下列出了可能会影响您的业务的一些其他标准和框架,具体取决于您的行业以及您管理和存储的数据类型。
NIST SP 800-53
美国国家标准与技术研究院特别出版物 800-53 (NIST SP 800-53) 是一个框架,它为政府机构提供了一个标准,以使其符合上一节中概述的 FISMA。尽管私营公司不需要,但许多组织选择遵循它,因为它有助于确保数据存储和信息系统的最佳实践。
NIST 网络安全框架
这个额外的 NIST 框架侧重于通过提高信息安全性、防范违规行为等来降低网络安全风险。
ISO 27000 系列
ISO 27000 是一系列 IT 安全标准,适用于希望保护财务数据、员工数据、IP 和其他数据资产的组织。这些还包括实施和维护信息安全管理系统或 ISMS 的标准。
目前数据合规官IAPP协会针对隐私数据保护黄金标准提供三大证书认证:CIPM/CIPT/CIPP,想要从事数据合规隐私、了解数据合规法规的朋友,可以优先考虑数据合规官IAPP证书。
在线客服
微信
