何为数据安全合规？完整概述数据安全合规性法律法规指南

颁布：2016年4月14日

生效：2018年5月25日

《通用数据保护条例》 (GDPR) 于 2018 年直接适用于整个欧盟，为在欧盟境内处理数据和/或针对欧盟境内个人的任何组织规定了一系列标准。

因此，GDPR 不仅适用于欧洲公司，还适用于广大美国组织。GDPR 是当代主要数据保护法的里程碑，为后来者提供了灵感和基础。

GDPR 要求公司以防止未经授权的数据收集、处理、丢失、损坏或破坏的方式处理个人数据。

该法规为欧盟境内的个人提供知情权、访问权、纠正权、删除权、限制处理权、数据可移植性、反对权以及在某些情况下不受自动决策影响的权利。

它还采用最小化方法，要求组织收集的数据不得超过指定目的所需的数据。除此之外，还需要对数据活动和使用进行持续监控，以保持 GDPR 合规性。

不遵守 GDPR 的罚款金额很高——一些组织可能会被处以高达年收入 4% 的罚款或 2000 万欧元，以较高者为准。

2022 年，社交媒体巨头 Meta 因违反 GDPR 合规性而被罚款 4.05 亿欧元。

颁布：1996年3月18日

生效：1996年8月21日

健康保险流通与责任法案(HIPAA)是为几乎完全使用敏感数据的行业而开发的，于 20 世纪 90 年代末创建并颁布。

该法案适用于“所有健康计划、医疗保健信息交换所以及以电子形式传输健康信息的任何医疗保健提供者”。HIPAA 主要涵盖受保护的健康信息 (PHI)，其中包括有关患者及其医疗状况的敏感数据。

HIPAA 呼吁医疗保健和生命科学 (HLS) 组织遵循其合规性标准来加强医疗保健数据安全。其中包括确保 PHI 的机密性、完整性和可用性，以及积极保护该数据免受任何合理的威胁。为了实现这些保护目标，需要有效的数据访问控制实施、审核功能和安全共享。

对于违反 HIPAA 要求的人，有四级处罚，每级处罚都与特定违规行为的严重程度和疏忽程度有关。这些级别包括最高年度罚款，从较低级别违规行为的约 30,000 美元到最严重违规行为的约 190 万美元不等。无论级别和金额如何，对于那些不注重合规性的人来说，这些罚款很快就会增加。

CCPA 颁布日期：2018 年 1 月 3 日

CCPA 生效日期：2018 年 6 月 28 日

CPRA 颁布日期：2020 年 11 月 3 日

CPRA 生效日期：2023 年 1 月 1 日

原《加州消费者隐私法案》 (CCPA) 于 2018 年 6 月 28 日由加州立法机构通过并签署成为法律。该法案的目的是为加州消费者提供对其个人数据的增强控制。

它适用于收入等于或超过 2500 万美元、每年购买/出售/共享超过 100,000 个消费者或家庭的个人信息，或者每年收入的 50% 或更多来自出售或共享消费者个人信息的组织。该法律赋予消费者以下权利：

• 了解组织正在收集哪些个人数据以及如何使用和共享这些数据

• 请求从组织的数据存储中删除其个人数据

• 选择不让组织出售他们的个人数据

• 行使这些权利不受歧视

最终，CCPA 要求组织在信息使用方式上为个人提供更多自主权。值得注意的是，该法律适用于在加利福尼亚州开展业务的任何实体，而不仅仅是该州的组织。这意味着，总部位于特拉华州的公司在收集和存储数据的任何加州人时仍需要遵守 CCPA。

2020 年，加州隐私权法案(CPRA)的通过对 CCPA 进行了修订和更新。CPRA 通过一系列关键原则（最小化、设计隐私）对 CCPA 进行了补充，并赋予居民有关共享个人数据、更正不准确的个人数据以及限制企业使用其“敏感个人信息”的额外权利。

生效日期：2002 年 12 月 17 日

2002 年联邦信息安全管理法案( FISMA) 影响所有美国联邦机构、其分包商和服务提供商，以及为联邦机构运营 IT 系统的任何组织。

FISMA 要求这些组织根据黑客、破坏或泄露所产生的负面影响对他们收集和存储的数据进行分类。

此外，这些组织必须定期进行风险评估，通过适当的数据安全控制将风险降低到“可接受的水平”。

未能满足 FISMA 标准的组织可能会受到减少预算、加强官僚监督和限制能力的处罚。

生效日期：2002 年 7 月 30 日

2002 年《萨班斯-奥克斯利法案》 ( SOX) 增加了上市公司必须满足的要求，以准确、可靠地披露公司信息。SOX 旨在保护投资者和公众，由 SEC 颁布，是对 2000 年代初安然 (Enron) 和世通 (WorldCom) 等金融丑闻的直接回应。总体目标是确保公司管理层不能干预独立的财务审计和报告。

美国的所有上市公司，以及在美国上市和开展业务的管理和公共会计师事务所以及子公司/外国公司，都必须遵守 SOX 中概述的规定。

这些规则包括企业必须如何记录和存储信息以及必须保留某些记录多长时间的要求。

任何被发现不遵守 SOX 的组织都可能面临处罚，包括罚款、从公共证券交易所上市以及董事和高级管理人员责任保险单失效。

生效日期：2004 年 12 月 15 日

支付卡行业数据安全标准(PCI DSS) 于 2004 年创建。

它适用于存储、处理或传输持卡人数据 (CHD)、敏感身份验证数据 (SAD) 或可能影响持卡人数据安全的所有实体环境（CDE）。

这使得它适用于参与支付卡处理的任何实体，包括商户本身、处理商、发卡行、收单行和任何其他服务提供商。

这些群体中的任何一个都可能受到 PCI DSS 的约束，具体由管理合规计划的人员（例如支付品牌和/或收单机构）自行决定。

受 PCI DSS 约束的组织必须创建安全网络，对持卡人数据实施有效的访问控制，并保持定期测试的安全系统和漏洞管理程序。

任何违反 PCI DSS 标准的组织在违规期间可能会被处以最高每月 10 万美元的罚款，甚至可能会失去接受卡的权利。

颁布：2021年3月2日

生效：2023年1月1日

《弗吉尼亚州消费者数据保护法》采用与 CCPA 类似的消费者保护方法。

VCDPA 为弗吉尼亚州居民提供了解和访问组织持有的个人数据、要求删除和/或更正其个人数据以及选择不对其进行处理、出售或分析的权利。

该法律还要求数据可移植性，以及有时限的限制，限制公司仅在实现特定目的所需的时间内保留消费者数据。

该法规适用于以下组织：

a) 控制至少 100,000 名弗吉尼亚居民的个人数据

b) 控制至少 25,000 名弗吉尼亚居民的数据，并且其总收入的 50% 以上来自销售该数据。

颁布：2021年7月8日

生效：2023年7月1日

科罗拉多州隐私法是继加利福尼亚州和弗吉尼亚州之后美国通过的第三个州数据隐私法。

与其前身一样，CPA 为科罗拉多州居民提供访问、更正、删除和移植其个人信息的权利。它还提供了选择退出定向广告和出售个人数据的相同权利。

有趣的是，CPA 的实施与 VCDPA 和 CCPA 存在显着差异。

虽然它仍然适用于在一个日历年内控制或处理 100,000 名消费者的数据或从至少 25,000 名消费者的数据中获取收入的组织，但没有必须满足的收入阈值。由于组织不需要满足最低收入要求，因此可以更广泛地应用该法律。

颁布：2022年5月10日

生效：2023年7月1日

该法律也称为康涅狄格州数据隐私法案(CTDPA)，承认与上述法规相同的消费者隐私、访问、可移植和删除权利。

它还为企业设定了略有不同的收入门槛，适用于收集 25,000 名或更多康涅狄格州居民的个人数据并通过出售这些数据获得其总收入 25% 的组织

颁布日期：2022 年 3 月 24 日

生效日期：2023 年 12 月 31 日

犹他州消费者隐私法案是美国最新通过的各州具体隐私法规。因此，它的大部分政策规范也来自于之前的法规。然而，组织应该了解一些显着的差异。

其一，UCPA 中不包含纠正或调整消费者数据准确性的权利。这意味着组织不需要提交犹他州消费者的数据调整请求。

它还不会要求消费者选择参与数据收集，仅向他们提供在需要时选择退出的权利。

尽管存在细微差别，但这使得个人对数据收集方式和时间的直接控制程度有所降低。

总体而言，UCPA 比之前的美国法律的关注范围更窄。