数据合规黑话字典(1)——机构、法规简称
Certifitied Artificial Intelligence Governance Professional
CAIGP聚焦如何根据全球新兴法律和标准开发、集成和部署可信AI系统。课程包括AI技术、全球法律框架、全生命周期风险管理及国际标准、可信审查最佳实践等主题。如果您希望报名培训,或有合作意向?请加微信!
一、机构
1、CAC,又称WXB,全称Cybersecurity Administration of China,即国家网信办,是数据合规监管领域的最主要监管。
2、MIIT,全称Ministry of Industry and Information Technology,即工信部,与工业、信息化、互联网相关的数据合规也都管。各地派出机构为通信管理局。
3、SAMR,全称State Administration for Market Regulation,即国家市场监督管理局,平台经济、反不正当竞争、反垄断、各种标准、消费者保护都关注。
4、TC260,又称信安标委,全称全国信息安全标准化技术委员会,是从事信息安全标准化工作的技术工作组织。信息安全领域重要的国标都是他们发的。
5、CCRC,全称China Cybersecurity Review, Certification and Market Regulation Big Data Center,即中国网络安全审查认证和市场监管大数据中心,原“中国网络安全审查技术与认证中心”,是国家市场监督管理总局直属正司局级事业单位,承担网络安全审查技术与方法研究、网络安全审查技术支撑工作,开展与网络安全相关认证和培训、检验检测等工作。支撑网络安全审查。
6、CERT,又称CNCERT/CC,全称National Computer Network Emergency Response Technical Team/Coordination Center of China,即国家计算机网络应急技术处理协调中心,为非政府、非盈利的网络安全技术中心,是中国计算机网络应急处理体系中的牵头单位。
7、CAICT,又称信通院,即中国信息通信研究院,为工业和信息化部直属科研事业单位,在行业发展的重大战略、规划、政策、标准和测试认证等方面发挥了有力支撑作用。云大所、泰尔实验室、安全所都是他们的。
8、TAF,全称为Telecommunication Terminal Industry Forum Association,即电信终端产业协会,是信通院联同国内电信运营商、电信终端设备制造商、系统设备制造商、认证检测机构和研究机构共同发起的自愿性、非营利的国家级社会组织。发布了很多电信行业标准。
9、CCSA,全称为China Communications Standards Association,即中国通信标准化协会,是由信息产业部电信研究、中国电信、中国移动、中国联通、烽火通信、华为、中兴等单位联合发起,组织国内100 余家企事业单位成立的新通信标准化工作平台。发布了很多YDT标准。
(二)国外
1、EDPB,全称European Data Protection Board,即欧盟数据保护委员会,发布了很多解释GDPR的指南。
2、CJEU,全称Court of Justice of the European Union,即欧盟法院,很多解释GDPR的著名案例都是他们判的。
3、IAPP,全称International Association of Pricacy Professionals,即国际隐私专业协会,知名的CIPP/E/A/US(欧洲/亚洲/美国), CIPM(管理), CIPT(技术)认证都是他们旗下的产品,CIPP/CIPM/CIPT三者集齐两个即可召唤FIP。注:CIP=Certified Information Pricacy,FIP=Fellow of Information Privacy。
4、NIST,全称National Institute of Standards and Technology,即美国国家标准与技术研究院,美国很多数据合规相关的标准、指南都是他们发的。
5、ISO,全称International Organization for Standardization,即国际标准化组织,很多烧钱的数据合规认证都要找他们,也不限于数据合规。
6、FTC,Federal Trade Commission,美国联邦贸易委员会,负责执行美国的隐私保护法律,如《儿童在线隐私保护法案》(COPPA)等。
7、CNIL,Commission Nationale de l'Informatique et des Libertés,法国国家信息与自由委员会,负责监督法国的数据保护法律。他们罚款不少。
8、ICO,Information Commissioner's Office,英国信息专员办公室,负责监管英国的数据保护法规,包括GDPR在内的相关规定。他们指南很多。
9、DPC,Data Protection Commission,爱尔兰数据保护委员会,负责监管爱尔兰的数据保护法规,并在欧盟范围内发挥重要作用。爱尔兰作为避税天堂,很多国际企业的总部都在这里,巨额罚款也超多。
二、法规
(一)国内
1、法律
(1)PIPL,又称《个保法》,全称Personal Information Protection Law,即《个人信息保护法》。
(2)DSL,又称《数安法》,全称Data Security Law,即《数据安全法》。
(3)CSL,又称《网安法》,全称Cyber Security Law,即《网络安全法》。
2、APP监管那些带数字的文
(1)337号文,全称《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(工信部信管函〔2019〕337号)。
(2)191号文,全称《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)。
(3)164号文,全称《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)。
(4)14号文,全称《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)。
(5)165号文,全称《关于开展互联网行业市场秩序专项整治行动的通知》(工信部信管函〔2021〕165号文)。
(6)292号文,又称524行动,全称《工业和信息化部关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号)。
(7)26号文,全称《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》(工信部信管函〔2023〕26号)。
3、一串数字的标准
(1)35273,全称《信息安全技术 个人信息安全规范》(GB/T 35273—2020),个保法出台前的小个保法。
(2)39335,全称《信息安全技术 个人信息安全影响评估指南》(GB/T 39335—2020 ),PIA必参考的国标。
(3)41391,全称《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022),APP合规新要求,完全落实成本很高。
(4)42574,全称《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574—2023)。落实个保法“告知-同意”义务的最佳落地参考。
(5)0171,全称《个人金融信息保护技术规范》(JR/T 0171—2020),人行出台的金融标准适用于所有金融机构,C1/C2/C3的分类影响颇深。《金融数据安全 数据安全分级指南》 (JR/T 0197—2020)及《金融数据安全 数据生命周期安全规范》 (JR/T 0223—2021)亦有重大参考价值,主要适用于银行保险机构,证监会有另一套数据分类分级规则。
(二)国外
1、欧盟
2、美国
(1)COPPA,Children's Online Privacy Protection Act,《儿童在线隐私保护法案》。
(2)CCPA,California Consumer Privacy Act,《加利福尼亚消费者隐私法案》。
(3)HIPAA,Health Insurance Portability and Accountability Act,《健康保险携带和责任法案》。
(4)GLBA,Gramm-Leach-Bliley Act,《格雷厄姆-利奇-布莱利法案》。
(5)FCRA,Fair Credit Reporting Act,《公平信用报告法案》。
3、认证
(1)27001,ISO/IEC 27001,《信息安全管理体系》(Information Security Management System)。
(2)27002,ISO/IEC 27002,《信息安全控制实践指南》(Information Security Control Practice Guide)。
(3)27701,ISO/IEC 27701,《隐私信息管理体系》(Privacy Information Management System)。这是一项国际标准,专注于隐私信息的管理,补充并扩展了ISO/IEC 27001和ISO/IEC 27002标准,为组织提供了处理个人信息的指导。
(4)27005,ISO/IEC 27005,《信息安全风险管理》(Information Security Risk Management)。
(5)20000,ISO/IEC 20000,《信息技术服务管理》(Information Technology Service Management)。
(6)22301,ISO/IEC 22301,《业务连续性管理系统》(Business Continuity Management System)。
(7)38500,ISO/IEC 38500,《信息技术治理》(Information Technology Governance)。
三、未完待续
还有很多英文概念缩写,如:DPO、DSR、CBDT、SCC、CIIO等等,都很常见。
此外,各种词汇如:埋点、落地、合规水位、安全左移等等,即使是中文会让人困惑。
想知道前面这些名词的意思吗?
微信扫码关注该文公众号作者