来自世界各地的十大数据隐私和加密法律 

身份盗窃正在上升，公司几乎每天都会成为头条新闻，因为有关数据泄露事件的消息。因此，随着技术的不断发展和更多生命与数字世界错综复杂地交织在一起，对隐私和保护个人信息的担忧正在成为焦点。这些问题经常出现在数据保护法和隐私法规中。

注意：我们只是涉及这些法律的加密和数据保护方面。这些法律涉及的信息要多得多。有关更深入的信息，应直接了解法律或与法律专业人士讨论这些法律如何适用于组织和行业。

以下是应该了解的10条加密法律或法规。他们都很重要，保护用户的数据和隐私在世界各地发挥重要作用。

2018年加州消费者隐私法案 – 美国

此加密法适用于哪些人：

该法律适用于与加州客户和/或其个人数据打交道的组织。一些小公司是免税的，因为它只适用于以下任何一个组织：

· 分享至少50,000名消费者的个人信息

· 总收入超过2500万美元

· 通过销售消费者的个人信息获得其年收入的50％或更多

它需要什么：

该法律规定，不加密数据或忽视使用“合理安全程序”的公司可能会被数据受损的消费者起诉。

你应该做什么：

无论业务位于何处，如果处理加利福尼亚州的数据，应该确保：

· 通过使用传输中加密（例如，SSL）和静态加密来加密所有私有数据。

· 采用合理的安全最佳实践来保护您拥有的所有非公开数据。

细节：

2018年“加利福尼亚州消费者隐私法”（CCPA）是一项旨在保护美国加利福尼亚州消费者隐私权的立法。该法案是在欧盟通用数据保护条例（GDPR）制定之后产生的。

加密法的目的是：

为加利福尼亚州的消费者提供使用其信息的方式和方式的权利，并让企业对违反信息的信息负责。

要求企业披露加州消费者个人信息的任何销售情况，在消费者要求时停止销售个人信息，并采取“合理步骤”来保护信息。

防止企业歧视加利福尼亚州的消费者，他们要求提供有关如何收集或出售其信息的信息，或拒绝允许企业出售其信息的信息。

作为这些要求的一部分，该法案规定加州消费者的个人信息必须受到保护。根据第1798.150节：

“任何未加密或未编辑的个人信息，如第1798.81.5节（d）段第（1）项（A）项所定义的任何消费者，均可受到未经授权的访问和泄露，盗窃或披露。企业违反实施和维护合理的安全程序和做法的义务，这些程序和做法适合于保护个人信息的信息性质，可能会提起民事诉讼……“

虽然它没有指定任何特定的安全方法，但它至少暗示应该使用加密来帮助保护信息。然而，重要的是要注意，不遵守这一规定可能会对每次违规行为处以高达2,500美元的罚款和民事罚款，或者每次故意违规行为将罚款7,500美元。

数据保护条例 – 丹麦

此加密法适用于哪些人：

此数据隐私法规适用于通过电子邮件处理机密和敏感个人数据的任何公共机构以及私人公司和组织。

它需要什么：

该法规规定，在通过开放式网络（如互联网）通过电子邮件传输机密和敏感信息时，必须使用加密。

你应该做什么：

· 只要组织处理敏感的个人数据，就需要确保加密信息。这需要评估组织，以确定哪种加密方法最适合的特定需求。

这可以包括使用：

· 使用传输中加密（例如，SSL）加密所有敏感的私有数据。

· 使用端到端加密（例如S / MIME，PGP和将在下面讨论的其他方法）加密此类敏感信息。

细节：

丹麦的数据保护局对电子邮件安全非常认真。数据监察局是监测数据保护合规性的国家中央独立机构，它要求在2019年1月开始对包含个人数据的所有电子邮件使用电子邮件加密。数据保护条例规定，此保护措施需要用于包含敏感信息的所有邮件信息类型。

根据官方通知：

“数据保护局已决定在私营部门通过电子邮件传播机密和敏感个人数据方面加强实践。因此，数据监察局的意见是，对于公共和私人行为者而言，通常是一种适当的安全措施，在通过互联网通过电子邮件传输机密和敏感的个人数据时使用加密。

为了实现端到端加密，Data Inspectorate概述了组织可以使用各种加密方法，例如相当好的隐私（PGP），NemID（丹麦的公共自助服务登录解决方案，在线银行解决方案等），以及安全/多用途互联网邮件扩展（S / MIME），或电子邮件签名和加密证书。

欧洲银行管理局 – 欧洲银行 – 欧盟

此加密法适用于哪些人：

该法适用于：

· 欧盟28个成员国的所有“主管当局”，

· 处理互联网支付服务的欧盟金融机构

· 存储，处理或传输敏感支付数据的第三方电子商户。

它需要什么：

该法规规定，必须由确保“安全，端到端加密”的金融机构实施最低安全要求。

你应该做什么：

无论是金融机构还是处理付款数据的电子商户，

您都必须确保：

· 正在加密所有可识别和验证客户的敏感数据。

· 处理或处理敏感支付数据的任何电子商户都不会存储它，者，如果它们存在，它们“有必要的措施来保护这些数据”。

细节：

欧洲银行管理局（EBA）针对互联网支付服务和支付服务提供商（PSP）的义务，为金融机构制定了一系列最低安全规定。该文件称为“互联网支付安全最终指南”，不影响欧洲中央银行“互联网支付安全建议”的有效性。此数据安全法规涵盖的互联网支付服务包括：

卡片在互联网上执行卡片支付，包括虚拟卡支付，以及用于“钱包解决方案”的卡片支付数据的注册。

信用转账——在互联网上执行信用转账（CT）。

电子授权——直接借记电子授权的发布和修订; 电子货币，通过互联网在两个电子货币账户之间转移电子货币。

是否知道所有欧洲银行都需要使用扩展验证（EV）SSL证书？不，我们不是因为SSL Store™碰巧卖掉它们而不是这么做的。在第4.2节（风险控制和缓解）中，指南规定限制使用虚假网站，“提供互联网支付服务的交易网站应通过PSP名称或其他类似认证方法制定的扩展验证证书来识别。”

考虑到最近Sectigo的一项研究显示25％的欧洲银行缺乏EV（尽管其中一些机构可能位于不属于欧盟的国家），这一点尤为有趣。

在第11节（敏感支付数据的保护）中，指南规定，任何用于识别和验证客户的数据都应妥善保护，以防盗窃和未经授权的访问或修改。

第11.2节还规定：

“PSP应确保在通过互联网交换敏感数据时，在整个相应通信会话期间在通信方之间应用安全的端到端加密，以便使用强大且广泛认可的加密来保护数据的机密性和完整性技术“。

这些类型的数据隐私法规还扩展到存储，处理或传输敏感支付数据的第三方电子商务：

“如果电子商务处理，即存储，处理或传输敏感支付数据，此类PSP应合同要求电子商家采取必要措施来保护这些数据。PSP应进行定期检查，如果PSP发现处理敏感支付数据的电子商务没有采取必要的安全措施，则应采取措施强制执行此合同义务或终止合同。

当EBA法规于2014年最终确定时，所有欧盟金融机构都将有两个月的时间来遵守指南或通知EBA他们不遵守的原因。考虑到现在是2019年，每个人都应该遵守这些指导原则。

支付卡行业数据安全标准 – 全球

这些加密标准适用于谁：

这些标准几乎适用于处理支付卡数据的任何实体或组织，包括金融机构，商家和服务提供商。如果银行帐号是主帐号（PAN）或包含PAN数字，则这些标准也适用。

他们需要什么：

这些标准要求不加密数据并采用适当安全程序的公司可能会受到支付卡品牌定义的罚款和处罚。PCI安全标准委员会（PCI SSC）本身不会对违规行为施加后果，罚款或处罚。

你应该做什么：

由于这些标准是由全球委员会发布的，如果您的企业处理，处理或存储支付卡数据，您应该确保：

· 使用加密和其他方法使某些信息不可读，包括静态数据和传输加密方法中的数据。

· 实施适当的政策，流程和程序，以保护您拥有的所有支付卡数据。

细节：

如果是一个处理，传输或存储支付卡数据的组织、借记卡和信用卡，那么至少熟悉支付卡行业数据安全标准（PCI DSS）v3.2.1。该标准对于帮助保护持卡人和整个支付卡生态系统至关重要。

最新版本的PCI DSS旨在提供补充指导，而不是取代，替换或扩展任何支付卡行业安全标准委员会（PCI SSC）标准中的要求。与我们列表中的许多其他加密法律和法规一样，它也不支持使用任何特定技术，产品或服务。

PCI DSS规定，支付卡处理中涉及的所有实体必须保护开放的公共网络上的数据存储和传输。要求3和4分别提供了指导

保护存储的持卡人数据：

· 通过保留和处置政策，流程和程序;

· 通过使某些类型的信息不可读;

· 通过使用磁盘加密或列级数据库加密; 和

· 加密开放的公共网络（包括互联网，无线技术，蜂窝技术，通用分组无线电服务和卫星通信）上的持卡人数据传输。

· 该支付卡行业安全标准委员会，一个全球论坛，是权威负责这些行业标准的制定。但是，他们不负责强制遵守这些规定，这取决于五大支付卡品牌：

美国运通， 发现， JCB国际， 万事达卡，和 签证。

PCI SSC还发布了许多其他PCI标准和资源，

包括PCI 3-D（PCI 3DS）SDK安全标准和支付卡行业点对点加密（PCI P2PE）标准。这些文档提供了有关软件开发工具包和点对点产品的安全要求，评估程序和过程的其他指导。目前P2PE的行业标准是PCI点对点加密v2.0。

下一版标准PCI P2PE v3.0预计将于2019年第四季度至2020年第一季度发布。

在粒度级别上，可以涵盖有关PCI DSS和其他PCI相关标准的更多内容。但是，我们只有这么多时间（到目前为止我们已经花了很多时间！）。所以，现在，我们将继续讨论来自Great White North的加密法。

“个人信息保护和电子文件法” – 加拿大

此加密法适用于哪些人：

该法适用于处理加拿大消费者个人商业活动数据的私营部门组织。这包括在国内运营但拥有跨越所有省或国家边界的个人数据的企业 – 除了完全在以下地区运营的组织：

阿尔伯塔 不列颠哥伦比亚省 魁北克。

该法律不适用于不从事商业，营利性活动的组织。

它需要什么：

法律规定，个人和加拿大隐私专员办公室（OPC）可以对未按规定使用收集的个人数据的公司提出投诉，或实施适当的安全保障措施。随后调查的结果可能导致对组织的费用和处罚。

你应该做什么：

如果企业出于商业目的处理加拿大消费者的个人数据，您应该确保：

· 仅将消费者的个人信息用于收集的特定目的。

· 实施适合信息敏感性的安全保护措施，其中应包括加密。

细节：

加拿大有自己的数据隐私法规：例如“ 个人信息保护和电子文件法”（PIPEDA）。该联邦隐私法适用于私营部门组织，并概述了企业在商业活动过程中必须如何处理个人信息。虽然这是加拿大的法律，但它也适用于在国内运营并处理跨越省或国界的个人数据的企业。

与GDPR非常相似，法律规定一个人的个人信息只能用于收集的目的，因此公司不能说他们只收集服务相关功能的信息然后转身使用联系人用于营销目的的信息。相反，他们必须再次获得同意，同时指定信息将用于该新目的。法律还规定，人们有权访问其个人信息并质疑其准确性。

所有在PIPEDA下运营的企业都必须遵循10项公平信息原则： 问责制、确定目的、同意、限制收集、限制使用，披露和保留、准确性、保障、透明度、个人访问、挑战合规性、贯穿这一密集且措辞奇怪的规则是“通过适合信息敏感性的安全保护来保护信息……”这一条款虽然法规没有规定特定的保护措施，这可能是由于技术的不断变化而设计的，可能需要使用加密，防火墙和安全补丁。

不遵守规定应该是受保护组织的关注点。正如全球新闻报道：

“如果联邦政府决定起诉一个案件，那么如果个人受到安全漏洞的影响，未能报告可能造成重大损害的行为可能会使私营部门组织面临高达10万美元的罚款。”

这些加密法律对您意味着什么

正如我们在开始时所说，根据行业或地点，其中一些法律可能不适用于的业务。但是，重要的是要知道哪些是有效的，因为一些加密法律和法规，如GDPR和PCI DSS，具有深远意义，适用于超出其地理边界的组织。例如，GDPR适用于欧盟内外处理欧盟公民个人信息的组织，PCI DSS几乎适用于任何处理信用卡付款的人。

可以做些什么来提高数据安全性？一般而言，有一些保护方法应该全面实施（无论行业或地点），以符合数据隐私和加密法律：

使用SSL / TLS保护传输中的数据

当通过互联网等开放式网络传输信息时，无法控制信息在此过程中将通过哪些服务器和设备。这就是为什么组织内的所有内容都必须通过网站使用安全的加密连接。

没有办法解决这个问题：如果在网站上处理敏感数据的传输，例如消费者的个人和财务信息，则需要使用安全的加密协议（HTTPS）。这意味着使用SSL / TLS（安全套接字层/传输层安全性）证书。HTTP不安全（即使谷歌也这么说），并使网站及其访问者容易受到攻击。

当在自己的网站上使用SSL时，它会通过显示挂锁来向网站访问者保证，该挂锁表明该网站是安全的。