2026年Nota Sign安全合规白皮书.docxVIP

安全合规白皮书

2026年01月

2026年1月

目录

一、引言 1

1.1背景 1

1.2目的和范围 1

1.3术语 2

二、法律与合规 3

2.1EUDPA欧盟数据保护监管及立法 3

2.1.1EDPB（欧洲数据保护委员会） 3

2.1.2DPC爱尔兰数据保护委员会 5

大型科技公司的主要监管机构 5

典型案例 6

2.1.3CNIL法国 6

监管重点：Cookie及机构在线追踪技术 7

典型案例：对Google的处罚案例 7

企业合规启示 8

2.1.4BfDI德国 8

典型案例 9

2.1.5ICO英国 9

注册制 10

典型案例 10

2.1.6AEPD西班牙（AgenciaEspa?oladeProteccióndeDatos） 11

典型案例 11

2.2欧盟《通用数据保护条例》（GDPR）简介 12

2.2.1GDPR处罚案例专题 13

Meta因非法收集生物识别数据向德克萨斯州支付14亿美元赔偿 13

爱尔兰数据保护委员会对LinkedIn开出3.36亿美元罚单 14

Uber因未妥善保护司机数据被罚款3.24亿美元 14

2026年1月

Meta因密码管理不当被罚款1.02亿美元 14

利哈伊谷健康网络因数据泄露达成6500万美元和解 14

万豪酒店就大规模数据泄露达成5200万美元和解 15

23andMe因数据泄露同意支付3000万美元和解 15

T-Mobile就数据泄露事件支付1575万美元和解金 15

ATT就云数据泄露支付1300万美元和解 15

0纽约州从保险公司获得1130万美元和解金 16

2.2.2AI产品处罚专题 16

OpenAI违反《通用数据保护条例》（GDPR） 16

DeepSeek被全球数据保护机构启动调查并遭下架 17

Meta被德国法院首判：可基于“合法利益”使用个人数据训练AI 18

2.2.3营销广告合规处罚专题 18

阿里速卖通DSA营销广告推送案调查 18

TCF2.0广告合规裁决：被裁定违反GDPR 19

2.2.4欧洲数据跨境办法专题分析 20

2.3美国（America） 24

2.3.1CCPA美国《加州消费者隐私法案》 24

2.3.2CPRA美国《加州隐私权法案》 26

2.3.314117号行政令 27

2.4亚太区域（AisaPaci?c） 32

2.4.1DEPA（数字经济伙伴关系协定） 33

2.4.2APEC-CBPR（跨境隐私规则） 34

2.4.3东盟（ASEAN） 34

东盟数据管理框架（东盟ADMF） 35

《东盟数据自由流动》（东盟AFCC） 35

2.4.4亚太地区国家个人信息保护相关法律法规（AsiaPaci?cPhase1） 36

新加坡《个人数据保护法》（PDPA） 36

马来西亚《2010年个人数据保护法案》马来西亚 37

2026年1月

泰国《个人信息保护法》 39

菲律宾《2012年数据隐私法案》 40

越南《个人数据保护法令》（PDPD） 41

印尼《个人数据保护法》（UUPDP） 42

中国香港《个人资料（私隐）条例》 43

中国《个人信息保护法》 45

2.5其他国家/地区立法（OtherRegionsCountries） 46

2.5.1巴西《通用个人数据保护法》（LGPD） 47

2.5.2沙特阿拉伯《个人数据保护法》（PDPL） 48

2.5.3澳大利亚《1988年隐私法》及《澳大利亚隐私原则》（APPs） 49

2.5.4南非《个人信息保护法》（POPIA) 50

三、信息安全标准体系 52

3.1ISO/IEC系列标准简介 52

3.1.1ISO/IEC27001信息安全管理体系ISMS 53

3.1.2ISO/IEC27018作为公共云处理者保护个人身份信息（PII）的指南 54

3.1.3ISO/IEC27017基于ISO/IEC27002的云服务信息安全控制实践指南 54

3.1.4IS