金融行业科技部安全专员数据安全审计手册.docx

金融行业科技部安全专员数据安全审计手册

第1章数据安全合规与制度体系

1.1法律法规与标准规范解读

首先明确国家层面《网络安全法》与《数据安全法》的核心义务，规定任何单位或个人在收集、使用、加工、传输、提供、公开其个人信息或者敏感信息时，必须遵循“合法、正当、必要”原则，并履行告知、同意等法定手续，否则将面临巨额罚款甚至刑事责任。其次研读《个人信息保护法》中关于“最小必要”原则的具体界定，强调在数据采集阶段必须进行身份识别与授权，严禁超范围收集、超范围使用，且对敏感个人信息（如生物识别、医疗健康、金融账户等）实行更严格的分级分类保护。

接着对照GB/T39786-2021《信