在我國，資料安全治理同樣需要遵循國家級的安全政策和行業內的安全政策。

網路安全法

《×××網路安全法》(以下簡稱：網路安全法)，由×××第十二屆×××常務委員會第二十四次會議於2016年11月7日通過並公佈，自2017年6月1日起施行。

在該報告明確地對個人隱私資料和國家重要資料提出了保護要求，其中包含一些具體化的措施要求，比如：

（1）採取監測、記錄網路執行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；

（2）採取資料分類、重要資料備份和加密等措施；

該法案，對中國所有政府單位和企業的IT系統建設、資料採集和應用產業造成深遠影響；並隨之配套產生的《資料出境管理辦法》、《個人隱私資料管理辦法》、《大資料安全標準》等，將對資料安全行業的發展產生重要影響。

等級保護政策

全稱為《資訊保安等級保護管理辦法》規定，由公安部牽頭推動，國家資訊保安等級保護堅持自主定級、自主保護的原則。資訊系統的安全保護等級應當根據資訊系統在國家安全、經濟建設、社會生活中的重要程度，資訊系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

所有的政府單位、央企、金融單位、網際網路企業等都將接受該管理辦法的約束；等級保護在過去的10年中，是我國資訊保安建設中最重要的需要遵循的法規。

GDPR

GDPR即《通用資料保護條例》是歐盟在2015年頒佈，2018年5月25日正式實施，堪稱史上最嚴格的資料保護法案：

GDPR第八十三條規定了對不同違法行為的處罰標準：

1)對未採取技術或管理措施來避免、降低隱私侵權損害的資料控制者或處理者，最高可處以1000萬歐元或全球營業額的2%（以較高者為準）作為罰款。

2)對違反個人資料收集和處理原則，沒有保障資料主體權利的資料控制者或處理者，最高可處2000萬歐元或全球營業額的4%（以較高者為準）作為罰款。

第三條第一款規定，只要資料的控制者或處理者在歐盟境內設有辦公地點，無論收集資料和使用資料的行為是否發生在歐盟境內，都要遵守GDPR法案。哪怕只有一個人的辦事處也屬於適用範圍。

第三條第二款還規定，在兩種特殊情形下，只要是資料控制者或處理者收集或使用了歐盟內資料主體的個人資料，即使並未在歐盟境內設有辦公地點，也要遵守GDPR，這兩種特殊情形是：

1）向歐盟內的資料主體提供商品或服務，無論是有償還是無償。

2）對歐盟內的資料主體在歐盟境內的行為進行監控的組織。

這一條款對於在華的與歐盟有關的外企，進軍歐盟的中國企業，特別是網際網路企業來說非常重要。

其它重要或行業相關的政策要求舉例

a) 個人資訊保安管理規範

b) 中央企業商業祕密保護暫行規定

c) 銀行業金融機構資料治理指引

d) PCI-DSS、Sarbanes-Oxley Act（SOX法案）、HIPPA