我国已颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规，出台了《云计算服务安全评估办法》《汽车数据安全管理若干规定（试行）》《生成式人工智能服务管理暂行办法》《互联网政务应用安全管理规定》等政策文件，建立了关键信息基础设施安全保护、云计算服务安全评估、数据出境安全管理、网络安全服务认证等一系列重要制度。目前，我国网络安全政策法规体系基本形成，已基本构建起网络安全政策法规体系的“四梁八柱”。

开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。数据处理者应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。互联网平台运营者应建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。

网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人信息。处理个人信息时，亦应当遵循合法、正当、必要和诚信原则，另应具有明确、合理的目的，采取对个人权益影响最小的方式，公开处理规则，保证信息质量，采取安全保护措施等。这些原则应贯穿于个人信息处理的全过程、各环节。《个人信息保护法》在“知情-同意”框架外，还规定了单独同意制度，即在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意；明确个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。处理个人信息达到一定规模的运营者和应用者应设立专职个人信息保护负责人，负责对个人信息处理活动及采取的保护措施等进行监督。