瑞士网络安全法律与实践

1. 法律法规概述

1.1 网络安全监管战略

瑞士是一个由26个联邦州（州）和一个联邦政府组成的联邦制国家。这导致了瑞士法律体系的层级化，以及有时分散的官方网络安全策略。瑞士的网络安全与数据保护领域密切相关。网络安全通常被视为数据安全的衍生领域，甚至是其同义词。顾名思义，数据安全旨在保障数据处理和存储活动的安全性和弹性。

政府对网络安全的重视还体现在另一项政府举措------"数字瑞士战略"上。该战略为瑞士的数字化转型制定了指导方针，并由瑞士联邦委员会每年更新，每次更新都会聚焦三个主题。该战略对联邦政府具有约束力，并为参与数字化进程的其他利益相关者提供指导。首个"数字瑞士战略"于2016年发布，并分别于2018年、2020年、2023年、2024年和2025年进行了更新。2025年12月12日，瑞士联邦委员会通过了2026年更新版"数字瑞士战略"。

2023年，瑞士联邦委员会批准了新的《瑞士数字行政战略（2024-2027）》，该战略明确了各联邦、州、市、镇需要优先推进的行动领域，以便共同决定如何推进行政部门的数字化转型。瑞士联邦委员会批准的另一项战略是《联邦数字行政战略》，该战略为联邦政府的数字化转型项目构建了框架。

1.2 网络安全法律

在联邦层面，1999年4月18日瑞士宪法保护隐私权，特别是个人数据免遭滥用的权利（第13条）。私人机构收集和使用个人数据的行为在联邦层面受到监管，主要受《联邦数据保护法》（FADP）及其相关条例（包括《数据保护条例》（DPO））的约束。

公共机构的数据处理受联邦机构《联邦数据保护法》(FADP) 的管辖，该法适用于联邦机构，包括履行公共任务的私营组织，如医疗保险提供商、养老基金等；而州和市镇机构的数据处理则受州法律（例如，苏黎世州的《信息和数据保护法》）和市镇法律的管辖。

为了落实修订后的欧洲委员会第108号公约，并使其与欧盟《通用数据保护条例》（GDPR）更加一致，欧盟《联邦数据保护条例》（FADP）进行了修订。修订后的FADP和《数据保护条例》（DPO）于2023年9月1日生效。

尽管《联邦数据保护法》（FADP）和《通用数据保护条例》（GDPR）在方法和目的上相似，但仍存在显著差异。例如，FADP和GDPR都规定了数据泄露通知义务，但FADP中向瑞士联邦数据保护和信息专员（FDPIC）报告个人数据泄露的触发条件是"高风险"，而GDPR则规定任何相关风险都需要通知。2025年2月6日，FDPIC发布了关于FADP下数据泄露通知义务的非约束性指南，并于2025年4月23日进行了更新。另一个关键区别在于相关机构的积极性：欧洲经济区（EEA）内的许多监管机构更为积极，提供指南和/或执行GDPR，而FDPIC通常不愿采取果断立场，也很少为私人机构提供指南。不过，FDPIC已根据修订后的FADP启动了多项调查。

《联邦数据保护法》（FADP）和《数据保护官条例》（DPO）规定了确保个人身份信息数据安全达到适当水平的一般性要求。修订后的FADP要求采取最先进的数据安全措施，但并未具体规定技术标准。然而，其中一项具体的安全要求是，联邦机构和大规模处理敏感数据或进行"高风险画像"（一种会导致人格画像的画像形式）的私人机构必须记录数据操作日志。这些日志必须足够详细，并且必须至少保存一年，与生产环境分开存放。此外，修订后的法规规定，在特定情况下，数据控制者和处理者有义务向联邦数据保护和信息专员办公室（FDPIC）报告数据安全漏洞，并可能向数据主体报告。此外，还引入了其他合规和文档措施，例如数据保护影响评估和处理活动记录，以及维护处理规则的义务。

2020年12月18日颁布的《信息安全法》（ISA）将于2024年1月1日生效，该法规范联邦政府及其行政机构的信息安全实践。根据ISA，多项法令进一步明确并实施了信息安全要求，并废除了（除其他事项外）《联邦行政网络风险防护条例》（CyRV）。值得注意的是，ISA的一项重要内容是引入了针对公共机构（例如大学）、联邦、州和市级机构、跨州、州级和跨市级组织以及关键基础设施提供商（例如能源、金融、医疗保健、保险、交通、通信和IT行业）的网络攻击报告义务。符合该义务的机构必须在24小时内向国家网络安全中心（NCSC）报告网络攻击，前提是攻击符合相关阈值和定义。该报告义务已于2025年4月1日生效。

除了《信息安全法》（ISA）之外，网络安全主要仍由各种法案和监管指南拼凑而成，这些法案和指南或明示或暗示地涉及私营部门的网络安全。这些法律包括：

《布达佩斯网络犯罪公约》（CCC）于 2012 年 1 月 1 日在瑞士生效，该公约规定瑞士的刑法必须统一，并建立快速的国际合作机制；
FADP；
1997年4月30日颁布的《联邦电信法》（TCA）及其相关条例，自2023年1月1日起，其中包含具体的信息安全和网络威胁抵御要求；
2015 年 6 月 19 日的《联邦金融市场基础设施和证券及衍生品交易市场行为法》（FinMia）------这项银行业和金融市场立法也促使金融市场监管机构瑞士金融市场监管局（FINMA）发布了各种通告和监管通知。

然而，瑞士政府近年来对网络安全日益重视，鉴于网络安全的重要性及其在国家层面的意义，目前尚未出台一部统领全局的网络安全专项法律，这或许会让人产生误解。尽管如此，这一结论不太可能促使瑞士议会在近期内颁布任何关于网络安全的专项立法。相反，联邦政府一直遵循《瑞士国家网络风险防护战略》（NCS）。

国家网络安全战略（NCS）最近一次更新是在2023年4月。该战略阐述了联邦政府、各州、企业界和高校为应对网络威胁而制定的目标和措施。一个指导委员会已经成立，负责规划和协调该战略的实施。修订后的NCS在以往战略的基础上，增加了内容和细节。它定义了17项措施，每一项措施都有助于实现五个战略目标，即：

自我赋能（瑞士将巩固其作为世界领先的网络安全知识、教育和创新中心之一的地位）；
保障数字服务和基础设施安全（瑞士将采取措施加强网络韧性）；
确保有效检测、预防、管理和防御网络事件（瑞士应确保具备快速识别网络威胁和事件并最大限度减少损失所需的能力和组织结构）；
有效打击和起诉网络犯罪（瑞士将扩大其识别和起诉威胁行为者的能力）；
在国际合作中保持领导地位（瑞士致力于促进开放、自由和安全的网络空间，并在数字空间遵守国际法）。

然而，瑞士国家网络安全准则（NCS）并未计划实施专门的网络安全立法，而是着重于对现有法律进行现代化改造。更新后的NCS体现了网络安全在瑞士日益增长的重要性，同时也反映了网络风险带来的全球威胁日益加剧。

2025年5月14日，瑞士联邦委员会审议了《国家网络战略》首份实施报告。该报告概述了瑞士在加强国家网络安全方面取得的进展。这份由国家网络安全战略指导委员会与国家网络安全中心合作编写的报告重点介绍了切实取得的成果，包括关键协调机制的建立、现有举措的推广、新项目的启动以及瑞士在网络安全领域国际地位的提升。

1.3 网络安全监管机构

联邦数据保护和信息专员办公室 (FDPIC) 是根据《联邦数据保护法》(FADP) 在联邦层面设立的机构。FDPIC 负责监督联邦机构遵守 FADP 和其他联邦数据保护法律法规的情况，并为私营机构提供咨询。FDPIC 可主动或应第三方要求对私营机构的数据处理行为进行调查。此外，每个州都设有自己的数据保护机构，这些机构通常有权监督州级和市级机构（但不包括受 FDPIC 管辖的私营机构）。其他监管机构，例如瑞士金融市场监管局 (FINMA)，也可能在数据保护执法中发挥作用（详见下文）。

值得一提的是，网络安全领域的关键官方机构是国家网络安全中心（NCSC），即联邦网络安全局（Bundesamt für Cybersicherheit，简称BACS），它是联邦国防、民防和体育部（DDPS）下属的联邦机构。事实上，为了集中管理该领域的行政活动，信息保障报告与分析中心（MELANI）、GovCert和网络犯罪协调小组（CYCO）等其他机构也并入了NCSC。因此，NCSC是联邦政府网络安全领域的权威机构，也是企业、公共机构、教育机构和公众在所有网络安全相关事务上的主要联络点。其职责包括提高公众意识、接收网络安全事件报告以及支持关键基础设施运营商应对这些事件。保护联邦政府免受网络攻击，现在是新成立的联邦安全政策秘书处（Sepos，同样隶属于DDPS）下属的一个专门机构的关键任务。

FADP并未赋予非政府组织和自律组织（SRO）官方角色。例如，此类组织无权对被认为违反隐私法的公司提起民事诉讼。然而，尽管有一些组织（包括一些消费者保护组织）致力于促进隐私，但它们并非基于法律授权开展这些工作。

国家网络安全中心 (NCSC) 是网络安全领域的主要官方机构。GovCERT.ch 是瑞士的计算机应急响应小组 (CERT)。其职责包括支持瑞士关键信息技术基础设施应对网络威胁。GovCERT.ch 与其他 CERT 组织保持密切联系，致力于促进网络威胁相关信息的交流。此外，由于瑞士缺乏独立的网络安全立法，联邦数据保护和信息专员办公室 (FDPIC) 拥有强大的特权。

鉴于瑞士的联邦制，还应注意其他州级和跨州机构也发挥着信息共享的作用。跨州瑞士犯罪预防服务机构（德语缩写为SKP，法语和意大利语缩写分别为PSC）就是一个典型的例子。该机构致力于促进跨州警务协调以及犯罪预防措施。

瑞士金融市场监管局（FINMA）是银行业和金融领域的监管机构。作为其法定职责的一部分，在监管受监管金融机构的过程中，FINMA 也可能要求其遵守适用的数据保护和数据安全法规。

联邦通信局（OFCOM）是负责通信领域法律和技术要求正确实施的联邦机构，在电信领域发挥着尤为重要的作用。在不正当竞争领域，如果涉及公共利益，瑞士联邦经济事务秘书处（SECO）代表瑞士联邦参与民事和刑事诉讼。

此外，以下机构也可能间接地对网络安全领域具有管辖权：

联邦民航局（在航空领域发生与安全相关的数据泄露事件时）；
联邦核安全监察局（在发生与该行业相关的数据泄露事件时）；
联邦环境、交通、能源和通信部（DETEC），尤其是在国家铁路行业方面；
Swissmedic 会收到有关严重事件的通知，其中可能包括与医疗器械软件相关的事件。

2. 关键基础设施网络安全监管

2.1 关键基础设施网络安全监管范围

ISA规定，如果网络攻击影响到关键基础设施，则必须报告违规行为。此外，联邦国家经济供应办公室（FONES）发布了一份最低信息和通信技术（ICT）标准文件，以及一份面向关键基础设施运营商的ICT自评估工具。该文件部分依据了应用较为广泛的美国国家标准与技术研究院（NIST）框架的要求。

2.2 关键基础设施网络安全要求

关于关键基础设施网络安全要求，请参阅2.1 关键基础设施网络安全法规的范围。

2.3 事件响应和通知义务

关于事件响应和通知义务，请参阅2.1 关键基础设施网络安全法规的范围。

2.4 国家责任和义务

关于国家责任和义务，请参阅2.1 关键基础设施网络安全监管范围。

3. 金融领域的运营韧性

3.1 金融部门运营韧性监管的范围

作为金融市场监管机构，瑞士金融市场监管局（FINMA）经常采纳和修订各种通告和通知。其中，第2023/01号通告《银行运营风险与韧性》是所有银行网络安全实践的核心，它阐述了与客户身份识别数据（CID）相关的适当风险管理原则和指南。该通告要求银行和投资公司在知悉某些网络攻击后24小时内进行报告，并在72小时内提交完整报告。

FINMA 2018/3 号通函关于银行和保险公司外包的规定是另一份重要的文件，因为它包含了外包环境下数据安全的规则。

在银行业和金融市场领域，监管机构瑞士金融市场监管局 (FINMA) 负责监管相关参与者（包括银行、保险公司、金融机构、集体投资计划和基金管理公司），并在网络安全领域发挥着重要作用。事实上，鉴于金融业在瑞士的重要性，数据安全和网络安全是其核心关注点。FINMA 每年发布风险监测报告，概述其认为尤为重要的风险。2023 年和 2025 年的报告均强调，网络风险仍然是最大的运营风险之一，并指出针对外部服务提供商的恶意软件攻击呈上升趋势。

如果违反行业规则，FINMA拥有多种执法手段，包括吊销执业许可证、罚款甚至监禁。FINMA有时也会出于预防目的，采取"公开点名"策略，即公开任何违反监管规则的行为者的姓名。

3.2 信息通信技术服务提供商合同要求

**如2.1节"关键基础设施网络安全法规的范围"**所述，ISA规定，如果网络攻击影响到关键基础设施，则必须报告违规行为。此外，FONES发布了最低信息通信技术（ICT）标准文件以及面向关键基础设施运营商的ICT自评估工具。该文件部分基于其所引用的、应用相对广泛的NIST框架的要求。

3.3 关键运营韧性义务

关于关键运营韧性义务，另请参阅1.1 网络安全监管战略 和1.2 网络安全法律。2024 年 6 月 7 日，瑞士金融市场监管局 (FINMA) 发布了关于网络风险的监管指南 03/2024，其中包括：

FINMA网络风险监管调查结果，包括对银行的深入调查；
根据第2023/1号通函《运营风险与韧性》，提供有关基于情景的网络演习的信息；
对 FINMA 指南 05/2020 中关于网络攻击报告要求的澄清。

此次澄清涉及《金融市场监管法》第29条第(2)款规定的报告义务，该条款要求受监管机构向瑞士金融市场监管局（FINMA）报告某些重大事件。此次澄清建立在FINMA此前发布的指南03/24和指南05/2020的基础上。FINMA的预期澄清如下。

报告截止日期

瑞士金融市场监管局 (FINMA) 确认，相关机构必须在发现网络攻击后的 24 小时内向 FINMA 报告（有关此期限的开始时间，请参见下文）。在这最初的 24 小时内，相关机构必须对攻击的严重性进行初步评估，以确定该网络攻击是否需要向 FINMA 报告。正式报告必须在 72 小时内通过 FINMA 的调查和申请平台 (EHP) 提交。

对首份报告的预期

瑞士金融市场监管局（FINMA）指出，首次报告的及时性至关重要。对于报告的形式或内容没有具体要求，提交的首次报告也可以撤回。

初步报告可以非正式地提交，例如通过电子邮件或电话。其目的是根据初步评估反映当时已知的事实。当然，后续的澄清可能表明，初步报告并非强制性的。因此，机构可以随时撤回其初步报告，这促使它们采取更为谨慎的态度。

如果一家机构还需遵守经修订的《投资安全法》（ISA）的报告要求，则可通过相关机构------国家网络安全中心（NCSC）提交初始报告。据目前所知，如果报告机构选择此选项，NCSC 会自动且不经筛选地将报告转发给瑞士金融市场监管局（FINMA），因此很可能是立即转发。之后，正式报告仍需通过电子门户网站（EHP）提交。

对实际报告的预期

FINMA 指南 05/2020 要求，对于严重程度为"中等"或以上的网络攻击报告，必须提交最终根本原因报告，该报告至少应包含内部或外部调查或取证报告（更多要求请参见 FINMA 指南 05/2020）。FINMA 现已明确，对于严重程度为"高"和"严重"的攻击，根本原因报告应包含以下方面：

网络攻击成功的原因；
此次攻击对遵守监管要求、机构运营及其客户的影响；以及
为应对此次攻击的影响而采取的缓解措施。

对于被归类为"严重"的网络攻击，提交的材料中必须包含危机组织运作能力的证据和分析。

截止日期的计算

FINMA 已确认其现有做法：如果外包服务提供商检测到机构遭受攻击，则 24 小时窗口期从服务提供商意识到攻击时开始计算，缩短留给机构的时间，以便平等对待未将任何功能外包给其他机构的机构。

计算初始报告和后续报告的截止日期时，仅计入银行工作日。但对于严重级别为"严重"的攻击，则适用例外情况。在这种情况下，初始报告的截止日期也适用于银行工作日之外。FINMA 的规定应理解为，后续报告的截止日期不受此限制。

值得注意的是，尽管瑞士金融市场监管局 (FINMA) 的指导方针与欧盟《数字运营弹性法案》(DORA) 或其二级和三级立法在几个方面相似，但 FINMA 并未正式将其指导方针与该法案或其二级和三级立法保持一致。

3.4 运营韧性执行

关于运营弹性执行，请参阅1.1 网络安全监管战略 和1.2 网络安全法律。

3.5 国际数据传输

《瑞士个人数据保护法》（FADP）旨在保护个人数据被处理的自然人的人格权和基本权利。因此，FADP包含关于在数据传输到国外（例如传输到数据保护水平低于瑞士的国家）时如何保障此类保护的条款。

如果瑞士联邦委员会认定相关国家或国际机构的法律能够提供充分的保护，则控制者或处理者可以将个人数据传输到国外。因此，瑞士联邦委员会以具有约束力的方式决定允许向哪些国家/地区导出数据。

另一方面，在瑞士联邦委员会未作出此类决定的情况下，个人数据只有在得到适当保护的情况下才能向境外披露。因此，必须满足以下至少一项条件：

一项国际条约；
控制者或处理者与其签约伙伴之间的合同中的数据保护条款，已事先告知联邦数据保护和信息专员；
由主管联邦机构制定并事先传达给联邦数据保护和信息专员的具体保障措施；
先前经联邦数据保护和信息专员办公室 (FDPIC) 批准、制定或认可的标准数据保护条款；以及
先前经 FDPIC 或负责数据保护且属于保证充分保护的国家的外国机构批准的具有约束力的公司规则 (BCR) 的数据保护规定。

适用于国际数据传输的机制或例外情况

《联邦数据保护法》（FADP）规定，如果向国外披露个人数据会严重危及数据主体的人格权，则不得向国外披露个人数据。如果数据输出国没有能够保障充分数据保护水平的法律，则可能出现对数据主体人格权的严重威胁。但是，如果满足上述条件之一，则可以允许向此类国家/地区传输数据。

关于欧盟委员会发布的标准合同条款（SCC），瑞士联邦数据保护和信息专员办公室（FDPIC）正式承认瑞士向第三国进行国际数据传输的标准合同条款，但前提是必须同意进行某些更改以符合瑞士法律（以及瑞士不是欧洲经济区成员国这一事实）。

仅对于受 GDPR 约束的数据传输，可以使用未经修订的标准合同条款 (SCC)。因此，双方应确定相关数据传输是仅适用《联邦数据保护条例》(FADP)，还是同时适用 FADP 和 GDPR。

欧盟标准合同条款 (SCC) 要求进行"传输影响评估"(TIA)。如果瑞士公司使用欧盟 SCC（无论依据 GDPR 还是 FADP），也同样需要进行 TIA。作为 TIA 的一部分，瑞士数据出口商必须针对具体情况，检查接收国关于官方访问（例如，出于国家安全或刑事诉讼目的）的法律以及数据主体的权利是否与瑞士数据保护法和瑞士宪法原则相符。

此外，瑞士近期实施了瑞士-美国数据保护框架（DPF）。DPF能否持续有效尚待观察，目前许多公司选择在依赖DPF的同时，也使用标准合同条款（SCC）。

最后，FDPIC 指出，如果向受 BCR 约束的公司集团之外进行数据传输，则内部公司数据保护条例（即 BCR）不能替代标准合同条款 (SCC)。

3.6 威胁主导的渗透测试

瑞士法律目前并未规定威胁驱动型渗透测试 (TLPT) 的要求，但瑞士金融市场监管局 (FINMA) 期望银行和证券交易商定期进行渗透测试（根据其第 2023/1 号通函《运营风险》）。此外，如果瑞士金融机构在欧盟境内运营，或与欧盟金融机构或其客户存在关联，则可能需要遵守《数据保护条例》(DORA)。同样，与欧盟金融机构有关联的瑞士公司，如果向其欧盟合作伙伴提供集团内部信息通信技术 (ICT) 服务，也需遵守 DORA。此外，瑞士 ICT 服务提供商一旦计划向欧盟境内的相关金融机构提供服务，也需遵守 DORA。最后，尽管瑞士数据保护法并未明确要求进行渗透测试，但在特定情况下，如果渗透测试是最低安全要求，则可能被强制执行。

4. 网络韧性

4.1 网络韧性立法

关于网络韧性立法，请参阅1.1 网络安全监管战略 和1.2 网络安全法律。

4.2 法律规定的主要义务

关于立法规定的关键义务，请参阅1.1 网络安全监管战略 和1.2 网络安全法律。

5. 信息通信技术产品、服务和流程的安全认证

5.1 关键网络安全认证法规

《联邦数据保护法》（FADP）第13条对认证事宜作出了规定。软件和系统供应商、数据控制者及其分包商均可委托独立的认可机构对其产品进行验证。这些认证证明其产品符合《联邦数据保护法》的要求。

除了确保符合数据保护标准外，这些认证还具有诸多优势。根据《联邦数据保护法》（FADP）第22条第5款，遵守行为准则或持有认证的数据控制者可免于进行通常要求的数据保护影响评估。即使接收国的数据保护水平未达到被认为足够的标准（《数据保护法》（DPO）第12条），这些认证也可作为授权向境外传输数据的依据。然而，迄今为止，瑞士法律中很少使用认证机制。

6. 其他法规中的网络安全

6.1 网络安全和数据保护

关于网络安全和数据保护，另请参阅1.2网络安全法。唯一真正具有统领性的法律体系是联邦数据保护立法，即《联邦数据保护法》（FADP）及其执行条例，特别是《数据保护条例》（DPO）。FADP和DPO均包含数据安全条款，但瑞士立法者采取技术中立的态度，导致这些数据安全规则较为抽象，并未提及任何具体技术、标准或技术要求，仅规定了必须保留某些高风险处理活动的日志。根据FADP，故意不实施某些最低技术和组织措施可能导致相关责任人被处以最高25万瑞士法郎的刑事罚款，但目前对于是否存在具有约束力的最低措施仍存在争议。

2020年12月18日颁布的《信息安全法》（ISA）将于2024年1月1日生效，该法规范联邦政府及其行政机构的信息安全实践。根据ISA，多项法令进一步明确并实施了信息安全要求，并废除了（除其他事项外）《网络安全条例》（CyRV）。值得注意的是，ISA的一项重要内容是引入了针对公共机构（例如大学）、联邦、州和市级机构、跨州、州级和跨市级组织以及关键基础设施提供商（例如能源、金融、医疗保健、保险、交通、通信和IT行业）的网络攻击报告义务。符合相关阈值和定义的组织必须在24小时内向国家网络安全中心（NCSC）报告网络攻击。

更广泛地说，近年来瑞士的政策讨论表明，网络安全正逐步从最初的纯粹技术问题演变为主流法律议题。网络安全如今不仅是围绕数据保护和数据安全（涵盖金融、电信等多个领域）的法律讨论的一部分，也成为保险法等其他法律分支的关注焦点。

此外，联邦层面的政策讨论预计短期内不会促成任何全面的网络安全法出台。然而，该议题仍处于高度动态变化之中，并高度依赖于国际形势的发展。鉴于瑞士的国土面积和地理位置，网络安全领域迅速出台相关法律法规的可能性很大。

6.2 网络安全与人工智能

关于网络安全和人工智能，另请参阅6.1 网络安全和数据保护。瑞士目前尚无关于人工智能使用的总体性法规。

联邦数据保护和信息专员办公室 (FDPIC) 已发布声明和非约束性指南，阐述如何处理这些领域的数据保护问题。例如，FDPIC 指出，《联邦数据保护法》(FADP) 直接适用于基于人工智能的数据处理，并期望人工智能系统的制造商、提供商和用户确保人工智能处理的目的、功能和数据来源的透明度。

此外，针对特定行业的法规也涵盖了具体的数据保护问题。例如，瑞士政府制定了联邦政府内部人工智能应用的一般性指导框架，瑞士金融市场监管局（FINMA）发布了针对金融和保险行业的关于外包和数据安全的约束性指南，以及关于银行和金融机构使用人工智能的治理和风险管理的第08/2024号指导文件，其中阐述了其监管预期。

以下 FADP 安全措施可应用于 AI 系统。

隐私设计/默认隐私------数据控制者有义务从一开始就实施技术和组织措施，以确保数据处理符合数据保护要求。
开展影响评估的义务------如果计划进行的数据处理可能对数据主体或其基本权利构成高风险，数据控制者必须首先开展数据保护影响分析。尤其在大规模处理敏感数据或系统性监控公共领域的大片区域时，存在较高的风险。
自动化决策的透明度义务------数据控制者必须告知数据主体任何完全基于自动化个人数据处理而作出的、对数据主体具有法律效力或对其产生重大影响的决策。数据主体还有权表达其观点，并要求由自然人对该决策进行复核。如果数据主体已明确同意以自动化方式作出决策，或者该决策与合同的订立或履行直接相关且数据主体的请求已得到满足，则上述措施不适用。如果自动化决策由联邦机构作出，则该机构必须明确表明其为自动化决策。如果数据主体在决策作出前无需被听取意见，则数据主体表达观点和要求由自然人对该决策进行复核的权利不适用。数据主体在行使其访问权时，尤其会收到有关是否存在自动化决策以及该决策所依据的逻辑的信息。
正式法律依据的要求------联邦机构只有在具备法律依据的情况下才有权处理个人数据。在以下三种情况下，法律依据必须以法律的正式形式规定：
1. 敏感数据（例如生物特征数据和基因数据）的处理；
2. 分析（如 FADP 所定义）；以及
3. 当处理的目的或方法可能对数据主体的基本权利造成严重损害时。

因此，即使没有敏感数据或用户画像，如果处理方法（例如，自动决策）可能会严重影响数据主体的基本权利，则使用人工智能可能需要正式的法律依据。

最终，在2025年2月12日，瑞士联邦技术、能源和环境部（DETEC）与瑞士联邦外交部（FDFA）向瑞士联邦委员会提交了一份关于人工智能监管可能方案的概述。基于这份概述，瑞士联邦委员会决定制定一项基于三大目标的瑞士人工智能监管方案：强化瑞士的创新优势；保障包括经济自由在内的基本权利；以及提升公众对人工智能的信任。为实现这些目标，瑞士联邦委员会制定了以下关键步骤：将欧洲委员会的《人工智能公约》（瑞士已于2025年3月27日签署）纳入瑞士法律；根据需要制定行业特定立法（跨行业监管应仅限于与基本权利相关的核心领域）；以及采取不具约束力的措施。

6.3 医疗保健领域的网络安全

关于医疗保健领域的网络安全，请参阅6.1 网络安全和数据保护。