数据安全：护航数字经济高质量发展

数经据济安高全质：量护发航展数字 于《2网0络25数年据1月安1全日管正理式条生例效》。历经3年正式发布， 2024年10月 增企强业数基据本安的全合保规障义能务，力是也是竞争企力业的在应数时字之化举时代保持 增数据强安数全管据理安正全经历保着障从能立法力到是实践基的本逐合步转规变义。务目前， 企业仍需密切关注，积极合规。 个安灵人全活信的便息规捷保范的护化数监和据管系出闭统境环化监已管日理机制益。重的完善探要索数，据也的同还识步在别促持和进续保推护进、。 数随着据大安数据全、是人技工智术能创和新区块的链动等新力兴和技底术的气广泛应用， 企业并应需对不潜断在更风新险安。全措挑战施。，为并高确度保技关术注创数新据顺安全利进，行以，识企别 制度，应健急全处网置络工数作据体监系测。预警和 明力确，指建出立：数增据分强类数据分级安全保保护基础能 《数字中国建设整体布局规划》 2023年共中央、国务院印发了 保护好数据就是保护好核心竞争力 数据中的蕴安含全着与商保 接密户到 和的市业场务洞稳察定等性 这市些场 地，实现可持续发展。 竞性争和力可。用只性有，通企过业加才强能数在据激安烈全的管市理场，竞确争保中数立据于的不完败整之 《首个网络国数务据院安正全式管发理布条的例管》理是条例网安法、数安法、个保法下 2015 •在中华人民共和国境内开展网络数据处理活动及其安全监督管理； 7国月国1家日安，全《法中》华（人国民安共法和） 2017 •二在款中规华定人情民形共的和依国法境适外用处；理中华人民共和国境内自然人个人信息的活动，符合个保法第三条第 适用范围 正式颁布并生效 6共月和1国日网，络《安中全华法人》民 •在中华人民共和国境外开展网络数据处理活动，损害中华人民共和国国家安全、公共利益或者 2019 5办月公，室国关家于互《联数网据信安息全 （网安法）正式生效 •自然 益家庭的 任的，不适用本条例。 管稿理）办》法公（开征求意见 2021 重点关注 2021 9共月和1国日数，据《安中全华法人》民 •般数规据定安：全治理方针 •定国数家据安处全理审活查动要求： 特 法）正式生效 1国1个月人1日信，息《保中护华法人》民（共个和保 2024 议审议通过《网络数据 8月30日，国务院常务会 安全管理条例（草案）》 （数安法）正式生效 2021 办11公月室1日关，于国《家网互络联数网据信安息全管公理开条征例求（意征见求意见稿）》 2024 9月30日，《网络数据 •数据安全生命周期管理 •数据安全管理技术 •数据安全管理体系 •重要数据安全管理 违规后果 •个人信息保护 •数据出境安全管理 •网络平台服务提供者数据安全管理 教育行业、电信行业及汽车行业等的数据安全相关管理办法。 补充： 安20全25管年理1月条1例日》生签效发，中截国至人20民24银年行9月、，教已育有部多发个布行了业关主于管工部业门和，信包息括化工领业域和、金信息融化行部业、 •主要参照网安法、数安法、个保法，针对一般规定、网络安全审查和重要数据安全，作出以下 罚款（单位最高一千万元，直接负责的主管人员和其他直接责任人员最高一百万元） 单销相位关可业责务令许改可正证，或给者予吊警销告营，业没执收照违等法所得，责令暂停相关业务、停业整顿、关闭网站吊 数据分类分级是数据安全治理的基础 国家安全 获权益取、、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织 影响对象 经济运行 影响程度 公共利益 个人权益 Critical特别严重危害 Major严重危害 General一般危害 Noimpact无危害 根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、损毁或者非法 组织权益 社会秩序 数据三个级权别益。造按成照的数危据害一程旦度遭，到将泄数露据、从篡高改到、低损分毁为或核者心非数法据获、取重、要非数法据使、用一、般非法度，共将享一，般对数经据济可运以行从、低社到会高秩分序为、公1共级利、益2或级个、人3级、、组4织级合共法四权个益级等别造。成的危害程 数据分安类全 数据等级安全 影响对象数据定级 要素影响程度 一般数据 1级 个人权益、组织权益 无危害 2级 个人权益、组织权益 一般危害 3级 个人权益、组织权益 严重危害 4级 个人权益、组织权益 特别严重危害 经济运行、社会秩序、公共利益 一般危害 重要数据 经济运行、社会秩序、公共利益 严重危害 国家安全 一般危害 核心数据 经济运行、社会秩序、公共利益 特别严重危害 国家安全 特别严重危害或严重危害 参考：GB/T43697-2024《数据安全技术数据分类分级规则》 网络数据处理者应关注数据安全治理提升 技任术，保建护立措完施善数据安全管理制度和 o对据安有全关监主督管检部查门予依以法配开合展的网络数 全与合规管理护等基本原则、数据安全风险 o对所网处络理数网据络进数行据分的类安分全级承保担护主，体对责 监督等方面，条例明确： •特别是在数据安全分级保护、合规 •通常涵盖数据安全战略规划、数据 数据安全治理方针 络数据进行关络联数分析，不得对网 取他、人留提存供、网使意用，、据泄得露访或、者向获 系其经统他委托建公共设方同基、运础行设、不施维、公护共的问，服 人带常运网行络的，影不响，得不干得扰非网法络侵服入务他正 o为施运国营家者机提关、供关服键务信，或息者基参础与设 o使络用数自据，动化应当工评具估访对问、网收络集服网务 特别是在数据采集安全、使用 和共享安全、销毁和处置安全等 安全等方面，条例明确： • •通全、常涵存盖储数安据全、采集使用安全安、全、传交输换安 数据安全生命周期管理 。 公及投诉布时、投受举诉理报、并举处报理方网式络等数信据息安 部门报告、通知利害关系人等 o接受社据会监全督投，诉建举立报便捷渠道的网 o建急立预健案，全按网照络规数定据安向有全事关主件应管 方面，条例明确： 理评价体系等 通员常胜涵任盖能数力、据安制度全流组程织体架系构、 •特数别据是安在全数投据诉安举全报应等急制处度置流程、 • 数据安全管理体系 ， 24小时内向 有关利主益管的部，门应报当告在 时报共告告，知用涉户及并危向害有国关家主安管全部、公门 对犯罪和活利动用护网络络数据据实，施的范违针法 o应即采对取安补全救缺措陷施、，漏洞按、照风规险定 采安全措加认施密证保、等备技网份术、措数访施问和其防控制他 o在网络安全等级保护的基础上 认明确证：、漏洞管理等方面，条例 技术、数据安全响应技术等 •特加别密是、在备等份级、保访护问基控础制上、，安加全强 •通常安涵全盖数护据技安术全识别安技全术、监 数据安全管理技术 •个和人其信他息相处关理个者人总信体息合保规护要规求定应为以主，个在保以法 个人信息保护 下方面应遵循补充要求： o细化个人信息转移的具体条件、保存期 o向个其人他信网息络的数处据理处情理况者记提录，供应、当委至托少处保理 限的具体落实等 o处遵理守1适0用00于万重人要以数上据个的人处信理息者的的，有还应关当于 存3年 据安全的相关保障和报告要求 网理络机数构、据以安及全因负公责司人变和动网等络可数能据影安响全数管 国家安全审查 •网理络活数动，据影处响理或者者开可展能网影络数响据国处家 安进行全国的家，安应全当审按查照国家有关规定 特专题定管理数事项据应重处点理关注活与其动他相要关求合规要求和实践的衔接与补充 数据出境安全管理 •数网安据法出、境个安保全法管、理数总安体法合和规其要他求相应关以最应遵新循数补据充出要境求规：定为主，在以下方面 助 o据国跨家境采安取全措风施险，和防威范胁、。处任置何网个络人数、组技织术不措得施提的供程专序、门工用具于等破；坏明、知避他开的人，从不事得破为坏其、提避供开技术支措持施或等者活帮动 例、网络安全审查办法 法主、要关参键考信：息国基安础法设、施网安全法保、护数条安 其他主要参考：个保法、网安法、GB/T 35273个人信息安全规范等 其他主要参考：境网安法评、估个保法、、个数人 信数据息跨境境流标动准规合定同等办法、促进和规范 特定数据处理活动要求（续）——网络平台服务提供者 户网络平台服务提供者供面服向务大，量可用 能社包交括媒：体提平供台、信提息供发支布付和服交务互的 网平络台、平提台、供提应供用视程听序服分务发的服网务络的 终网端络等平设台备生产者等用。程序的智 网络平台服务提供者数据安全管理 •网络平台服务提供者在数据安全方面的管理要求在《条例》中被首次提出，主要包括： o明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务，督促第三方产品和服务提供者加强网络数据安全管理，其中，应用程序分发服务的网络平台服务提供者还应 当建立应用程序核验规则并开展网络数据安全相关核验 o通过自动化决策方式向个人进行信息推送的，个性化推荐易关闭、个人特征标签可删除 o国家鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息 大册用型户网5络0平00台万服以务上或提者供月者活是跃指用注 户网络1000据万处以理上活，动业对务国类家型安复全杂，、 经影响济的运网行络、平国台计。民生等具有重要 •此外，大型网络平台服务提供者： o每年度发布个人信息保护社会责任报告 o跨境提供网络数据，应当遵守国家数据跨境安全管理要求，健全相关技术和管理措施，防 范网络数据跨境安全风险 o不得利用网络数据、算法以及平台规则等，开展不当网络数据处理活动，损害用户合法权 o如涉及重要数据处理，年度风险评估还应充分说明关键业务和供应链网络数据安全等情况 特定数据处理活动要求（续）——重要数据安全管理 目行及前业教，数育关据。于分同重类时要细，数则部据，分的确自识定贸别重区和要已保数针护据对和，部一要分般数行数据据业范领围域主，管如细（工的监业规管、定）电和部信识门、别已卫指明生南确健，其康如 《国（中天国津（）北京）自由贸易试验区数重据出境负发面布清了单详管理》办等法。（试行）》及《中 安重全要技数术据的数定据义分和类识分别级细规则》尚、未《明信确息的安行全业技，术可重参要考数《据GB识/T别4指3南697（-2征02求4数意据见 自由贸易试验区企业数据分类分级标准规范 稿）》来指导识别工作。 重要数据安全管理 《面条提例出》明对确涉要及求重要数据的网络数据处理者在以下方 数据安全治理方针 应当明确网络数据安全负责人和网络数据安全管理机构，网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历，由网络数据处理者管理层成员担任，有权直接向有关主管部门报告网络数据安 全情况 发生合并、分立、解散、破产等情况的，应当向省级以上有关主管部门报告 应当每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告 数据安全生命周期管理 提供、委托处理、共同处理重要数据的应当遵守额外 工业电信交通金融 自然资源 •工业和信息化领域数据安全管理办法 工业 别指南 （试行） •YD/T4981-2024工业领域重要数据识 •汽车数据安全管理若干规定（试行） •中法国（人征民求银意行见业稿务）领域数据安全管理办 金融 •银征行求保意险见机稿构）数据安全管理办法（公开 •J全R分/T级01指9南7-2020金融数据安全数据安 规定（比如开展风险评估、处理情况记录保留至少3年）卫生健康电信 卫生健康教育 南（试行） 教育 数据安全管理体系和管理技术 科技 国家鼓励使用数据标签标识等技术和产品，提高重要数据安全管理水平 •域YD重/T要38数67据-2识02别4指电南信领 •卫分生级健指康南行（业试数行据）分类 •教要育数系据统识核别心认数定据工和作重指 “全保对障网措络施数据。实要行厘分清类安分全级边保界护，，保障明数确据各依类法主有体序责自任，由落流实动网，络为数促据进安数 行动建议 字经济高