数据安全法讲座课件图片

《中华人民共和国数据安全法》专题讲座第一章数据安全为何至关重要国家基础性战略资源数据已成为继土地、劳动力、资本、技术之后的第五大生产要素,是数字经济时代最核心的战略资源掌握数据就掌握了未来竞争的主动权国家安全的重要保障数据安全直接关系国家政治安全、经济安全、社会稳定关键基础设施、重要信息系统的数据一旦泄露,将对国家安全造成严重威胁经济社会发展的基石数据驱动创新发展,支撑数字经济蓬勃增长保障数据安全是促进数据开发利用、释放数据价值、推动高质量发展的前提条件数据安全护航数字中国立法背景与发展历程12018年9月列入立法规划《数据安全法》正式列入十三届全国人大常委会立法规划,标志着国家层面数据安全立法工作正式启动这是适应数字经济发展、应对数据安全挑战的重要战略部署22019-2020年起草与审议立法工作组深入调研国内外数据安全形势,广泛征求各方意见,经过多次修改完善,形成法律草案立法过程充分体现了科学立法、民主立法的原则32021年6月正式通过十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》这是我国第一部数据安全领域的基础性法律,具有里程碑意义42021年9月正式施行《数据安全法》正式生效实施,我国数据安全法治体系进一步完善标志着数据安全保护从政策引导向法律约束转变,为数据安全治理提供了坚实法律保障相关法律体系框架我国已构建起以《数据安全法》为核心,《网络安全法》《个人信息保护法》为支撑的数据治理法律体系,形成了覆盖网络安全、数据安全、个人信息保护的完整法律框架《数据安全法》2021年9月1日施行•规范数据处理活动《网络安全法》•保障数据安全•建立数据分类分级保护制度2017年6月1日施行•促进数据开发利用•维护网络空间主权和国家安全•保障网络基础设施安全《个人信息保护法》•规范网络运行安全2021年11月1日施行•建立关键信息基础设施保护制度•保护个人信息权益•规范个人信息处理活动•明确个人信息处理规则•加强个人信息跨境流动管理第二章数据安全法核心内容概览数据分类与安全管理要求全类型数据纳入管理范围《数据安全法》采用广义的数据定义,将所有以电子或者其他方式对信息的记录都纳入调整范围无论是政府数据、企业数据还是个人数据,无论是结构化数据还是非结构化数据,都受到法律规制全流程数据安全责任法律明确数据处理者在数据收集、存储、使用、加工、传输、提供、公开等全生命周期各环节均应承担安全保护义务这要求组织建立覆盖数据全流程的安全管理制度数据收集合法正当、目的明确、最小必要原则数据存储安全存储、访问控制、备份恢复数据使用授权使用、用途限制、安全审计数据传输加密传输、身份认证、安全通道重点保护对象:法律特别强调对重要数据和敏感数据的保护,要求采取更加严格的安全措施和管理要求重要数据定义与目录管理重要数据的法律定义1重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据包括未公开的政府信息、工作秘密、关键基础设施运行数据、重要领域和行业数据等企业数据安全组织架构2处理重要数据的组织应当明确数据安全负责人和管理机构,建立健全数据安全管理制度数据安全负责人对本单位数据安全工作负总责,管理机构负责日常数据安全管理和监督工作重要数据目录制度3国家建立数据分类分级保护制度,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,并实行动态更新管理机制安全保护具体措施4对重要数据应当采取更严格的访问控制、数据加密、数据备份、安全审计等技术措施,定期开展风险评估,及时处置安全隐患,并按要求向主管部门报告数据安全风险评估情况数据分类分级保护体系普通数据一般性业务数据,采用常规安全保护措施重要数据涉及经济运行、社会稳定,需要加强保护核心数据关系国家安全,实施最严格的保护措施网络数据跨境安全管理数据出境安全评估机制关键信息基础设施运营者和处理重要数据的数据处理者向境外提供数据,应当按照规定进行安全评估评估内容包括数据出境和境外接收方处理数据的目的、范围、方式等合法性、正当性、必要性01开展风险自评估组织内部评估数据出境风险02申报安全评估向网信部门提交评估申请03接受安全审查配合主管部门开展审查04获得批准后出境通过评估后方可向境外提供网络平台服务提供者义务互联网平台服务提供者作为数字生态的关键节点,在数据安全保护中承担着特殊而重要的责任法律对平台设置了更为严格的监督管理义务和禁止性要求应用程序分发平台第三方产品监督应用商店、软件市场等应用程序分发平台平台应当对接入的第三方产品和服务进行应当对其分发的应用程序进行安全审核,发安全监测和评估,发现存在安全隐患的应当现违法违规收集使用数据的应用程序,应当要求整改对拒不整改或者整改后仍不符立即停止提供服务并向主管部门报告建合要求的,应当停止提供服务定期向用户立开发者真实身份核验机制披露安全评估报告大型平台特别义务具有市场支配地位的平台不得利用数据、算法、技术、资本优势和平台规则等从事不正当竞争不得实施数据垄断行为,不得利用数据分析对交易相对人不合理地差别待遇应当建立数据安全合规审查机制第三章法律责任与执法实践违法行为及处罚措施123未履行数据安全保护义务数据泄露、滥用行为非法买卖交易数据•未建立数据安全管理制度•违法向他人提供数据•窃取或者以其他非法方式获取数据•未采取相应的技术措施保障数据安全•违法公开未经加密的敏感数据•非法出售或者非法向他人提供数据•未明确数据安全负责人和管理机构•未经同意收集使用个人数据•为非法获取、出售数据提供技术支持•未对工作人员进行数据安全教育培训•发生数据安全事件未及时采取补救措施处罚:由公安机关没收违法所得,处违法所得或通知用户一倍以上十倍以下罚款,没有违法所得或违处罚:由有关主管部门责令改正,给予警告,可法所得不足十万元的,处十万元以上一百万以并处五万元以上五十万元以下罚款;拒不处罚:责令改正,没收违法所得,处一百万元以元以下罚款;构成犯罪的,依法追究刑事责改正或者造成严重后果的,处五十万元以上上一千万元以下罚款;情节严重的,责令暂停任二百万元以下罚款相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照典型案例分享某大型互联网企业数据泄露事件案件背景:2022年某知名互联网平台因数据安全管理制度不完善、技术防护措施不到位,导致数亿用户个人信息和重要业务数据遭到泄露泄露数据包括用户姓名、身份证号、手机号码、行程轨迹等敏感信息监管行动:国家网信部门依据《数据安全法》《网络安全法》《个人信息保护法》等法律,对该企业开展网络安全审查,认定其存在严重违法违规行为,作出罚款处罚并责令整改处罚结果:罚款人民币

80.26亿元,相关责任人被追究责任企业被要求全面整改数据安全管理体系,暂停新用户注册,全面排查安全隐患案例启示合规是企业生存底线数据安全合规不是可选项而是必答题,任何企业都不能心存侥幸技术与管理并重既要投入先进的技术防护手段,也要建立完善的管理制度和流程责任落实到人数据安全责任人制度必须真正落实,不能流于形式持续监测改进依法严惩保障数据安全强化执法力度,严厉打击数据安全违法行为,切实保护国家安全、公共利益和公民合法权益第四章数据安全技术与管理措施数据安全技术手段加密技术与访问控制数据脱敏与匿名化处理安全审计与风险评估采用国密算法对敏感数据进行加密存储和传输,确对测试、开发、数据分析等非生产环境使用的数部署数据安全审计系统,实时监控数据访问、使保数据在静态和动态状态下的安全性实施基于据进行脱敏处理,采用数据遮蔽、替换、扰乱等技用、传输等行为,记录完整的操作日志定期开展角色的访问控制RBAC和属性访问控制ABAC,术手段对需要共享或公开的数据实施匿名化处数据安全风险评估,识别潜在威胁和脆弱性建立细化权限管理,实现最小权限原则部署多因素身理,消除可识别个人身份的信息建立脱敏规则库数据安全态势感知平台,实现安全事件的及时发现份认证,强化身份验证机制和自动化脱敏工具和响应企业数据安全管理体系建设建立数据安全责任制明确数据安全第一责任人,由企业主要负责人或高级管理人员担任设立数据安全管理委员会,统筹协调数据安全工作各业务部门设置数据安全专员,形成分级分层的责任体系建立数据安全绩效考核机制,将数据安全工作纳入员工考核指标制定应急预案与响应机制编制数据安全事件应急预案,明确事件分级标准、响应流程、处置措施和恢复机制组建应急响应团队,配备专业技术人员建立7×24小时监控和响应机制定期开展应急演练,检验和完善应急预案建立与监管部门、执法机关的协同响应机制第五章新兴技术与数据安全挑战人工智能与自动化数据处理生成式AI数据安全风险自动化工具的合规要求训练数据安全:大规模语言模型训练可能涉及敏感数据,存在数据泄露风数据收集合规:自动化爬虫、数据采集工具应遵守robots协议和网站服险训练数据中的个人信息、商业秘密可能被模型学习并在生成内容中务条款,不得非法获取数据应明确告知用户数据收集目的和范围泄露使用授权管理:建立严格的自动化工具使用授权制度,记录工具使用日志,模型攻击风险:对抗样本攻击、模型反演攻击、成员推理攻击等可能导防止滥用对敏感数据的自动化处理应经过安全审查和风险评估致训练数据泄露或模型被恶意利用算法透明度:重要的自动化决策算法应具有可解释性,接受监督和审计生成内容风险:AI生成的内容可能包含虚假信息、侵犯知识产权,也可能算法不得存在歧视性偏见或侵犯用户合法权益被用于网络诈骗、深度伪造等违法活动云计算与大数据环境下的安全多租户环境数据隔离云计算采用多租户架构,多个客户共享物理资源,数据隔离成为关键安全问题需要在虚拟化层、网络层、应用层实施严格的隔离措施,防止租户间数据泄露虚拟化隔离1采用虚拟机或容器技术实现计算资源隔离,防止跨租户访问网络隔离2通过VPC、VLAN、安全组等技术实现网络层隔离存储隔离云服务商安全责任与合规3对不同租户的数据进行物理或逻辑隔离,加密存储共同责任模型:云服务采用共同责任模型,云服务商负责基础设施安全,客户负责应用和数据安全双方应明确责任界限,签订安全协议访问控制合规认证要求:云服务商应通过等保测评、ISO

27001、CSA STAR等安全认证处理重要4数据的云平台应接受安全审查,满足数据本地化存储要求实施严格的身份认证和权限管理,防止未授权访问透明度与审计:云服务商应向客户提供安全日志和审计报告,接受第三方安全评估建立安全事件通报机制,及时告知客户安全风险新技术带来新挑战在拥抱技术创新的同时,必须高度重视新技术带来的数据安全风险,完善相应的法律法规和技术标准第六章未来趋势与政策展望法律体系持续完善我国数据安全法律法规体系正在不断完善和细化,形成了从基本法到配套规章、从原则性规定到操作性细则的完整框架2021年2023年基础法律颁布标准规范建立•《数据安全法》施行•数据安全技术标准体系•《个人信息保护法》施行•重要数据识别指南•《关键信息基础设施安全保护条例》施行•数据分类分级规则2022年2024年配套制度完善法规进一步细化•《数据出境安全评估办法》•《网络数据安全管理条例》出台•《网络安全审查办法》修订•细化数据处理规则和安全要求•行业数据安全管理办法陆续出台•强化数据跨境流动管理《网络数据安全管理条例》亮点•进一步明确数据处理者的安全保护义务•细化数据分类分级保护规则•完善数据跨境流动安全管理制度•加强互联网平台企业数据安全监管•建立数据安全事件应急处置机制•强化数据安全监督管理和法律责任国际合作与数据治理双边合作机制国际规则对接与主要贸易伙伴建立数据安全对话机制,签署数据安全合作协议在相互尊重主权的基础上,促进数积极参与全球数据治理规则制定,推动建立多边、据跨境安全流动民主、透明的国际数据治理体系加强与其他国家和地区的数据安全合作与交流标准互认推动数据安全标准和认证的国际互认,降低企业合规成本参与国际标准化组织工作,输出中国数据安全实践经验执法协作平衡发展与安全加强跨境数据安全执法合作,共同打击跨国数据犯罪建立数据安全事件协同响应机制,维护全球网在保障国家安全和公民权益的前提下,促进数据要络空间安全稳定素跨境流通支持企业走出去,参与国际数字经济竞争与合作企业合规与数字经济发展合规助力企业数字转型数据安全合规不是企业发展的负担,而是数字化转型的重要保障通过建立完善的数据安全管理体系,企业能够:增强用户信任良好的数据安全实践提升用户信任度,增强品牌价值和市场竞争力降低运营风险避免数据泄露导致的监管处罚、法律诉讼和声誉损失提升管理水平规范的数据管理促进业务流程优化和组织管理能力提升拓展国际市场符合国际数据保护标准,为进入海外市场创造条件数据安全促进数字经济高质量发展数据安全数字经济的基石没有数据安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障结语筑牢数据安全防线共创数字未来:,《数据安全法》的实施标志着我国数据安全治理进入了新阶段在数字化转型加速推进的今天,数据安全不仅是技术问题,更是关系国家安全、经济发展和社会稳定的战略问题强化法治思维深刻理解数据安全法律法规,将合规要求融入业务全流程,树立法律是底线的意识落实主体责任政府、企业、个人各司其职,共同构建数据安全防护体系,形成齐抓共管的良好局面推动技术创新加大数据安全技术研发投入,突破关键核心技术,以技术创新支撑数据安全保障加强人才培养建立多层次数据安全人才培养体系,为数据安全事业发展提供人才支撑让我们共同努力,在保障数据安全的前提下,充分释放数据要素价值,推动数字经济高质量发展,为建设数字中国、网络强国贡献力量!谢谢聆听欢迎提问与交流后续资源分享现场提问环节,期待与各位进行深入探课件资料、法律法规文本、技术指南讨将通过邮件发送持续关注关注最新数据安全政策动态和行业最佳实践。