数据安全法讲座课件

数据安全法专题讲座第一章数据安全法的时代背景与意义数据安全的国家战略地位总体国家安全观数字经济发展基石数据安全是总体国家安全观的重要组成部分,关系到国家主权、安全和发展利益保障数据安全是数字经济高质量发展的坚实基石数字经济时代,数据驱动创在网络空间日益成为国家竞争新疆域的背景下,数据安全已上升为维护国家安全的新、数据赋能产业已成为经济发展新动能核心要素之一习近平总书记多次强调,没有网络安全就没有国家安全,没有信息化就没有现代化数据作为信息的载体,其安全性直接影响国家安全全局数据体量爆炸安全风险激增,亿59ZB67%

3.22023年全球数据总量中国数字经济占GDP年均数据安全事件数比重量预计到2025年将达到175ZB规模持续扩大,居世界前列数据泄露风险日益严峻立法背景回顾2016年11月2021年8月《网络安全法》通过《个人信息保护法》通过确立网络安全基本制度框架完善个人信息权益保障12342021年6月2024年1月《数据安全法》通过配套法规完善全国人大常委会正式表决通过,同年9月1日起施行形成完整的数据治理法律体系重大政策推动党的二十届三中全会网络数据安全管理条例数据安全能力建设强调提升数据安全治理能力,完善数据基础制度,2024年出台,进一步细化数据安全管理要求,完国家层面加大投入,推动数据安全技术创新和产促进数据依法有序流动善法律实施机制业发展第二章数据安全法的基本框架与核心概念数据安全法的适用范围境内数据处理活动境外数据处理活动适用于境内所有数据处理活动,包括数据的收集、存储、使用、加工、传对于境外数据处理损害中国国家安全、公共利益或者公民、组织合法权益输、提供、公开等全流程操作的行为,同样受到本法规制•覆盖所有行业和领域•体现国家主权和管辖权•适用于政府机关、企事业单位、社会组织和个人•保护中国公民和组织的合法权益•无论数据规模大小均需遵守关键术语解析数据数据处理数据安全指任何以电子或者其他方式对信息的记录包括数据的收集、存储、使用、加工、传输、通过采取必要措施,确保数据处于有效保护和合提供、公开等行为法利用的状态包括但不限于:覆盖数据生命周期的各个环节,从产生到销毁的核心要义:•文本、图像、音频、视频全过程管理•防止数据泄露、篡改、丢失•数据库中的记录•保障数据的完整性和可用性•传感器采集的信息•日志文件和元数据数据处理全流程安全管理收集合法合规收集,明确告知用户存储加密存储,访问控制使用加工按目的使用,防止滥用传输提供安全传输,审慎共享销毁及时删除,彻底销毁国家数据安全治理体系中央国家安全领导机构统筹协调,决策指导国务院有关部门网信、工信、公安等部门分工负责地方各级人民政府属地管理,分级负责行业主管部门行业监管,指导督促统筹决策分级监管依法执法中央国家安全领导机构负责数据安全工作的决策地方与行业主管部门承担具体监管职责,形成监管和议事协调合力第三章数据分类分级保护制度分类分级保护原则差异化保护科学评估不同类别和等级的数据实行不同强度的保护措施,避免一刀切根据数据的重要性和风险程度进行科学评估,确定数据类别和保护等级动态调整严格管理根据形势变化和风险评估结果,动态调整数据分类分级国家核心数据实行最严格的管理制度,关系国家安全和重大公共利益重要数据目录管理目录制定主体目录管理要求各地区:省级人民政府有关部门制定本地区重要数据目录明确数据分类分级的具体标准和方法各部门:国务院有关部门制定本行业、本领域重要数据目录建立重要数据动态调整机制关键信息基础设施运营者:在行业主管部门指导下识别重要数据重点数据纳入重点保护范围•定期评估和更新目录内容医疗健康领域金融领域人口健康信息、基因数据、传染病监测数据等金融市场运行数据、征信信息、大额交易数据等工业领域交通运输领域关键工艺参数、供应链数据、核心技术数据等铁路运行数据、民航飞行数据、港口物流数据等风险评估与应急机制定期风险评估数据处理者应当定期开展数据安全风险评估,及时发现和整改安全隐患1•评估数据处理活动的合法性、正当性和必要性•分析数据泄露、篡改、丢失等风险•评估现有安全措施的有效性•形成风险评估报告,向主管部门报告监测预警机制建立数据安全监测预警体系,提升风险发现和预警能力2•部署安全监测系统,实时监控异常行为•建立威胁情报共享机制•设置预警指标和阈值•及时发布安全预警信息应急处置预案制定数据安全事件应急预案,确保快速有效应对突发事件3•明确应急响应流程和责任分工•建立应急指挥协调机制•定期开展应急演练•配备必要的应急资源和技术手段通过建立完善的风险评估与应急机制,能够及早发现安全隐患、快速响应安全事件、有效防范风险扩大,最大限度减少数据安全事件造成的损失和影响第四章数据安全保护义务数据安全法明确了数据处理者应当履行的各项安全保护义务,包括建立管理制度、开展安全教育、采取技术措施、应急响应处置等方面,构建了全方位的数据安全责任体系全流程安全管理要求建立管理制度组织教育培训采取技术措施建立健全数据安全管理制度和操作规程组织开展数据安全教育培训,提升人员安全采取相应的技术措施和其他必要措施保障数据意识安全制度建设要点技术措施要求•数据安全责任制度•数据加密技术应用•数据分类分级管理制度•访问控制和身份认证•数据访问控制制度•安全审计和日志记录•数据备份与恢复制度•网络安全防护设施•数据销毁管理制度•数据备份和容灾系统•人员管理和权限管理制度•安全漏洞修复机制•安全事件报告和处置制度•安全监测和预警系统重要数据处理者责任12明确责任人和机构落实保护措施明确数据安全负责人和管理机构,落实数据安全保护责任采取技术措施和其他必要措施,保障数据安全•设立专门的数据安全管理部门•加强数据加密和访问控制•配备专业的数据安全管理人员•建立数据安全审计机制•数据安全负责人应当具备相应的专业能力•部署安全防护系统34发现并补救缺陷事件报告与告知及时发现并补救数据安全缺陷、漏洞等风险发生数据安全事件时,立即采取补救措施,及时向有关主管部门报告并告知用户•定期开展安全检测和评估•按规定时限报告安全事件•建立漏洞管理和修复机制•如实告知事件影响范围和可能后果•及时更新安全防护策略•采取有效措施防止危害扩大重要提示:重要数据处理者承担更加严格的数据安全保护责任发生数据安全事件不报告或者迟报、谎报的,将依法承担相应法律责任合法合规收集与使用数据禁止非法获取遵守法定要求严禁窃取或者以其他非法方式获取数据任何组织、个人收集数据,应当收集使用数据应当遵守法律法规规定的范围和目的明确告知用户收集采取合法、正当的方式,不得窃取、购买或者以其他非法方式获取数据使用数据的目的、方式和范围,征得用户同意,不得超范围收集和使用保障数据质量尊重用户权利确保数据的准确性、完整性和时效性采取措施保证数据质量,及时更正尊重用户对其数据的知情权、决定权、查询权、更正权和删除权建立错误数据,删除过时数据便捷的用户权利实现机制,及时响应用户合理请求第五章政务数据安全与开放政务数据是国家治理的重要资源,既要确保安全,又要推动开放共享,提升政府服务效能和治理能力数据安全法专门对政务数据的安全管理和开放利用作出规定政务数据安全管理依法收集使用保障数据保密国家机关为履行法定职责依法收集、使用数据,应当在法定职责范围内,按照法对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据,律法规规定的条件和程序进行应当依法予以保密•明确收集目的和法律依据•建立严格的保密管理制度•遵循最小必要原则•加强数据访问权限管理•不得超范围收集和使用•采取技术保护措施•建立数据收集使用审批机制•强化人员保密教育委托第三方建设维护国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并监督受托方履行相应的数据安全保护义务数据共享安全要求政务数据在部门间共享时,应当明确共享范围、使用目的和安全责任,建立数据共享安全管理机制,防止数据泄露和滥用政务数据开放原则公正原则公平原则平等对待各类主体,不得设置歧视性条件开放条件合理,不得滥用优势地位保障安全便民原则建立安全审查机制,防范安全风险简化流程,提供便捷的数据获取渠道保护商业秘密保护个人隐私不得开放涉及商业秘密的数据不得开放涉及个人隐私的数据政务数据开放应当遵循公正、公平、便民的原则,在保障数据安全的前提下,最大限度地开放政务数据,促进数据资源的社会化利用,推动经济社会发展和创新同时,必须确保个人隐私和商业秘密不被泄露,平衡数据开放与安全保护的关系第六章法律责任与执法监管明确的法律责任和有力的执法监管是保障数据安全法有效实施的关键本章阐述违反数据安全法应承担的法律后果,以及监管部门的职责和执法机制违法行为处罚违反保护义务恶意程序传播违反数据安全保护义务,依法承担行政或刑事责任故意编写、传播恶意程序等危害数据安全的行为,依法追究法律责任•责令改正•可能构成刑事犯罪•警告、罚款•没收违法所得•暂停或吊销相关业务许可•处以罚款•情节严重的追究刑事责任不履行监管职责非法获取使用监管部门不履行数据安全监管职责,对直接负责的主管人员和其他直接责任人员依法给非法获取、出售或者提供数据,侵害他人合法权益予处分•承担民事赔偿责任•处以行政罚款•构成犯罪的依法追究刑事责任法律责任形式包括民事责任赔偿损失、消除影响、赔礼道歉等、行政责任警告、罚款、没收违法所得、责令停产停业、吊销许可证等和刑事责任有期徒刑、拘役、管制、罚金等监管机构职责0102统筹协调监管行业领域监管国家网信部门负责统筹协调网络数据安全和相关监管工作国务院有关部门在各自职责范围内承担数据安全监管职责0304查处违法犯罪地方属地管理公安机关、国家安全机关依法查处危害数据安全的违法犯罪活动地方各级人民政府有关部门履行本行政区域内数据安全监管职责监管方式监管重点•日常监督检查•重要数据处理活动•专项执法行动•关键信息基础设施•风险评估和测试•数据跨境流动•投诉举报处理•数据交易活动•重点案件查处•数据安全事件处置•行政指导和约谈•新技术新应用安全评估投诉举报与保护机制举报权利受理处理举报人保护任何个人、组织均有权对违反数据安全法律法有关主管部门应当及时受理和处理投诉、举报,保护举报人的合法权益,对举报人的信息予以保规的行为向有关主管部门投诉、举报依法调查处理违法行为密•可通过电话、网络、信函等方式举报•建立便捷的举报渠道•举报人身份信息严格保密•举报内容应真实、具体•规定处理时限•禁止打击报复举报人•鼓励实名举报•及时反馈处理结果•对举报有功人员可给予奖励•保障举报人人身和财产安全投诉举报制度是社会监督的重要途径,能够及时发现和制止违法行为,形成全社会共同维护数据安全的良好氛围各有关部门应当畅通举报渠道,认真对待每一条举报线索,切实保护举报人合法权益第七章数据跨境安全管理在全球化和数字化深度融合的背景下,数据跨境流动日益频繁数据安全法对数据跨境安全管理作出专门规定,在促进数据依法有序自由流动的同时,切实维护国家安全和公共利益跨境数据流动安全要求安全评估重要数据出境须进行安全评估法律遵守遵守国家相关法律法规和监管要求国际合作履行相关国际条约和协议义务安全评估重点管理措施禁止性规定数据出境的目的、范围、方式建立数据出境审批机制未经评估不得出境重要数据境外接收方的数据保护能力签订数据出境安全协议禁止向境外提供危害国家安全的数据数据出境可能带来的安全风险开展出境数据持续监测不得规避安全评估擅自出境数据出境后的安全保障措施定期进行安全评估境外机构不得在境内非法收集数据发生安全事件的应急响应能力建立境外数据召回机制特别提示:关键信息基础设施运营者在境内运营中收集和产生的重要数据和个人信息,应当在境内存储确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估典型案例分享案例一:某企业数据泄露案例二:政府数据安全事件应急处置某互联网企业因未履行数据安全保护义务,导致大量用户个人信息泄露监管部某地政府部门电子政务系统遭受网络攻击,及时启动应急预案,迅速隔离受影响系门依法对该企业处以罚款,责令整改,并约谈企业负责人统,开展调查取证,修复安全漏洞,恢复系统运行启示:企业必须建立完善的数据安全管理制度,采取有效技术措施,定期开展安全评启示:政府部门应制定完善的应急预案,定期开展演练,提升应急响应能力,确保关估,防范数据泄露风险键政务系统安全稳定运行数据安全事关国家安全、经济发展、社会稳定和人民利益每一个数据处理者都应当切实履行法定义务,共同维护数据安全——某数据安全专家共筑数据安全防线,护航数字中国未来全社会共同责任持续完善法律体系数据安全是政府、企业、社会组织和公民的共同责任,需要各方协同配合,共同构建数据安全防护体系不断完善数据安全法律制度,及时跟进技术发展和实践需求,提升法律的针对性和有效性推动技术创新促进合规发展加强数据安全技术研发和创新,提升数据安全防护能力,支撑数字经济健康发展推动企业依法合规开展数据处理活动,在保障安全的前提下充分释放数据价值让数据成为推动国家繁荣的安全力量在数字化浪潮中,数据安全是基础,数据利用是目标只有筑牢数据安全防线,才能更好地发挥数据要素作用,推动经济社会高质量发展让我们共同努力,认真学习贯彻数据安全法,严格履行法定义务,积极参与数据安全治理,为建设数字中国、网络强国贡献力量!。