数据安全法讲座课件下载

数据安全法讲座守护数字时代的安全防线导言数据数字经济的命脉:,在21世纪,数据已经超越了传统的石油、黄金,成为最宝贵的战略资源每天,全球产生超过

2.5万亿字节的数据,这些数据蕴含着巨大的经济价值和社会价值从智能手机到云计算,从电子商务到人工智能,数据驱动着我们生活的方方面面企业通过数据分析优化决策,政府利用数据提升治理效率,科研机构依靠数据推动创新突破数据的价值与风险数据驱动创新数据泄露事件频发数据安全的重要性人工智能、机器学习、大数据分析等前沿技全球范围内,数据泄露事件呈现爆发式增长数据安全关系到国家主权、经济发展和社会术的发展,都离不开海量数据的支撑数据已个人信息、商业机密、国家秘密面临严峻威稳定,是维护公民权益的重要保障成为科技创新的基础燃料胁•保护国家安全和公共利益•智能推荐系统优化用户体验•黑客攻击窃取敏感信息•维护市场公平竞争秩序•精准医疗提升诊断准确率•内部人员违规泄露数据•智慧城市改善公共服务•第三方服务商管理漏洞数据安全威胁的现实图景黑客攻击数据滥用内部泄露勒索软件、钓鱼攻击、未经授权的数据收集、过APT攻击等手段层出不度采集个人信息、非法交穷,企业和个人面临持续易数据等现象普遍存在威胁第一部分数据安全法的核心要义法律的诞生时代的需求:12020年7月数据安全法草案首次公布,向社会公开征求意见,引起广泛关注和热烈讨论22021年6月第十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》2021年9月1日数据安全法正式施行,标志着我国数据安全进入法治化轨道的新阶段数据安全法的适用范围适用对象与场景地域范围在中华人民共和国境内开展的数据处理活动及相关安全监管活动,均适用本法涉及领域涵盖国家安全、公共利益、个人信息保护等多个重要领域,具有广泛的适用性数据的法律定义根据数据安全法,数据是指任何以电子或者其他方式对信息的记录这一定义涵盖了数字化信息的各种形式,包括文本、图像、音频、视频等,以及通过传感器、物联网设备等采集的各类信息值得注意的是,数据安全法不仅适用于数据处理活动本身,还涵盖了数据安全监管、数据安全保护义务等相关方面无论是数据的收集、存储、使用、加工、传输、提供、公开,还是删除等各个环节,都纳入了法律的规制范围数据安全法的核心原则促进合理利用维护国家主权在确保安全的前提下,促进数据依法合理有效坚持总体国家安全观,维护国家主权、安全和利用,发挥数据在经济社会发展中的重要作发展利益,是数据安全工作的首要原则用明确主体责任保护合法权益建立健全数据安全治理体系,明确数据处理者保护个人、组织的数据相关合法权益,平衡数的安全保护责任和义务据利用与权益保护的关系这四项核心原则相互关联、相互支撑,构成了数据安全法的价值基础它们体现了国家安全与数据发展的统筹兼顾,权利保护与义务履行的平衡协调,为数据安全治理指明了方向核心原则的深层含义安全与发展并重权利与义务对等数据安全法既强调安全保护,又注重法律在赋予数据处理者使用数据权利促进数据合理利用,实现安全与发展的同时,也明确了其应承担的安全保的动态平衡,避免因过度保护而阻碍护义务,形成权责一致的法律关系创新国家与个人兼顾在维护国家数据主权的同时,充分保护个人信息权益,体现了国家利益与个人权利的和谐统一第二部分数据处理者的责任与义务全面了解数据处理者的法定义务,建立完善的数据安全管理体系数据处理者的定义谁是数据处理者根据数据安全法,数据处理者是指在数据处理活动中自主决定数据处理目的、处理方式的组织和个人这一定义涵盖了从大型互联网企业到中小型企业,从政府机关到社会组织的广泛主体01关键信息基础设施运营者涉及公共通信、信息服务、能源、交通、金融等重要行业和领域的关键信息基础设施运营者,承担更高的数据安全保护义务02重要数据处理者处理重要数据的组织和个人,需要履行特殊的数据安全保护要求,包括定期开展风险评估、特别提示:即使是小型企业或个体经营者,只要从事数据处理活动,都属于数据处理报告数据安全事件等者的范畴,需要承担相应的法律责任03其他数据处理者所有从事数据处理活动的主体,无论规模大小,都需要遵守数据安全法的基本规定,履行相应的安全保护义务数据安全管理制度建立健全管理制度明确安全责任人开展教育培训数据处理者应当建立健全全流程数据安全管组织应当明确数据安全负责人和管理机构,确定期组织开展数据安全教育培训,提高员工的理制度,涵盖数据收集、存储、使用、加工、保数据安全责任落实到具体岗位和人员数据安全意识和防护技能,形成全员参与的安传输、提供、公开等各个环节全文化•设立首席数据安全官•制定数据安全管理规章•新员工入职培训•组建数据安全管理团队•明确操作规程和技术标准•定期安全意识教育•明确各部门安全职责•建立应急响应预案•专业技能提升培训数据分类分级管理科学的分类分级体系数据分类分级管理是数据安全保护的基础性工作通过对数据进行科学分类和合理分级,可以实现差异化的安全保护策略,既确保重要数据的安全,又避免资源的浪费一般数据对公民、法人或其他组织权益影响较小的数据,采用常规安全保护措施即可重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据核心数据关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据,实行最严格的管理制度风险评估机制报告制度建立数据安全风险评估机制,定期对数据处理活动进行风险分析,识别潜在的安全威重要数据处理者应当按照规定向有关主管部门报送数据安全风险评估报告,接受监胁,及时采取防范措施督检查数据安全技术措施构建技术防护体系数据加密技术措施是数据安全保护的重要支撑数据处理者应当综合运采用先进的加密算法对敏感数据进行加密存储和传输,防止数据在存储和传输过程中被用多种技术手段,建立多层次、全方位的数据安全技术防护体非法窃取或篡改包括对称加密、非对称加密、哈希算法等多种技术系访问控制建立严格的访问控制机制,实施身份认证、权限管理、最小权限原则,确保只有授权人员才能访问相应数据采用多因素认证提升安全性安全审计建立完善的安全审计系统,记录数据访问、修改、删除等操作日志,实现数据处理活动的可追溯性,及时发现异常行为备份恢复定期进行数据备份,建立灾难恢复机制,确保在发生数据丢失、损坏等安全事件时,能够快速恢复数据和业务数据安全风险评估全面的风险评估机制数据安全风险评估是预防数据安全事件的重要手段通过定期评估,可以及时发现安全隐患,持续改进安全措施,提升整体安全防护能力识别风险评估影响全面梳理数据处理活动,识别可能存在的安全风险点分析风险可能造成的影响程度和发生概率制定措施持续改进针对识别的风险制定相应的控制和应对措施根据评估结果持续优化安全管理和技术措施评估内容评估频率与报告•数据处理活动的合法性、正当性、必要性重要数据处理者应当至少每年开展一次风险评估,并在以下情况下及时开展评估:•采取的安全保护措施是否有效•数据处理目的、方式发生重大变化•存在的安全风险及其影响•发生重大数据安全事件•与数据接收方的合同约束情况•国家有关主管部门要求时•数据接收方的数据保护水平评估结果应当形成书面报告,及时向有关主管部门报送技术措施的综合应用现代数据安全防护需要综合运用多种技术手段,形成纵深防御体系从网络层到应用层,从物理安全到逻辑安全,从预防控制到检测响应,各个环节环环相扣,共同构筑数据安全的坚固防线网络安全防火墙、入侵检测、VPN加密传输主机安全操作系统加固、防病毒软件、补丁管理应用安全安全编码、漏洞扫描、应用防护数据安全加密存储、脱敏处理、安全销毁第三部分重要数据与跨境数据传输掌握重要数据保护的特殊要求,了解跨境数据传输的合规路径重要数据的定义与保护什么是重要数据重要数据的识别标准重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公各地区、各部门根据国家有关规定,结合本地区、本部门、本行业的实际情况,制定本地区、本部门、本行业重要数据的具体目录识别标准共健康和安全等的数据主要包括:1国家安全影响是否涉及国防、外交、国家秘密等国家安全领域2经济运行影响是否影响金融稳定、关键基础设施运行等3社会稳定影响是否可能引发群体性事件或社会动荡4公共安全影响是否危及公共卫生、公共安全等民生领域重要数据的特征:与国家安全、公共利益密切相关,具有较高的敏感性和重要性,一旦泄露可能造成严重后果重要数据保护的特殊要求跨境数据传输的规则跨境数据流动的合规要求在全球化背景下,跨境数据传输已成为常态然而,数据的跨境流动也带来了数据主权、安全风险等问题数据安全法对跨境数据传输建立了严格的监管制度01确定是否需要跨境传输首先要明确哪些数据需要向境外提供关键信息基础设施运营者和处理重要数据的数据处理者,向境外提供数据应当进行安全评估02开展安全评估按照国家有关规定,向有关主管部门申报数据出境安全评估评估内容包括数据出境的目的、范围、方式等是否合法、正当、必要03履行审批程序依照法律、行政法规的规定,经有关主管部门批准后,方可向境外提供数据未经批准,不得向境外提供重要数据04持续监测评估在数据出境后,持续监测数据接收方的数据保护措施,定期开展风险评估,确保数据安全跨境数据传输的合规要求获得授权关键信息基础设施运营者和处理重要数据的数据处理者,在向境外提供数据前,应当按照国家有关规定申报数据出境安全评估因业务需要,确需向境外提供数据的,应当经有关主管部门批准•提交数据出境安全评估申请•说明数据出境的必要性和合理性•提供数据接收方的基本情况安全评估的重点内容数据出境安全评估重点评估数据出境和境外接收、存储、使用等活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险

1.数据出境的目的、范围、方式等的合法性、正当性、必要性

2.境外接收方所在国家或者地区的数据安全保护政策法规

3.数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移等的风险

4.数据安全和个人信息权益是否能够得到充分保障采取必要的安全保护措施在数据出境前和出境后,数据处理者都应当采取必要的技术和管理措施,确保数据安全•与境外接收方签订数据保护协议,明确双方的权利义务•对出境数据进行加密处理•建立数据出境记录和审计机制•定期评估境外接收方的数据保护水平遵守相关国际条约中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据跨境数据传输流程详解跨境数据传输是一个系统性工程,涉及多个环节和部门理解完整的流程,有助于企业合规开展跨境业务准备阶段1评估数据出境必要性,准备相关材料,包括数据清单、安全措施说明等2申报评估向主管部门提交安全评估申请,配合开展评估工作审批决策3主管部门进行审查,作出是否批准的决定4实施传输获批后实施数据传输,采取安全保护措施持续监督5持续监测评估,定期报告,接受监督检查第四部分法律责任与处罚了解违法行为的法律后果,强化合规意识和责任意识违反数据安全法的法律责任严格的法律责任体系数据安全法建立了全面的法律责任制度,包括行政责任、刑事责任和民事责任三个层面,形成了严密的法律责任网络,确保法律的严肃性和权威性行政处罚刑事责任民事责任针对违反数据安全管理义务的行为,有关主管违反数据安全法的行为,构成犯罪的,依法追究违反数据安全法,给他人造成损害的,依法承担部门可以采取多种行政处罚措施刑事责任民事责任警告:对情节较轻的违法行为,给予警告处分非法获取数据罪:以窃取或者其他非法方式获赔偿损失:因数据泄露、篡改、损毁等造成他取数据人财产损失或人身损害的,应当依法赔偿罚款:处以一定数额的罚款,最高可达5000万元非法出售、提供数据罪:将合法收集的公民个停止侵害:立即停止违法的数据处理行为或上一年度营业额的5%人信息非法出售或提供给他人消除影响、恢复名誉:对因数据泄露等造成他停业整顿:责令暂停相关业务、停业整顿、吊拒不履行信息网络安全管理义务罪:拒不履行人名誉损害的,应当采取措施消除影响、恢复销相关业务许可证或营业执照法律、行政法规规定的信息网络安全管理义务名誉从业禁止:对直接负责的主管人员和其他直接赔礼道歉:向受害者赔礼道歉,取得谅解责任人员,处以罚款,并可实行一定期限的从业其他相关犯罪:如非法控制计算机信息系统禁止罪、破坏计算机信息系统罪等典型案例分析案例一:某公司违规收集个人信息被处罚案情简介:某知名互联网公司在其开发的移动应用中,未经用户明确同意,强制、频繁、过度索取用户通讯录、位置信息、相册等敏感个人信息同时,该公司未明确告知用户收集、使用个人信息的目的、方式和范围,违反了数据安全法和个人信息保护法的相关规定处罚结果:监管部门依法对该公司作出行政处罚,责令限期改正违法行为,并处以人民币5000万元罚款对直接负责的主管人员和其他直接责任人员,给予警告并处以罚款案例启示:企业在收集、使用个人信息时,必须遵循合法、正当、必要原则,不得过度收集应当以清晰、易懂的方式告知用户收集、使用个人信息的目的、方式和范围,并取得用户的明确同意案例二:某企业重要数据泄露事件案情简介:某大型制造企业因内部数据安全管理制度不健全,员工安全意识薄弱,导致存储在服务器上的大量涉及国家关键基础设施的技术数据被黑客窃取并在境外网站上公开售卖该企业未按规定开展数据安全风险评估,未采取有效的技术保护措施,造成严重后果处罚结果:监管部门认定该企业构成重要数据泄露,对企业处以巨额罚款,责令停业整顿,并对相关责任人员给予从业禁止处罚同时,因涉嫌危害国家安全,相关人员被追究刑事责任从案例中汲取经验教训完善制度建设建立健全数据安全管理制度,明确各环节的安全要求和操作规范,确保制度的可操作性和有效性强化技术防护投入必要的资源,采用先进的安全技术手段,构建多层次的数据安全防护体系,定期进行安全检测和漏洞修复加强人员管理提升全员数据安全意识,开展定期培训,明确岗位职责,建立责任追究机制,防范人为因素导致的安全风险重视合规审查定期开展数据安全合规审查,及时发现和整改存在的问题,主动接受监管部门的监督检查,确保各项措施符合法律要求第五部分数据安全法的未来展望展望数据安全法的深远影响,把握数据安全治理的发展方向数据安全法的意义与影响保护公民个人信息安全促进数字经济健康发展强化个人信息保护,维护公民合法权益和人格尊严为数据合法合规利用提供法律保障,激发数据要素活力提升国家数据安全保障能力建立数据安全治理体系,维护国家主权和安全利益参与全球数据治理提升我国在全球数据治理中的话语权和影响力完善数据治理法律体系与网络安全法、个人信息保护法等形成协同互补数据安全法的实施标志着我国数据安全进入了法治化、规范化的新阶段它不仅是对过去数据安全工作经验的总结,更是对未来数字经济发展的前瞻性布局法律的实施将推动形成政府监管、企业自律、社会监督、公民参与的多元共治格局,为数字中国建设提供坚实的法治保障数据安全法的未来发展趋势完善配套法规加强国际合作提升技术创新技术创新是数据安全的重要支撑未来将更加注重新技术在数据安全领域的研发和应用,提升技术防护能力•发展隐私计算、联邦学习等技术随着数据安全法的深入实施,相关配套法规和标准将不断完善各行业领域将制定•推广应用区块链、加密算法更加具体的实施细则和操作指南•研发智能化安全监测工具•出台数据分类分级指南•培育数据安全产业生态在全球数据流动日益频繁的背景下,加强国际交流与合作成为必然趋势我国将积•制定重要数据目录极参与国际数据治理规则制定•完善数据出境安全评估办法•推动建立数据跨境流动国际规则•建立健全数据安全标准体系•加强与其他国家的数据安全交流•参与国际数据安全标准制定•深化一带一路数字经济合作亿202550+1000总结共筑数据安全防线:数据安全,人人有责数据安全不仅是政府和企业的责任,更是每个公民应尽的义务在享受数字化便利的同时,我们都应当增强数据安全意识,自觉维护数据安全提升安全意识认识到数据安全的重要性,了解数据泄露的危害,养成良好的数据安全习惯不随意泄露个人信息,不点击不明链接,定期更新密码遵守法律法规学习并遵守数据安全法等相关法律法规,在数据处理活动中严格按照法律要求操作,不触碰法律红线共建数字未来携手共建安全、健康、可持续的数字未来通过全社会的共同努力,让数据更好地服务于经济发展和社会进步,造福人民群众数据安全法的实施是我国数据安全治理的重要里程碑让我们携手并进,以法律为准绳,以技术为支撑,以责任为担当,共同守护数字时代的安全防线,为建设网络强国、数字中国贡献力量!共创安全数字未来感谢您参加本次数据安全法讲座数据安全是一项长期的系统工程,需要政府、企业、社会组织和每一位公民的共同参与让我们从现在做起,从自身做起,用实际行动守护数据安全,共同开创安全、繁荣、美好的数字时代!。