数据安全法规解读课件

数据安全法规解读课件第一章数据安全法的背景与意义数据安全的时代背景数字经济蓬勃发展数据安全威胁日益严峻在全球数字化转型的浪潮中数据已经成近年来大规模数据泄露事件频繁发生涉,,,为继土地、劳动力、资本、技术之后的及金融、医疗、电商等多个领域个人第五大生产要素中国数字经济规模持隐私泄露、商业机密被窃、关键基础设续扩大年已占比重超过施遭受网络攻击等事件层出不穷不仅危,2020GDP38%,,数据作为核心战略资产的地位日益凸害公民个人权益,更威胁到国家安全和公显共利益企业通过数据驱动决策创新商业模式数,,据的价值创造能力前所未有然而数据,价值越大风险也越高数据安全成为数字,,经济健康发展的基石年《数据安全法》颁布大事2021件年月120206《数据安全法草案》首次提请全国人大常委会审议标志着我国数据安全,立法进程正式启动年月日22021610十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》年月日3202191《数据安全法》正式实施中国数据治理进入法治化新时代与《网络安全,,法》《个人信息保护法》共同构成数据安全法律体系数据安全,刻不容缓数据安全法的核心目标保障国家安全和公共利益促进数据合理利用与自由流动保护个人和组织合法权益维护国家主权、安全和发展利益保护关键在确保安全的前提下推动数据依法有序自保障公民个人信息权益不受侵犯保护企业,,,信息基础设施和重要数据不受威胁防范数由流动充分发挥数据的经济和社会价值激商业秘密和数据资产安全明确数据处理者,,,,据安全风险对国家安全造成的危害发数字经济创新活力的责任和义务监管体系与职责划分0102国家层面统筹协调行业主管部门监管中央网信办作为国家数据安全工作的统筹协调机构,负责制定数据安全战略和各行业主管部门负责本行业、本领域的数据安全监管工作,制定具体的数据安重大政策工信部、公安部、国家安全部等多部门按照各自职责分工,协同推全标准和管理规范,指导督促本行业数据处理者落实安全责任进数据安全监管工作03地方政府属地管理企业主体责任地方各级政府承担属地数据安全监管责任,建立健全本地区数据安全工作协调机制,处置本区域内的数据安全事件第二章数据安全法条文重点解读逐条剖析法律核心条款掌握数据安全监管的关键要求与合规要点,数据分类分级管理制度数据分类分级是数据安全保护的基础性制度《数据安全法》第二十一条明确规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护核心数据关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据一般数据除核心数据和重要数据之外的其他数据企业合规要求•建立数据分类分级管理制度,明确不同级别数据的保护措施•定期开展数据资产梳理,识别本单位处理的重要数据•针对不同级别数据采取差异化的安全技术和管理措施•加强重要数据的访问控制、加密保护和审计监控数据安全风险评估与应急响应风险评估要求应急响应机制《数据安全法》第二十九条要求,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管企业必须制定数据安全事件应急预案,明确应急处置流程和责任分工一旦发生数据安全事件,应当立即启动理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全应急预案,采取补救措施,并按照规定向有关主管部门报告重要数据的处理者应当定期开展风险评估,并向有关主管部门报送风险评估报告风险评估应当包括:•数据处理活动的合法性、正当性、必要性•数据安全保护措施的有效性•潜在的数据安全风险及其影响•应对措施的充分性和可行性典型案例警示某大型互联网公司数据泄露案:2022年,某知名互联网公司因未按规定开展数据安全风险评估,导致超过10亿条用户数据泄露监管部门对该公司处以顶格罚款,并责令限期整改该案暴露出企业在风险评估流程不完善、技术防护措施薄弱、内部监督机制缺失等多方面问题,为行业敲响了警钟数据出境安全管理在全球化背景下,数据跨境流动日益频繁,但也带来了严峻的安全挑战《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定安全评估重要数据出境前必须进行安全评估,评估数据出境的必要性、合法性以及可能带来的安全风险监管审批按照规定向有关主管部门申报,经过安全评估和审批后方可出境合同约束与境外接收方签订数据出境安全协议,明确双方的安全保护责任和义务持续监督建立数据出境记录和跟踪机制,定期评估境外数据安全状况数据主权是国家主权在数字空间的延伸,保障数据出境安全就是维护国家安全和发展利益的重要防线个人信息保护与数据安全法的关系《数据安全法》与《个人信息保护法》共同构成了我国数据安全与个人信息保护的法律框架,两者既有区别又相互补充、协同实施《数据安全法》《个人信息保护法》调整范围:涵盖所有类型的数据,包括个人信息、企业数据、政府数据等调整范围:专门针对个人信息的处理活动保护重点:国家安全、公共利益和数据安全保护重点:个人信息权益和隐私保护监管视角:从国家安全和公共管理角度规范数据处理活动监管视角:从个人权利保护角度规范信息处理者的义务核心制度:数据分类分级、风险评估、应急响应等核心制度:知情同意、目的限制、最小必要等在实践中,企业处理个人信息时,既要遵守《数据安全法》关于数据安全保护的一般性规定,也要严格执行《个人信息保护法》的特别要求两法协同,形成了对个人信息安全+权益的双重保护机制,既防范数据安全风险,又保障个人合法权利,有效防止数据滥用和隐私侵犯合规不是负担而是竞争力在数字经济时代数据安全合规能力已成为企业可持续发展的核心竞争优势,第三章企业合规实务与案例分析从实战角度解析企业如何落实数据安全合规要求借鉴成功经验汲取失败教训,,企业数据安全合规的关键步骤建立数据安全管理体系制定数据安全管理制度,包括数据分类分级、访问控制、加密保护、审计监控等全流程规范,确保有章可循明确数据责任人和安全职责设立首席数据官CDO或数据安全负责人,建立数据安全责任制,明确各级管理人员和业务人员的数据安全职责实施技术防护措施部署数据加密、脱敏、访问控制、入侵检测、日志审计等技术手段,构建纵深防御体系,从技术层面保障数据安全开展员工培训与意识提升定期组织数据安全培训,提高全员数据安全意识和合规能力,培养安全文化,让数据保护成为每个员工的自觉行动定期评估与持续改进建立数据安全风险评估机制,定期开展合规审查和安全测试,及时发现问题并整改,持续优化数据安全管理体系典型违规案例剖析案例某电商平台数据泄露重罚案:案情概要:2023年初,某大型电商平台因数据安全管理严重缺失,导致超过5000万用户的个人信息和交易记录泄露,包括姓名、手机号、地址、购买记录等敏感信息监管部门经调查后,对该平台处以500万元顶格罚款,并责令全面整改违规原因深度剖析案例启示与教训数据权限管理混乱:未实施最小权限原则,大量员•数据安全不是成本,而是投资,忽视数据保护工拥有不必要的数据访问权限,内部人员可随意将付出惨痛代价查询和导出用户数据•技术措施和管理制度必须双管齐下,缺一不可技术防护措施薄弱:敏感数据未加密存储,缺乏数•员工是数据安全的第一道防线,必须加强培据脱敏处理,访问日志记录不完整,无法追溯数据训和意识教育泄露路径•建立健全应急响应机制,确保第一时间妥善安全意识严重不足:员工数据安全培训流于形式,处置安全事件对数据保护的重要性认识不足,存在随意分享数据的行为该案件引发行业震动,成为数据安全合规的反面教材,警示所有企业必须高度重视数据安全管理,应急响应机制缺失:发现数据泄露后未及时启动切实履行法律责任应急预案,未按规定向监管部门报告,延误了事件处置的最佳时机合规成功案例分享数据安全合规不仅是法律要求更是赢得客户信任、提升品牌价值的战略举措通过系统化的数据安全体系建设我们实现了业务创新与安全保护的,,双赢某领先金融机构首席信息安全官——全面数据治理体系领先技术防护能力持续培训与文化建设该金融机构建立了覆盖数据全生命周期的治理体投入大量资源建设数据安全防护平台,采用零信将数据安全纳入企业文化建设,定期开展全员培系从数据采集、存储、使用到销毁每个环节都任架构、数据加密、动态脱敏等先进技术构建训和演练形成了人人重视数据安全、人人参与,,,,有明确的安全规范和技术措施了多层次、立体化的安全防护体系数据保护的良好氛围通过三年持续努力该机构不仅通过了监管部门的严格审查获得了行业最高等级的数据安全认证还在业务创新方面取得突破基于完善的数据安全体,,,系该机构推出了多项创新金融产品在保护用户隐私的前提下充分挖掘数据价值实现了合规与发展的良性循环,,,数据安全技术手段介绍技术措施是数据安全保护的重要支撑,企业应当根据数据的重要程度和面临的安全风险,综合运用多种技术手段构建纵深防御体系数据加密技术数据脱敏技术访问控制机制对敏感数据进行加密存储和传输,包括对称加密、非对称加密、哈希算法等,确保数据对敏感信息进行变形处理,在不影响数据可用性的前提下保护隐私包括替换、遮实施基于角色的访问控制RBAC和基于属性的访问控制ABAC,遵循最小权限原在静态和动态状态下的安全性采用国密算法满足国产化要求蔽、泛化、扰乱等多种脱敏方法,广泛应用于测试、开发和数据分析场景则,确保用户只能访问其工作所需的数据集成多因素认证增强安全性云安全与边界防护随着云计算的普及,数据安全防护面临新的挑战云安全技术包括:云原生安全架构:采用微服务、容器、服务网格等云原生技术,实现安全能力的模块化和自动化零信任安全模型:打破传统网络边界概念,对每次访问请求进行身份验证和授权,实现永不信任,始终验证数据安全网关:在云端部署数据安全网关,对数据流量进行实时监控和防护,阻断异常访问和数据泄露云上数据备份与恢复:建立多地域、多副本的数据备份机制,确保数据的可用性和业务连续性最新趋势筑牢数据安全防线技术防护、管理制度、人员培训三位一体构建全方位数据安全保障体系,法律责任与处罚机制《数据安全法》建立了严格的法律责任体系,对违反数据安全义务的行为,根据情节轻重,规定了行政处罚、刑事责任和民事赔偿等多种法律责任形式行政处罚1主管部门可责令改正、给予警告、没收违法所得、罚款、暂停相关业务、停业整顿、吊销许可证或者营业执照等罚款金额最高可达100万元或者上一年度营业额5%刑事责任2构成犯罪的,依法追究刑事责任包括非法获取数据罪、非法出售或提供数据罪、拒不履行数据安全保护义务罪等,可处有期徒刑或拘役,并处或者单处罚金民事赔偿3因数据安全事件给他人造成损害的,依法承担民事赔偿责任受害人可要求赔偿经济损失、精神损害抚慰金等,还可能面临公益诉讼典型处罚案例合规要点提示•建立数据安全责任制,明确各级人员的法律责任案例一:某互联网公司未按规定报送重要数据出境安全评•定期开展法律法规培训,提高全员合规意识估,被处以50万元罚款,并责令停止数据出境活动•及时关注监管动态,主动配合监管部门检查•发生数据安全事件后,积极整改并承担相应责任案例二:某企业员工非法获取并出售客户数据,被判处有期徒刑三年,并处罚金20万元,企业也被处以行政罚款数据安全法与国际法规对比在全球数据治理格局中,各国都在加强数据安全立法了解不同法规的异同,有助于跨国企业更好地开展合规工作中国《数据安全法》欧盟GDPR核心特征:强调国家安全和公共利益,建立数据分核心特征:以个人数据保护为核心,强调个人权利类分级制度,重点保护重要数据和核心数据包括被遗忘权、数据可携带权等监管重点:关键信息基础设施、重要数据出境、数监管重点:合法性基础、知情同意、数据主体权据安全审查利、数据保护影响评估域外效力:对境外组织和个人损害中国数据安全的处罚力度:最高可处2000万欧元或全球营业额4%行为也适用本法的罚款美国加州CCPA核心特征:赋予消费者对个人信息的知情权、删除权、选择退出权监管重点:透明度要求、消费者权利保护、数据买卖限制适用范围:在加州开展业务且满足一定条件的企业跨境数据流动的合规挑战跨国企业在处理跨境数据时面临多重挑战:不同国家法规要求存在差异甚至冲突,数据本地化要求增加合规成本,数据出境审查程序复杂耗时企业需要建立全球统一的数据治理框架,同时满足各地的特殊要求,在数据保护标准上向最严格的法规看齐,确保在任何司法管辖区都能合规运营未来趋势与政策展望立法持续完善1《数据安全法》配套法规和实施细则将陆续出台,数据分类分级、重要数据识别、安全评估等具体标准将更加明确和可操作监管体系优化2多部门协同监管机制将更加成熟,监管科技应用将提升监管效能,对新兴技术和新业态的监管规则将不断完善技术创新驱动3隐私计算、区块链、人工智能等技术将广泛应用于数据安全保护,在确保安全的前提下更好地释放数据价值国际合作加强4中国将积极参与国际数据治理规则制定,推动建立多边、民主、透明的全球数字治理体系,促进数据跨境安全有序流动国家数据战略与数字中国建设数据已被确立为新型生产要素,国家高度重视数据资源的开发利用和安全保护十四五规划明确提出要加快数字化发展、建设数字中国未来,国家将:•建立健全数据要素市场体系,培育数据交易市场•加强数据基础设施建设,提升数据存储、传输和处理能力•推动政务数据开放共享,释放公共数据价值•支持数据安全产业发展,提升自主可控能力•深化国际数据合作,参与全球数字治理数据安全是数字中国建设的重要保障,只有在安全可控的前提下,才能充分发挥数据的经济社会价值,实现数字经济的高质量发展数据安全护航数字未来在数字文明新时代数据安全是通往美好未来的必经之路,互动环节法规理解问答:欢迎就数据安全法的理解与应用提出您的问题,我们将为您提供专业解答我们是一家中小企业如何判断自己处理的数据数据安全风险评估应该多久进行一次,是否属于重要数据法律要求定期开展,一般建议至少每年一次对于处理重可参考行业主管部门发布的重要数据识别指南,重点关注数要数据的企业,或者业务发生重大变化时,应当及时开展专项据涉及的领域、规模和敏感程度建议咨询专业机构进行评估数据分类分级评估如果发生数据泄露企业应该在多长时间内向监管部门报告,应当立即启动应急预案并采取补救措施虽然法律未明确具体时限,但参照网络安全事件通报惯例,建议在发现后24小时内报告典型问题解析如何理解合法、正当、必要原则Q:境内企业为境外母公司提供数据是否属于数据Q:A:合法是指符合法律法规;正当是指目的正当、手段正当;必要出境是指收集和使用的数据范围应限于实现目的所必需的最小范围三者缺一不可A:是的即使是集团内部的数据传输,只要数据从境内传输到境外,就属于数据出境,需要遵守相关安全管理规定企业可以将数据安全工作完全外包给第三方Q:吗匿名化处理后的数据是否还受数据安全法约Q:束A:不可以企业是数据安全的第一责任人,虽然可以委托第三方提供技术支持和服务,但法律责任不能转移,企业仍需履行监A:取决于匿名化程度如果经过处理后无法识别特定个人且督管理职责不能复原,则不再属于个人信息,但仍受数据安全法一般规定约束资料下载与学习资源推荐官方法规文本合规工具与模板全国人大网站:www.npc.gov.cn数据分类分级模板中国网信网:www.cac.gov.cn风险评估报告范本可下载《数据安全法》全文、立法说明、配套法规等权威资料数据安全管理制度样本应急预案模板培训课程推荐国家网络安全培训基地课程行业协会专题培训班专业机构数据合规认证课程线上学习平台相关专栏权威解读资源行业标准规范•《数据安全法》立法专家解读文章•《信息安全技术数据安全能力成熟度模型》GB/T37988•国家网信办官方政策解读•《信息安全技术个人信息安全规范》GB/T35273•工信部行业指南和最佳实践•《信息安全技术数据分类分级规则》•中国信息安全研究院研究报告•各行业数据安全管理办法和技术标准•法律专业期刊相关论文建议企业建立持续学习机制,及时跟踪法律法规更新,参加专业培训,不断提升数据安全合规能力结语数据安全人人有责:,数据安全不是一家企业或一个部门的事,而是需要政府、企业、社会组织和每个公民共同参与、共同守护的事业政府企业完善法律法规,加强监管执法,营造良好环境履行主体责任,加强安全投入,保护数据安全科研机构行业组织攻关核心技术,创新安全产品,支撑产业发展制定行业规范,推广最佳实践,促进行业自律教育机构个人普及安全知识,培养专业人才,提升全民素养提高安全意识,保护个人信息,依法维护权益在数字经济时代,数据安全法规不仅是约束和限制,更是保护和机遇遵守法律法规,既是企业的法定义务,也是赢得客户信任、提升品牌价值、实现可持续发展的战略选择让我们携手共建安全可信的数字生态,为数字经济高质量发展保驾护航,为数字中国建设贡献力量!附录一数据安全法全文重点摘录:以下摘录《中华人民共和国数据安全法》的核心条款,供学习参考完整法律文本请访问全国人大网站第一条立法目的第三条数据安全定义第二十一条分类分级制度为了规范数据处理活动,保障数据安全,促进数本法所称数据,是指任何以电子或者其他方式对国家建立数据分类分级保护制度,根据数据在经据开发利用,保护个人、组织的合法权益,维护信息的记录数据安全,是指通过采取必要措济社会发展中的重要程度,以及一旦遭到篡改、国家主权、安全和发展利益,制定本法施,确保数据处于有效保护和合法利用的状态,破坏、泄露或者非法获取、非法利用,对国家安以及具备保障持续安全状态的能力全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护第二十九条数据处理者义务第四十五条法律责任开展数据处理活动应当依照法律、法规的规定,违反本法规定的数据处理活动,有关主管部门责建立健全全流程数据安全管理制度,组织开展数令改正,给予警告,可以并处五万元以上五十万据安全教育培训,采取相应的技术措施和其他必元以下罚款,对直接负责的主管人员和其他直接要措施,保障数据安全责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款附录二相关法律法规一览:数据安全法律体系是一个完整的法律规范体系,由多部法律法规共同构成企业在开展数据处理活动时,需要综合遵守以下相关法律法规《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》实施时间:2017年6月1日实施时间:2021年11月1日主要内容:规定网络安全等级保护制度、关键信息基础设施保护、网络信息安全、网络安全监测预主要内容:专门规范个人信息处理活动,保护个人信息权益,确立知情同意、目的限制、最小必要等警和应急处置等,是网络空间安全的基础性法律基本原则,是个人信息保护的专门法律《中华人民共和国民法典》相关规定《中华人民共和国刑法》修正案实施时间:2021年1月1日主要内容:规定侵犯公民个人信息罪、非法获取计算机信息系统数据罪、拒不履行信息网络安全管理义务罪等,明确数据安全犯罪的刑事责任主要内容:第四编人格权编对个人信息保护作出民事法律规定,明确个人信息处理的合法性要求和民事责任配套规章制度技术标准规范•《网络数据安全管理条例》征求意见稿•GB/T37988《信息安全技术数据安全能力成熟度模型》•《数据出境安全评估办法》•GB/T35273《信息安全技术个人信息安全规范》•《汽车数据安全管理若干规定试行》•GB/T39335《信息安全技术个人信息安全影响评估指南》•《互联网信息服务算法推荐管理规定》•GB/T25069《信息安全技术术语》•《关键信息基础设施安全保护条例》•TC260系列国家标准•《工业和信息化领域数据安全管理办法试行》附录三常见术语解释:准确理解法律术语是做好合规工作的基础以下是数据安全领域常见术语的权威解释数据Data任何以电子或者其他方式对信息的记录包括结构化数据如数据库中的数据和非结构化数据如文本、图片、音视频等数据处理Data Processing数据的收集、存储、使用、加工、传输、提供、公开等活动的总称覆盖数据的全生命周期数据处理者Data Processor在数据处理活动中自主决定处理目的、处理方式的组织、个人是数据安全保护的第一责任人重要数据Important Data一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据具体范围由各地区、各部门按照国家有关规定确定核心数据Core Data关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据,是重要数据中最为关键、敏感的部分个人信息Personal Information以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息敏感个人信息Sensitive PersonalInformation一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息数据出境Data TransferAbroad数据处理者将在中华人民共和国境内运营中收集和产生的数据传输、存储至中华人民共和国境外数据本地化Data Localization要求特定类型的数据必须在境内存储和处理,不得或限制出境,以保障数据安全和国家主权匿名化Anonymization通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程匿名化后的信息不再属于个人信息去标识化脱敏/De-identification通过对个人信息的技术处理,使其在不借助额外信息的情况下无法识别特定自然人的过程与匿名化不同,去标识化信息在一定条件下仍可能恢复识别数据安全事件Data SecurityIncident因人为或自然的原因,对数据造成的破坏、泄露、篡改等,对国家安全、公共利益或个人、组织合法权益造成或可能造成危害的事件谢谢聆听欢迎提问与交流如有任何关于数据安全法规的疑问或合规需求欢迎随时与我们沟通交流,让我们携手共建安全可信的数字生态为数字经济发展保驾护航,!。