数据安全法 培训课件

中华人民共和国数据安全法培训课件第一章法律背景与总体框架数据安全法诞生的时代背景立法时间国家安全2021年6月10日,第十三届全国人大常在数字化转型加速的时代背景下,数据委会第二十九次会议正式通过《中华已成为国家基础性战略资源该法的人民共和国数据安全法》,同年9月1日出台是维护国家主权、安全与发展利起施行这是我国数据安全领域的基益的战略举措,构筑数字时代的国家安础性法律全防线经济发展数据安全法的立法目的与适用范围立法目的适用范围•规范数据处理活动,确保数据依法有序自由流动•适用于中华人民共和国境内开展的数据处理活动及其安全监管•保障数据安全,维护国家安全和公共利益•境外数据处理活动,损害中国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任•保护公民、组织的合法权益,促进数据开发利用•涵盖各类数据处理者,包括企业、组织、个人等•推动数字经济发展,构建数字中国重要提示:数据安全法具有域外效力,境外主体处理境内数据或损害中国利益的行为同样受到管辖国家安全与数字经济的双重守护数据安全法的立法流程体现了国家对数据安全的高度重视从起草、征求意见到审议通过,历经多个阶段,广泛听取各方意见,确保法律的科学性和可操作性该法与《网络安全法》《个人信息保护法》共同构成我国数据安全与个人信息保护的法律基石,形成协同治理的制度体系01前期调研与起草深入调研国内外数据安全现状,充分研究借鉴国际经验02公开征求意见向社会公开征求意见,听取企业、专家、公众的建议03多次审议修改全国人大常委会进行多次审议,不断完善法律条款04正式通过实施2021年6月10日通过,9月1日起正式施行数据安全法的结构与章节概览《数据安全法》共七章五十五条,构建了完整的数据安全法律框架从宏观的总体要求到微观的具体义务,从制度建设到法律责任,形成了系统化的规范体系总则1明确立法目的、适用范围、基本原则和管理体制,确立数据安全保障的基本方向数据安全与发展2规定数据安全与发展的关系,强调安全与发展并重,促进数据依法合理有效利用数据安全制度3建立分类分级保护、风险评估、监测预警、应急处置、安全审查等核心制度数据安全保护义务4明确数据处理者的安全保护义务,包括管理制度、技术措施、事件报告等政务数据安全与开放5规范政务数据的安全管理和开放利用,提升政府数据服务能力法律责任6明确违反本法的法律责任,包括行政处罚、刑事责任等,强化执法震慑附则7规定军事数据安全保护的特殊安排和法律生效时间第二章核心制度与分类分级保护全面解析数据安全法确立的核心制度体系,重点掌握分类分级保护这一基础性制度的内涵与实施要求数据定义与处理范围数据的定义数据处理活动数据是指任何以电子或者其他方式对信息的记录这一定义涵盖了数数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等字化信息的各种形式,包括文本、图像、音频、视频等多种载体,体现了全生命周期活动每个环节都需要采取相应的安全保护措施,确保数据法律的包容性和前瞻性的完整性、保密性和可用性收集与存储使用与加工传输与公开•数据采集•数据分析•数据传输•数据录入•数据挖掘•数据共享•数据存储•数据处理•数据提供•数据备份•数据转换•数据公开分类分级保护制度详解分类分级保护制度是数据安全法确立的核心制度之一国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护国家核心数据最严格管理1重要数据2重点保护一般数据3基本保护国家核心数据管理重要数据目录制定•关系国家安全、国民经济命脉、重要民生、重大公共利益的数据•各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录•实行更加严格的管理制度,需经主管部门批准才能出境•定期开展风险评估,动态调整目录•明确管理责任主体,建立专门保护机制•重点保护工业、电信、交通、金融、自然资源、卫生健康、教育、科技等重点领域数据数据安全风险评估与监测预警机制风险识别风险评估全面识别数据处理活动中存在的安全风险点,评估潜在威胁建立集中统

一、高效权威的数据安全风险评估体系,定期开展评估监测预警防范处置加强数据安全信息获取、分析、研判和通报工作,实时监测安全态势及时发布预警信息,指导做好防范和处置工作,防患于未然国家建立数据安全风险评估、报告、信息共享、监测预警机制相关部门加强数据安全信息的获取、分析、研判、预警工作,及时发布风险提示各类组织应当按照要求开展数据安全风险评估,向有关主管部门报送风险评估报告重点领域的数据处理者应当定期评估面临的数据安全风险,制定针对性的应对措施精准防护分级施策,分类分级保护制度的实施是一个系统工程,需要各方协同配合企业和组织应当根据国家和行业的数据分类分级标准,结合自身业务特点,建立内部数据分类分级管理制度,明确不同类别、不同级别数据的安全保护要求和责任主体1识别数据资产全面梳理本单位掌握的数据资源,建立数据资产清单2分类分级评定根据数据重要性和敏感程度进行分类分级,确定保护等级3制定保护策略针对不同类别和级别的数据制定差异化的安全保护措施4实施监督检查定期检查保护措施落实情况,持续改进数据安全管理数据安全应急处置与安全审查制度应急处置机制国家安全审查国家建立数据安全应急处置机制发生国家建立数据安全审查制度,对影响或者数据安全事件时,有关主管部门应当依法可能影响国家安全的数据处理活动进行启动应急预案,采取相应的应急处置措施,国家安全审查审查重点关注数据处理防止危害扩大,消除安全隐患,并及时向社活动是否危害国家安全,是否影响国家核会发布与公众有关的警示信息心数据和重要数据的安全•制定应急预案,明确应急响应流程•关键信息基础设施运营者采购网络产品和服务•建立应急响应团队,定期开展演练•影响国家安全的数据处理活动•及时启动应急响应,控制事件影响•境外上市涉及数据安全的情形•开展事后调查,总结经验教训•其他影响或可能影响国家安全的数据活动关键要点:未通过国家安全审查的数据处理活动不得开展违反审查要求可能面临严厉的行政处罚甚至刑事责任第三章数据安全保护义务与合规要求深入了解数据处理者应当履行的安全保护义务,掌握数据安全合规管理的核心要求,构建完善的数据安全保障体系全流程数据安全管理制度建设数据处理者应当根据数据的重要程度和数量、种类、来源、处理方式等,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全制度体系建设组织架构完善建立数据安全管理制度、操作规程和技术标准,明确数据安全责任和义务明确数据安全负责人和管理机构,配备专业的数据安全管理和技术人员教育培训开展监督检查落实定期组织数据安全教育培训,提升全员数据安全意识和技能水平建立数据安全管理责任制,定期开展内部审计和监督检查管理制度包括

1.数据安全管理总则和基本规范

2.数据分类分级管理制度

3.数据收集、存储、使用、加工、传输、提供、公开等环节的安全管理制度

4.数据安全风险评估制度

5.数据安全事件应急预案

6.数据销毁管理制度技术措施与安全保障技术措施是保障数据安全的重要手段数据处理者应当采取加密、去标识化、访问控制、安全认证等技术措施,确保数据在收集、存储、使用、加工、传输、提供、公开等各个环节的安全加密技术访问控制对敏感数据和重要数据进行加密存储和传输,采用国家认可的加密建立严格的身份认证和访问控制机制,实施最小权限原则采用多算法,确保数据的机密性加密密钥应当妥善保管,定期更换因素认证、角色管理等技术,防止未经授权的访问和操作备份恢复去标识化建立数据备份机制,定期对重要数据进行备份,并验证备份数据的完对包含个人信息的数据进行去标识化处理,采用匿名化、假名化等整性和可恢复性制定灾难恢复计划,确保在发生安全事件时能够技术,降低数据泄露的风险,保护个人隐私快速恢复审计日志网络安全建立数据操作日志记录机制,完整记录数据的访问、修改、删除等落实网络安全等级保护制度要求,部署防火墙、入侵检测、防病毒操作,定期审查日志,及时发现异常行为等安全设备,建立纵深防御体系,保障网络和系统的安全重要数据处理者的特殊责任处理重要数据的组织和个人应当承担更严格的数据安全保护义务法律对重要数据处理者提出了更高的合规要求,需要建立更加完善的数据安全管理体系1明确责任人员明确数据安全负责人和管理机构,负责本单位的数据安全管理工作数据安全负责人应当具备相应的专业知识和管理能力,直接向本单位主要负责人报告工作2定期风险评估定期开展数据安全风险评估,识别潜在的安全隐患,制定针对性的防范措施风险评估应当覆盖数据处理的各个环节,评估结果应当形成书面报告3报送评估报告按照规定向有关主管部门报送风险评估报告报告应当包括数据安全现状、存在的风险、已采取的措施和改进计划等内容4加强技术保障采用符合国家标准的数据安全技术和产品,建立数据安全防护体系对核心数据处理系统进行安全加固,部署安全监测和审计系统合法合规收集与使用数据合法收集原则禁止性行为开展数据处理活动应当遵守法律、法规,尊重社会公德和伦理,遵守商业道任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任他非法方式获取数据合法性:数据收集应当符合法律法规的规定,不得违反法律禁止性规定•禁止窃取、非法购买数据正当性:数据收集应当具有明确、合理的目的,不得超出合理范围•禁止通过欺诈、误导等方式收集数据必要性:收集的数据应当与处理目的直接相关,最小化收集•禁止强制、过度收集数据知情同意:收集个人信息应当告知并征得个人同意•禁止非法交易、提供或公开数据•禁止利用数据从事危害国家安全、公共利益或他人合法权益的活动合规提示:在收集和使用数据前,应当开展合规性审查,确保数据来源合法、处理活动合规建立数据来源审核机制,留存相关证明文件数据交易与服务提供者责任从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可资质审核依法取得开展数据交易和服务所需的行政许可,确保具备相应的技术能力和安全保障能力身份认证对数据交易双方进行身份认证,核实交易主体的真实身份和资质,建立实名制管理来源审查要求数据提供方说明数据来源,审核数据来源的合法性,确保数据获取方式符合法律规定记录留存完整记录交易信息,包括交易双方信息、数据类型、数量、用途等,按规定期限留存交易记录安全保障采取必要的技术措施和管理措施,保障数据交易平台和服务系统的安全,防止数据泄露技术护航安全无忧,技术措施是数据安全保障的基石通过部署先进的安全技术和产品,建立多层次、立体化的安全防护体系,可以有效防范数据安全风险企业应当持续跟踪数据安全技术发展,及时更新和升级安全防护手段,不断提升数据安全保障能力身份认证数据加密多因素认证体系端到端加密技术边界防护防火墙与入侵检测容灾备份安全监测异地备份与恢复实时监控与预警个人信息保护与敏感数据处理个人信息是数据安全保护的重点领域数据安全法与个人信息保护法相互衔接,共同构建个人信息保护的法律框架处理个人信息应当遵循合法、正当、必要和诚信原则,公开处理规则,明示处理目的、方式和范围告知与同意处理个人信息应当告知个人并取得其同意告知内容应当包括处理目的、方式、范围、保存期限、个人权利等信息,确保个人充分知情敏感信息保护处理敏感个人信息,如生物识别、医疗健康、金融账户、行踪轨迹等,应当取得个人的单独同意,并采取更加严格的保护措施个人权利保障尊重和保障个人的知情权、决定权、查询权、更正权、删除权等权利建立便捷的权利行使渠道,及时响应个人的合理请求未成年人保护处理未成年人个人信息应当遵循特殊保护原则,取得监护人的同意,采取更加严格的保护措施,保障未成年人合法权益数据安全事件报告与用户通知事件报告义务报告内容要求发生数据泄露、毁损、丢失等数据安全事件时,应当立即采取补救措施,按照规定及时告知用户并向有关主管数据安全事件报告应当包括以下内容:部门报告•事件发生的时间、地点、原因和经过01•涉及的数据类型、数量和范围立即响应•可能造成的危害和影响•已采取的应急处置措施启动应急预案,组建应急响应团队•事件处置的进展情况•拟采取的进一步措施02控制事态报告时限根据事件等级确定,重大事件应当立即报告,一般事件应当在24小时内报告采取措施防止危害扩大,控制影响范围03向上报告按规定向主管部门报告事件情况04通知用户及时告知受影响的用户或组织重要提醒:隐瞒、谎报或者拖延报告数据安全事件将面临严厉的法律责任应当建立畅通的报告渠道,确保事件信息及时准确上报第四章政务数据安全与开放实践政务数据是重要的公共资源,既要确保安全,又要促进开放利用本章聚焦政务数据的安全管理和开放实践,助力数字政府建设电子政务数据安全管理国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力同时,国家机关应当依照法律、法规的规定,建立健全数据安全管理制度,落实数据安全保护责任制度体系建设安全技术保障委托处理监督建立健全政务数据安全管理制度,包括数据分类分级、访问控采用安全可靠的网络产品和服务,部署必要的安全防护设备委托他人处理政务数据的,应当与受托方签订数据安全保密协制、操作审计、应急处置等制度明确数据安全责任部门和落实网络安全等级保护制度,定期开展安全检测和风险评估,议,明确双方的数据安全保护责任和义务监督受托方履行数责任人,落实数据安全管理责任制及时消除安全隐患据安全保护义务,确保政务数据安全政务数据安全重点

1.涉及国家秘密的政务数据应当严格按照保密法律法规管理

2.涉及个人信息的政务数据应当依法保护个人隐私

3.跨部门共享的政务数据应当明确使用范围和用途

4.政务数据外包服务应当进行安全评估政务数据的科学利用与公开国家支持政务数据依法依规开放利用,推动公共数据资源共享开放各级人民政府及其有关部门应当在保障数据安全的前提下,促进政务数据开放利用,提升政务数据的社会价值和经济价值依法公开共享开放根据政府信息公开条例等法律法规,主动公开应建立政务数据共享平台,推动部门间数据共享,向当公开的政务数据,保障公民的知情权社会有序开放公共数据资源安全保障创新应用在开放利用政务数据时,应当遵守保密义务,保护鼓励企业和个人开发利用政务数据,创新公共服个人信息,维护公共安全和利益务模式,促进数字经济发展政务数据开放应当遵循公开为常态、不公开为例外的原则,但涉及国家秘密、商业秘密、个人隐私的数据不得公开开放的政务数据应当准确、完整、及时更新,并提供便捷的访问和下载方式案例分享数据泄露事件与法律责任:通过典型数据安全事件案例,深入分析违法行为的表现形式、造成的危害后果以及应当承担的法律责任,以案释法,警钟长鸣案例一某互联网企业数据泄露案案例二某医疗机构数据非法交易案例三某企业未履行安全审查案:::案基本情况:某大型互联网企业因安全管理不基本情况:某企业在境外上市过程中,未按善,导致数亿用户个人信息泄露,包括姓名、基本情况:某医疗机构内部人员非法出售患规定申报数据安全审查,擅自向境外提供大电话、住址等敏感信息者医疗数据,用于商业营销,涉及数十万患者量国内用户数据隐私违法行为:未履行数据安全保护义务,未采违法行为:未履行数据安全审查义务,擅自取必要的技术措施和管理措施,导致大规模违法行为:非法提供、非法获取数据,侵犯向境外提供重要数据,危害国家安全数据泄露公民个人信息,违反数据安全管理规定法律责任:被网信部门处以顶格罚款,责令法律责任:被网信部门处以巨额罚款,责令法律责任:涉案人员被追究刑事责任,医疗暂停相关业务,要求进行全面整改整改,相关责任人受到行政处罚同时面临机构被处以行政处罚,并被要求全面整改数大量用户的民事索赔据安全管理制度警钟长鸣防患未然,数据安全事件一旦发生,不仅会造成严重的经济损失和声誉损害,更可能危及国家安全和公共利益,侵害公民个人权益这些真实案例警示我们,数据安全保护不是可有可无的形式工作,而是必须严格落实的法律责任天万87%65450数据泄露由内部因素导致平均发现数据泄露所需时间数据泄露平均损失成本美元缺乏有效的内部管理和权限控制是主要原因及时监测和快速响应至关重要包括业务中断、声誉损失、法律责任等预防数据安全事件的关键在于建立健全的数据安全管理体系,加强技术防护,提升全员安全意识,定期开展风险评估和应急演练只有将数据安全保护工作落到实处,才能有效防范安全风险,避免重蹈覆辙企业合规实操指南数据安全合规是一项系统工程,需要企业从组织、制度、技术、流程等多个维度入手,构建全方位的数据安全保障体系以下是企业开展数据安全合规工作的实操指南步骤一建立组织架构:明确数据安全负责人和管理机构,配备专业团队,建立数据安全管理责任制,将数据安全责任层层分解落实到各部门和岗位步骤二完善制度体系:制定数据安全管理总则、数据分类分级制度、数据生命周期管理制度、数据安全事件应急预案等一系列管理制度和操作规程步骤三开展现状评估:全面梳理数据资产,识别重要数据和敏感数据,评估当前的数据安全管理现状,找出薄弱环节和安全隐患步骤四实施风险评估:定期开展数据安全风险评估,识别潜在的安全威胁,分析可能造成的危害,制定针对性的防范措施和应对预案步骤五部署技术措施:根据风险评估结果,部署必要的安全技术和产品,包括加密、访问控制、入侵检测、数据防泄漏、安全审计等步骤六开展培训教育:定期组织数据安全教育培训,提升全员的数据安全意识和技能重点岗位人员应当接受专业的数据安全培训步骤七应急演练测试:定期组织数据安全应急演练,检验应急预案的有效性,提升应急响应能力演练后应当总结经验,完善预案步骤八监督检查改进:建立数据安全监督检查机制,定期开展内部审计,及时发现和整改问题持续改进数据安全管理体系,适应新的安全形势未来趋势与国际合作数据安全国际合作跨境数据流动管理中华人民共和国积极参与数据安全相关国际规则和标准的制定,推动构建公平合理的数据安全国际规则体系关键信息基础设施运营者和处理重要数据的组织向境外提供数据,应当进行数据安全评估•参与国际数据安全标准制定•建立数据跨境流动安全管理制度•开展数据安全国际交流与合作•开展数据出境安全评估•推动建立多边、民主、透明的全球数据治理体系•签订数据跨境流动安全协议•反对数据霸权主义和数据保护主义•保障数据跨境流动的合法、安全国家采取措施,促进数据依法有序自由流动,促进以数据为关键要素的数字经济发展同时,对其他国家或者地区滥用数据优势地位、实施不当数据处理等措施的,可以采取对等措施20212025数据安全法正式实施,标志着我国数据安全法律体系基本建立预计形成较为成熟的数据安全治理体系,数据安全产业快速发展1234未来2023互动问答与讨论欢迎大家结合实际工作中遇到的数据安全问题进行提问和讨论以下是一些常见问题的解答,供参考问如何判断我们企业处理的数据是问数据出境需要办理哪些手续::否属于重要数据答:关键信息基础设施运营者和处理重要数据答:应当参考国家和行业主管部门发布的重要的组织向境外提供数据,应当通过数据出境安数据目录,结合数据的重要程度和敏感性进行全评估具体流程包括:开展数据出境风险自判断一般来说,涉及国家安全、经济运行、评估、向省级网信部门申报、接受安全评社会稳定、公共健康和安全的数据,以及达到估、获得评估结果通过评估后,方可向境外一定规模的个人信息,都可能被认定为重要数提供数据,并应当与境外接收方签订数据出境据建议咨询专业机构或主管部门进行评安全协议估问中小企业应当如何开展数据安全合规工作:答:中小企业可以从以下几方面着手:一是建立基本的数据安全管理制度;二是采取必要的技术防护措施,如访问控制、数据加密、定期备份;三是开展员工数据安全培训;四是制定数据安全事件应急预案;五是定期开展数据安全自查规模较小的企业可以寻求专业服务机构的帮助数据安全合规是一个持续改进的过程,需要根据法律法规的更新、业务的发展、技术的进步不断调整和完善建议企业建立常态化的合规管理机制,保持对数据安全法律法规的关注,及时调整合规策略结语共筑数据安全防线护航数字未来:,数据安全是国家安全的重要组成部分在数字化、网络化、智能化深入发展的今天,数据已成为国家基础性战略资源维护数据安全,就是维护国家主权、安全和发展利益,就是保障经济社会健康发展,就是保护人民群众的合法权益依法合规人人有责,数据安全保护不是某个部门、某个组织的事,而是全社会的共同责任每个组织、每个个人都应当增强数据安全意识,遵守数据安全法律法规,履行数据安全保护义务,共同营造安全有序的数据环境迈向数字经济高质量发展新时代数据安全法的实施,为数字经济发展提供了坚实的法治保障在确保安全的前提下,充分释放数据要素价值,激发数据活力,推动数字产业化和产业数字化,将有力促进我国经济高质量发展,让数字红利惠及全体人民让我们携手并进,认真学习贯彻数据安全法,切实履行数据安全保护义务,共同筑牢数据安全防线,为建设网络强国、数字中国贡献力量!。