畢馬威會計師事務所-數(shù)據(jù)安全：護航數(shù)字經(jīng)濟高質量發(fā)展：《網(wǎng)絡數(shù)據(jù)安全管理條例》+歷經(jīng)3年正式發(fā)布于2025年1月1日正式生效

增強數(shù)據(jù)安全保障能力是基本合規(guī)義務數(shù)據(jù)安全是技術創(chuàng)新的動力和底氣保護好數(shù)據(jù)就是保護好核心競爭力2正式頒布并生效5月，國家互聯(lián)網(wǎng)信息辦公室關于《數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見法）正式生效辦公室關于《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》公開征求意見9月30日，《網(wǎng)絡數(shù)據(jù)安全管理條例》簽發(fā)，2025年1月1日生效截至2024年9月，已有多個行業(yè)主管部門，包括工業(yè)和信息化部、教育行業(yè)、電信行業(yè)及汽車行業(yè)等的數(shù)據(jù)安全相關管理辦法。8月30日，國務院常務會議審議通過《網(wǎng)絡數(shù)據(jù)共和國數(shù)據(jù)安全法》共和國網(wǎng)絡安全法》適用范圍適用范圍3權益、個人權益造成的危害程度，將數(shù)據(jù)從高到低分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個級別。按照數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、程度，將一般數(shù)據(jù)可以從低到高分為1級、2級、3級、4級共四個級別。數(shù)據(jù)安全數(shù)據(jù)安全數(shù)據(jù)定級要素影響對象影響程度一般數(shù)據(jù)經(jīng)濟運行、社會秩序、公共利益重要數(shù)據(jù)經(jīng)濟運行、社會秩序、公共利益核心數(shù)據(jù)經(jīng)濟運行、社會秩序、公共利益參考：GB/T43697-2024《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》4數(shù)據(jù)分級分類按照業(yè)務分類，梳理數(shù)據(jù)資產，識別重要數(shù)據(jù)、核心數(shù)據(jù)，形成重要數(shù)據(jù)目錄建立數(shù)據(jù)分級分類實施制度根據(jù)數(shù)據(jù)分級分類采取差異化安全保護措施關鍵挑戰(zhàn)考慮不同法規(guī)中數(shù)據(jù)安全級別的映射關系，外資行還需統(tǒng)籌考慮境內與境外的數(shù)據(jù)資產，降低管理成本數(shù)據(jù)分級分類的不精確會影響差異金融行業(yè)目前已針對數(shù)據(jù)安全起草并發(fā)布了多項行業(yè)內的法規(guī)和標準，包括《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）》、《銀行保險機構數(shù)據(jù)安全管理辦法（公開征求意見稿）》、《JR/T0197-2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》數(shù)據(jù)分級分類按照業(yè)務分類，梳理數(shù)據(jù)資產，識別重要數(shù)據(jù)、核心數(shù)據(jù)，形成重要數(shù)據(jù)目錄建立數(shù)據(jù)分級分類實施制度根據(jù)數(shù)據(jù)分級分類采取差異化安全保護措施關鍵挑戰(zhàn)考慮不同法規(guī)中數(shù)據(jù)安全級別的映射關系，外資行還需統(tǒng)籌考慮境內與境外的數(shù)據(jù)資產，降低管理成本數(shù)據(jù)分級分類的不精確會影響差異銀行保險機構數(shù)據(jù)安全管理辦法（公開征求意見稿）中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）一般數(shù)據(jù)其他一般數(shù)據(jù)一般數(shù)據(jù)敏感數(shù)據(jù)重要數(shù)據(jù)重要數(shù)據(jù)核心數(shù)據(jù)核心數(shù)據(jù)數(shù)據(jù)安全治理與管理數(shù)據(jù)安全治理與管理遵循“誰管業(yè)務，誰管業(yè)務遵循“誰管業(yè)務，誰管業(yè)務數(shù)據(jù)，誰管數(shù)據(jù)安全”的基本原則安全治理架構：明確數(shù)據(jù)安全管理相關內設部門職責分工，細化定責問指定數(shù)據(jù)安全歸口管理部門重要數(shù)據(jù)處理者書面明確數(shù)據(jù)安全負責人和數(shù)據(jù)安全牽頭管理內設部門5數(shù)據(jù)安全治理與管理數(shù)據(jù)安全監(jiān)督管理數(shù)據(jù)安全事件管理數(shù)據(jù)生命周期管理數(shù)據(jù)安全治理與管理數(shù)據(jù)安全監(jiān)督管理數(shù)據(jù)安全事件管理數(shù)據(jù)生命周期管理數(shù)據(jù)安全體系建設：建立數(shù)據(jù)安全治理、數(shù)據(jù)分級分類、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術、數(shù)據(jù)安全數(shù)據(jù)安全體系建設：建立數(shù)據(jù)安全治理、數(shù)據(jù)分級分類、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術、數(shù)據(jù)安全風險監(jiān)測等方面的相關制度要求對網(wǎng)絡數(shù)據(jù)進行分類分級保護，對所處理網(wǎng)絡數(shù)據(jù)的安全承擔主體責任數(shù)據(jù)服務管理體系：建立數(shù)據(jù)服務管理體系、制定數(shù)據(jù)服務規(guī)范、建立專職的數(shù)據(jù)服務團隊建立數(shù)據(jù)安全監(jiān)督合規(guī)要求和規(guī)范依據(jù)不同監(jiān)管機構的要求開展全面的數(shù)據(jù)安全審計工作并依據(jù)要求完成上報工作對有關主管部門依法開展的網(wǎng)絡數(shù)據(jù)安全監(jiān)督檢查予以配合建立數(shù)據(jù)處理活動安全風險監(jiān)測和告警制定數(shù)據(jù)安全事件定級判定標準和應急強化內部人員和培訓管理，加強人員安全意識，落實安全事件應急預案依據(jù)不同的監(jiān)管機構規(guī)范應急響應與處置工作，及時有序上報事件及處置情況接受社會監(jiān)督，建立便捷的網(wǎng)絡數(shù)據(jù)安全投訴、舉報渠道，公布投訴、舉報方式等信息，及時受理并處理網(wǎng)絡數(shù)據(jù)安全投訴、舉報級數(shù)據(jù)安全保護管理要求執(zhí)行全生命周期各環(huán)節(jié)中不同層級數(shù)據(jù)安全技術措施要求，包括數(shù)據(jù)收集、數(shù)據(jù)加工、數(shù)據(jù)使用、數(shù)據(jù)共享、委托處理、共同處理、數(shù)據(jù)轉移與提供、數(shù)據(jù)公開、數(shù)據(jù)跨境、銷毀與刪除、數(shù)據(jù)傳輸、數(shù)據(jù)備份與存儲集團內部共享數(shù)據(jù)應采取保護措施，共享敏感及以上數(shù)據(jù)應獲得主體的授權和應求同存異，具體問題具體分析，避免重應求同存異，具體問題具體分析，避免重在面對數(shù)據(jù)安全事件時，需要能夠迅速識別、評估、應對并恢復業(yè)務從金融監(jiān)管角度當前非常關注如何對數(shù)據(jù)安全事件進行有效的管理，包括事件實質發(fā)生后，如何進行應急處置與監(jiān)管報備，金融企業(yè)應針對應急相關的流程、演練著重進行建設構建覆蓋數(shù)據(jù)全生命周期的安全管控時，6數(shù)據(jù)出境安全管理數(shù)據(jù)出境安全管理個人信息保護審查辦法信息安全規(guī)范等7?網(wǎng)絡平臺服務提供者在數(shù)據(jù)安全方面的管理要求在《條例》中被首次提出，主要包括：o明確接入其平臺的第三方產品和服務提供者的網(wǎng)絡數(shù)據(jù)安全保護義務，督促第三方產品和服務提供者加強網(wǎng)絡數(shù)據(jù)安全管理，其中，應用程序分發(fā)服務的網(wǎng)絡平臺服務提供者還應當建立應用程序核驗規(guī)則并開展網(wǎng)絡數(shù)據(jù)安全相關核驗o通過自動化決策方式向個人進行信息推送的，個性化推薦易關閉、個人特征標簽可刪除o國家鼓勵網(wǎng)絡平臺服務提供者支持用戶使用國家網(wǎng)絡身份認證公共服務登記、核驗真實身份信息?此外，大型網(wǎng)絡平臺服務提供者：o每年度發(fā)布個人信息保護社會責任報告o跨境提供網(wǎng)絡數(shù)據(jù)，應當遵守國家數(shù)據(jù)跨境安全管理要求，健全相關技術和管理措施，防范網(wǎng)絡數(shù)據(jù)跨境安全風險o不得利用網(wǎng)絡數(shù)據(jù)、算法以及平臺規(guī)則等，開展不當網(wǎng)絡數(shù)據(jù)處理活動，損害用戶合法權o如涉及重要數(shù)據(jù)處理，年度風險評估還應充分說明關鍵業(yè)務和供應鏈網(wǎng)絡數(shù)據(jù)安全等情況網(wǎng)絡平臺服網(wǎng)絡平臺服務提供者面向大量用戶和平臺內經(jīng)營者提供服務，可能包括：提供信息發(fā)布和交互的社交媒體平臺、提供支付服務的網(wǎng)絡平臺、提供視聽服務的網(wǎng)絡平臺、提供應用程序分發(fā)服務的網(wǎng)絡平臺、預裝應用程序的智能終端等設備生產者等。大型網(wǎng)絡平臺服務提供者大型網(wǎng)絡平臺服務提供者是指注冊用戶5000萬以上或者月活躍用戶1000萬以上，業(yè)務類型復雜，網(wǎng)絡數(shù)據(jù)處理活動對國家安全、經(jīng)濟運行、國計民生等具有重要影響的網(wǎng)絡平臺。88重要數(shù)據(jù)的定義和識別細則尚未明確的行業(yè)，可參考《GB/T43697-全技術數(shù)據(jù)分類分級規(guī)則》、《信息安全技術重要數(shù)據(jù)識別指南（征求意見數(shù)據(jù)安全治理方針應當明確網(wǎng)絡數(shù)據(jù)安全負責人和網(wǎng)絡數(shù)據(jù)安全管理機知識和相關管理工作經(jīng)歷，由網(wǎng)絡數(shù)據(jù)處理者管理層數(shù)據(jù)安全治理方針應當明確網(wǎng)絡數(shù)據(jù)安全負責人和網(wǎng)絡數(shù)據(jù)安全管理機知識和相關管理工作經(jīng)歷，由網(wǎng)絡數(shù)據(jù)處理者管理層成員擔任，有權直接向有關主管部門報告網(wǎng)絡數(shù)據(jù)安?中國人民銀行業(yè)務領域數(shù)據(jù)安全管?銀行保險機構數(shù)據(jù)安全管理辦法?教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認定工?工業(yè)和信息化領域數(shù)據(jù)安全管理辦?汽車數(shù)據(jù)安全管理若干規(guī)定（試行）領域重要數(shù)據(jù)識別指南?衛(wèi)生健康行業(yè)數(shù)據(jù)分發(fā)生合并、分立、解散、破產等情況的，應當向省級應當每年度對其網(wǎng)絡數(shù)據(jù)處理活動開展風險評估，并數(shù)據(jù)安全生命周期管理提供、委托處理、共同處理重要數(shù)據(jù)的應當遵守額外數(shù)據(jù)安全管理體系和管理技術9保障數(shù)據(jù)依法有序自由流動，為促進數(shù)字經(jīng)濟高質量發(fā)展、推動科技創(chuàng)新和產業(yè)創(chuàng)新營造良好環(huán)境”推進數(shù)據(jù)安全分級優(yōu)化與落實加快數(shù)據(jù)安全管理體系總體建設有針對性的開展數(shù)據(jù)生命周期管理和數(shù)據(jù)安全管理技術落地關注與個人信息管理、網(wǎng)絡安全運營的銜接與數(shù)據(jù)安全治理方針安全運營安全運營數(shù)據(jù)安全生命周期管理安全工程安全工程數(shù)據(jù)安全管理體系數(shù)據(jù)安全管理技術數(shù)據(jù)分類分級設計與落地安全分類分級