• 首页 >  互联网 >  数字经济
  • 毕马威:2024数据安全:护航数字经济高质量发展报告(11页).pdf

    定制报告-个性化定制-按需专项定制研究报告

    行业报告、薪酬报告

    联系:400-6363-638

  • 《毕马威:2024数据安全:护航数字经济高质量发展报告(11页).pdf》由会员分享,可在线阅读,更多相关《毕马威:2024数据安全:护航数字经济高质量发展报告(11页).pdf(11页珍藏版)》请在本站上搜索。 1、数据安全:护航数字经济高质量发展2024年10月网络数据安全管理条例历经3年正式发布,于2025年1月1日正式生效。22024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。文档密级:公开增强数据安全保障能力是企业基本的合规义务,也是企业在数字化时代保持竞争力的应时之举2023年中共中央、国务院印发了数字中国建设整体布局规划明确指出:增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。增2、强数据安全保障能力是基本合规义务增强数据安全保障能力是基本合规义务数据安全管理正经历着从立法到实践的逐步转变。目前,个人信息保护监管闭环已日益完善,也同步促进了数据安全的规范化和系统化管理。重要数据的识别和保护、灵活便捷的数据出境监管机制的探索,也还在持续推进。企业仍需密切关注,积极合规。保护好数据就是保护好核心竞争力保护好数据就是保护好核心竞争力数据中蕴含着商业机密、客户信息和市场洞察等,这些数据的安全与保密直接关系到企业的业务稳定性和市场竞争力。只有通过加强数据安全管理,确保数据的完整性和可用性,企业才能在激烈的市场竞争中立于不败之地,实现可持续发展。数据安全是技术创新的动力和底气数据安全3、是技术创新的动力和底气随着大数据、人工智能和区块链等新兴技术的广泛应用,企业面临新的安全挑战。为确保技术创新顺利进行,企业需不断更新安全措施,并高度关注数据安全,以识别并应对潜在风险。32024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。文档密级:公开网络数据安全管理条例是网安法、数安法、个保法下首个国务院正式发布的管理条例8月30日,国务院常务会议审议通过网络数据安全管理条例(草案)11月1日,国家互联网信息办公室关于网4、络数据安全管理条例(征求意见稿)公开征求意见6月1日,中华人民共和国网络安全法(网安法)正式生效201720177月1日,中华人民共和国国家安全法(国安法)正式颁布并生效201520155月,国家互联网信息办公室关于数据安全管理办法(征求意见稿)公开征求意见201920199月1日,中华人民共和国数据安全法(数安法)正式生效202120219 9月月3030日,日,网络数据网络数据安全管理条例安全管理条例签发,签发,20252025年年1 1月月1 1日生效日生效11月1日,中华人民共和国个人信息保护法(个保法)正式生效20212021202120212020242420242024适用范围 5、在中华人民共和国境内开展网络数据处理活动及其安全监督管理;在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,符合个保法第三条第二款规定情形的依法适用;在中华人民共和国境外开展网络数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任 自然人因个人或者家庭事务处理个人信息的,不适用本条例。重点关注违规后果 主要参照网安法、数安法、个保法,针对一般规定、网络安全审查和重要数据安全,作出以下补充:罚款(单位最高一千万元,直接负责的主管人员和其他直接责任人员最高一百万元)单位可责令改正,给予警告,没收违法所得,责令暂停相关业务、停业整顿、关闭网站吊销6、相关业务许可证或者吊销营业执照等截至2024年9月,已有多个行业主管部门,包括工业和信息化部、中国人民银行、教育部发布了关于工业和信息化领域、金融行业、教育行业、电信行业及汽车行业等的数据安全相关管理办法。一般规定:数据安全治理方针 数据安全生命周期管理 数据安全管理体系 数据安全管理技术特定数据处理活动要求:国家安全审查 个人信息保护 重要数据安全管理 数据出境安全管理 网络平台服务提供者数据安全管理42024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球7、组织中的成员。版权所有,不得转载。文档密级:公开影响程度影响对象国家安全公共利益社会秩序经济运行个人权益组织权益Critical 特别严重危害Major 严重危害General 一般危害No impact 无危害根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据核心数据、重要数据重要数据、一般一般数据数据三个级别。按照数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对经济运行、社会秩序、公共利益或个人、组织合法权益等造成的危害程度,8、将一般数据可以从低到高分为一般数据可以从低到高分为 1 级级、2 级级、3 级级、4 级级共四个级别共四个级别。数据安全数据安全分类分类数据数据安全安全等级等级数据定级要素数据定级要素影响对象影响对象影响程度影响程度一般数据1级个人权益、组织权益无危害2级个人权益、组织权益一般危害3级个人权益、组织权益严重危害4级个人权益、组织权益特别严重危害经济运行、社会秩序、公共利益一般危害重要数据经济运行、社会秩序、公共利益严重危害国家安全一般危害核心数据经济运行、社会秩序、公共利益特别严重危害国家安全特别严重危害或严重危害参考:GB/T 43697-2024数据安全技术数据分类分级规则数据分类分级是数9、据安全治理的基础52024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。文档密级:公开数据安全治理方针 通常涵盖数据安全战略规划、数据安全分级保护基本原则、数据安全风险与合规管理等 特别是在数据安全分级保护、合规监督等方面,条例明确:o 对网络数据进行分类分级保护,对所处理网络数据的安全承担主体责任,建立完善数据安全管理制度和技术保护措施o 对有关主管部门依法开展的网络数据安全监督检查予以配合数据安全生命周期管理 通常涵盖数10、据采集安全、传输安全、存储安全、使用安全、交换和共享安全、销毁和处置安全等 特别是在数据采集安全、使用安全等方面,条例明确:o 使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行o 为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的,未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析数据安全管理体系 通常涵盖数据安全组织架构、人员胜任能力、制度流程体系、管理评价体系等 特别是在数据安全应急处置、数据安全投诉举报等制度流程方面,条例明确:o11、 建立健全网络数据安全事件应急预案,按照规定向有关主管部门报告、通知利害关系人等o 接受社会监督,建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报。数据安全管理技术 通常涵盖数据安全识别技术、数据安全防护技术、数据安全监测技术、数据安全响应技术等 特别是在等级保护基础上,加强加密、备份、访问控制、安全认证、漏洞管理等方面,条例明确:o 在网络安全等级保护的基础上,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施保护网络数据,防范针对和利用网络数据实施的违法犯罪活动o 应对安全缺陷、漏洞、风险立即采取补救措施,按照规定及时告知用户并向12、有关主管部门报告,涉及危害国家安全、公共利益的,应当在24小时内向有关主管部门报告网络数据处理者应关注数据安全治理提升62024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。文档密级:公开 数据出境安全管理总体合规要求应以网安法、个保法、数安法和其他相关最新数据出境规定为主,在以下方面应遵循补充要求:o 国家采取措施,防范、处置网络数据跨境安全风险和威胁。任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等;明知他13、人从事破坏、避开技术措施等活动的,不得为其提供技术支持或者帮助 个人信息处理者总体合规要求应以个保法和其他相关个人信息保护规定为主,在以下方面应遵循补充要求:o 细化个人信息转移的具体条件、保存期限的具体落实等o 向其他网络数据处理者提供、委托处理个人信息的处理情况记录,应当至少保存3年o 处理1000万人以上个人信息的,还应当遵守适用于重要数据的处理者的有关于网络数据安全负责人和网络数据安全管理机构、以及因公司变动等可能影响数据安全的相关保障和报告要求个人信息保护数据出境安全管理 网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查国家安全审查14、其他主要参考:个保法、网安法、GB/T35273个人信息安全规范等其他主要参考:网安法、个保法、数安法、数据出境安全评估办法、个人信息出境标准合同办法、促进和规范数据跨境流动规定等主要参考:国安法、网安法、数安法、关键信息基础设施安全保护条例、网络安全审查办法专题管理事项应重点关注与其他相关合规要求和实践的衔接与补充特定数据处理活动要求72024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。文档密级:公开 网络平台服务提供者15、在数据安全方面的管理要求在条例中被首次提出,主要包括:o 明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理,其中,应用程序分发服务的网络平台服务提供者还应当建立应用程序核验规则并开展网络数据安全相关核验o 通过自动化决策方式向个人进行信息推送的,个性化推荐易关闭、个人特征标签可删除o 国家鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息 此外,大型网络平台服务提供者大型网络平台服务提供者:o 每年度发布个人信息保护社会责任报告o 跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施16、,防范网络数据跨境安全风险o 不得利用网络数据、算法以及平台规则等,开展不当网络数据处理活动,损害用户合法权o 如涉及重要数据处理,年度风险评估还应充分说明关键业务和供应链网络数据安全等情况网络平台服务提供者数据安全管理大型网络平台服务提供者大型网络平台服务提供者是指注注册用户册用户5000万以上或者月活跃用月活跃用户户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。网络平台服务提供者网络平台服务提供者面向大量用户和平台内经营者提供服务,可能包括:提供信息发布和交互的社交媒体平台、提供支付服务的网络平台、提供视听服务的网络平台、提供应用程序17、分发服务的网络平台、预装应用程序的智能终端等设备生产者等。特定数据处理活动要求(续)网络平台服务提供者82024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。文档密级:公开条例对涉及重要数据的网络数据处理者在以下方面提出明确要求:数据安全治理方针应当明确网络数据安全负责人和网络数据安全管理机构,网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据18、安全情况发生合并、分立、解散、破产等情况的,应当向省级以上有关主管部门报告应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告数据安全生命周期管理提供、委托处理、共同处理重要数据的应当遵守额外规定(比如开展风险评估、处理情况记录保留至少3年)数据安全管理体系和管理技术国家鼓励使用数据标签标识等技术和产品,提高重要数据安全管理水平重要数据安全管理目前,关于重要数据的识别和保护,部分行业领域主管(监管)部门已明确其行业数据分类细则,确定重要数据和一般数据范围,如工业、电信、卫生健康及教育。同时,部分自贸区已针对重要数据发布了详细的规定和识别指南,如中国(北京)自由贸19、易试验区数据出境负面清单管理办法(试行)及中国(天津)自由贸易试验区企业数据分类分级标准规范等。重要数据的定义和识别细则尚未明确的行业,可参考GB/T 43697-2024数据安全技术 数据分类分级规则、信息安全技术 重要数据识别指南(征求意见稿)来指导识别工作。工业 工业和信息化领域数据安全管理办法(试行)YD/T4981-2024 工业领域重要数据识别指南 汽车数据安全管理若干规定(试行)电信 YD/T3867-2024 电信领域重要数据识别指南金融 中国人民银行业务领域数据安全管理办法(征求意见稿)银行保险机构数据安全管理办法(公开征求意见稿)JR/T 0197-2020 金融数据安全 20、数据安全分级指南卫生健康 卫生健康行业数据分类分级指南(试行)教育 教育系统核心数据和重要数据识别认定工作指南(试行)工业电信交通金融自然资源卫生健康教育科技特定数据处理活动要求(续)重要数据安全管理92024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。文档密级:公开“对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产21、业创新营造良好环境”关注与个人信息管理、网络安全运营的衔接与运行个人信息作为特殊的数据类型,其管理具有一定的特殊性,企业内部的数据安全管理组织和人员在处理个人信息安全方面,应与企业现有的个人信息保护框架体系有效融合;此外,在数据安全技术的建设与落实方面也与传统的信息安全、网络安全存在交叉与依赖,应考虑以数据安全为目标,对现有的网络安全技术措施进行重新审视和调整,以确保数据安全。有针对性地开展数据生命周期管理和数据安全管理技术落地针对安全级别较高的数据及其所涉及的系统平台和基础设施环境,优先考虑加强数据安全技术管理措施的实施和落地,包括但不限于加强加密控制措施、访问控制措施、备份和恢复管理机制、22、日志和事件监控机制等,以有效保障此类数据等完整性、保密性和可用性等。加快数据安全管理体系总体建设应尽快建立健全数据安全治理体系建设,建立基本组织保障和制度体系保障,包括但不限于数据安全保护总则、数据生命周期安全管理原则、数据安全事件管理和应急预案、数据安全投诉处理机制、数据安全风险与合规管理机制等。推进数据安全分级优化与落实进一步推进数据安全分级工作的有效落实,结合外部合规要求和企业自身管理需要,实现数据资产分类和数据安全分级的有机结合,并通过技术和工具的应用,提升数据安全分级工作的可操作性和便利性,加大数据安全分级工作对数据处理活动和系统应用的覆盖面,为数据生命周期保护奠定良好基础。行动建议23、102024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。文档密级:公开数据分类分级设计与落地安全分类分级标准和工具设计、管理机制建设、安全分类分级实施等数据安全生命周期管理数据安全管理体系数据安全管理技术数据安全治理方针前提指导基础保障安全运营安全工程落地数据安全管理要求推动数据安全管理要求优化与实现数据安全管理治理建设和规划数据安全管理成熟度评估、数据安全管理提升路线图规划、数据安全管理体系建设、数据跨境传输合规体系建设24、等数据安全风险评估/专项审计数据安全定期风险评估、数据安全管理专项审计、数仓/数据湖等高风险系统数据安全管理专项审计和技术测试等数据防泄漏管理与技术实施数据防泄漏需求梳理、工具选型、技术实施项目管理等数据安全事件应急响应管理数据安全事件应急预案设计、培训和演练等毕马威数据安全管理解决方案协助企业一站式管理数据安全风险所载资料仅供一般参考用,并非针对任何个人或团体的个别情况而提供。虽然本所已致力提供准确和及时的资料,但本所不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载资料行事。2024 毕马威华振会计师事务所(特殊普通合伙)中国合伙25、制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。在中国印刷。毕马威的名称和标识均为毕马威全球组织中的独立成员所经许可后使用的商标。 3149邮箱:郝长伟科技咨询技术风险管理服务主管合伙人毕马威中国电话:+86(10)8508 5485邮箱:林海燕科技咨询技术风险管理服务业务合伙人毕马威中国电话:+852 2143 8803邮箱:宋智佳科技咨询技术风险管理服务业务总监毕马威中国电话:+86(21)2212 2888邮箱:邬敏华科技咨询技术风险管理服务业务总监毕马威中国电话:+86(21)2212 2888邮箱:联系我们张令琪科技咨询服务主管合伙人毕马威中国电话:+8 6(21)2212 3637邮箱:张倪海科技咨询技术风险管理服务业务合伙人毕马威中国电话:+852 2847 5026邮箱:李振科技咨询技术风险管理服务业务总监毕马威中国电话:+86(10)8508 5000邮箱:

    下载