1、2022年数据法规解读1一、顶层规划国务院“十四五”数字经济发展规划二、行业数据法规工业和信息化领域数据安全管理办法(试行)(征求意见稿)中国银保监会监管数据安全管理办法(试行)国家医疗保障局关于交通运输政务数据共享管理办法教育部机关及直属事业单位教育数据管理办法加强网络安全和数据保护工作的指导意见三、省市数据法规广东省公共数据管理办法江苏省公共数据管理办法山东省大数据发展促进条例湖北省政务数据资源应用与管理办法浙江省公共数据条例吉林省促进大数据发展应用条例福建省大数据发展条例上海市数据条例安徽省大数据发展条例深圳经济特区数据条例2一、顶层规划(1)数字经济发展规划3国务院“十四五”数字经济发
2、展规划出台背景党中央、国务院高度重视数字经济发展l 习近平总书记指出,要统筹国内国际两个大局、发展安全两件大事,充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,不断做强做优做大我国数字经济。l 李克强总理强调,要加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型。“十三五”时期“十四五”时期l 随着新一轮科技革命和产业变革深入发展,数字经济已成为世界各国抢l 我国深入实施数字经济发展战略,数字经济对经济社会的引领抓发展新机遇、塑造国际竞争新优势的焦点带动作用愈益凸显l 我国数字经济发展正转向深化应用、规范发展
3、、普惠共享的新阶段l 特别是新冠肺炎疫情期间,新业态新模式快速发展,数字经济l 面对新时期新形势新挑战,数字经济在培育发展新动能,提升经济质量为经济社会持续健康发展提供了强大动力效益方面大有可为党中央、国务院重大决策部署“十四五”规划纲要数字经济战略“十四五”数字经济发展规划作为指导“十四五”时期各地区、各部门推进数字经济发展的行动指南,助力我国数字经济健康发展,不断提升广大人民群众对数字化发展的获得感、幸福感和满意度4规划指导思想规划以习近平新时代中国特色社会主义思想为指导全面贯彻党的十九大和十九届历次全会精神立足新发展阶段,完整、准确、全面贯彻新发展理念l构建新发展格局,推动高质量发展,统
4、筹发展和安全,统筹国内和国际l以数据为关键要素,以数字技术与实体经济深度融合为主线l加强数字基础设施建设,完善数字经济治理体系,协同推进数字产业化和产业数字化,赋能传统产业转型升级,培育新产业新业态新模式l不断做强做优做大我国数字经济,为构建数字中国提供有力支撑5规划基本原则明确坚持“创新引领、融合发展,应用牵引、数据赋能,公平竞争、安全有序,系统推进、协同高效”的原则到2025年展望2035年数字经济核心产业增加值占国内生产总值比重达到10%,数据要素市场体系初步建立,产业数字化转型迈上新台阶,数字产业化水平显著提升,数字化公共服务更加普惠均等,数字经济治理体系更加完善。力争形成统一公平、竞
5、争有序、成熟完备的数字经济现代市场体系,数字经济发展水平位居世界前列。规划6数据要素是数字经济的重要生产要素规划提出“充分发挥数据要素作用”,并在数据要素供给、数据要素市场化、数据要素开发利用机制等三个方面进行了部署关于构建更加完善的要素市场化配置体制机制的意见将数据纳入了生产要素的范围,明确要用市场化配置来激活数据这一生产要素数据要素作为新生产要素具有重要地位提出要加快培育发展数据要素市场、建立数据资源清单管理机制、完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值。关于新时代加快完善社会主义市场经济体制的意见当前,我国数据要素市场化在数据要素供给、确权、开放共享、流通、
6、交易等多个环节方面,相关法律法规等制度性措施有待完善;数据资源规模大,但数据质量参差不齐。“十三五”期间,我国数据要素市场规模快速上升,在 2020 年达到 545 亿,十三五期间数据要素市场复合增速超过 30%,预计在“十四五”期间将会达到 1749 亿元。此次规划为我国发展数据要素市场指明了方向,推动数据要素市场逐步规范化、制度化、体系化发展,提升数据要素重视程度7数字基础设施是数字经济时代的基座数字基础设施为数字经济提供基础支撑区分数字基础设施与新型基础设施 规划提出“优化升级数字基础设施,包括加快建设信息网络基础 设施、推进云网协同和融合发展、有序推进基础设施智能升级”三项任务。“十四
7、五”规划明确指出,新型基础设施主要包括信息基础设施、融合基础设施和创新基础设施,是我国现代化基础设施体系的重要组成部分。数字基础设施更多集中在信息基础设施和融合基础设施方面 信息基础设施是数字技术发展的基础,融合基础设施体现了传统基础设施向数字化转型的重要趋势 数字基础设施是数字经济发展的坚实基础,率先建设数字经济基础设施,将为后续数字经济的发展带来巨大优势。新型基础设施含义相对比数字基础设施更广8数字产业化、产业数字化与公共服务数字化规划在数字经济的融合和转型方面,提出“推进产业数字化转型、加快数字产业化进程、提升公共服务数字化水平”三项任务,是数字经济发展的主线“十四五”期间是我国产业数字
8、化转型的关键时期数字产业化是发展数字经济的驱动力公共服务数字化是推动数字经济普惠便捷发展的重要手段 一方面规划提出“培育转型支撑服务生态”,通过产业数字化转型,提升传统产业与数字技术深度融合,提高生产效率,最终实现全链条数字化水平的提。规划部署关键技术创新、提升核心产业竞争力和加快培育新业态新模式等任务,体现出科技创新在数字经济中的重要地位。规划针对数字经济核心产业设置了“数字经济核心产业增加值占 GDP 比重(%)”这一重要指标,凸显对数字产业化的重视。规划要求“持续提升公共服务数字化水平”,在政务服务、社会服务、数字城乡融合发展、新型数字生活打造等方面布置了任务,突出了数字经济时代下公共服
9、务智能化、普惠化和便捷化的发展趋势,让广大人民群众在数字经济时代共享数字化转型和发展成果,切实体会数字经济带来的改变。另一方面,提出“培育转型支撑服务生态”,体现我国推动产业数字化转型生态化、体系化的决心。9规划部署了八项重点任务任务具体举措优化升级数字基础设施充分发挥数据要素作用加快信息网络建设,推进云网融合、算网协同,有序推进基础设施智能升级强化高质量数据要素供给,加快数据要素市场化流通,创新数据要素开发利用机制加快企业数字化转型升级,全面深化重点行业、产业园区和集群数字化转型,培育转型支撑服务生态大力推进产业数字化转型加快推动数字产业化增强关键技术创新能力,加快培育新业态新模式,营造繁荣
10、有序的创新生态提高“互联网+政务服务”效能,提升社会服务数字化普惠水平,推动数字城乡融合发展,打造智慧共享的新型数字生活提升数字化公共服务水平完善数字经济治理体系强化数字经济安全体系强化协同治理和监管机制,增强政府数字化治理能力,推进完善多元共治新格局增强网络安全防护能力,提升重要数据安全保障水平,有效防范系统性风险拓展数字经济国际合作加快贸易数字化发展,推动“数字丝绸之路”深入发展,营造良好的国际合作环境10国家发展改革委将会同各有关部门推动落实规划加强统筹协调和建立数字经济发展部际协调机制加大对数字经济薄弱环节的投入组织实施加大资金支持力度提升全民数字素养和技能推进中小学信息技术课程建设、
11、制定实施数字技能提升专项培训计划完善创新资源高效配置机制、构建引领性数字经济产业集聚高地、探索形成一批适应数字经济发展的经验做法和制度性成果实施试点示范强化监测评估跟踪监测、成效分析、抓好落实、国家发展改革委、中央网信办、工业和信息化部将会同有关部门加强调查研究和督促指导,适时组织开展评估11增强网络安全防护能力六大要求加强网络安全基础设施建设强化跨领域网络安全信息共享和工作协同健全完善网络安全应急事件预警通报机制uuu 加强电信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络安全防护能力u 支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估提升网络安全应急处置
12、能力支持网络安全保护技术和产品研发应用u 推广使用安全可靠的信息产品、服务和解决方案强化针对新技术、新应用的安全研究管理u 新产业新业态新模式健康发展提供保障u 促进拟态防御、数据加密等网络安全技术应用u 支持发展社会化网络安全服务加快发展网络安全产业体系加强网络安全宣传教育人才培养12提升数据安全整体保障水平建立健全数据安全治理体系建立数据分类分级保护制度规范数据采集、传输、存储、处理、共享、销毁全生命周期管理个人信息安全跨境数据安全政务数据安全其他行业数据安全国家安全规范身份信息、依法依规做好 隐私信息、生依法依规加强 推动提升重要政务数据安全 设施设备的安保护,做好政 全可靠水平,务数据
13、开放和 增强重点行业社会化利用的 数据安全保障网络安全审查、物特征信息的 健全完善数据跨境流动安全云计算服务安 采集、传输和全评估等,有 使用,加强对 管理相关制度效防范国家安 收集使用个人 规范全风险信息的安全监管能力安全管理能力13面对技术、经济、社会稳定风险等切实有效防范措施技术风险经济风险社会稳定风险防范 措施防范 措施防范 措施引导社会资本投向原创性、引领性创新领域,避免低水平重复、同质化竞争、盲目跟风炒作等,支持可持续发展的业态和模式创新引导企业在法律合规、数据管理、新技术应用等领域完善自律机制,防范数字技术应用风险健全失业保险、社会救助制度,完善灵活就业的工伤保险制度健全灵活就业
14、人员参加社会保险制度和劳动者权益保障制度,推进灵活就业人员参加住房公积金制度试点坚持金融活动全部纳入金融监管,加强动态监测,规范数字金融有序创新,严防衍生业务风险探索建立新业态企业劳动保障信用评价、守信激励和失信惩戒等制度推动关键产品多元化供给,着力提高产业链供应链韧性,增强产业体系抗冲击能力着力推动数字经济普惠共享发展,健全完善针对未成年人、老年人等各类特殊群体的网络保护机制14强合规监管深化鞭子效力国家安全法民法典2021年1月1日起施行提出自然人的个人信息受法律保护2015年7月1日通过并施行维护国家总体安全的基本法律网络安全法2017年6月1日起施行规定网络安全治理道路数据安全法202
15、1年9月1日起施行提升国家数据安全保障能力核心数据严格管理重要数据风险评估分级分类网络信息安全内容控制密码法2020年1月1日起施行,提出数据保护技术手段网络运行安全等级保护个人信息保护法2021年11月1日起施行配合调取数据数据交易中介特殊类型数据安全风险处置网络实名制加速个人信息法制化进程跨境网络产品/服务敏感个人信息儿童个人信息权利响应关键信息基础设施汽车数据健康医疗数据测绘数据数据本地化与跨境网络安全审查和供应链安全16“四法四条例四合规”明确要求保护个人信息和重要数据网络安全法密码法数据安全法个人信息保护法第五十一条第三款:采取相应的加密、去标识化等安全技术措施;第二十七条 开展数据
16、处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。关键信息基础设施运营者,应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。第二十一条 国家实行网络安全等级保护制度。其安全保护义务第4条明确采取数据分类、重要数据备份和加密等措施。第六十六条:情节严重的,由省级以上履行个人信息保护职责
17、的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款网络安全等级保护条例商用密码管理条例网络数据安全管理条例关键信息基础设施安全保护条例(征求意见稿)(修订草案征求意见稿)(征求意见稿)关键信息基础设施安全保护条例(国令第745号)规定履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。关键信息基础设施中的密码使用和管理,应当遵守相关法律、行政法规。商用密码管理条例(修订草案征求意见稿)提出非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护。国家对个人信息和重要数据进行重点保护
18、,对核心数据实行严格保护。数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用;数据处理者应当使用密码对重要数据和核心数据进行保护。国家密码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级,确定密码的配备、使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。等保2.0+HVV关保?密评数评?等保2.0建设,结合HVV攻防演练【待发布】对关键信息基础设施的增强保护政务、等保、关基等领域,落实“密码三同步”【待发布】针对重要数据与个人信息的安全合规评测?信创着力在构建自主可控信息技术体系中推进密码优先发展17密码法总结构密码法第
19、一章 总则第二章 核心密码、普通密码第四章 法律责任1.32.立法目的13.14.从事密码违法活动追责15.管理原则使用要求安全保密管理2.33.密码定义核心、普通密码违法使用处罚18.3.16.17.工作机构和人员管理34.坚持总体国家安全观工作监督检查安全协作机制和问题查处核心、普通密码泄密等处罚4.统一领导19.20.35.提供免检便利建立安全审查制度5.商用密码检测、认证违法处罚分级负责36.6.商用密码市场准入违法处罚第三章 商用密码分类管理7.37.21.22.23.核心密码、普通密码管理关基运营者处罚管理原则标准体系国际标准化8.38.进出口处罚商用密码管理24.25.检测认证2
20、6.9.标准法律效力产品和服务市场准入管理创新发展、人才建设39.电子政务电子认证服务处罚10.27.28.29.密码安全教育关基使用要求进口许可和出口管制电子政务电子认证服务40.11.密码管理部门工作人员处罚纳入规划和经费预算30.31.41.12.禁止行为行业协会职责事中事后监管和保密义务刑事责任、民事责任第五章 附则42.密码管理规章43.解放军和武警部队密码立法44.施行时间18数据安全法总结构数据安全法第一章 总则第二章 数据安全与发展第三章 数据安全制度13.14.15.16.1.立法目的2.适用范围21.分类分级产业发展大数据战略老年人残疾人权益技术研究17.标准体系18.19
21、.20.人才培养检测认证服务数据交易管理制度22.3.定义第四章 数据安全保护义务风险评估、报告、信息共享、监测预警4.坚持总体国家安全观5.协调机制27.主要责任28.价值取向29.监测处置30.风险评估31.数据出境23.应急处置32.收集数据禁则33.交易中介责任34.行政许可前置35.执法调取数据36.跨境司法合作6.部门职责第五章 政务数据安全与开放7.基本权利24.37.38.国家机关依法收集数据39.40.数据安全审查8.基本义务推行电子政务建设保护政务数据安全委托建设电子政务系统要求41.42.43.9.共同维护政务数据公开政务数据开放目录公共事务组织的适用25.出口管制10.
22、行业自律11.国际合作12.投诉举报第六章 法律责任44.针对数据处理风险约谈整改45.关于数据安全保护义务罚则46.47.48.关于数据出境罚则交易中介罚则关于数据调取罚则26.对等反制50.51.非法获取数据、限制竞争等罚则52.49.对国家机关罚则对国家人员的罚则民事刑事责任第七章 附则53.涉密、统计档案、个人信息保护的他法遵循54.军事数据安全保护的他法遵循55.施行时间19个人信息保护法总结构个人信息保护法第二章 个人信息处理规则第一节 一般规定第一章 总则第六章 履行个人信息保护职责的部门1.目的13.14.15.16.17.告知要求18.19.20.处理前提取得同意撤回同意不得
23、拒绝服务例外情形存储期限共同处理60.职责部门61.保护职责62.工作说明63.履职措施64.约谈审计65.投诉举报2.宗旨21.委托处理22.信息转移23.第三方共享24.自动化决策25.不得公开26.公共采集27.处理公开信息3.适用范围4.关键定义5.基本原则第二节 敏感个人信息的处理规则第三节 国家机关处理个人信息的特别规定30.必要性告知31.未成年人保护28.29.32.行政许可33.适用范围 范围限度 告知同意 境内存储34.35.36.37.对管理公共事务组织的要求关键定义 单独同意6.目的、必要7.公开、透明8.准确、完整9.责任到人第三章 个人信息跨境提供的规则40.关基等
24、要求38.前提条件39.告知要求41.主管批准42.限制清单43.对等反制第四章 个人在个人信息处理活动中的权利第五章 个人信息处理者的义务10.禁止行为11.环境构建12.国际合作51.基本义务52.责任到人53.境外机构义务44.知情、决定47.主动删除50.处理机制45.查阅、复制48.解释说明46.更正、补充49.近亲属行权54.合规审计57补救通知55.影响评估56.评估内容58.特殊类型个人信息处理者义务59.受托人义务第七章 法律责任第八章 附则66.行政责任69.民事责任67.信用档案68.国家机关处罚71.行政、刑事责任72.特殊情况73.专业术语74.施行时间70.公益诉讼
25、20网络数据安全管理条例(征求意见稿)总结构数据安理条例网络数据安全管理条例第一章 总则1.立法目的第二章 一般义务第三章 个人信息第四章 重要数据8.守法原则14.继承报告19.原则23.权力响应24.个人信息转移25.生物认证27.地方管理2.适用范围9.等保措施10.风险补救11.应急处置12.共享合规13.网络安全审查15.间接获取16.机关数据安全责任17.自动化合规20.处理规则告知21.征求同意28.专职机构29.备案要求及内容30.教育及培训3.基本原则4.鼓励支持22.删除处理26.升级重保5.分类分级18.投诉举报6.数据安全责任7.数据共享与交易31.可信采购原则32.年
26、度安全评估33.共享交易审批60.一般责任70.民刑衔接61.个保责任62.重保责任63.关保责任第八章 法律责任71.监管责任72.境外追责59.行业自律58.合规审计57.监督检查56.应急机制55.协调分工67.运营者责任68.共享责任69.新技术责任66.网关责任65.司协责任64.跨境责任34.机关、关基运营者云计算服务采购评估51.国家机关服务52.国务数据调取53.年度审计47.应用分发48.服务反垄断49.个性化推送50.个人身份认证43.义务要求44.第三方责任45.即时通信分类46.禁止行为41.安全网关42.技管措施39.合规义务40.出境年报37.出境评估38.国际条约
27、35合规路径36.向个人告知同意54.新技术评估第七章 监督管理第九章 附则第六章 网络平台第五章 数据跨境73.定义74.指引适用75.生效条款21关键信息基础设施安全保护条例总结构关键信息基础设施安全保护条例第二章 关键信息基础设施认定第一章 总则第五章 法律责任8.9.10.11.责任部分划定认定规则考虑因素认定结果通报重新认定要求39.运营者罚则1.制定目的40.发生重大网络安全事件或发现重大网络安全威胁时罚则第三章 数据安全保护义务12.13.14.2.关键定义3.部门职责4.基本原则5.基本权利6.基本义务7.给予表彰15.16.同步规划、同步建设、同步使用健全网络安全保护制度和责
28、任制设置安全管理机构,开展背景审查安全管理机构职责保障经费和专门人员41.采购影响国家安全的网络产品和服务罚则17.18.报告重大网络安全威胁19.21.20.网络安全检测和风险评估采购通过审查的网络产品和服务及时报告合并、分立、解散情况签订安全保密协议42.网络安全检查工作不予配合罚则第四章 保障和促进43.实施非法侵入、干扰、破坏罚则22.23.24.25.26.保护工作部门制定安全规划网信部门建立网络安全信息共享机制保护工作部门建立网络安全监测预警制度保护工作部门建立健全应急预案保护工作部门组织网络安全检查检测44.职责部门罚则27.28.29.30.31.45.职责部门收取费用等行为罚
29、则网信部门开展网络安全检查检测运营者开展网络安全检查检测相关部门提供技术支持和协助有关部门应依法确保信息安全未经允许不得实施漏洞探测、渗透性测试32.33.公安机关、国家安全机关依法加强安全保卫35.36.34.46.职责部门人员将信息用于其他用途罚则优先保障能源、电信等安全运行鼓励专门人才开展安全工作支持安全防护技术创新和产业发展制定安全标准37.38.47.关于责任事故罚则加强网络安全服务机构建设和管理强网络安全军民融合第六章 附则48.电子政务运营者罚则49.民事刑事责任50.存储、处理涉及国家秘密信息的他法遵循51.施行日期22新形势下,数据安全从网络安全脱胎为并列产业新华社北京202
30、1年11月18日电2301 工业和信息化领域数据安全管理办法(试行)(征求意见稿)办法意义:工业和信息化领域数据安全管理顶层设计2022年2月10日,工业和信息化部印发工业和信息化领域数据安全管理办法(试行)(征求意见稿),旨在:l 规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益数据安全法网络安全法个人信息保护法国家安全法民法典制定 本办法工业和信息化领域数据安全管理办法(试行)(征求意见稿)26办法亮点:规范和细化在我国境内开展的工业和信息化领域数据处理活动全面对接数据安全法要求构建工业和信息化领域数据安全
31、监管体系明确数据保护要求在工业和信息化领域对国家数据安全管理制度进行细化,明确开展数据分类分级保护、重要数据管理等工作的具体要求,为行业数据安全监管提供制度保障根据工业、电信行业实际情况,明确了数据全生命周期安全保护要求,指导行业企业健全数据安全管理和技术保护措施,履行保护义务明确工业和信息化部、地方工业和信息化主管部门、地方通信管理局等管理部门的职责范围,构建“部-地方-企业”三级联动的防护机制,建立权责一致的工作机制明确工业和信息化领域数据,构建“部-地方-企业”三级联动的防护机制1.总 则地方通信管理局行业(领域)监管部门地方工业和信息化主管部门监督管理本地区电信数据处理者工业和信息化部
32、2.数据分类分级管理地方无线电管理机构 监督管理本地区工业数 督促指导下级单位据处理者 促进产业发展 推动标准制定3.数据全生命周期安全管理监督管理本地区无线电数据处理者工业和信息化领域数据处理者对工业和信息化领域数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管明确“数据处理者”的外延范围理 工业各行业各领域在研发设计、生产制造、经营工业数据电信数据管理、运行维护、平台运营 等过程中产生和收集
33、的数据6.监督检查7.法律责任8.附 则工业和信息化领域数据个人信息不属于 在电信业务经营活动中产生和收集的数据“工业和信息化领 在开展无线电业务活动中产生和收集的无线电频率、域数据”,无线电数据定义建议完善台(站)等电波参数数据28细化数据分类分级标准及其管理制度1.总 则2.数据分类分级管理3.数据全生命周期安全管理分类分级工作要求分类分级方法工业和信息化部 根据行业要求、特点、业务需求、数据来源和用途等因素,工信领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等4.数据安全监测预警与应急管理 制定标准规范,制定行业重要、核心数据具体目录,动态管理,未来
34、工信部组织制定的目录也将成为所管辖企业开展分类分级工作的重要参考标准5.数据安全检测、认证、评估管 根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工信领域数据分为一般数据、重要数据和核心数据三级理地方工业和信息化主管部门、通信管理局、无线电管理机构6.监督检查7.法律责任8.附 则开展本地区据分类分级管理和识别工作,确定具体目录上报工信部,及时更新工业和信息化领域数据处理者 定期梳理数据,识别重要、核心数据形成目录29提出比数据安全法更细致的分级判定条件,增加数据级别和规模备案要求一般数据重要数据核心数据1.总 则对政治、国土、
35、军事、经济、文化、社会、科技、对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁-电磁、网络、生态、资源、核安全等构成严重威胁2.数据分类分级管理影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关 的重点领域严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域-对工业和信息化领域发展、生产、运行和经济利益等造成严重影响对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响3.数据全生命周期安全管理造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大对公共利益或
36、者个人、组织合法权益造成较小影响,社会负面影响小对工业生产运营、电信网络(含互联网)运行和服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等4.数据安全监测预警与应急管理引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小其他未纳入重要数据、核心数据目录的数据经工业和信息化部评估确定的其他重要数据经工业和信息化部评估确定的其他核心数
37、据5.数据安全检测、认证、评估管理重要数据和核心数据目录备案流程1.备案6.监督检查7.法律责任8.附 则2-1.二十个工作日内完成审核,符合工信领域数据地方工信主管部门或通信管理局或无线电管理机构要求的,予以备案,发放凭证3.报备案情况工信部处理者2-2.不予备案的,及时反馈备案申请人,说明理由4.重要数据和核心数据的类别或规模变化30以上的,或其它备案内容发生重大变化,工信领域数据处理者应在发生变化的三个月内履行备案变更手续30强调密码技术保障数据全生命周期安全,细化数据处理者职责1.总 则建立数据全生命周期安全管理制度2.数据分类分级管理工信领域数据处理者工信领域重要数据和核心数据处理者
38、3.数据全生命周期安全管理建立数据安全工作体系 明确主要责任人明确数据处理关键岗位和岗位职责建立内部登记、审批机制分级防护采取保护措施教育和培训定期演练配备数据安全管理人员确定操作权限4.数据安全监测预警与应急管理制定应急预案严格管理 留存记录5.数据安全检测、认证、评估管理使用加工收集存储传输提供公开销毁6.监督检查7.法律责任8.附 则根据数据安全级别采取相应的安全措施采用校验技术、使用、加工重采取校验技术、对数据获取方公开前应分析研判销毁重要数据和核心数据,应及时备案密码技术等措施进行安全存储要数据和核心数据,应加强访问控制;电 者安全传输协信业务应取得 议等措施电信业务经营密码技术、安
39、全传输通道或数据安全保护能力进行评估或核实许可31进一步明确工信领域数据处理者在不同场景中的职责1.总 则核心数据出境保留了可能数据转移需通知用户 中国境内收集和产生的重要数据和核心数据,应在境内存储,确需向境外提供的,进行数据出境安全评估 因兼并、重组、破产等原因需要转移数据的,明确数据转移方案,电话、短信、邮件、公告等方式通知受影响用户2.数据分类分级管理 非经工信部批准,数据处理者不得向外国提供存储于中国境内的工信领域数据 涉及重要数据和核心数据的,应及时向主管部门更新3.数据全生命周期安全管理备案需评估核实委托方资质核心数据跨主体处理需评估风险4.数据安全监测预警与应急管理 委托他人开
40、展数据处理活动的,签订合同协议,明确双方责任和义务 跨主体提供、转移、委托处理核心数据的,评估安全风险,采取必要的安全保护措施,并及时上报5.数据安全检测、认证、评估管理 委托处理重要数据和核心数据的,应对被委托方的数据安全保护能力、资质进行评估或核实 工信部按照有关规定进行审查6.监督检查7.法律责任8.附 则明确留存处理日志的最低期限 在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志 日志留存时间不少于六个月32强化监测预警、上报共享、应急处置、举报投诉等机制1.总 则2.数据分类分级管理监测预警机制 信息上报和共享机制 应急处置机制举报投诉机制3.数据全生命周期安全管理
41、建立数据安全风险监测机制建 立 风险信息上报和制定数据安全事件应建立违法行为投诉举报渠道共享机制急预案4.数据安全监测预警与应急管理制定监测预警接口和标准汇总分析 本 地 区 风 险,涉及重要数据和核心依法接收、处理投诉举报及时上报数据的安全事件,立即上报工信部加强信息共享及 时发布预警信息,采取应对措施开展数据安全风险监测开展执法调查建立用户投诉处理机制5.数据安全检测、认证、评估管数据安全事件发生后,及时开展应急处置,立即上报处置情况告知用户,提供减轻危害措施理6.监督检查7.法律责任8.附 则33细化数据安全法安全评估规则,强调特定主体每年至少开展一次安全评估1.总 则2.数据分类分级管
42、理评估机制安全检测与认证安全评估3.数据全生命周期安全管理工业和信息化部:工业和信息化部:鼓励、引导具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作制定评估机构管理制度和规范,指导评估机构开展数据安全风险评估、合规评估、能力评估、出境评估等工作4.数据安全监测预警与应急管理地方工业和信息化主管部门、通信管理局和无线电管理机构:5.数据安全检测、认证、评估管理组织开展本地区数据安全评估工作6.监督检查7.法律责任8.附 则工业和信息化领域重要数据和核心数据处理者:自行或委托第三方评估机构,每年至少开展一次安全评估,及时整改风险问题,并报送评估报告34明确监督协助、安全审查、保密义务
43、1.总 则01.02.03.2.数据分类分级管理3.数据全生命周期安全管理监督检查和协助义务数据安全审查义务保密义务4.数据安全监测预警与应急管理行业(领域)监管部门工业和信息化部行业(领域)监管部门及其委托的数据安全评估机构工作人员监督检查在国家数据安全工作协调机制指导下,开展数据安全审查工作5.数据安全检测、认证、评估管理工信领域数据处理者配合检查严格保密履行职责中知悉的个人信息和商业秘密等,不得泄露或非法向他人提供6.监督检查7.法律责任8.附 则35明确责任主体违规行为和罚则1.总 则2.数据分类分级管理序号责任主体违规行为监管部门罚则3.数据全生命周期安全管理工业和信息化领域数据处理
44、者数据处理活动存在较大安全风险的行业(领域)监管部门1约谈整改,消除隐患4.数据安全监测预警与应急管理没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚根据情节严重程度构成犯罪的行业(领域)监管部门2有违反本办法规定行为的5.数据安全检测、认证、评估管理依法追究刑事责任6.监督检查7.法律责任8.附 则3602 中国银保监会监管数据安全管理办法(试行)37办法意义:大数据引领推动经济发展2020年9月23日,银保监会统信部发布中国银保监会监管数据安全管理办法(试行)银保监发202043号,自发布日期起实施,旨在:工作秘密管理暂行办法进一步落实国家网络安全和数据安全工作要求,并结合
45、当前银行保险监管工作实际,加强培训教育,形成共同维护监管数据安全的良好环境。网络安全法 银行业监督管理法数据安全法主要 依据建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作中国银保监会监管数据安全管理办法(试行)38办法亮点:安全技术助力监管数据安全01020304监管数据安全管理机制明确监管数据采集和使用条件明确归口管理部门数据全生命周期保护监管数据安全管理实行归口管理,建立统筹协调、分工负责的管理机制监管数据的使用行为应通过管理和技术手段确保可追溯。监管数据用于信息系统开发测试以及对外展示时,应经过脱敏处理。银保监会统计信息部
46、门是归口管理部门,负责统筹监管数据安全管理工作。数据采集、传输、存储、加工处理、转移交换、销毁应根据监管数据类型和管理要求采取分级分类安全技术防护措施。39明确监管数据、安全和信息系统定义1.总则监管数据监管数据安全监管信息系统2.工作职责银保监会在履行监管职责过程中,依法定期采监管数据在采集、处理、存储、使用等活动(以下简称监管数据活动)中,处于可用、完整和可审计状态,未发生泄露、篡改、损毁、丢失或非法使用等情况满足监管需求为目的开发建设的,具有数据采集、处理、存储等功能的信息系统3.监管数据采集、存储和加工处理集,经监管信息系统记录、生成和存储的,或经银保监会各业务部门认定的数字、指标、报
47、表、文字等各类信息4.监管数据使用5.监管数据委托服务管理6.监督管理40监管数据安全工作职责1.总则银保监会统计信息部门(归口管理部门)银保监会各业务部门统筹协调、分工分责2.工作职责归口管理3.监管数据采集、存储和加工处理规范本部门监管数据安全使用,明确具体工作要求,落实相关责任制定监管数据安全工作规则和管理流程制定监管数据安全技术防护措施4.监管数据使用5.监管数据委托服务管理6.监督管理组织开展本部门监管数据安全管理工作组织实施监管数据安全评估和监督检查协助归口管理部门实施监管数据安全监督检查41监管数据处理流程要求1.总则采集传输加工存储2.工作职责监管数据的加工处理应在监管工作权限
48、或受托范围内进行。未经归口管理部门同意,任何单位和个人不得将代码、接口、算法模型和开发工具等接入监管信息系统监管数据应存储在银保监会机房,并具有完备的备份措施;监管数据存储期限、存储介质管理应按照国家和银保监会有关规定执行监管数据应通过监管工作网或金融专网进行传输。因客观条件限制需要通过物理介质、互联网或其它网络传输的,应经归口管理部门评估同意3.监管数据采集、存储和加工按照安全、准确、完整和依法合规的原则进行,避免重复、过度采集处理4.监管数据使用5.监管数据委托服务管理6.监督管理42监管数据使用条件使用 使用范围 要求管数 监管1.总则 仅限于银保监会履行监管工作职责使用 确保监管数据可
49、追溯 不联网银保监会工 应及时对其采取封2.工作职责作机中进行存或销毁措施 监管数据用于信息系统开发测试以及对外展示时,应经过脱敏处理 若需要联网使用未公开监管数据,应经归口管理部门评估同意3.监管数据采集、存储和加工处理4.监管数据使用5.监管数据委托服务管理6.监督管理43归口管理部门对监管数据委托服务持有决策权1.总则监管数据委托服务通过归口管理部门会签同意和评估2.工作职责受托机构技术服务方案不得建立委派关系不通过3.监管数据采集、存储和加工处理为银保监会提供监管数据服务的受托机构,应满足以下基本条件:4.监管数据使用5.监管数据委托服务管理6.监督管理1.具备从事监管数据工作所需系统
50、的自主研发及运维能力;2.具备相关信息安全管理资质认证;3.拥有自主产权或已签订长期租赁合同的机房;4.网络和信息系统具备有效的安全保护和稳定运行措施,三年内未发生网络安全重大事件;5.具备有效的监管数据安全管理措施,能够保障银保监会各部门对监管数据的访问和控制;6.具有监管数据备份体系、应急组织体系和业务连续性计划。44监管数据重大安全风险事项1.总则各业务部门及受托机构发生以下监管数据重大安全风险事项,应48小时内向归口管理部门报告:2.工作职责发生泄露或非法使用发生损毁或丢失承载监管数据的信息系统或网络发生系统性故障造成服务中断4小时以上承载监管数据的信息系统或网络遭受非法入侵、发生有害
