2021圖解數(shù)據(jù)安全法

圖解

《數(shù)據(jù)安全法》2021年8月前

言2021年6月10日，《數(shù)據(jù)安全法》正式頒布，將于2021年9月1日正式施行，作為我國數(shù)據(jù)安全領域的首部基礎性法律，也是國家安全領域的一部重要法律，標志著我國以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展全面進入法治化軌道?！毒W(wǎng)絡安全法》規(guī)定網(wǎng)絡安全治理道路《個人信息保護法》加速個人信息法制化進程《數(shù)據(jù)安全法》提升國家數(shù)據(jù)安全保障能力《密碼法》提出數(shù)據(jù)保護技術手段2021年11月1日2021年9月1日2020年1月1日2017年6月1日數(shù)據(jù)安全領域里程碑《數(shù)據(jù)安全法》總結構數(shù)據(jù)安全法第一章

總則第二章

數(shù)據(jù)安全與發(fā)展第三章

數(shù)據(jù)安全制度立法目的適用范圍13.產(chǎn)業(yè)發(fā)展17.標準體系14. 15. 16.大數(shù)據(jù)戰(zhàn)略 老年人殘疾人權益 技術研究18. 19. 20.檢測認證服務 數(shù)據(jù)交易管理制度 人才培養(yǎng)21.分類分級定義堅持總體國家安全觀22.風險評估、報告、信息共享、監(jiān)測預警27.主要責任第四章

數(shù)據(jù)安全保護義務28.價值取向 29.監(jiān)測處置 30.風險評估 31.數(shù)據(jù)出境協(xié)調機制部門職責32.收集數(shù)據(jù)禁則33.交易中介責任 34.行政許可前置 35.執(zhí)法調取數(shù)據(jù) 36.跨境司法合作23.應急處置7.基本權利37.推行電子政務建設41.政務數(shù)據(jù)公開第五章

政務數(shù)據(jù)安全與開放38. 39. 40.國家機關依法收集數(shù)據(jù) 保護政務數(shù)據(jù)安全 委托建設電子政務系統(tǒng)要求42. 43.政務數(shù)據(jù)開放目錄 公共事務組織的適用24.8.基本義務數(shù)據(jù)安全審查9.共同維護25.10.行業(yè)自律出口管制44.針對數(shù)據(jù)處理風險約談整改49.對國家機關罰則第六章

法律責任45.關于數(shù)據(jù)安全保 46. 47. 48.護義務罰則 關于數(shù)據(jù)出境罰則 交易中介罰則 關于數(shù)據(jù)調取罰則50. 51.非法獲取數(shù)據(jù)、 52.對國家人員的罰則 限制競爭等罰則 民事刑事責任11.國際合作26.12.投訴舉報對等反制53.涉密、統(tǒng)計檔案、個人信息保護的他法遵循第七章

附則54.軍事數(shù)據(jù)安全保護的他法遵循 55.施行時間適用范圍兼顧域外效力在中華人民共和國境外開展數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任?！毒W(wǎng)絡安全法》在中華人民共和國境內建設、運營、維護和使用網(wǎng)絡，以及網(wǎng)絡安全的監(jiān)督管理，適用本法。在中華人民共和國境內開展數(shù)據(jù)處理活動及其安全監(jiān)管，適用本法。2.發(fā)展3.

制度7.

附則1.

總則義務政務罰則7.

附則數(shù)據(jù)相關概念給出權威界定數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄。2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則7.

附則堅持總體國家安全觀，健全數(shù)據(jù)安全治理體系中央國家安全領導機構國際交流與合作任何個人、組織有權向有關部門投訴、舉報共同參與數(shù)據(jù)安全保護工作有關部門行業(yè)組織企業(yè)個人科研機構工業(yè)電信交通科技…各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責。金融公安機關國家安全機關國家網(wǎng)信部門統(tǒng)籌協(xié)調自然資源衛(wèi)生健康教育2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則7.

附則以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展數(shù)據(jù)基礎設施國家實施大數(shù)據(jù)戰(zhàn)略，推進數(shù)據(jù)基礎設施建設，鼓勵和支持數(shù)據(jù)在各行業(yè)、各領域的創(chuàng)新應用數(shù)字經(jīng)濟發(fā)展省級以上人民政府應當將數(shù)字經(jīng)濟發(fā)展納入本級國民經(jīng)濟和社會發(fā)展規(guī)劃，并根據(jù)需要制定數(shù)字經(jīng)濟發(fā)展規(guī)劃。開發(fā)利用產(chǎn)業(yè)發(fā)展數(shù)據(jù)安全2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則安全與發(fā)展服務提供智能化公共服務，應當充分考慮老年人、殘疾人的需求……技術國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術研究，鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領域的技術推廣和商業(yè)創(chuàng)新……標準國家推進數(shù)據(jù)開發(fā)利用技術和數(shù)據(jù)安全標準體系建設……評估國家促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展，支持數(shù)據(jù)安全檢測評估、認證……市場國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場……教育國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場……2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則首次從國家層面建立數(shù)據(jù)安全制度風險管理國家建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制。國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。出口管制國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數(shù)據(jù)依法實施出口管制。分類分級各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護……應急響應國家建立數(shù)據(jù)安全應急處置機制。發(fā)生數(shù)據(jù)安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發(fā)布與公眾有關的警示信息。貿易措施任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。安全審查國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則不同的數(shù)據(jù)保護義務主體關鍵信息基礎設施運營者國家機關重要數(shù)據(jù)處理者從事數(shù)據(jù)交易中介服務的機構數(shù)據(jù)處理者2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則*注：煉石解讀提煉，非法律原文數(shù)據(jù)處理者：建立健全全流程數(shù)據(jù)安全管理制度建立健全完整的數(shù)據(jù)安全管理制度是企事業(yè)單位開展數(shù)據(jù)安全工作的基石。針對數(shù)據(jù)安全工作基礎薄弱的企業(yè)，可以參考《數(shù)據(jù)安全法》進行數(shù)據(jù)安全管理制度體系設計，比如建立總綱層，編制宏觀安全要求框架；梳理編目層，從管理、業(yè)務、專項等方面確定實施細則、作業(yè)規(guī)范等。定級備案安全測評風險評估規(guī)劃建設運營重大保障監(jiān)管配合數(shù)據(jù)出境投訴處置管理編目專項編目總綱層如數(shù)據(jù)安全管理辦法編目層業(yè)務編目解讀3.

制度4.

義務5.

政務7.

附則總則發(fā)展6.

罰則*注：煉石解讀建議，非法律原文數(shù)據(jù)處理者：組織開展數(shù)據(jù)安全教育培訓新員工入職在職培訓日常作業(yè)培訓計劃實施記錄總結融于日常安全知識屏保、視頻特色：知識競爭、趣味問答技術提升：數(shù)據(jù)安全知識培訓

類培訓工作培訓形式培訓周期歷史種種數(shù)據(jù)安全事件表明，組織的決策層、管理層、執(zhí)行層都可能造成數(shù)據(jù)泄露；內部IT建設中業(yè)務邏輯混亂、網(wǎng)絡策略錯誤和設備配置故障也可能會造成數(shù)據(jù)泄露。因此，提升企業(yè)各層級知識儲備和技能水平，變得尤為重要。企事業(yè)單位的數(shù)據(jù)安全教育培訓應當覆蓋員工入職、在職、離職；應采用滲透式的培訓教育，通過定期或不定期培訓方式，保證數(shù)據(jù)安全教育融入企業(yè)文化。月度季度不定期解讀3.

制度4.

義務5.

政務7.

附則總則發(fā)展6.

罰則*注：煉石解讀建議，非法律原文數(shù)據(jù)處理者：采取相應技術措施和其他必要措施，保障數(shù)據(jù)安全解讀數(shù)據(jù)安全技術專家基于網(wǎng)絡與數(shù)據(jù)并重的建設理念，結合業(yè)務應用場景，聚焦“以數(shù)據(jù)為中心”的安全建設思路。企事業(yè)單位應結合自身組織使命和業(yè)務價值，進行與組織特色匹配的數(shù)據(jù)安全體系設計，構建有效數(shù)據(jù)安全防線。通信加密身份鑒別密級標識數(shù)據(jù)分類以網(wǎng)絡為中心的安全以數(shù)據(jù)為中心的安全防火墻IDS端點安全移動安全VPNSIEM反病毒零信任網(wǎng)絡終端管控沙箱檢測泄露檢測數(shù)據(jù)鑒權解密細控數(shù)據(jù)審計數(shù)據(jù)態(tài)勢網(wǎng)絡與數(shù)據(jù)并重的新安全建設理念存儲加密2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則*注：煉石解讀提煉，非法律原文數(shù)據(jù)處理者：強化風險監(jiān)測、應急補救發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應當立即采取補救措施網(wǎng)絡暴露面管理數(shù)據(jù)邊界管理產(chǎn)品配置管理加強風險監(jiān)測業(yè)務風險監(jiān)測網(wǎng)絡入侵檢測互聯(lián)網(wǎng)安全監(jiān)測發(fā)生數(shù)據(jù)安全事件時，應當立即采取處置措施上報與通報風險評估影響分析公關管理事件處置機制事件響應機制抑制措施恢復措施新聞發(fā)布影響消除解讀2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則*注：煉石解讀建議，非法律原文企事業(yè)單位應當建立主動的內/外部聯(lián)動的數(shù)據(jù)安全風險監(jiān)測機制，及時發(fā)現(xiàn)安全漏洞、安全威脅，處置安全問題，把數(shù)據(jù)安全風險降到最小，并加強安全事件影響分析，強化與監(jiān)管單位上報機制，重視安全事件公共通報。數(shù)據(jù)處理者：執(zhí)法調取數(shù)據(jù)執(zhí)行嚴格批準手續(xù)公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數(shù)據(jù)，應當按照國家有關規(guī)定，經(jīng)過嚴格的批準手續(xù)，依法進行，有關組織、個人應當予以配合。中華人民共和國主管機關根據(jù)有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供數(shù)據(jù)的請求。非經(jīng)中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據(jù)。境外執(zhí)法配合境內執(zhí)法配合3.

制度4.

義務5.

政務7.

附則總則發(fā)展6.

罰則安全領導小組安全協(xié)調小組安全管理部門數(shù)據(jù)處理部門業(yè)務管理部門平臺運營部門內部審計部門內部組織安全責任內部人員安全職責數(shù)據(jù)安全聯(lián)絡員：安全專職部門外派人員數(shù)據(jù)安全專員：職責制訂，分工，安全檢測，指導，檢查

數(shù)據(jù)安全主管：業(yè)務部門負責人數(shù)據(jù)處理專員：數(shù)據(jù)安全接觸者重要數(shù)據(jù)處理者：明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任建設運維合作方業(yè)務合作方第三方渠道研發(fā)人員DBA業(yè)務人員(營銷，廣告)外部組織安全責任外部人員安全職責針對內部職責分工，建議從安全領導小組、安全協(xié)調小組、安全管理部門、數(shù)據(jù)處理部門、業(yè)務管理部門、平臺運營部門、內部審計部門等考慮，從管控手段可施加性，進行安全職責劃分。建議業(yè)務部門設置數(shù)據(jù)安全聯(lián)絡員崗位，安全部門設置數(shù)據(jù)安全專員崗位，安全領導小組指派數(shù)據(jù)安全主管，同時對于直接或間接接觸數(shù)據(jù)的員工，設置數(shù)據(jù)處理專員崗位（建議成立虛擬團隊）

。針對外部職責分工，建立從合作差異性分類管理，如建設運維方數(shù)據(jù)安全管理、業(yè)務合作方數(shù)據(jù)安全管理、第三方渠道數(shù)據(jù)安全管理。對于可直接接觸或使用數(shù)據(jù)的外部人員，進行重點管理，比如數(shù)據(jù)庫管理員、外包研發(fā)團隊、外包營銷人員等。解讀2.發(fā)展3.

制度4.

義務7.

附則1.

總則6.

罰則5.

政務*注：煉石解讀建議，非法律原文數(shù)據(jù)是企事業(yè)單位的核心資產(chǎn)，是各類業(yè)務持續(xù)運營的基礎。針對數(shù)據(jù)保護工作，要求建立完整的職責、崗位體系。重要數(shù)據(jù)的處理者：定期開展風險評估《數(shù)據(jù)安全法》中要求公安部門、國安部門以及行業(yè)主管單位進行監(jiān)管。結合重要數(shù)據(jù)處理者風險評估要求條款，風險評估工作可能是監(jiān)管單位最直接有效的管理手段。企事業(yè)單位可順勢而為，依托法規(guī)要求，建立風險評估體系，杜絕“應付”或“二傳手”工作陋習。根據(jù)業(yè)務場景下可能存在的合規(guī)風險進行分析、主動出擊，從評估類型和技術手段切入，提前部署重要數(shù)據(jù)風險評估工作，落地評估制度。在監(jiān)管部門指導下，及時進行風險糾偏。解讀定期開展風險評估，并向有關主管部門報送風險評估報告評估類型技術手段技術部門管理部門動態(tài)管理績效管理（保障持續(xù)執(zhí)行）數(shù)據(jù)變化業(yè)務變化關鍵人員變化信息系統(tǒng)變化2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則*注：煉石解讀建議，非法律原文關鍵信息基礎設施的運營者：重要數(shù)據(jù)出境合規(guī)監(jiān)管企事業(yè)單位務必重視數(shù)據(jù)出境管理。重要數(shù)據(jù)出境的第一法則：審視是否報備。一方面，多部法律法規(guī)已經(jīng)對重要數(shù)據(jù)與個人信息出境提出明確要求；另一方面，數(shù)據(jù)出境情況中，審查和管理境外數(shù)據(jù)接受方是企事業(yè)單位基本法律義務。安全建議①②重要數(shù)據(jù)事關國家安全和人民權益，數(shù)據(jù)出境安全要求應寫入組織最高安全政策文件，涉及數(shù)據(jù)出境要牢記并踐行國家安全觀重要數(shù)據(jù)出境安全路引：做好內控→事事報備→次次評估提升數(shù)據(jù)出境安全意識確保數(shù)據(jù)出境安全措施忌“隨意而為”個人信息和重要數(shù)據(jù)出境安全評估辦法宜“依法才為”安全建議①②重要數(shù)據(jù)出境要符合重要數(shù)據(jù)出境管理相關規(guī)定；在國際政治新形勢下，重要數(shù)據(jù)出境應作為組織專項工作開展重要數(shù)據(jù)出境要踐行“主動安全”，健全管理機制，遵循適當勤奮原則，開展業(yè)務風險管控和技術風險分析解讀發(fā)展制度4.

義務5.

政務7.

附則1.

總則6.

罰則*注：煉石解讀建議，非法律原文從事數(shù)據(jù)交易中介服務的機構：明確數(shù)據(jù)安全保護義務審核交易雙方的身份企業(yè)主體

|

事業(yè)主體

|

個人主體

|

一事一議原則

|網(wǎng)絡數(shù)字身份：區(qū)塊鏈，城市級身份認證平臺留存審核、交易記錄監(jiān)管配合

|

安全審計

|日志留存：備份，加密，建議5年以上要求數(shù)據(jù)提供方說明數(shù)據(jù)來源交易類型：平臺型

|

通道型安全性分析：利用同態(tài)加密進行內容分析，保證數(shù)據(jù)合規(guī)抗抵賴性機制：群簽名《數(shù)據(jù)安全法》中對數(shù)據(jù)交易中介服務機構的安全要求，可以看出國家立法中鼓勵數(shù)據(jù)發(fā)展，但也強調安全作為前提。這就要求數(shù)據(jù)交易中介服務機構對數(shù)據(jù)交易的場景，比如提供在線數(shù)據(jù)交易平臺、數(shù)據(jù)分享安全通道等，進行不同安全管控手段設計。解讀1.

總則2.發(fā)展3.

制度4.

義務5.

政務6.

罰則7.

附則2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則*注：煉石解讀建議，非法律原文推進政務數(shù)據(jù)安全與開放安全職責：制度、責任國家機關應當依照法律、行政法規(guī)的規(guī)定，建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責任，保障政務數(shù)據(jù)安全。安全義務：批準監(jiān)督受托方應當依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數(shù)據(jù)……責任主體：國家機關國家機關為履行法定職責的需要收集、使用數(shù)據(jù)，應當在其履行法定職責的范圍內依照法律、行政法規(guī)規(guī)定的條件和程序進行?？傮w要求：高效服務國家大力推進電子政務建設，提高政務數(shù)據(jù)的科學性、準確性、時效性，提升運用數(shù)據(jù)服務經(jīng)濟社會發(fā)展的能力。2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則國家機關：推進政務數(shù)據(jù)安全與開放政務數(shù)據(jù)開放政務數(shù)據(jù)安全1、依法收集、使用數(shù)據(jù)2、對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應當依法予以保密建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責任1、委托他人建設、維護電子政務系統(tǒng)，存儲、加工政務數(shù)據(jù)，應經(jīng)嚴格批準程序；監(jiān)督受托方履行相應的數(shù)據(jù)安全保護義務2、受托方依照法律、法規(guī)、合同履行數(shù)據(jù)保護義務，不得擅自留存、使用、泄露或向他人提供政務數(shù)據(jù)及時、準確地公開政務數(shù)據(jù)。依法不予公開的除外制定政務數(shù)據(jù)開放目錄，構建政務數(shù)據(jù)開放平臺第三十八條第三十九條第四十條第四十一條第四十二條從國家層面首次對政務數(shù)據(jù)開放作出明確規(guī)定，對政務數(shù)據(jù)規(guī)范性、安全性提出要求，劃定數(shù)據(jù)使用和管理的原則和邊界，明確可為與不可為，實現(xiàn)數(shù)據(jù)安全管理和高效流轉間的平衡，嚴格規(guī)范第三方數(shù)據(jù)使用合規(guī)性。2.發(fā)展3.

制度4.

義務5.

政務7.

附則1.

總則6.

罰則加大數(shù)據(jù)安全違法處罰力度責任主體涉及內容處罰追責從事數(shù)據(jù)交易中介服務的機構要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核交易記錄未履行義務：處違法所得1-10倍罰款，沒有違法所得或者違法所得不足10萬元的，處10-100萬元罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷許可或吊銷執(zhí)照；對責任人員處1-10萬元罰款。境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據(jù)違反規(guī)定，未經(jīng)主管機關批準：警告，并處10-100萬元罰款，對責任人員可以處1-10萬元罰款；造成嚴重后果：處100-500萬元罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷許可或吊銷執(zhí)照，對責任人員處5-50萬元罰款。國家機關、工作人員數(shù)據(jù)安全保護義務對責任人員依法給予處分數(shù)據(jù)安全監(jiān)管職責未履行依法處分有關組織、個人竊取或者以其他非法方式獲取數(shù)據(jù)，開展數(shù)據(jù)處理活動排除、限制競爭依照規(guī)定處罰違反本法規(guī)定，給他人造成損害民