畢馬威會(huì)計(jì)師事務(wù)所-數(shù)據(jù)安全：護(hù)航數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展：《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》+歷經(jīng)3年正式發(fā)布于2025年1月1日正式生效

增強(qiáng)數(shù)據(jù)安全保障能力是基本合規(guī)義務(wù)數(shù)據(jù)安全是技術(shù)創(chuàng)新的動(dòng)力和底氣保護(hù)好數(shù)據(jù)就是保護(hù)好核心競(jìng)爭(zhēng)力2正式頒布并生效5月，國(guó)家互聯(lián)網(wǎng)信息辦公室關(guān)于《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)法）正式生效辦公室關(guān)于《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)9月30日，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》簽發(fā)，2025年1月1日生效截至2024年9月，已有多個(gè)行業(yè)主管部門(mén)，包括工業(yè)和信息化部、教育行業(yè)、電信行業(yè)及汽車行業(yè)等的數(shù)據(jù)安全相關(guān)管理辦法。8月30日，國(guó)務(wù)院常務(wù)會(huì)議審議通過(guò)《網(wǎng)絡(luò)數(shù)據(jù)共和國(guó)數(shù)據(jù)安全法》共和國(guó)網(wǎng)絡(luò)安全法》適用范圍適用范圍3權(quán)益、個(gè)人權(quán)益造成的危害程度，將數(shù)據(jù)從高到低分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個(gè)級(jí)別。按照數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、程度，將一般數(shù)據(jù)可以從低到高分為1級(jí)、2級(jí)、3級(jí)、4級(jí)共四個(gè)級(jí)別。數(shù)據(jù)安全數(shù)據(jù)安全數(shù)據(jù)定級(jí)要素影響對(duì)象影響程度一般數(shù)據(jù)經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益重要數(shù)據(jù)經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益核心數(shù)據(jù)經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益參考：GB/T43697-2024《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》4數(shù)據(jù)分級(jí)分類按照業(yè)務(wù)分類，梳理數(shù)據(jù)資產(chǎn)，識(shí)別重要數(shù)據(jù)、核心數(shù)據(jù)，形成重要數(shù)據(jù)目錄建立數(shù)據(jù)分級(jí)分類實(shí)施制度根據(jù)數(shù)據(jù)分級(jí)分類采取差異化安全保護(hù)措施關(guān)鍵挑戰(zhàn)考慮不同法規(guī)中數(shù)據(jù)安全級(jí)別的映射關(guān)系，外資行還需統(tǒng)籌考慮境內(nèi)與境外的數(shù)據(jù)資產(chǎn)，降低管理成本數(shù)據(jù)分級(jí)分類的不精確會(huì)影響差異金融行業(yè)目前已針對(duì)數(shù)據(jù)安全起草并發(fā)布了多項(xiàng)行業(yè)內(nèi)的法規(guī)和標(biāo)準(zhǔn)，包括《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》、《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法（公開(kāi)征求意見(jiàn)稿）》、《JR/T0197-2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》數(shù)據(jù)分級(jí)分類按照業(yè)務(wù)分類，梳理數(shù)據(jù)資產(chǎn)，識(shí)別重要數(shù)據(jù)、核心數(shù)據(jù)，形成重要數(shù)據(jù)目錄建立數(shù)據(jù)分級(jí)分類實(shí)施制度根據(jù)數(shù)據(jù)分級(jí)分類采取差異化安全保護(hù)措施關(guān)鍵挑戰(zhàn)考慮不同法規(guī)中數(shù)據(jù)安全級(jí)別的映射關(guān)系，外資行還需統(tǒng)籌考慮境內(nèi)與境外的數(shù)據(jù)資產(chǎn)，降低管理成本數(shù)據(jù)分級(jí)分類的不精確會(huì)影響差異銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法（公開(kāi)征求意見(jiàn)稿）中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）一般數(shù)據(jù)其他一般數(shù)據(jù)一般數(shù)據(jù)敏感數(shù)據(jù)重要數(shù)據(jù)重要數(shù)據(jù)核心數(shù)據(jù)核心數(shù)據(jù)數(shù)據(jù)安全治理與管理數(shù)據(jù)安全治理與管理遵循“誰(shuí)管業(yè)務(wù)，誰(shuí)管業(yè)務(wù)遵循“誰(shuí)管業(yè)務(wù)，誰(shuí)管業(yè)務(wù)數(shù)據(jù)，誰(shuí)管數(shù)據(jù)安全”的基本原則安全治理架構(gòu)：明確數(shù)據(jù)安全管理相關(guān)內(nèi)設(shè)部門(mén)職責(zé)分工，細(xì)化定責(zé)問(wèn)指定數(shù)據(jù)安全歸口管理部門(mén)重要數(shù)據(jù)處理者書(shū)面明確數(shù)據(jù)安全負(fù)責(zé)人和數(shù)據(jù)安全牽頭管理內(nèi)設(shè)部門(mén)5數(shù)據(jù)安全治理與管理數(shù)據(jù)安全監(jiān)督管理數(shù)據(jù)安全事件管理數(shù)據(jù)生命周期管理數(shù)據(jù)安全治理與管理數(shù)據(jù)安全監(jiān)督管理數(shù)據(jù)安全事件管理數(shù)據(jù)生命周期管理數(shù)據(jù)安全體系建設(shè)：建立數(shù)據(jù)安全治理、數(shù)據(jù)分級(jí)分類、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全數(shù)據(jù)安全體系建設(shè)：建立數(shù)據(jù)安全治理、數(shù)據(jù)分級(jí)分類、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)等方面的相關(guān)制度要求對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類分級(jí)保護(hù)，對(duì)所處理網(wǎng)絡(luò)數(shù)據(jù)的安全承擔(dān)主體責(zé)任數(shù)據(jù)服務(wù)管理體系：建立數(shù)據(jù)服務(wù)管理體系、制定數(shù)據(jù)服務(wù)規(guī)范、建立專職的數(shù)據(jù)服務(wù)團(tuán)隊(duì)建立數(shù)據(jù)安全監(jiān)督合規(guī)要求和規(guī)范依據(jù)不同監(jiān)管機(jī)構(gòu)的要求開(kāi)展全面的數(shù)據(jù)安全審計(jì)工作并依據(jù)要求完成上報(bào)工作對(duì)有關(guān)主管部門(mén)依法開(kāi)展的網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查予以配合建立數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)監(jiān)測(cè)和告警制定數(shù)據(jù)安全事件定級(jí)判定標(biāo)準(zhǔn)和應(yīng)急強(qiáng)化內(nèi)部人員和培訓(xùn)管理，加強(qiáng)人員安全意識(shí)，落實(shí)安全事件應(yīng)急預(yù)案依據(jù)不同的監(jiān)管機(jī)構(gòu)規(guī)范應(yīng)急響應(yīng)與處置工作，及時(shí)有序上報(bào)事件及處置情況接受社會(huì)監(jiān)督，建立便捷的網(wǎng)絡(luò)數(shù)據(jù)安全投訴、舉報(bào)渠道，公布投訴、舉報(bào)方式等信息，及時(shí)受理并處理網(wǎng)絡(luò)數(shù)據(jù)安全投訴、舉報(bào)級(jí)數(shù)據(jù)安全保護(hù)管理要求執(zhí)行全生命周期各環(huán)節(jié)中不同層級(jí)數(shù)據(jù)安全技術(shù)措施要求，包括數(shù)據(jù)收集、數(shù)據(jù)加工、數(shù)據(jù)使用、數(shù)據(jù)共享、委托處理、共同處理、數(shù)據(jù)轉(zhuǎn)移與提供、數(shù)據(jù)公開(kāi)、數(shù)據(jù)跨境、銷毀與刪除、數(shù)據(jù)傳輸、數(shù)據(jù)備份與存儲(chǔ)集團(tuán)內(nèi)部共享數(shù)據(jù)應(yīng)采取保護(hù)措施，共享敏感及以上數(shù)據(jù)應(yīng)獲得主體的授權(quán)和應(yīng)求同存異，具體問(wèn)題具體分析，避免重應(yīng)求同存異，具體問(wèn)題具體分析，避免重在面對(duì)數(shù)據(jù)安全事件時(shí)，需要能夠迅速識(shí)別、評(píng)估、應(yīng)對(duì)并恢復(fù)業(yè)務(wù)從金融監(jiān)管角度當(dāng)前非常關(guān)注如何對(duì)數(shù)據(jù)安全事件進(jìn)行有效的管理，包括事件實(shí)質(zhì)發(fā)生后，如何進(jìn)行應(yīng)急處置與監(jiān)管報(bào)備，金融企業(yè)應(yīng)針對(duì)應(yīng)急相關(guān)的流程、演練著重進(jìn)行建設(shè)構(gòu)建覆蓋數(shù)據(jù)全生命周期的安全管控時(shí)，6數(shù)據(jù)出境安全管理數(shù)據(jù)出境安全管理個(gè)人信息保護(hù)審查辦法信息安全規(guī)范等7?網(wǎng)絡(luò)平臺(tái)服務(wù)提供者在數(shù)據(jù)安全方面的管理要求在《條例》中被首次提出，主要包括：o明確接入其平臺(tái)的第三方產(chǎn)品和服務(wù)提供者的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)義務(wù)，督促第三方產(chǎn)品和服務(wù)提供者加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全管理，其中，應(yīng)用程序分發(fā)服務(wù)的網(wǎng)絡(luò)平臺(tái)服務(wù)提供者還應(yīng)當(dāng)建立應(yīng)用程序核驗(yàn)規(guī)則并開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)核驗(yàn)o通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送的，個(gè)性化推薦易關(guān)閉、個(gè)人特征標(biāo)簽可刪除o國(guó)家鼓勵(lì)網(wǎng)絡(luò)平臺(tái)服務(wù)提供者支持用戶使用國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)登記、核驗(yàn)真實(shí)身份信息?此外，大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者：o每年度發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告o跨境提供網(wǎng)絡(luò)數(shù)據(jù)，應(yīng)當(dāng)遵守國(guó)家數(shù)據(jù)跨境安全管理要求，健全相關(guān)技術(shù)和管理措施，防范網(wǎng)絡(luò)數(shù)據(jù)跨境安全風(fēng)險(xiǎn)o不得利用網(wǎng)絡(luò)數(shù)據(jù)、算法以及平臺(tái)規(guī)則等，開(kāi)展不當(dāng)網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，損害用戶合法權(quán)o如涉及重要數(shù)據(jù)處理，年度風(fēng)險(xiǎn)評(píng)估還應(yīng)充分說(shuō)明關(guān)鍵業(yè)務(wù)和供應(yīng)鏈網(wǎng)絡(luò)數(shù)據(jù)安全等情況網(wǎng)絡(luò)平臺(tái)服網(wǎng)絡(luò)平臺(tái)服務(wù)提供者面向大量用戶和平臺(tái)內(nèi)經(jīng)營(yíng)者提供服務(wù)，可能包括：提供信息發(fā)布和交互的社交媒體平臺(tái)、提供支付服務(wù)的網(wǎng)絡(luò)平臺(tái)、提供視聽(tīng)服務(wù)的網(wǎng)絡(luò)平臺(tái)、提供應(yīng)用程序分發(fā)服務(wù)的網(wǎng)絡(luò)平臺(tái)、預(yù)裝應(yīng)用程序的智能終端等設(shè)備生產(chǎn)者等。大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者是指注冊(cè)用戶5000萬(wàn)以上或者月活躍用戶1000萬(wàn)以上，業(yè)務(wù)類型復(fù)雜，網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、國(guó)計(jì)民生等具有重要影響的網(wǎng)絡(luò)平臺(tái)。88重要數(shù)據(jù)的定義和識(shí)別細(xì)則尚未明確的行業(yè)，可參考《GB/T43697-全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》、《信息安全技術(shù)重要數(shù)據(jù)識(shí)別指南（征求意見(jiàn)數(shù)據(jù)安全治理方針應(yīng)當(dāng)明確網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人和網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)知識(shí)和相關(guān)管理工作經(jīng)歷，由網(wǎng)絡(luò)數(shù)據(jù)處理者管理層數(shù)據(jù)安全治理方針應(yīng)當(dāng)明確網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人和網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)知識(shí)和相關(guān)管理工作經(jīng)歷，由網(wǎng)絡(luò)數(shù)據(jù)處理者管理層成員擔(dān)任，有權(quán)直接向有關(guān)主管部門(mén)報(bào)告網(wǎng)絡(luò)數(shù)據(jù)安?中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管?銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法?教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識(shí)別認(rèn)定工?工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦?汽車數(shù)據(jù)安全管理若干規(guī)定（試行）領(lǐng)域重要數(shù)據(jù)識(shí)別指南?衛(wèi)生健康行業(yè)數(shù)據(jù)分發(fā)生合并、分立、解散、破產(chǎn)等情況的，應(yīng)當(dāng)向省級(jí)應(yīng)當(dāng)每年度對(duì)其網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)開(kāi)展風(fēng)險(xiǎn)評(píng)估，并數(shù)據(jù)安全生命周期管理提供、委托處理、共同處理重要數(shù)據(jù)的應(yīng)當(dāng)遵守額外數(shù)據(jù)安全管理體系和管理技術(shù)9保障數(shù)據(jù)依法有序自由流動(dòng)，為促進(jìn)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展、推動(dòng)科技創(chuàng)新和產(chǎn)業(yè)創(chuàng)新?tīng)I(yíng)造良好環(huán)境”推進(jìn)數(shù)據(jù)安全分級(jí)優(yōu)化與落實(shí)加快數(shù)據(jù)安全管理體系總體建設(shè)有針對(duì)性的開(kāi)展數(shù)據(jù)生命周期管理和數(shù)據(jù)安全管理技術(shù)落地關(guān)注與個(gè)人信息管理、網(wǎng)絡(luò)安全運(yùn)營(yíng)的銜接與數(shù)據(jù)安全治理方針安全運(yùn)營(yíng)安全運(yùn)營(yíng)數(shù)據(jù)安全生命周期管理安全工程安全工程數(shù)據(jù)安全管理體系數(shù)據(jù)安全管理技術(shù)數(shù)據(jù)分類分級(jí)設(shè)計(jì)與落地安全分類分級(jí)