2021图解数据安全法

图解

《数据安全法》2021年8月前

言2021年6月10日，《数据安全法》正式颁布，将于2021年9月1日正式施行，作为我国数据安全领域的首部基础性法律，也是国家安全领域的一部重要法律，标志着我国以数据安全保障数据开发利用和产业发展全面进入法治化轨道。《网络安全法》规定网络安全治理道路《个人信息保护法》加速个人信息法制化进程《数据安全法》提升国家数据安全保障能力《密码法》提出数据保护技术手段2021年11月1日2021年9月1日2020年1月1日2017年6月1日数据安全领域里程碑《数据安全法》总结构数据安全法第一章

总则第二章

数据安全与发展第三章

数据安全制度立法目的适用范围13.产业发展17.标准体系14. 15. 16.大数据战略 老年人残疾人权益 技术研究18. 19. 20.检测认证服务 数据交易管理制度 人才培养21.分类分级定义坚持总体国家安全观22.风险评估、报告、信息共享、监测预警27.主要责任第四章

数据安全保护义务28.价值取向 29.监测处置 30.风险评估 31.数据出境协调机制部门职责32.收集数据禁则33.交易中介责任 34.行政许可前置 35.执法调取数据 36.跨境司法合作23.应急处置7.基本权利37.推行电子政务建设41.政务数据公开第五章

政务数据安全与开放38. 39. 40.国家机关依法收集数据 保护政务数据安全 委托建设电子政务系统要求42. 43.政务数据开放目录 公共事务组织的适用24.8.基本义务数据安全审查9.共同维护25.10.行业自律出口管制44.针对数据处理风险约谈整改49.对国家机关罚则第六章

法律责任45.关于数据安全保 46. 47. 48.护义务罚则 关于数据出境罚则 交易中介罚则 关于数据调取罚则50. 51.非法获取数据、 52.对国家人员的罚则 限制竞争等罚则 民事刑事责任11.国际合作26.12.投诉举报对等反制53.涉密、统计档案、个人信息保护的他法遵循第七章

附则54.军事数据安全保护的他法遵循 55.施行时间适用范围兼顾域外效力在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。《网络安全法》在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。2.发展3.

制度7.

附则1.

总则义务政务罚则7.

附则数据相关概念给出权威界定数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。数据是指任何以电子或者其他方式对信息的记录。2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则7.

附则坚持总体国家安全观，健全数据安全治理体系中央国家安全领导机构国际交流与合作任何个人、组织有权向有关部门投诉、举报共同参与数据安全保护工作有关部门行业组织企业个人科研机构工业电信交通科技…各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。金融公安机关国家安全机关国家网信部门统筹协调自然资源卫生健康教育2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则7.

附则以数据安全保障数据开发利用和产业发展数据基础设施国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用数字经济发展省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。开发利用产业发展数据安全2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则安全与发展服务提供智能化公共服务，应当充分考虑老年人、残疾人的需求……技术国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新……标准国家推进数据开发利用技术和数据安全标准体系建设……评估国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证……市场国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场……教育国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场……2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则首次从国家层面建立数据安全制度风险管理国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。出口管制国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。分类分级各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护……应急响应国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。贸易措施任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。安全审查国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则不同的数据保护义务主体关键信息基础设施运营者国家机关重要数据处理者从事数据交易中介服务的机构数据处理者2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则*注：炼石解读提炼，非法律原文数据处理者：建立健全全流程数据安全管理制度建立健全完整的数据安全管理制度是企事业单位开展数据安全工作的基石。针对数据安全工作基础薄弱的企业，可以参考《数据安全法》进行数据安全管理制度体系设计，比如建立总纲层，编制宏观安全要求框架；梳理编目层，从管理、业务、专项等方面确定实施细则、作业规范等。定级备案安全测评风险评估规划建设运营重大保障监管配合数据出境投诉处置管理编目专项编目总纲层如数据安全管理办法编目层业务编目解读3.

制度4.

义务5.

政务7.

附则总则发展6.

罚则*注：炼石解读建议，非法律原文数据处理者：组织开展数据安全教育培训新员工入职在职培训日常作业培训计划实施记录总结融于日常安全知识屏保、视频特色：知识竞争、趣味问答技术提升：数据安全知识培训

类培训工作培训形式培训周期历史种种数据安全事件表明，组织的决策层、管理层、执行层都可能造成数据泄露；内部IT建设中业务逻辑混乱、网络策略错误和设备配置故障也可能会造成数据泄露。因此，提升企业各层级知识储备和技能水平，变得尤为重要。企事业单位的数据安全教育培训应当覆盖员工入职、在职、离职；应采用渗透式的培训教育，通过定期或不定期培训方式，保证数据安全教育融入企业文化。月度季度不定期解读3.

制度4.

义务5.

政务7.

附则总则发展6.

罚则*注：炼石解读建议，非法律原文数据处理者：采取相应技术措施和其他必要措施，保障数据安全解读数据安全技术专家基于网络与数据并重的建设理念，结合业务应用场景，聚焦“以数据为中心”的安全建设思路。企事业单位应结合自身组织使命和业务价值，进行与组织特色匹配的数据安全体系设计，构建有效数据安全防线。通信加密身份鉴别密级标识数据分类以网络为中心的安全以数据为中心的安全防火墙IDS端点安全移动安全VPNSIEM反病毒零信任网络终端管控沙箱检测泄露检测数据鉴权解密细控数据审计数据态势网络与数据并重的新安全建设理念存储加密2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则*注：炼石解读提炼，非法律原文数据处理者：强化风险监测、应急补救发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施网络暴露面管理数据边界管理产品配置管理加强风险监测业务风险监测网络入侵检测互联网安全监测发生数据安全事件时，应当立即采取处置措施上报与通报风险评估影响分析公关管理事件处置机制事件响应机制抑制措施恢复措施新闻发布影响消除解读2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则*注：炼石解读建议，非法律原文企事业单位应当建立主动的内/外部联动的数据安全风险监测机制，及时发现安全漏洞、安全威胁，处置安全问题，把数据安全风险降到最小，并加强安全事件影响分析，强化与监管单位上报机制，重视安全事件公共通报。数据处理者：执法调取数据执行严格批准手续公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。境外执法配合境内执法配合3.

制度4.

义务5.

政务7.

附则总则发展6.

罚则安全领导小组安全协调小组安全管理部门数据处理部门业务管理部门平台运营部门内部审计部门内部组织安全责任内部人员安全职责数据安全联络员：安全专职部门外派人员数据安全专员：职责制订，分工，安全检测，指导，检查

数据安全主管：业务部门负责人数据处理专员：数据安全接触者重要数据处理者：明确数据安全负责人和管理机构，落实数据安全保护责任建设运维合作方业务合作方第三方渠道研发人员DBA业务人员(营销，广告)外部组织安全责任外部人员安全职责针对内部职责分工，建议从安全领导小组、安全协调小组、安全管理部门、数据处理部门、业务管理部门、平台运营部门、内部审计部门等考虑，从管控手段可施加性，进行安全职责划分。建议业务部门设置数据安全联络员岗位，安全部门设置数据安全专员岗位，安全领导小组指派数据安全主管，同时对于直接或间接接触数据的员工，设置数据处理专员岗位（建议成立虚拟团队）

。针对外部职责分工，建立从合作差异性分类管理，如建设运维方数据安全管理、业务合作方数据安全管理、第三方渠道数据安全管理。对于可直接接触或使用数据的外部人员，进行重点管理，比如数据库管理员、外包研发团队、外包营销人员等。解读2.发展3.

制度4.

义务7.

附则1.

总则6.

罚则5.

政务*注：炼石解读建议，非法律原文数据是企事业单位的核心资产，是各类业务持续运营的基础。针对数据保护工作，要求建立完整的职责、岗位体系。重要数据的处理者：定期开展风险评估《数据安全法》中要求公安部门、国安部门以及行业主管单位进行监管。结合重要数据处理者风险评估要求条款，风险评估工作可能是监管单位最直接有效的管理手段。企事业单位可顺势而为，依托法规要求，建立风险评估体系，杜绝“应付”或“二传手”工作陋习。根据业务场景下可能存在的合规风险进行分析、主动出击，从评估类型和技术手段切入，提前部署重要数据风险评估工作，落地评估制度。在监管部门指导下，及时进行风险纠偏。解读定期开展风险评估，并向有关主管部门报送风险评估报告评估类型技术手段技术部门管理部门动态管理绩效管理（保障持续执行）数据变化业务变化关键人员变化信息系统变化2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则*注：炼石解读建议，非法律原文关键信息基础设施的运营者：重要数据出境合规监管企事业单位务必重视数据出境管理。重要数据出境的第一法则：审视是否报备。一方面，多部法律法规已经对重要数据与个人信息出境提出明确要求；另一方面，数据出境情况中，审查和管理境外数据接受方是企事业单位基本法律义务。安全建议①②重要数据事关国家安全和人民权益，数据出境安全要求应写入组织最高安全政策文件，涉及数据出境要牢记并践行国家安全观重要数据出境安全路引：做好内控→事事报备→次次评估提升数据出境安全意识确保数据出境安全措施忌“随意而为”个人信息和重要数据出境安全评估办法宜“依法才为”安全建议①②重要数据出境要符合重要数据出境管理相关规定；在国际政治新形势下，重要数据出境应作为组织专项工作开展重要数据出境要践行“主动安全”，健全管理机制，遵循适当勤奋原则，开展业务风险管控和技术风险分析解读发展制度4.

义务5.

政务7.

附则1.

总则6.

罚则*注：炼石解读建议，非法律原文从事数据交易中介服务的机构：明确数据安全保护义务审核交易双方的身份企业主体

|

事业主体

|

个人主体

|

一事一议原则

|网络数字身份：区块链，城市级身份认证平台留存审核、交易记录监管配合

|

安全审计

|日志留存：备份，加密，建议5年以上要求数据提供方说明数据来源交易类型：平台型

|

通道型安全性分析：利用同态加密进行内容分析，保证数据合规抗抵赖性机制：群签名《数据安全法》中对数据交易中介服务机构的安全要求，可以看出国家立法中鼓励数据发展，但也强调安全作为前提。这就要求数据交易中介服务机构对数据交易的场景，比如提供在线数据交易平台、数据分享安全通道等，进行不同安全管控手段设计。解读1.

总则2.发展3.

制度4.

义务5.

政务6.

罚则7.

附则2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则*注：炼石解读建议，非法律原文推进政务数据安全与开放安全职责：制度、责任国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。安全义务：批准监督受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据……责任主体：国家机关国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。总体要求：高效服务国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则国家机关：推进政务数据安全与开放政务数据开放政务数据安全1、依法收集、使用数据2、对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密建立健全数据安全管理制度，落实数据安全保护责任1、委托他人建设、维护电子政务系统，存储、加工政务数据，应经严格批准程序；监督受托方履行相应的数据安全保护义务2、受托方依照法律、法规、合同履行数据保护义务，不得擅自留存、使用、泄露或向他人提供政务数据及时、准确地公开政务数据。依法不予公开的除外制定政务数据开放目录，构建政务数据开放平台第三十八条第三十九条第四十条第四十一条第四十二条从国家层面首次对政务数据开放作出明确规定，对政务数据规范性、安全性提出要求，划定数据使用和管理的原则和边界，明确可为与不可为，实现数据安全管理和高效流转间的平衡，严格规范第三方数据使用合规性。2.发展3.

制度4.

义务5.

政务7.

附则1.

总则6.

罚则加大数据安全违法处罚力度责任主体涉及内容处罚追责从事数据交易中介服务的机构要求数据提供方说明数据来源，审核交易双方的身份，并留存审核交易记录未履行义务：处违法所得1-10倍罚款，没有违法所得或者违法所得不足10万元的，处10-100万元罚款，并可以责令暂停相关业务、停业整顿、吊销许可或吊销执照；对责任人员处1-10万元罚款。境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据违反规定，未经主管机关批准：警告，并处10-100万元罚款，对责任人员可以处1-10万元罚款；造成严重后果：处100-500万元罚款，并可以责令暂停相关业务、停业整顿、吊销许可或吊销执照，对责任人员处5-50万元罚款。国家机关、工作人员数据安全保护义务对责任人员依法给予处分数据安全监管职责未履行依法处分有关组织、个人窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争依照规定处罚违反本法规定，给他人造成损害民