数据安全：护航数字经济高质量发展

数据安全：护航数字经济高质量发展2024年10月于《2网0络25数年据1月安1全日管正理式条生例效》。历经3年正式发布，3©有2限02公4司毕)马相威关华联振的会独计立师成事员务所所全球(特组殊织普中通的合成伙员)

。—版中权国所合有伙，制不会得计转师载事。务所及毕马威企业咨询(中国)

有限公司—

中国有限责任公司，均是与毕马威国际有限公司(英国私营担保文档密级：公开《网络数据安全管理条例》是网安法、数安法、个保法下首个国务院正式发布的管理条例8议月审3议0日通，过国《务网院络常数务据会安全管理条例（草案）》11月1日，国家互联网信息办公室关于《网络数据安全管公理开条征例求（意征见求意见稿）》6共月和1国日网，络《安中全华法人》民（网安法）正式生效

20177国月国1家日安，全《法中》华（人国民安共法和）正式颁布并生效2015 5办月公，室国关家于互《联数网据信安息全管稿理）》办法公（开征求意见2019 9共月和1国日数，据《安中全华法人》民（数安法）正式生效

20219月30日，《网络数据1国1个月人1日信，息《保中护华法人》民（共个和保法）正式生效2021

20212024

2024适在用中范华围人民共和国境内开展网络数据处理活动及其安全监督管理；在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，符合个保法第三条第二款规定情形的依法适用；在中华人民共和国境外开展网络数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任自然人因个人或者家庭事务处理个人信息的，不适用本条例。重点关注违规后果主补要充参：照网安法、数安法、个保法，针对一般规定、网络安全审查和重要数据安全，作出以下安20全25管年理1月条1例日》生签效发，罚款（单位最高一千万元，

直接负责的主管人员和其他直接责任人员最高一百万元）单位可责令改正，给予警告，没收违法所得，责令暂停相关业务、停业整顿、关闭网站吊销相关业务许可证或者吊销营业执照等截至2024年9月，已有多个行业主管部门，包括工业和信息化部、中国人民银行、教育部发布了关于工业和信息化领域、金融行业、教育行业、电信行业及汽车行业等的数据安全相关管理办法。一般规定：数据安全治理方针数据安全生命周期管理数据安全管理体系数据安全管理技术特定数据处理活动要求：国家安全审查个人信息保护重要数据安全管理数据出境安全管理网络平台服务提供者数据安全管理影响程度影响对象国家安全公共利益社会秩序经济运行个人权益组织权益Critical

特别严重危害Major

严重危害

General

一般危害

No

impact

无危害 文档密级：公开 4有©2限02公4司毕)相马关威联华的振独会立计成师员事所务全所球(特组殊织普中通的合成伙员)

。—版中权国所合有伙，制不会得计转师载事。务所及毕马威企业咨询(中国)

有限公司—

中国有限责任公司，均是与毕马威国际有限公司(英国私营担保根获据取数、非据法在使经用济社、非会法发共展享中，的重对要国程家度安全，以、及经一济旦运遭行到、社泄会露秩、篡序改、公、共损利毁益或者、组非织法数权益据、三个级权别益。造按成照的数危据害一程旦度遭，到将泄数露据、从篡高改到、低损分毁为或核者心非数法据获、取重、要非数法据使、用一、般非法度，共将享一，般对数经据济可运以行从、低社到会高秩分序为、公1共级利、益2

或级个、人3

级、、组4织级合共法四权个益级等别造。成的危害程数据分安类全数据等安全数据定级要素影响对象影响程度一般数据1级个人权益、组织权益无危害2级个人权益、组织权益一般危害3级个人权益、组织权益严重危害4级个人权益、组织权益特别严重危害经济运行、社会秩序、公共利益一般危害重要数据经济运行、社会秩序、公共利益严重危害国家安全一般危害核心数据经济运行、社会秩序、公共利益特别严重危害国家安全特别严重危害或严重危害参考：GB/T

43697-2024《数据安全技术数据分类分级规则》数据分类分级是数据安全治理的基础数据安全治理方针通常涵盖数据安全战略规划、数据特别是在数据安全分级保护、合规监督等方面，条例明确：全与合规管理护等基本原则、数据安全风险o

对所网处络理数网据络进数行据分的类安分全级承保担护主，体对责任技术，保建护立措完施善数据安全管理制度和o

对据安有全关监主督管检部查门予依以法配开合展的网络数数据安全生命周期管理和共享安全、销毁和处置安全等特别是在数据采集安全、使用安全等方面，条例明确：o

使络用数自据，动化应当工评具估访对问、网收络集服网务带人常运网行的络，影响不，得不干得扰非网法络侵服入务他正o

为施运国营家者机提关、供关服键务信，或息者基参础与设系其经统他委托建公共设方同基、运础行设、不施维、公护共的问，服取他、人留提存供、网使意用，、据泄得露访或、者向获络数据进行关络联数分析，不得对网数据安全管理体系通全、常涵存盖储数安据全、采集使用安全安、全、传交输换安 •通员常胜涵任盖能数力、据安制度全流组程织体架系构、理评价体系等特数别据是安在全数投据诉安举全报应等急制处度置流程、方面，条例明确：o

建急立预健案，全按网照络规数定据安向有全事关主件应管部门报告、通知利害关系人等o

接受社据会监全督投，诉建举立报便捷渠道的网公及投诉布时、投受举诉理报、并举处报理方网式络等数信据息安。数据安全管理技术通据常安涵全盖防数护据技安术、全识数据别安技全术、监技术、数据安全响应技术等文档密级：公开 5有©2限02公4司毕)相马关威联华的振独会立计成师员事所务全所球(特组殊织普中通的合成伙员)

。—版中权国所合有伙，制不会得计转师载事。务所及毕马威企业咨询(中国)

有限公司—

中国有限责任公司，均是与毕马威国际有限公司(英国私营担保特加别密是、在备等份级、保访护问基控础制上、，安加全强认明确证：、漏洞管理等方面，条例o

在网络安全等级保护的基础上，采取加密、备份、访问控制、安全认证等技术措施和其他施 护 络 据，防范对犯罪和活利动用网络数据实施的违法o

应即采对取安补全救缺措陷施、，漏洞按、照风规险定时报告告，知用涉户及并危向害有国关家主安管全部、公门共有关利主益管的部，门应报当告在24小时内向网络数据处理者应关注数据安全治理提升数网安据法出、境个安保全法管、理数总安体法合和规其要他求相应关以最应遵新循数补据充出要境求规：定为主，在以下方面o

国家采取措施，防范、处置网络数据跨境安全风险和威胁。任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等；明知他人从 破坏、避的，不事得为其提供开技术支措持施或等者活帮动细化个人信息转移的具体条件、保存期向个其人他信网息络的数处据理处情理况者记提录，供应、当委至托少处保理存3年o

处遵理守1适0用00于万重人要以数上据个的人处信理息者的的，有还应关当于数据出境安全管理安全的，应当按照国家有关规定

下方面应遵循补充要求：进行国家安全审查国家安全审查 个人信息保护网络数据处理者开展网络数据处 •

个人信息处理者总体合规要求应以个保法理活动，影响或者可能影响国家 和其他相关个人信息保护规定为主，在以安信法息、出数境据标出准境合安同全办评法估、办促法进、和个规人范数据跨境流动规定等网络数据安全负责人和网络数据安全管

助理机构、以及因公司变动等可能影响数据安全的相关保障和报告要求主要参考：国安法、网 法、数安 其他主要参考：个保法、网安法、GB/T 其他主要参考：网安法、个保法、数文档密级：公开 6有©2限02公4司毕)相马关威联华的振独会立计成师员事所务全所球(特组殊织普中通的合成伙员)

。—版中权国所合有伙，制不会得计转师载事。务所及毕马威企业咨询(中国)

有限公司—

中国有限责任公司，均是与毕马威国际有限公司(英国私营担保法、关键信息基础设施安全保护条 35273个人信息安全规范等例、网络安全审查办法特专题定管理数事项据应重处点理关注活与其动他相要关求合规要求和实践的衔接与补充服务提供者加强网络数据安全管理，其中，应用程序分发服务的网络平台服务提供者还应当建立应用程序核验规则并开展网络数据安全相关核验o

跨境提供网络数据，应当遵守国家数据跨境安全管理要求，健全相关技术和管理措施，防范网络数据跨境安全风险o

不得利用网络数据、算法以及平台规则等，开展不当网络数据处理活动，损害用户合法权o

如涉及重要数据处理，年度风险评估还应充分说明关键业务和供应链网络数据安全等情况网络平台服务提供者数据安全管理大册用型户网5络0平00台万服以务上或提者供月者活是跃指用注户网络1000据万处以理上活，动业对务国类家型安复全杂，、经影响济的运网行络、平国台计。民生等具有重要网络平台服务提供者在数据安全方面的管理要求在《条例》中被首次提出，主要包括： 户网络平台服务提供者供面服向务大，量可用o

明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务，督促第三方产品和文档密级：公开 7有©2限02公4司毕)相马关威联华的振独会立计成师员事所务全所球(特组殊织普中通的合成伙员)

。—版中权国所合有伙，制不会得计转师载事。务所及毕马威企业咨询(中国)

有限公司—

中国有限责任公司，均是与毕马威国际有限公司(英国私营担保能社包交括媒：体提平供台、信提息供发支布付和服交务互的网平络台、平提台、供提应供用视程听序服分务发的服网务络的通过自动化决策方式向个人进行信息推送的，个性化推荐易关闭、个人特征标签可删除 终网端络等平设台备生产者等用。程序的智国家鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息此外，大型网络平台服务提供者：o

每年度发布个人信息保护社会责任报告特定数据处理活动要求（续）——

网络平台服务提供者《面条提例出》明对确涉要及求重要数据的网络数据处理者在以下方数据安全治理方针应当明确网络数据安全负责人和网络数据安全管理机构，

网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历，由网络数据处理者管理层成员担任，有权直接向有关主管部门报告网络数据安全情况发生合并、分立、解散、破产等情况的，应当向省级以上有关主管部门报告应当每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告数据安全生命周期管理提供、委托处理、共同处理重要数据的应当遵守额外数据安全管理体系和管理技术国家鼓励使用数据标签标识等技术和产品，提高重要数据安全管理水平重要数据安全管理目行及前业教，数育关据。于分同重类时要细，数则部据，分的确自识定贸别重区和要已保数针护据对和，部一要分般数行数据据业范领围域主，管如细（工的监业规管、定）电和部信识门、别已卫指明生南确健，其康如自由贸易试验区企业数据分类分级标准规范《国（中天国津（）北京）自由贸易试验区数重据出境负发面布清了单详管理》办等法。（试行）》及《中安重全要技数术据的数定据义分和类识分别级细规则》尚、未《明信确息的安行全业技，术可重参要考数《据GB识/T别4指3南697（-2征02求4数意据见稿）》来指导识别工作。工业工业和信息化领域数据安全管理办法（试行）YD/T4981-2024

工业领域重要数据识别指南汽车数据安全管理若干规定（试行）电信YD/T3867-2024

电信领域重要数据识别指南金融中国人民银行业务领域数据安全管理办法（征求意见稿）银行保险机构数据安全管理办法（公开征求意见稿）JR/T

0197-2020

金融数据安全

数据安全分级指南卫生健康卫生健康行业数据分类分级指南（试行）教育教要育数系据统识核别心认数定据工和作重指南（试行）工业电信交通金融自然资源规定（比如开展风险评估、

处理情况记录保留至少3年）

卫生健康教育科技文档密级：公开 8有©2限02公4司毕)相马关威联华的振独会立计成师员事所务全所球(特组殊织普中通的合成伙员)

。—版中权国所合有伙，制不会得计转师载事。务所及毕马威企业咨询(中国)

有限公司—

中国有限责任公司，均是与毕马威国际有限公司(英国私营担保特定数据处理活动要求（续）——重要数据安全管理9©有2限02公4司毕)马相威关华联振的会独计立师成事员务所所全球(特组殊织普中通的合成伙员)

。—版中权国所合有伙，制不会得计转师载事。务所及毕马威企业咨询(中国)

有限公司—

中国有限责任公司，均是与毕马威国际有限公司(英国私营担保文档密级：公开“对网络数据实行分类分级保护，明确各类主体责任，落实网络数据安全保障措施。要厘清安全边界，保障数据依法有序自由流动，为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境”关注与个人信息管理、络安全运营的衔接与运行个具人有信一息定作的为特特殊殊性