毕马威会计师事务所-数据安全：护航数字经济高质量发展：《网络数据安全管理条例》+历经3年正式发布于2025年1月1日正式生效

增强数据安全保障能力是基本合规义务数据安全是技术创新的动力和底气保护好数据就是保护好核心竞争力2正式颁布并生效5月，国家互联网信息办公室关于《数据安全管理办法（征求意见稿）》公开征求意见法）正式生效办公室关于《网络数据安全管理条例（征求意见稿）》公开征求意见9月30日，《网络数据安全管理条例》签发，2025年1月1日生效截至2024年9月，已有多个行业主管部门，包括工业和信息化部、教育行业、电信行业及汽车行业等的数据安全相关管理办法。8月30日，国务院常务会议审议通过《网络数据共和国数据安全法》共和国网络安全法》适用范围适用范围3权益、个人权益造成的危害程度，将数据从高到低分为核心数据、重要数据、一般数据三个级别。按照数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、程度，将一般数据可以从低到高分为1级、2级、3级、4级共四个级别。数据安全数据安全数据定级要素影响对象影响程度一般数据经济运行、社会秩序、公共利益重要数据经济运行、社会秩序、公共利益核心数据经济运行、社会秩序、公共利益参考：GB/T43697-2024《数据安全技术数据分类分级规则》4数据分级分类按照业务分类，梳理数据资产，识别重要数据、核心数据，形成重要数据目录建立数据分级分类实施制度根据数据分级分类采取差异化安全保护措施关键挑战考虑不同法规中数据安全级别的映射关系，外资行还需统筹考虑境内与境外的数据资产，降低管理成本数据分级分类的不精确会影响差异金融行业目前已针对数据安全起草并发布了多项行业内的法规和标准，包括《中国人民银行业务领域数据安全管理办法（征求意见稿）》、《银行保险机构数据安全管理办法（公开征求意见稿）》、《JR/T0197-2020金融数据安全数据安全分级指南》数据分级分类按照业务分类，梳理数据资产，识别重要数据、核心数据，形成重要数据目录建立数据分级分类实施制度根据数据分级分类采取差异化安全保护措施关键挑战考虑不同法规中数据安全级别的映射关系，外资行还需统筹考虑境内与境外的数据资产，降低管理成本数据分级分类的不精确会影响差异银行保险机构数据安全管理办法（公开征求意见稿）中国人民银行业务领域数据安全管理办法（征求意见稿）一般数据其他一般数据一般数据敏感数据重要数据重要数据核心数据核心数据数据安全治理与管理数据安全治理与管理遵循“谁管业务，谁管业务遵循“谁管业务，谁管业务数据，谁管数据安全”的基本原则安全治理架构：明确数据安全管理相关内设部门职责分工，细化定责问指定数据安全归口管理部门重要数据处理者书面明确数据安全负责人和数据安全牵头管理内设部门5数据安全治理与管理数据安全监督管理数据安全事件管理数据生命周期管理数据安全治理与管理数据安全监督管理数据安全事件管理数据生命周期管理数据安全体系建设：建立数据安全治理、数据分级分类、数据安全管理、数据安全技术、数据安全数据安全体系建设：建立数据安全治理、数据分级分类、数据安全管理、数据安全技术、数据安全风险监测等方面的相关制度要求对网络数据进行分类分级保护，对所处理网络数据的安全承担主体责任数据服务管理体系：建立数据服务管理体系、制定数据服务规范、建立专职的数据服务团队建立数据安全监督合规要求和规范依据不同监管机构的要求开展全面的数据安全审计工作并依据要求完成上报工作对有关主管部门依法开展的网络数据安全监督检查予以配合建立数据处理活动安全风险监测和告警制定数据安全事件定级判定标准和应急强化内部人员和培训管理，加强人员安全意识，落实安全事件应急预案依据不同的监管机构规范应急响应与处置工作，及时有序上报事件及处置情况接受社会监督，建立便捷的网络数据安全投诉、举报渠道，公布投诉、举报方式等信息，及时受理并处理网络数据安全投诉、举报级数据安全保护管理要求执行全生命周期各环节中不同层级数据安全技术措施要求，包括数据收集、数据加工、数据使用、数据共享、委托处理、共同处理、数据转移与提供、数据公开、数据跨境、销毁与删除、数据传输、数据备份与存储集团内部共享数据应采取保护措施，共享敏感及以上数据应获得主体的授权和应求同存异，具体问题具体分析，避免重应求同存异，具体问题具体分析，避免重在面对数据安全事件时，需要能够迅速识别、评估、应对并恢复业务从金融监管角度当前非常关注如何对数据安全事件进行有效的管理，包括事件实质发生后，如何进行应急处置与监管报备，金融企业应针对应急相关的流程、演练着重进行建设构建覆盖数据全生命周期的安全管控时，6数据出境安全管理数据出境安全管理个人信息保护审查办法信息安全规范等7•网络平台服务提供者在数据安全方面的管理要求在《条例》中被首次提出，主要包括：o明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务，督促第三方产品和服务提供者加强网络数据安全管理，其中，应用程序分发服务的网络平台服务提供者还应当建立应用程序核验规则并开展网络数据安全相关核验o通过自动化决策方式向个人进行信息推送的，个性化推荐易关闭、个人特征标签可删除o国家鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息•此外，大型网络平台服务提供者：o每年度发布个人信息保护社会责任报告o跨境提供网络数据，应当遵守国家数据跨境安全管理要求，健全相关技术和管理措施，防范网络数据跨境安全风险o不得利用网络数据、算法以及平台规则等，开展不当网络数据处理活动，损害用户合法权o如涉及重要数据处理，年度风险评估还应充分说明关键业务和供应链网络数据安全等情况网络平台服网络平台服务提供者面向大量用户和平台内经营者提供服务，可能包括：提供信息发布和交互的社交媒体平台、提供支付服务的网络平台、提供视听服务的网络平台、提供应用程序分发服务的网络平台、预装应用程序的智能终端等设备生产者等。大型网络平台服务提供者大型网络平台服务提供者是指注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。88重要数据的定义和识别细则尚未明确的行业，可参考《GB/T43697-全技术数据分类分级规则》、《信息安全技术重要数据识别指南（征求意见数据安全治理方针应当明确网络数据安全负责人和网络数据安全管理机知识和相关管理工作经历，由网络数据处理者管理层数据安全治理方针应当明确网络数据安全负责人和网络数据安全管理机知识和相关管理工作经历，由网络数据处理者管理层成员担任，有权直接向有关主管部门报告网络数据安•中国人民银行业务领域数据安全管•银行保险机构数据安全管理办法•教育系统核心数据和重要数据识别认定工•工业和信息化领域数据安全管理办•汽车数据安全管理若干规定（试行）领域重要数据识别指南•卫生健康行业数据分发生合并、分立、解散、破产等情况的，应当向省级应当每年度对其网络数据处理活动开展风险评估，并数据安全生命周期管理提供、委托处理、共同处理重要数据的应当遵守额外数据安全管理体系和管理技术9保障数据依法有序自由流动，为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境”推进数据安全分级优化与落实加快数据安全管理体系总体建设有针对性的开展数据生命周期管理和数据安全管理技术落地关注与个人信息管理、网络安全运营的衔接与数据安全治理方针安全运营安全运营数据安全生命周期管理安全工程安全工程数据安全管理体系数据安全管理技术数据分类分级设计与落地安全分类分级