kpmg -數(shù)據(jù)安全：護(hù)航數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展

數(shù)據(jù)安全：護(hù)航數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展增強(qiáng)數(shù)據(jù)安全保障能力是企業(yè)基本的合規(guī)義務(wù)，也是企業(yè)在數(shù)字化時(shí)代保持競(jìng)爭(zhēng)力的應(yīng)時(shí)之舉增強(qiáng)數(shù)據(jù)安全保障能力是基本合規(guī)義務(wù)數(shù)據(jù)安全是技術(shù)創(chuàng)新的動(dòng)力和底氣保護(hù)好數(shù)據(jù)就是保護(hù)好核心競(jìng)爭(zhēng)力22《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》是網(wǎng)安法、數(shù)安法、個(gè)保法下首個(gè)國務(wù)院正式發(fā)布的管理?xiàng)l例20152015正式頒布并生效2019辦公室關(guān)于《數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見2021法）正式生效辦公室關(guān)于《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》公開征求意見2024安全管理?xiàng)l例》簽發(fā)，議審議通過《網(wǎng)絡(luò)數(shù)據(jù)共和國數(shù)據(jù)安全法》（數(shù)安法）正式生效共和國網(wǎng)絡(luò)安全法》（網(wǎng)安法）正式生效2017202120212024適用范圍適用范圍?在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個(gè)人信息的活動(dòng)，符合個(gè)保法第三條第?在中華人民共和國境外開展網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，損害中華人民共和國國家安全、公共利益或者3數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全治理的基礎(chǔ)根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對(duì)國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益、組織權(quán)益、個(gè)人權(quán)益造成的危害程度，將數(shù)據(jù)從高到低分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個(gè)級(jí)別。按照數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對(duì)經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益或個(gè)人、組織合法權(quán)益等造成的危害程度，將一般數(shù)據(jù)可以從低到高分為1級(jí)、2級(jí)、3級(jí)、4級(jí)共四個(gè)級(jí)別。數(shù)據(jù)安全數(shù)據(jù)安全數(shù)據(jù)定級(jí)要素影響對(duì)象影響程度經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益4網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)關(guān)注數(shù)據(jù)安全治理提升數(shù)據(jù)安全治理方針數(shù)據(jù)安全治理方針?通常涵蓋數(shù)據(jù)安全戰(zhàn)略規(guī)劃、數(shù)據(jù)安全分級(jí)保護(hù)基本原則、數(shù)據(jù)安全風(fēng)險(xiǎn)?特別是在數(shù)據(jù)安全分級(jí)保護(hù)、合規(guī)o對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類分級(jí)保護(hù)，對(duì)所處理網(wǎng)絡(luò)數(shù)據(jù)的安全承擔(dān)主體責(zé)任，建立完善數(shù)據(jù)安全管理制度和o對(duì)有關(guān)主管部門依法開展的網(wǎng)絡(luò)數(shù)數(shù)據(jù)安全生命周期管理數(shù)據(jù)安全生命周期管理?通常涵蓋數(shù)據(jù)采集安全、傳輸安全、存儲(chǔ)安全、使用安全、交換?特別是在數(shù)據(jù)采集安全、使用o使用自動(dòng)化工具訪問、收集網(wǎng)絡(luò)數(shù)據(jù)，應(yīng)當(dāng)評(píng)估對(duì)網(wǎng)絡(luò)服務(wù)帶來的影響，不得非法侵入他人網(wǎng)絡(luò)，不得干擾網(wǎng)絡(luò)服務(wù)正o為國家機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提供服務(wù)，或者參與其他公共基礎(chǔ)設(shè)施、公共服務(wù)系統(tǒng)建設(shè)、運(yùn)行、維護(hù)的，未經(jīng)委托方同意，不得訪問、獲取、留存、使用、泄露或者向他人提供網(wǎng)絡(luò)數(shù)據(jù)，不得對(duì)網(wǎng)數(shù)據(jù)安全管理體系數(shù)據(jù)安全管理體系?通常涵蓋數(shù)據(jù)安全組織架構(gòu)、人員勝任能力、制度流程體系、管?特別是在數(shù)據(jù)安全應(yīng)急處置、數(shù)據(jù)安全投訴舉報(bào)等制度流程o建立健全網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)急預(yù)案，按照規(guī)定向有關(guān)主管o接受社會(huì)監(jiān)督，建立便捷的網(wǎng)絡(luò)數(shù)據(jù)安全投訴、舉報(bào)渠道，公布投訴、舉報(bào)方式等信息，及時(shí)受理并處理網(wǎng)絡(luò)數(shù)據(jù)安全數(shù)據(jù)安全管理技術(shù)數(shù)據(jù)安全管理技術(shù)?通常涵蓋數(shù)據(jù)安全識(shí)別技術(shù)、數(shù)據(jù)安全防護(hù)技術(shù)、數(shù)據(jù)安全監(jiān)測(cè)?特別是在等級(jí)保護(hù)基礎(chǔ)上，加強(qiáng)加密、備份、訪問控制、安全認(rèn)證、漏洞管理等方面，條例o在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上，采取加密、備份、訪問控制、安全認(rèn)證等技術(shù)措施和其他必要措施保護(hù)網(wǎng)絡(luò)數(shù)據(jù)，防范針對(duì)和利用網(wǎng)絡(luò)數(shù)據(jù)實(shí)施的違法o應(yīng)對(duì)安全缺陷、漏洞、風(fēng)險(xiǎn)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告，涉及危害國家安全、公共利益的，應(yīng)當(dāng)在24小時(shí)內(nèi)向5特定數(shù)據(jù)處理活動(dòng)要求?數(shù)據(jù)出境安全管理總體合規(guī)要求應(yīng)以?數(shù)據(jù)出境安全管理總體合規(guī)要求應(yīng)以網(wǎng)安法、個(gè)保法、數(shù)安法和其他相關(guān)最新數(shù)據(jù)出境規(guī)定為主，在以下方面應(yīng)遵循補(bǔ)充要求：o國家采取措施，防范、處置網(wǎng)絡(luò)數(shù)據(jù)跨境安全風(fēng)險(xiǎn)和威脅。任何個(gè)人、組織不得提供專門用于破壞、避開技術(shù)措施的程序、工具等；明知他人從事破壞、避開技術(shù)措施等活動(dòng)的，不得為其提供技術(shù)支持或者幫助?網(wǎng)絡(luò)數(shù)據(jù)處理者開展網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，影響或者可能影響國家安全的，應(yīng)當(dāng)按照國家有關(guān)規(guī)定進(jìn)行國家安全審查?個(gè)人信息處理者總體合規(guī)要求應(yīng)以個(gè)保法和其他相關(guān)個(gè)人信息保護(hù)規(guī)定為主，在以下方面應(yīng)遵循補(bǔ)充要求：o細(xì)化個(gè)人信息轉(zhuǎn)移的具體條件、保存期限的具體落實(shí)等o向其他網(wǎng)絡(luò)數(shù)據(jù)處理者提供、委托處理個(gè)人信息的處理情況記錄，應(yīng)當(dāng)至少保存3年o處理1000萬人以上個(gè)人信息的，還應(yīng)當(dāng)遵守適用于重要數(shù)據(jù)的處理者的有關(guān)于網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人和網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)構(gòu)、以及因公司變動(dòng)等可能影響數(shù)據(jù)安全的相關(guān)保障和報(bào)告要求主要參考：國安法、網(wǎng)安法、數(shù)安法、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條主要參考：國安法、網(wǎng)安法、數(shù)安法、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條其他主要參考：網(wǎng)安法、個(gè)保法、數(shù)安法、數(shù)據(jù)出境安全評(píng)估辦法、個(gè)人信息出境標(biāo)準(zhǔn)合同辦法、促進(jìn)和規(guī)范其他主要參考：個(gè)保法、網(wǎng)安法、GB/T6網(wǎng)絡(luò)平臺(tái)服務(wù)提供者網(wǎng)絡(luò)平臺(tái)服務(wù)提供者面向大量用戶和平臺(tái)內(nèi)經(jīng)營者提供服務(wù)，可能包括：提供信息發(fā)布和交互的社交媒體平臺(tái)、提供支付服務(wù)的網(wǎng)絡(luò)平臺(tái)、提供視聽服務(wù)的網(wǎng)絡(luò)平臺(tái)、提供應(yīng)用程序分發(fā)服務(wù)的網(wǎng)絡(luò)平臺(tái)、預(yù)裝應(yīng)用程序的智能終端等設(shè)備生產(chǎn)者等。?網(wǎng)絡(luò)平臺(tái)服務(wù)提供者在數(shù)據(jù)安全方面的管理要求在《條例》中被首次提出，主要包括：o明確接入其平臺(tái)的第三方產(chǎn)品和服務(wù)提供者的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)義務(wù)，督促第三方產(chǎn)品和服務(wù)提供者加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全管理，其中，應(yīng)用程序分發(fā)服務(wù)的網(wǎng)絡(luò)平臺(tái)服務(wù)提供者還應(yīng)當(dāng)建立應(yīng)用程序核驗(yàn)規(guī)則并開展網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)核驗(yàn)o通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送的，個(gè)性化推薦易關(guān)閉、個(gè)人特征標(biāo)簽可刪除o國家鼓勵(lì)網(wǎng)絡(luò)平臺(tái)服務(wù)提供者支持用戶使用國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)登記、核驗(yàn)真實(shí)身份信息大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者是指注冊(cè)用戶5000萬以上或者月活躍用戶1000萬以上，業(yè)務(wù)類型復(fù)雜，網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)對(duì)國家安全、經(jīng)濟(jì)運(yùn)行、國計(jì)民生等具有重要影響的網(wǎng)絡(luò)平臺(tái)。?此外，大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者：o每年度發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告o跨境提供網(wǎng)絡(luò)數(shù)據(jù)，應(yīng)當(dāng)遵守國家數(shù)據(jù)跨境安全管理要求，健全相關(guān)技術(shù)和管理措施，防范網(wǎng)絡(luò)數(shù)據(jù)跨境安全風(fēng)險(xiǎn)o不得利用網(wǎng)絡(luò)數(shù)據(jù)、算法以及平臺(tái)規(guī)則等，開展不當(dāng)網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，損害用戶合法權(quán)o如涉及重要數(shù)據(jù)處理，年度風(fēng)險(xiǎn)評(píng)估還應(yīng)充分說明關(guān)鍵業(yè)務(wù)和供應(yīng)鏈網(wǎng)絡(luò)數(shù)據(jù)安全等情況7目前目前，關(guān)于重要數(shù)據(jù)的識(shí)別和保護(hù)，部分行業(yè)領(lǐng)域主管（監(jiān)管）部門已明確其行業(yè)數(shù)據(jù)分類細(xì)則，確定重要數(shù)據(jù)和一般數(shù)據(jù)范圍，如工業(yè)、電信、衛(wèi)生健康及教育。同時(shí)，部分自貿(mào)區(qū)已針對(duì)重要數(shù)據(jù)發(fā)布了詳細(xì)的規(guī)定和識(shí)別指南，如《中國（北京）自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境負(fù)面清單管理辦法（試行）》及《中國（天津）自由貿(mào)易試驗(yàn)區(qū)企業(yè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)規(guī)范》等。重要數(shù)據(jù)的定義和識(shí)別細(xì)則尚未明確的行業(yè)，可參考《GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》、《信息安全技術(shù)重要數(shù)據(jù)識(shí)別指南（征求意見稿）》來指導(dǎo)識(shí)別工作。應(yīng)當(dāng)明確網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人和網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)知識(shí)和相關(guān)管理工作經(jīng)歷，由網(wǎng)絡(luò)數(shù)據(jù)處理者管理層應(yīng)當(dāng)明確網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人和網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)知識(shí)和相關(guān)管理工作經(jīng)歷，由網(wǎng)絡(luò)數(shù)據(jù)處理者管理層成員擔(dān)任，有權(quán)直接向有關(guān)主管部門報(bào)告網(wǎng)絡(luò)數(shù)據(jù)安發(fā)生合并、分立、解散、破產(chǎn)等情況的，應(yīng)當(dāng)向省級(jí)應(yīng)當(dāng)每年度對(duì)其網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)開展風(fēng)險(xiǎn)評(píng)估，并提供、委托處理、共同處理重要數(shù)據(jù)的應(yīng)當(dāng)遵守額外8行動(dòng)建議字經(jīng)濟(jì)高質(zhì)量發(fā)展、推動(dòng)科技創(chuàng)新和產(chǎn)業(yè)創(chuàng)新營造良好環(huán)境”進(jìn)一步推進(jìn)數(shù)據(jù)安全分級(jí)工作的有效落實(shí)，結(jié)合外部合規(guī)要求和企業(yè)自身管理需要，實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)分類和數(shù)據(jù)安全分級(jí)的有機(jī)結(jié)合，并通過技術(shù)和工具的應(yīng)用，提升數(shù)據(jù)安全分級(jí)工作的可操作性和便利性，加大數(shù)據(jù)安全分級(jí)工作對(duì)數(shù)據(jù)處理活動(dòng)和系統(tǒng)應(yīng)用的覆蓋面，為數(shù)據(jù)生命周期保護(hù)應(yīng)盡快建立健全數(shù)據(jù)安全治理體系建設(shè)，建立基本組織保障和制度體系保障，包括但不限于數(shù)據(jù)安全保護(hù)總則、數(shù)據(jù)生命周期安全管理原則、數(shù)據(jù)安全事件管理和應(yīng)急預(yù)案、數(shù)據(jù)安全投訴處理機(jī)制、數(shù)據(jù)安全風(fēng)險(xiǎn)與合規(guī)管理針對(duì)安全級(jí)別較高的數(shù)據(jù)及其所涉及的系統(tǒng)平臺(tái)和基礎(chǔ)設(shè)施環(huán)境，優(yōu)先考慮加強(qiáng)數(shù)據(jù)安全技術(shù)管理措施的實(shí)施和落地，包括但不限于加強(qiáng)加密控制措施、訪問控制措施、備份和恢復(fù)管理機(jī)制、日志和事件監(jiān)控機(jī)制等，以有效保障此類數(shù)據(jù)等完整性、保密性和個(gè)人信息作為特殊的數(shù)據(jù)類型，其管理具有一定的特殊性，企業(yè)內(nèi)部的數(shù)據(jù)安全管理組織和人員在處理個(gè)人信息安全方面，應(yīng)與企業(yè)現(xiàn)有的個(gè)人信息保護(hù)框架體系有效融合；此外，在數(shù)據(jù)安全技術(shù)的建設(shè)與落實(shí)方面也與傳統(tǒng)的信息安全、網(wǎng)絡(luò)安全存在交叉與依賴，應(yīng)考慮以數(shù)據(jù)安全為目標(biāo)，對(duì)現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)措施進(jìn)行重新審視和調(diào)整，以確保9畢馬威數(shù)據(jù)安全管理解決方案協(xié)助企業(yè)一站式管理數(shù)據(jù)數(shù)據(jù)安全治理方針數(shù)據(jù)安全治理方針數(shù)據(jù)安全管理體系數(shù)據(jù)安全管理技術(shù)安全運(yùn)營安全工程數(shù)據(jù)安全生命周期管理數(shù)據(jù)分類分級(jí)設(shè)計(jì)與落地?cái)?shù)據(jù)安全管理治理建設(shè)和規(guī)劃數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估/專項(xiàng)審計(jì)數(shù)據(jù)安全事件應(yīng)急響應(yīng)管理數(shù)據(jù)防泄漏管理與技術(shù)實(shí)施科技咨詢服務(wù)主管合伙人畢馬威中國科技咨詢技術(shù)風(fēng)險(xiǎn)管理服務(wù)業(yè)務(wù)合伙人畢馬威中國郝長偉科技咨詢技術(shù)風(fēng)險(xiǎn)管理服務(wù)主管合伙人畢馬威中國林海燕科技咨詢技術(shù)風(fēng)險(xiǎn)管理服務(wù)業(yè)務(wù)合伙人畢馬威中國科技咨詢技術(shù)風(fēng)險(xiǎn)管理服務(wù)業(yè)務(wù)合伙人畢馬威中國鄔敏華科技咨詢技術(shù)風(fēng)險(xiǎn)管理服務(wù)業(yè)務(wù)總監(jiān)畢馬威中國周文韜科技咨詢技術(shù)風(fēng)險(xiǎn)管理服務(wù)業(yè)務(wù)合伙人畢馬威中國郵箱：kevin.wt.zhou@宋智佳科技咨詢技術(shù)風(fēng)險(xiǎn)管理服務(wù)業(yè)務(wù)總監(jiān)畢馬威中國李振科技咨詢技術(shù)風(fēng)險(xiǎn)管理服務(wù)業(yè)務(wù)總監(jiān)畢馬威中國/cn/socialmedia所載資料僅供一般參考用，并非針對(duì)任何個(gè)人或團(tuán)體的個(gè)別情況而提供。雖然本所已致力提供準(zhǔn)確和及時(shí)的資料