畢馬威會計師事務(wù)所-數(shù)據(jù)安全：護航數(shù)字經(jīng)濟高質(zhì)量發(fā)展：《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》+歷經(jīng)3年正式發(fā)布于2025年1月1日正式生效

增強數(shù)據(jù)安全保障能力是基本合規(guī)義務(wù)數(shù)據(jù)安全是技術(shù)創(chuàng)新的動力和底氣保護好數(shù)據(jù)就是保護好核心競爭力2正式頒布并生效5月，國家互聯(lián)網(wǎng)信息辦公室關(guān)于《數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見法）正式生效辦公室關(guān)于《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》公開征求意見9月30日，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》簽發(fā)，2025年1月1日生效截至2024年9月，已有多個行業(yè)主管部門，包括工業(yè)和信息化部、教育行業(yè)、電信行業(yè)及汽車行業(yè)等的數(shù)據(jù)安全相關(guān)管理辦法。8月30日，國務(wù)院常務(wù)會議審議通過《網(wǎng)絡(luò)數(shù)據(jù)共和國數(shù)據(jù)安全法》共和國網(wǎng)絡(luò)安全法》適用范圍適用范圍3權(quán)益、個人權(quán)益造成的危害程度，將數(shù)據(jù)從高到低分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個級別。按照數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、程度，將一般數(shù)據(jù)可以從低到高分為1級、2級、3級、4級共四個級別。數(shù)據(jù)安全數(shù)據(jù)安全數(shù)據(jù)定級要素影響對象影響程度一般數(shù)據(jù)經(jīng)濟運行、社會秩序、公共利益重要數(shù)據(jù)經(jīng)濟運行、社會秩序、公共利益核心數(shù)據(jù)經(jīng)濟運行、社會秩序、公共利益參考：GB/T43697-2024《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》4數(shù)據(jù)分級分類按照業(yè)務(wù)分類，梳理數(shù)據(jù)資產(chǎn)，識別重要數(shù)據(jù)、核心數(shù)據(jù)，形成重要數(shù)據(jù)目錄建立數(shù)據(jù)分級分類實施制度根據(jù)數(shù)據(jù)分級分類采取差異化安全保護措施關(guān)鍵挑戰(zhàn)考慮不同法規(guī)中數(shù)據(jù)安全級別的映射關(guān)系，外資行還需統(tǒng)籌考慮境內(nèi)與境外的數(shù)據(jù)資產(chǎn)，降低管理成本數(shù)據(jù)分級分類的不精確會影響差異金融行業(yè)目前已針對數(shù)據(jù)安全起草并發(fā)布了多項行業(yè)內(nèi)的法規(guī)和標(biāo)準(zhǔn)，包括《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》、《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法（公開征求意見稿）》、《JR/T0197-2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》數(shù)據(jù)分級分類按照業(yè)務(wù)分類，梳理數(shù)據(jù)資產(chǎn)，識別重要數(shù)據(jù)、核心數(shù)據(jù)，形成重要數(shù)據(jù)目錄建立數(shù)據(jù)分級分類實施制度根據(jù)數(shù)據(jù)分級分類采取差異化安全保護措施關(guān)鍵挑戰(zhàn)考慮不同法規(guī)中數(shù)據(jù)安全級別的映射關(guān)系，外資行還需統(tǒng)籌考慮境內(nèi)與境外的數(shù)據(jù)資產(chǎn)，降低管理成本數(shù)據(jù)分級分類的不精確會影響差異銀行保險機構(gòu)數(shù)據(jù)安全管理辦法（公開征求意見稿）中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）一般數(shù)據(jù)其他一般數(shù)據(jù)一般數(shù)據(jù)敏感數(shù)據(jù)重要數(shù)據(jù)重要數(shù)據(jù)核心數(shù)據(jù)核心數(shù)據(jù)數(shù)據(jù)安全治理與管理數(shù)據(jù)安全治理與管理遵循“誰管業(yè)務(wù)，誰管業(yè)務(wù)遵循“誰管業(yè)務(wù)，誰管業(yè)務(wù)數(shù)據(jù)，誰管數(shù)據(jù)安全”的基本原則安全治理架構(gòu)：明確數(shù)據(jù)安全管理相關(guān)內(nèi)設(shè)部門職責(zé)分工，細化定責(zé)問指定數(shù)據(jù)安全歸口管理部門重要數(shù)據(jù)處理者書面明確數(shù)據(jù)安全負責(zé)人和數(shù)據(jù)安全牽頭管理內(nèi)設(shè)部門5數(shù)據(jù)安全治理與管理數(shù)據(jù)安全監(jiān)督管理數(shù)據(jù)安全事件管理數(shù)據(jù)生命周期管理數(shù)據(jù)安全治理與管理數(shù)據(jù)安全監(jiān)督管理數(shù)據(jù)安全事件管理數(shù)據(jù)生命周期管理數(shù)據(jù)安全體系建設(shè)：建立數(shù)據(jù)安全治理、數(shù)據(jù)分級分類、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全數(shù)據(jù)安全體系建設(shè)：建立數(shù)據(jù)安全治理、數(shù)據(jù)分級分類、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全風(fēng)險監(jiān)測等方面的相關(guān)制度要求對網(wǎng)絡(luò)數(shù)據(jù)進行分類分級保護，對所處理網(wǎng)絡(luò)數(shù)據(jù)的安全承擔(dān)主體責(zé)任數(shù)據(jù)服務(wù)管理體系：建立數(shù)據(jù)服務(wù)管理體系、制定數(shù)據(jù)服務(wù)規(guī)范、建立專職的數(shù)據(jù)服務(wù)團隊建立數(shù)據(jù)安全監(jiān)督合規(guī)要求和規(guī)范依據(jù)不同監(jiān)管機構(gòu)的要求開展全面的數(shù)據(jù)安全審計工作并依據(jù)要求完成上報工作對有關(guān)主管部門依法開展的網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查予以配合建立數(shù)據(jù)處理活動安全風(fēng)險監(jiān)測和告警制定數(shù)據(jù)安全事件定級判定標(biāo)準(zhǔn)和應(yīng)急強化內(nèi)部人員和培訓(xùn)管理，加強人員安全意識，落實安全事件應(yīng)急預(yù)案依據(jù)不同的監(jiān)管機構(gòu)規(guī)范應(yīng)急響應(yīng)與處置工作，及時有序上報事件及處置情況接受社會監(jiān)督，建立便捷的網(wǎng)絡(luò)數(shù)據(jù)安全投訴、舉報渠道，公布投訴、舉報方式等信息，及時受理并處理網(wǎng)絡(luò)數(shù)據(jù)安全投訴、舉報級數(shù)據(jù)安全保護管理要求執(zhí)行全生命周期各環(huán)節(jié)中不同層級數(shù)據(jù)安全技術(shù)措施要求，包括數(shù)據(jù)收集、數(shù)據(jù)加工、數(shù)據(jù)使用、數(shù)據(jù)共享、委托處理、共同處理、數(shù)據(jù)轉(zhuǎn)移與提供、數(shù)據(jù)公開、數(shù)據(jù)跨境、銷毀與刪除、數(shù)據(jù)傳輸、數(shù)據(jù)備份與存儲集團內(nèi)部共享數(shù)據(jù)應(yīng)采取保護措施，共享敏感及以上數(shù)據(jù)應(yīng)獲得主體的授權(quán)和應(yīng)求同存異，具體問題具體分析，避免重應(yīng)求同存異，具體問題具體分析，避免重在面對數(shù)據(jù)安全事件時，需要能夠迅速識別、評估、應(yīng)對并恢復(fù)業(yè)務(wù)從金融監(jiān)管角度當(dāng)前非常關(guān)注如何對數(shù)據(jù)安全事件進行有效的管理，包括事件實質(zhì)發(fā)生后，如何進行應(yīng)急處置與監(jiān)管報備，金融企業(yè)應(yīng)針對應(yīng)急相關(guān)的流程、演練著重進行建設(shè)構(gòu)建覆蓋數(shù)據(jù)全生命周期的安全管控時，6數(shù)據(jù)出境安全管理數(shù)據(jù)出境安全管理個人信息保護審查辦法信息安全規(guī)范等7?網(wǎng)絡(luò)平臺服務(wù)提供者在數(shù)據(jù)安全方面的管理要求在《條例》中被首次提出，主要包括：o明確接入其平臺的第三方產(chǎn)品和服務(wù)提供者的網(wǎng)絡(luò)數(shù)據(jù)安全保護義務(wù)，督促第三方產(chǎn)品和服務(wù)提供者加強網(wǎng)絡(luò)數(shù)據(jù)安全管理，其中，應(yīng)用程序分發(fā)服務(wù)的網(wǎng)絡(luò)平臺服務(wù)提供者還應(yīng)當(dāng)建立應(yīng)用程序核驗規(guī)則并開展網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)核驗o通過自動化決策方式向個人進行信息推送的，個性化推薦易關(guān)閉、個人特征標(biāo)簽可刪除o國家鼓勵網(wǎng)絡(luò)平臺服務(wù)提供者支持用戶使用國家網(wǎng)絡(luò)身份認證公共服務(wù)登記、核驗真實身份信息?此外，大型網(wǎng)絡(luò)平臺服務(wù)提供者：o每年度發(fā)布個人信息保護社會責(zé)任報告o跨境提供網(wǎng)絡(luò)數(shù)據(jù)，應(yīng)當(dāng)遵守國家數(shù)據(jù)跨境安全管理要求，健全相關(guān)技術(shù)和管理措施，防范網(wǎng)絡(luò)數(shù)據(jù)跨境安全風(fēng)險o不得利用網(wǎng)絡(luò)數(shù)據(jù)、算法以及平臺規(guī)則等，開展不當(dāng)網(wǎng)絡(luò)數(shù)據(jù)處理活動，損害用戶合法權(quán)o如涉及重要數(shù)據(jù)處理，年度風(fēng)險評估還應(yīng)充分說明關(guān)鍵業(yè)務(wù)和供應(yīng)鏈網(wǎng)絡(luò)數(shù)據(jù)安全等情況網(wǎng)絡(luò)平臺服網(wǎng)絡(luò)平臺服務(wù)提供者面向大量用戶和平臺內(nèi)經(jīng)營者提供服務(wù)，可能包括：提供信息發(fā)布和交互的社交媒體平臺、提供支付服務(wù)的網(wǎng)絡(luò)平臺、提供視聽服務(wù)的網(wǎng)絡(luò)平臺、提供應(yīng)用程序分發(fā)服務(wù)的網(wǎng)絡(luò)平臺、預(yù)裝應(yīng)用程序的智能終端等設(shè)備生產(chǎn)者等。大型網(wǎng)絡(luò)平臺服務(wù)提供者大型網(wǎng)絡(luò)平臺服務(wù)提供者是指注冊用戶5000萬以上或者月活躍用戶1000萬以上，業(yè)務(wù)類型復(fù)雜，網(wǎng)絡(luò)數(shù)據(jù)處理活動對國家安全、經(jīng)濟運行、國計民生等具有重要影響的網(wǎng)絡(luò)平臺。88重要數(shù)據(jù)的定義和識別細則尚未明確的行業(yè)，可參考《GB/T43697-全技術(shù)數(shù)據(jù)分類分級規(guī)則》、《信息安全技術(shù)重要數(shù)據(jù)識別指南（征求意見數(shù)據(jù)安全治理方針應(yīng)當(dāng)明確網(wǎng)絡(luò)數(shù)據(jù)安全負責(zé)人和網(wǎng)絡(luò)數(shù)據(jù)安全管理機知識和相關(guān)管理工作經(jīng)歷，由網(wǎng)絡(luò)數(shù)據(jù)處理者管理層數(shù)據(jù)安全治理方針應(yīng)當(dāng)明確網(wǎng)絡(luò)數(shù)據(jù)安全負責(zé)人和網(wǎng)絡(luò)數(shù)據(jù)安全管理機知識和相關(guān)管理工作經(jīng)歷，由網(wǎng)絡(luò)數(shù)據(jù)處理者管理層成員擔(dān)任，有權(quán)直接向有關(guān)主管部門報告網(wǎng)絡(luò)數(shù)據(jù)安?中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管?銀行保險機構(gòu)數(shù)據(jù)安全管理辦法?教育系統(tǒng)核心數(shù)據(jù)和重要數(shù)據(jù)識別認定工?工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦?汽車數(shù)據(jù)安全管理若干規(guī)定（試行）領(lǐng)域重要數(shù)據(jù)識別指南?衛(wèi)生健康行業(yè)數(shù)據(jù)分發(fā)生合并、分立、解散、破產(chǎn)等情況的，應(yīng)當(dāng)向省級應(yīng)當(dāng)每年度對其網(wǎng)絡(luò)數(shù)據(jù)處理活動開展風(fēng)險評估，并數(shù)據(jù)安全生命周期管理提供、委托處理、共同處理重要數(shù)據(jù)的應(yīng)當(dāng)遵守額外數(shù)據(jù)安全管理體系和管理技術(shù)9保障數(shù)據(jù)依法有序自由流動，為促進數(shù)字經(jīng)濟高質(zhì)量發(fā)展、推動科技創(chuàng)新和產(chǎn)業(yè)創(chuàng)新營造良好環(huán)境”推進數(shù)據(jù)安全分級優(yōu)化與落實加快數(shù)據(jù)安全管理體系總體建設(shè)有針對性的開展數(shù)據(jù)生命周期管理和數(shù)據(jù)安全管理技術(shù)落地關(guān)注與個人信息管理、網(wǎng)絡(luò)安全運營的銜接與數(shù)據(jù)安全治理方針安全運營安全運營數(shù)據(jù)安全生命周期管理安全工程安全工程數(shù)據(jù)安全管理體系數(shù)據(jù)安全管理技術(shù)數(shù)據(jù)分類分級設(shè)計與落地安全分類分級