1、炼石网络 2022年04月行业与省市数据法规解读1国务院“十四五”数字经济发展规划一、顶层规划工业和信息化领域数据安全管理办法(试行)(征求意见稿)教育部机关及直属事业单位教育数据管理办法交通运输政务数据共享管理办法中国银保监会监管数据安全管理办法(试行)国家医疗保障局关于加强网络安全和数据保护工作的指导意见二、行业数据法规浙江省公共数据条例湖北省政务数据资源应用与管理办法广东省公共数据管理办法江苏省公共数据管理办法山东省大数据发展促进条例深圳经济特区数据条例上海市数据条例安徽省大数据发展条例福建省大数据发展条例吉林省促进大数据发展应用条例三、省市数据法规2一、顶层规划(1)数字经济发展规划3
2、国务院“十四五”数字经济发展规划出台背景数据安全法律:逐层深入递进,法律合规体系日趋完善数据安全标准:已发布6项,新立项20余项党中央、国务院高度重视数字经济发展l 习近平总书记指出,要统筹国内国际两个大局、发展安全两件大事,充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,不断做强做优做大我国数字经济。l 李克强总理强调,要加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型。l 我国深入实施数字经济发展战略,数字经济对经济社会的引领带动作用愈益凸显l 特别是新冠肺炎疫情期间,新业态新模式快速发展,数字经济为经
3、济社会持续健康发展提供了强大动力“十三五”时期l 随着新一轮科技革命和产业变革深入发展,数字经济已成为世界各国抢抓发展新机遇、塑造国际竞争新优势的焦点l 我国数字经济发展正转向深化应用、规范发展、普惠共享的新阶段l 面对新时期新形势新挑战,数字经济在培育发展新动能,提升经济质量效益方面大有可为“十四五”时期党中央、国务院重大决策部署“十四五”规划纲要数字经济战略“十四五”数字经济发展规划作为指导“十四五”时期各地区、各部门推进数字经济发展的行动指南,助力我国数字经济健康发展,不断提升广大人民群众对数字化发展的获得感、幸福感和满意度4规划指导思想规划以习近平新时代中国特色社会主义思想为指导全面贯
4、彻党的十九大和十九届历次全会精神立足新发展阶段,完整、准确、全面贯彻新发展理念l构建新发展格局,推动高质量发展,统筹发展和安全,统筹国内和国际l以数据为关键要素,以数字技术与实体经济深度融合为主线l加强数字基础设施建设,完善数字经济治理体系,协同推进数字产业化和产业数字化,赋能传统产业转型升级,培育新产业新业态新模式l不断做强做优做大我国数字经济,为构建数字中国提供有力支撑5规划基本原则到2025年数字经济核心产业增加值占国内生产总值比重达到10%,数据要素市场体系初步建立,产业数字化转型迈上新台阶,数字产业化水平显著提升,数字化公共服务更加普惠均等,数字经济治理体系更加完善。明确坚持“创新引
5、领、融合发展,应用牵引、数据赋能,公平竞争、安全有序,系统推进、协同高效”的原则展望2035年力争形成统一公平、竞争有序、成熟完备的数字经济现代市场体系,数字经济发展水平位居世界前列。规划6数据要素是数字经济的重要生产要素规划提出“充分发挥数据要素作用”,并在数据要素供给、数据要素市场化、数据要素开发利用机制等三个方面进行了部署当前,我国数据要素市场化在数据要素供给、确权、开放共享、流通、交易等多个环节方面,相关法律法规等制度性措施有待完善;数据资源规模大,但数据质量参差不齐。此次规划为我国发展数据要素市场指明了方向,推动数据要素市场逐步规范化、制度化、体系化发展,提升数据要素重视程度数据要素
6、作为新生产要素具有重要地位关于构建更加完善的要素市场化配置体制机制的意见关于新时代加快完善社会主义市场经济体制的意见提出要加快培育发展数据要素市场、建立数据资源清单管理机制、完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值。将数据纳入了生产要素的范围,明确要用市场化配置来激活数据这一生产要素“十三五”期间,我国数据要素市场规模快速上升,在 2020 年达到 545 亿,十三五期间数据要素市场复合增速超过 30%,预计在“十四五”期间将会达到 1749 亿元。7数字基础设施为数字经济提供基础支撑 规划提出“优化升级数字基础设施,包括加快建设信息网络基础 设施、推进云网协同和
7、融合发展、有序推进基础设施智能升级”三项任务。数字基础设施是数字经济发展的坚实基础,率先建设数字经济基础设施,将为后续数字经济的发展带来巨大优势。数字基础设施是数字经济时代的基座区分数字基础设施与新型基础设施“十四五”规划明确指出,新型基础设施主要包括信息基础设施、融合基础设施和创新基础设施,是我国现代化基础设施体系的重要组成部分。数字基础设施更多集中在信息基础设施和融合基础设施方面 信息基础设施是数字技术发展的基础,融合基础设施体现了传统基础设施向数字化转型的重要趋势新型基础设施含义相对比数字基础设施更广8规划在数字经济的融合和转型方面,提出“推进产业数字化转型、加快数字产业化进程、提升公共
8、服务数字化水平”三项任务,是数字经济发展的主线数字产业化、产业数字化与公共服务数字化“十四五”期间是我国产业数字化转型的关键时期 一方面规划提出“培育转型支撑服务生态”,通过产业数字化转型,提升传统产业与数字技术深度融合,提高生产效率,最终实现全链条数字化水平的提。另一方面,提出“培育转型支撑服务生态”,体现我国推动产业数字化转型生态化、体系化的决心。数字产业化是发展数字经济的驱动力 规划部署关键技术创新、提升核心产业竞争力和加快培育新业态新模式等任务,体现出科技创新在数字经济中的重要地位。规划针对数字经济核心产业设置了“数字经济核心产业增加值占 GDP 比重(%)”这一重要指标,凸显对数字产
9、业化的重视。公共服务数字化是推动数字经济普惠便捷发展的重要手段 规划要求“持续提升公共服务数字化水平”,在政务服务、社会服务、数字城乡融合发展、新型数字生活打造等方面布置了任务,突出了数字经济时代下公共服务智能化、普惠化和便捷化的发展趋势,让广大人民群众在数字经济时代共享数字化转型和发展成果,切实体会数字经济带来的改变。9规划部署了八项重点任务任务具体举措优化升级数字基础设施加快信息网络建设,推进云网融合、算网协同,有序推进基础设施智能升级充分发挥数据要素作用强化高质量数据要素供给,加快数据要素市场化流通,创新数据要素开发利用机制大力推进产业数字化转型加快企业数字化转型升级,全面深化重点行业、
10、产业园区和集群数字化转型,培育转型支撑服务生态加快推动数字产业化增强关键技术创新能力,加快培育新业态新模式,营造繁荣有序的创新生态提升数字化公共服务水平提高“互联网+政务服务”效能,提升社会服务数字化普惠水平,推动数字城乡融合发展,打造智慧共享的新型数字生活完善数字经济治理体系强化协同治理和监管机制,增强政府数字化治理能力,推进完善多元共治新格局强化数字经济安全体系增强网络安全防护能力,提升重要数据安全保障水平,有效防范系统性风险拓展数字经济国际合作加快贸易数字化发展,推动“数字丝绸之路”深入发展,营造良好的国际合作环境10跟踪监测、成效分析、抓好落实、国家发展改革委、中央网信办、工业和信息化
11、部将会同有关部门加强调查研究和督促指导,适时组织开展评估国家发展改革委将会同各有关部门推动落实规划加大资金支持力度提升全民数字素养和技能实施试点示范加强统筹协调和组织实施建立数字经济发展部际协调机制加大对数字经济薄弱环节的投入推进中小学信息技术课程建设、制定实施数字技能提升专项培训计划完善创新资源高效配置机制、构建引领性数字经济产业集聚高地、探索形成一批适应数字经济发展的经验做法和制度性成果强化监测评估11增强网络安全防护能力六大要求u 加强电信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络安全防护能力u 支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估加强
12、网络安全基础设施建设提升网络安全应急处置能力支持网络安全保护技术和产品研发应用强化针对新技术、新应用的安全研究管理加快发展网络安全产业体系加强网络安全宣传教育人才培养u 强化跨领域网络安全信息共享和工作协同u 健全完善网络安全应急事件预警通报机制u 推广使用安全可靠的信息产品、服务和解决方案u 新产业新业态新模式健康发展提供保障u 促进拟态防御、数据加密等网络安全技术应用u 支持发展社会化网络安全服务12提升数据安全整体保障水平建立健全数据安全治理体系建立数据分类分级保护制度规范数据采集、传输、存储、处理、共享、销毁全生命周期管理国家安全个人信息安全跨境数据安全政务数据安全其他行业数据安全依法
13、依规做好网络安全审查、云计算服务安全评估等,有效防范国家安全风险规范身份信息、隐私信息、生物特征信息的采集、传输和使用,加强对收集使用个人信息的安全监管能力健全完善数据跨境流动安全管理相关制度规范依法依规加强政务数据安全保护,做好政务数据开放和社会化利用的安全管理推动提升重要设施设备的安全可靠水平,增强重点行业数据安全保障能力13面对技术、经济、社会稳定风险等切实有效防范措施引导社会资本投向原创性、引领性创新领域,避免低水平重复、同质化竞争、盲目跟风炒作等,支持可持续发展的业态和模式创新引导企业在法律合规、数据管理、新技术应用等领域完善自律机制,防范数字技术应用风险坚持金融活动全部纳入金融监管
14、,加强动态监测,规范数字金融有序创新,严防衍生业务风险推动关键产品多元化供给,着力提高产业链供应链韧性,增强产业体系抗冲击能力健全失业保险、社会救助制度,完善灵活就业的工伤保险制度着力推动数字经济普惠共享发展,健全完善针对未成年人、老年人等各类特殊群体的网络保护机制健全灵活就业人员参加社会保险制度和劳动者权益保障制度,推进灵活就业人员参加住房公积金制度试点探索建立新业态企业劳动保障信用评价、守信激励和失信惩戒等制度技术风险经济风险社会稳定风险防范 措施防范 措施防范 措施14一、顶层规划(2)安全法律法规15密码法2020年1月1日起施行,提出数据保护技术手段强合规监管深化鞭子效力国家安全法2
15、015年7月1日通过并施行维护国家总体安全的基本法律民法典2021年1月1日起施行提出自然人的个人信息受法律保护个人信息保护法2021年11月1日起施行加速个人信息法制化进程跨境敏感个人信息儿童个人信息权利响应数据安全法2021年9月1日起施行提升国家数据安全保障能力核心数据严格管理数据交易中介配合调取数据分级分类重要数据风险评估特殊类型数据汽车数据健康医疗数据测绘数据数据本地化与跨境网络安全审查和供应链安全网络安全法2017年6月1日起施行规定网络安全治理道路网络运行安全等级保护安全风险处置网络实名制网络产品/服务关键信息基础设施网络信息安全内容控制宪法相关法民法商法经济法经济法经济法行政法
16、16“四法四条例四合规”明确要求保护个人信息和重要数据网络安全法第二十一条 国家实行网络安全等级保护制度。其安全保护义务第4条明确采取数据分类、重要数据备份和加密等措施。个人信息保护法第五十一条第三款:采取相应的加密、去标识化等安全技术措施;第六十六条:情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款数据安全法第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级
17、保护制度的基础上,履行上述数据安全保护义务。密码法二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。关键信息基础设施运营者,应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。关键信息基础设施安全保护条例信创商用密码管理条例(修订草案征求意见稿)提出非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护。商用密码管理条例(修订草案征求意见稿)网络数据安全管理条例(征求意见稿)关键信息基础设施安全保护条例(国令第745号)规定履行个人信息和数据安全保护责
18、任,建立健全个人信息和数据安全保护制度。关键信息基础设施中的密码使用和管理,应当遵守相关法律、行政法规。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用;数据处理者应当使用密码对重要数据和核心数据进行保护。密评等保2.0+HVV着力在构建自主可控信息技术体系中推进密码优先发展国家密码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级,确定密码的配备、使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。网络安全等级保护条例(征求意见稿)数评?关保?等保2.0建设,
19、结合HVV攻防演练【待发布】对关键信息基础设施的增强保护政务、等保、关基等领域,落实“密码三同步”【待发布】针对重要数据与个人信息的安全合规评测?17密码法总结构第二章 核心密码、普通密码密码法第一章 总则第四章 法律责任第三章 商用密码第五章 附则42.密码管理规章43.解放军和武警部队密码立法44.施行时间18.工作机构和人员管理20.建立安全审查制度17.安全协作机制和问题查处19.提供免检便利16.工作监督检查14.使用要求15.安全保密管理13.管理原则22.标准体系23.国际标准化29.电子政务电子认证服务27.关基使用要求30.行业协会职责21.管理原则28.进口许可和出口管制2
20、6.产品和服务市场准入管理24.标准法律效力25.检测认证31.事中事后监管和保密义务2.密码定义3.坚持总体国家安全观4.统一领导5.分级负责6.分类管理7.核心密码、普通密码管理8.商用密码管理9.创新发展、人才建设10.密码安全教育11.纳入规划和经费预算12.禁止行为1.立法目的33.核心、普通密码违法使用处罚34.核心、普通密码泄密等处罚35.商用密码检测、认证违法处罚36.商用密码市场准入违法处罚37.关基运营者处罚38.进出口处罚39.电子政务电子认证服务处罚40.密码管理部门工作人员处罚41.刑事责任、民事责任32.从事密码违法活动追责18数据安全法总结构1.立法目的2.适用范
21、围3.定义4.坚持总体国家安全观5.协调机制6.部门职责7.基本权利8.基本义务9.共同维护10.行业自律11.国际合作12.投诉举报第二章 数据安全与发展数据安全法第一章 总则第三章 数据安全制度第四章 数据安全保护义务21.分类分级22.风险评估、报告、信息共享、监测预警23.应急处置24.数据安全审查25.出口管制26.对等反制第五章 政务数据安全与开放第七章 附则53.涉密、统计档案、个人信息保护的他法遵循54.军事数据安全保护的他法遵循55.施行时间18.检测认证服务19.数据交易管理制度20.人才培养17.标准体系13.产业发展14.大数据战略15.老年人残疾人权益16.技术研究3
22、2.收集数据禁则33.交易中介责任34.行政许可前置35.执法调取数据36.跨境司法合作28.价值取向29.监测处置30.风险评估31.数据出境27.主要责任42.政务数据开放目录41.政务数据公开39.保护政务数据安全40.委托建设电子政务系统要求37.推行电子政务建设38.国家机关依法收集数据43.公共事务组织的适用第六章 法律责任45.关于数据安全保护义务罚则46.关于数据出境罚则47.交易中介罚则48.关于数据调取罚则44.针对数据处理风险约谈整改50.对国家人员的罚则51.非法获取数据、限制竞争等罚则52.民事刑事责任49.对国家机关罚则19个人信息保护法总结构1.目的2.宗旨3.适
23、用范围4.关键定义6.目的、必要7.公开、透明8.准确、完整9.责任到人10.禁止行为11.环境构建12.国际合作第二章 个人信息处理规则个人信息保护法第一节 一般规定第一章 总则第六章 履行个人信息保护职责的部门13.处理前提14.取得同意15.撤回同意18.例外情形19.存储期限20.共同处理第二节 敏感个人信息的处理规则第三节 国家机关处理个人信息的特别规定第三章 个人信息跨境提供的规则38.前提条件39.告知要求41.主管批准42.限制清单43.对等反制第四章 个人在个人信息处理活动中的权利44.知情、决定45.查阅、复制46.更正、补充47.主动删除48.解释说明49.近亲属行权50
24、.处理机制第五章 个人信息处理者的义务60.职责部门61.保护职责62.工作说明63.履职措施64.约谈审计65.投诉举报第七章 法律责任第八章 附则67.信用档案66.行政责任68.国家机关处罚69.民事责任70.公益诉讼71.行政、刑事责任72.特殊情况73.专业术语74.施行时间21.委托处理22.信息转移23.第三方共享24.自动化决策26.公共采集27.处理公开信息17.告知要求25.不得公开33.适用范围34.范围限度35.告知同意36.境内存储37.对管理公共事务组织的要求28.关键定义29.单独同意30.必要性告知31.未成年人保护32.行政许可51.基本义务52.责任到人54
25、.合规审计55.影响评估56.评估内容57补救通知59.受托人义务53.境外机构义务58.特殊类型个人信息处理者义务16.不得拒绝服务5.基本原则40.关基等要求20网络数据安全管理条例(征求意见稿)总结构数据安全管理条例网络数据安全管理条例第一章 总则1.立法目的7.数据共享与交易2.适用范围3.基本原则4.鼓励支持5.分类分级6.数据安全责任第七章 监督管理59.行业自律58.合规审计57.监督检查56.应急机制55.协调分工第二章 一般义务第三章 个人信息19.原则20.处理规则告知21.征求同意22.删除处理61.个保责任8.守法原则9.等保措施10.风险补救11.应急处置12.共享合
26、规13.网络安全审查14.继承报告15.间接获取17.自动化合规18.投诉举报60.一般责任23.权力响应24.个人信息转移25.生物认证26.升级重保第四章 重要数据27.地方管理28.专职机构29.备案要求及内容30.教育及培训31.可信采购原则32.年度安全评估33.共享交易审批34.机关、关基运营者云计算服务采购评估62.重保责任63.关保责任第五章 数据跨境40.出境年报36.向个人告知同意38.国际条约42.技管措施39.合规义务35合规路径37.出境评估41.安全网关65.司协责任66.网关责任64.跨境责任第六章 网络平台68.共享责任51.国家机关服务第八章 法律责任第九章
27、附则73.定义74.指引适用75.生效条款70.民刑衔接71.监管责任72.境外追责16.机关数据安全责任69.新技术责任67.运营者责任47.应用分发43.义务要求52.国务数据调取48.服务反垄断44.第三方责任53.年度审计49.个性化推送45.即时通信分类54.新技术评估50.个人身份认证46.禁止行为21.关键信息基础设施安全保护条例总结构1.制定目的2.关键定义3.部门职责4.基本原则5.基本权利6.基本义务7.给予表彰第二章 关键信息基础设施认定关键信息基础设施安全保护条例第一章 总则第五章 法律责任第三章 数据安全保护义务第四章 保障和促进第六章 附则50.存储、处理涉及国家秘
28、密信息的他法遵循51.施行日期8.责任部分划定9.认定规则考虑因素10.认定结果通报11.重新认定要求17.网络安全检测和风险评估18.报告重大网络安全威胁19.采购通过审查的网络产品和服务20.签订安全保密协议21.及时报告合并、分立、解散情况13.健全网络安全保护制度和责任制14.设置安全管理机构,开展背景审查15.安全管理机构职责16.保障经费和专门人员12.同步规划、同步建设、同步使用23.网信部门建立网络安全信息共享机制24.保护工作部门建立网络安全监测预警制度25.保护工作部门建立健全应急预案26.保护工作部门组织网络安全检查检测22.保护工作部门制定安全规划28.运营者开展网络安
29、全检查检测29.相关部门提供技术支持和协助30.有关部门应依法确保信息安全31.未经允许不得实施漏洞探测、渗透性测试27.网信部门开展网络安全检查检测33.公安机关、国家安全机关依法加强安全保卫34.制定安全标准35.鼓励专门人才开展安全工作36.支持安全防护技术创新和产业发展32.优先保障能源、电信等安全运行38.强网络安全军民融合37.加强网络安全服务机构建设和管理39.运营者罚则40.发生重大网络安全事件或发现重大网络安全威胁时罚则41.采购影响国家安全的网络产品和服务罚则42.网络安全检查工作不予配合罚则43.实施非法侵入、干扰、破坏罚则44.职责部门罚则45.职责部门收取费用等行为罚
30、则46.职责部门人员将信息用于其他用途罚则47.关于责任事故罚则48.电子政务运营者罚则49.民事刑事责任22新形势下,数据安全从网络安全脱胎为并列产业新华社北京2021年11月18日电23二、行业数据法规2401 工业和信息化领域数据安全管理办法(试行)(征求意见稿)办法意义:工业和信息化领域数据安全管理顶层设计2022年2月10日,工业和信息化部印发工业和信息化领域数据安全管理办法(试行)(征求意见稿),旨在:l 规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益制定本办法工业和信息化领域数据安全管理办法(试
31、行)(征求意见稿)数据安全法国家安全法个人信息保护法网络安全法民法典26办法亮点:规范和细化在我国境内开展的工业和信息化领域数据处理活动全面对接数据安全法要求在工业和信息化领域对国家数据安全管理制度进行细化,明确开展数据分类分级保护、重要数据管理等工作的具体要求,为行业数据安全监管提供制度保障构建工业和信息化领域数据安全监管体系明确工业和信息化部、地方工业和信息化主管部门、地方通信管理局等管理部门的职责范围,构建“部-地方-企业”三级联动的防护机制,建立权责一致的工作机制明确数据保护要求根据工业、电信行业实际情况,明确了数据全生命周期安全保护要求,指导行业企业健全数据安全管理和技术保护措施,履
32、行保护义务明确工业和信息化领域数据,构建“部-地方-企业”三级联动的防护机制1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则工业和信息化领域数据工业数据电信数据无线电数据 工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营 等过程中产生和收集的数据 在电信业务经营活动中产生和收集的数据 在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据工业和信息化领域数据处理者对工业和信息化领域数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和
33、信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体行业(领域)监管部门工业和信息化部地方工业和信息化主管部门地方通信管理局地方无线电管理机构 促进产业发展 推动标准制定 督促指导下级单位 监督管理本地区工业数据处理者 监督管理本地区电信数据处理者 监督管理本地区无线电数据处理者定义明确“数据处理者”的外延范围个人信息不属于“工业和信息化领域数据”,建议完善28细化数据分类分级标准及其管理制度1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8
34、.附 则分类分级工作要求工业和信息化部制定标准规范,制定行业重要、核心数据具体目录,动态管理,未来工信部组织制定的目录也将成为所管辖企业开展分类分级工作的重要参考标准地方工业和信息化主管部门、通信管理局、无线电管理机构开展本地区据分类分级管理和识别工作,确定具体目录上报工信部,及时更新工业和信息化领域数据处理者定期梳理数据,识别重要、核心数据形成目录分类分级方法根据行业要求、特点、业务需求、数据来源和用途等因素,工信领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益
35、等造成的危害程度,工信领域数据分为一般数据、重要数据和核心数据三级29提出比数据安全法更细致的分级判定条件,增加数据级别和规模备案要求1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则一般数据重要数据核心数据-对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁-影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关 的重点领域严重影响海外利益、生物、太空、极地、深海
36、、人工智能等与国家安全相关的重点领域-对工业和信息化领域发展、生产、运行和经济利益等造成严重影响对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大对工业生产运营、电信网络(含互联网)运行和服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影
37、响较小引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;其他未纳入重要数据、核心数据目录的数据经工业和信息化部评估确定的其他重要数据经工业和信息化部评估确定的其他核心数据工信领域数据处理者地方工信主管部门或通信管理局或无线电管理机构1.备案2-1.二十个工作日内完成审核,符合要求的,予以备案,发放凭证工信部3.报备案情况2-2.不予备案的,及时反馈备案申请人,说明理由4.重要数据和核心数据的类别或规模变化30以上的,或其它备案内容发生重大变化,工信领域数据处理者应在发生变化的三个月内履行备案变更手续重要数据和核心
38、数据目录备案流程符合下列条件之一符合下列条件之一符合下列条件之一30工信领域数据处理者工信领域重要数据和核心数据处理者强调密码技术保障数据全生命周期安全,细化数据处理者职责1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则收集存储使用加工传输提供公开销毁根据数据安全级别采取相应的安全措施采用校验技术、密码技术等措施进行安全存储使用、加工重要数据和核心数据,应加强访问控制;电信业务应取得电信业务经营许可采取校验技术、密码技术、安全传输通道或者安全传输协议等措施对数据获取方数据安全保护能力进行评估
39、或核实公开前应分析研判销毁重要数据和核心数据,应及时备案建立数据全生命周期安全管理制度分级防护采取保护措施配备数据安全管理人员确定操作权限制定应急预案教育和培训定期演练建立数据安全工作体系严格管理 留存记录明确主要责任人明确数据处理关键岗位和岗位职责建立内部登记、审批机制31中国境内收集和产生的重要数据和核心数据,应在境内存储,确需向境外提供的,进行数据出境安全评估非经工信部批准,数据处理者不得向外国提供存储于中国境内的工信领域数据核心数据出境保留了可能 因兼并、重组、破产等原因需要转移数据的,明确数据转移方案,电话、短信、邮件、公告等方式通知受影响用户 涉及重要数据和核心数据的,应及时向主管
40、部门更新备案数据转移需通知用户进一步明确工信领域数据处理者在不同场景中的职责1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则 委托他人开展数据处理活动的,签订合同协议,明确双方责任和义务 委托处理重要数据和核心数据的,应对被委托方的数据安全保护能力、资质进行评估或核实需评估核实委托方资质 跨主体提供、转移、委托处理核心数据的,评估安全风险,采取必要的安全保护措施,并及时上报 工信部按照有关规定进行审查核心数据跨主体处理需评估风险 在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等
41、日志 日志留存时间不少于六个月明确留存处理日志的最低期限32强化监测预警、上报共享、应急处置、举报投诉等机制1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则监测预警机制信息上报和共享机制应急处置机制制定数据安全事件应急预案涉及重要数据和核心数据的安全事件,立即上报工信部数据安全事件发生后,及时开展应急处置,立即上报处置情况告知用户,提供减轻危害措施举报投诉机制建立违法行为投诉举报渠道依法接收、处理投诉举报开展执法调查建立用户投诉处理机制建立数据安全风险监测机制制定监测预警接口和标准加强信息共
42、享及 时发布预警信息,采取应对措施开展数据安全风险监测建 立 风险信息上报和共享机制汇总分析本地区风险,及时上报33细化数据安全法安全评估规则,强调特定主体每年至少开展一次安全评估1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则工业和信息化部:制定评估机构管理制度和规范,指导评估机构开展数据安全风险评估、合规评估、能力评估、出境评估等工作地方工业和信息化主管部门、通信管理局和无线电管理机构:组织开展本地区数据安全评估工作工业和信息化领域重要数据和核心数据处理者:自行或委托第三方评估机构,每年
43、至少开展一次安全评估,及时整改风险问题,并报送评估报告工业和信息化部:鼓励、引导具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作安全评估安全检测与认证评估机制34明确监督协助、安全审查、保密义务1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则行业(领域)监管部门监督检查工信领域数据处理者配合检查工业和信息化部在国家数据安全工作协调机制指导下,开展数据安全审查工作行业(领域)监管部门及其委托的数据安全评估机构工作人员严格保密履行职责中知悉的个人信息和商业秘密等,不得泄露或非法向他
44、人提供01.监督检查和协助义务02.数据安全审查义务03.保密义务35明确责任主体违规行为和罚则1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则序号责任主体违规行为监管部门罚则1工业和信息化领域数据处理者数据处理活动存在较大安全风险的行业(领域)监管部门约谈整改,消除隐患2有违反本办法规定行为的行业(领域)监管部门根据情节严重程度没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚构成犯罪的依法追究刑事责任3602 中国银保监会监管数据安全管理办法(试行)37办法意义:大数据引领
45、推动经济发展2020年9月23日,银保监会统信部发布中国银保监会监管数据安全管理办法(试行)银保监发202043号,自发布日期起实施,旨在:进一步落实国家网络安全和数据安全工作要求,并结合当前银行保险监管工作实际,加强培训教育,形成共同维护监管数据安全的良好环境。建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作数据安全法银行业监督管理法网络安全法工作秘密管理暂行办法中国银保监会监管数据安全管理办法(试行)主要 依据3802明确监管数据采集和使用条件监管数据的使用行为应通过管理和技术手段确保可追溯。监管数据用于信息系统开发测试以及对
46、外展示时,应经过脱敏处理。04数据全生命周期保护数据采集、传输、存储、加工处理、转移交换、销毁应根据监管数据类型和管理要求采取分级分类安全技术防护措施。03明确归口管理部门银保监会统计信息部门是归口管理部门,负责统筹监管数据安全管理工作。办法亮点:安全技术助力监管数据安全01监管数据安全管理机制监管数据安全管理实行归口管理,建立统筹协调、分工负责的管理机制39明确监管数据、安全和信息系统定义监管数据银保监会在履行监管职责过程中,依法定期采集,经监管信息系统记录、生成和存储的,或经银保监会各业务部门认定的数字、指标、报表、文字等各类信息监管数据在采集、处理、存储、使用等活动(以下简称监管数据活动
47、)中,处于可用、完整和可审计状态,未发生泄露、篡改、损毁、丢失或非法使用等情况监管数据安全监管信息系统满足监管需求为目的开发建设的,具有数据采集、处理、存储等功能的信息系统1.总则2.工作职责3.监管数据采集、存储和加工处理4.监管数据使用5.监管数据委托服务管理6.监督管理40监管数据安全工作职责1.总则2.工作职责3.监管数据采集、存储和加工处理4.监管数据使用5.监管数据委托服务管理6.监督管理银保监会统计信息部门(归口管理部门)归口管理统筹协调、分工分责制定监管数据安全工作规则和管理流程制定监管数据安全技术防护措施组织实施监管数据安全评估和监督检查银保监会各业务部门规范本部门监管数据安
48、全使用,明确具体工作要求,落实相关责任组织开展本部门监管数据安全管理工作协助归口管理部门实施监管数据安全监督检查41采集传输存储加工监管数据处理流程要求1.总则2.工作职责3.监管数据采集、存储和加工处理4.监管数据使用5.监管数据委托服务管理6.监督管理按照安全、准确、完整和依法合规的原则进行,避免重复、过度采集监管数据应通过监管工作网或金融专网进行传输。因客观条件限制需要通过物理介质、互联网或其它网络传输的,应经归口管理部门评估同意监管数据应存储在银保监会机房,并具有完备的备份措施;监管数据存储期限、存储介质管理应按照国家和银保监会有关规定执行监管数据的加工处理应在监管工作权限或受托范围内
49、进行。未经归口管理部门同意,任何单位和个人不得将代码、接口、算法模型和开发工具等接入监管信息系统42监管数据使用条件1.总则2.工作职责3.监管数据采集、存储和加工处理4.监管数据使用5.监管数据委托服务管理6.监督管理使用范围 仅限于银保监会履行监管工作职责使用使用要求 确保监管数据可追溯 监管数据用于信息系统开发测试以及对外展示时,应经过脱敏处理未公开监管数据使用 不联网银保监会工作机中进行 若需要联网使用未公开监管数据,应经归口管理部门评估同意停用监管数据 应及时对其采取封存或销毁措施43归口管理部门对监管数据委托服务持有决策权1.总则2.工作职责3.监管数据采集、存储和加工处理4.监管
50、数据使用5.监管数据委托服务管理6.监督管理监管数据委托服务受托机构技术服务方案通过不通过不得建立委派关系归口管理部门会签同意和评估1.具备从事监管数据工作所需系统的自主研发及运维能力;2.具备相关信息安全管理资质认证;3.拥有自主产权或已签订长期租赁合同的机房;4.网络和信息系统具备有效的安全保护和稳定运行措施,三年内未发生网络安全重大事件;5.具备有效的监管数据安全管理措施,能够保障银保监会各部门对监管数据的访问和控制;6.具有监管数据备份体系、应急组织体系和业务连续性计划。为银保监会提供监管数据服务的受托机构,应满足以下基本条件:44各业务部门及受托机构发生以下监管数据重大安全风险事项,
浙ICP备2021020529号-1 | 浙B2-20240490 
