《畢馬威：2024數據安全：護航數字經濟高質量發展報告（11頁）.pdf》由會員分享，可在線閱讀，更多相關《畢馬威：2024數據安全：護航數字經濟高質量發展報告（11頁）.pdf（11頁珍藏版）》請在三個皮匠報告上搜索。

1、數據安全：護航數字經濟高質量發展2024年10月網絡數據安全管理條例歷經3年正式發布，于2025年1月1日正式生效。22024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。文檔密級：公開增強數據安全保障能力是企業基本的合規義務，也是企業在數字化時代保持競爭力的應時之舉2023年中共中央、國務院印發了數字中國建設整體布局規劃明確指出：增強數據安全保障能力，建立數據分類分級保護基礎制度，健全網絡數據監測預警和應急處置工作體系。增

2、強數據安全保障能力是基本合規義務增強數據安全保障能力是基本合規義務數據安全管理正經歷著從立法到實踐的逐步轉變。目前，個人信息保護監管閉環已日益完善，也同步促進了數據安全的規范化和系統化管理。重要數據的識別和保護、靈活便捷的數據出境監管機制的探索，也還在持續推進。企業仍需密切關注，積極合規。保護好數據就是保護好核心競爭力保護好數據就是保護好核心競爭力數據中蘊含著商業機密、客戶信息和市場洞察等，這些數據的安全與保密直接關系到企業的業務穩定性和市場競爭力。只有通過加強數據安全管理，確保數據的完整性和可用性，企業才能在激烈的市場競爭中立于不敗之地，實現可持續發展。數據安全是技術創新的動力和底氣數據安全

3、是技術創新的動力和底氣隨著大數據、人工智能和區塊鏈等新興技術的廣泛應用，企業面臨新的安全挑戰。為確保技術創新順利進行，企業需不斷更新安全措施，并高度關注數據安全，以識別并應對潛在風險。32024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。文檔密級：公開網絡數據安全管理條例是網安法、數安法、個保法下首個國務院正式發布的管理條例8月30日，國務院常務會議審議通過網絡數據安全管理條例（草案）11月1日，國家互聯網信息辦公室關于網

4、絡數據安全管理條例（征求意見稿）公開征求意見6月1日，中華人民共和國網絡安全法（網安法）正式生效201720177月1日，中華人民共和國國家安全法（國安法）正式頒布并生效201520155月，國家互聯網信息辦公室關于數據安全管理辦法（征求意見稿）公開征求意見201920199月1日，中華人民共和國數據安全法（數安法）正式生效202120219 9月月3030日，日，網絡數據網絡數據安全管理條例安全管理條例簽發，簽發，20252025年年1 1月月1 1日生效日生效11月1日，中華人民共和國個人信息保護法（個保法）正式生效20212021202120212020242420242024適用范圍

5、在中華人民共和國境內開展網絡數據處理活動及其安全監督管理；在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，符合個保法第三條第二款規定情形的依法適用；在中華人民共和國境外開展網絡數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任 自然人因個人或者家庭事務處理個人信息的，不適用本條例。重點關注違規后果 主要參照網安法、數安法、個保法，針對一般規定、網絡安全審查和重要數據安全，作出以下補充：罰款（單位最高一千萬元，直接負責的主管人員和其他直接責任人員最高一百萬元）單位可責令改正，給予警告，沒收違法所得，責令暫停相關業務、停業整頓、關閉網站吊銷

6、相關業務許可證或者吊銷營業執照等截至2024年9月，已有多個行業主管部門，包括工業和信息化部、中國人民銀行、教育部發布了關于工業和信息化領域、金融行業、教育行業、電信行業及汽車行業等的數據安全相關管理辦法。一般規定：數據安全治理方針 數據安全生命周期管理 數據安全管理體系 數據安全管理技術特定數據處理活動要求：國家安全審查 個人信息保護 重要數據安全管理 數據出境安全管理 網絡平臺服務提供者數據安全管理42024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球

7、組織中的成員。版權所有，不得轉載。文檔密級：公開影響程度影響對象國家安全公共利益社會秩序經濟運行個人權益組織權益Critical 特別嚴重危害Major 嚴重危害General 一般危害No impact 無危害根據數據在經濟社會發展中的重要程度，以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益造成的危害程度，將數據從高到低分為核心數據核心數據、重要數據重要數據、一般一般數據數據三個級別。按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度，

8、將一般數據可以從低到高分為一般數據可以從低到高分為 1 級級、2 級級、3 級級、4 級級共四個級別共四個級別。數據安全數據安全分類分類數據數據安全安全等級等級數據定級要素數據定級要素影響對象影響對象影響程度影響程度一般數據1級個人權益、組織權益無危害2級個人權益、組織權益一般危害3級個人權益、組織權益嚴重危害4級個人權益、組織權益特別嚴重危害經濟運行、社會秩序、公共利益一般危害重要數據經濟運行、社會秩序、公共利益嚴重危害國家安全一般危害核心數據經濟運行、社會秩序、公共利益特別嚴重危害國家安全特別嚴重危害或嚴重危害參考：GB/T 43697-2024數據安全技術數據分類分級規則數據分類分級是數

9、據安全治理的基礎52024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。文檔密級：公開數據安全治理方針 通常涵蓋數據安全戰略規劃、數據安全分級保護基本原則、數據安全風險與合規管理等 特別是在數據安全分級保護、合規監督等方面，條例明確：o 對網絡數據進行分類分級保護，對所處理網絡數據的安全承擔主體責任，建立完善數據安全管理制度和技術保護措施o 對有關主管部門依法開展的網絡數據安全監督檢查予以配合數據安全生命周期管理 通常涵蓋數

10、據采集安全、傳輸安全、存儲安全、使用安全、交換和共享安全、銷毀和處置安全等 特別是在數據采集安全、使用安全等方面，條例明確：o 使用自動化工具訪問、收集網絡數據，應當評估對網絡服務帶來的影響，不得非法侵入他人網絡，不得干擾網絡服務正常運行o 為國家機關、關鍵信息基礎設施運營者提供服務，或者參與其他公共基礎設施、公共服務系統建設、運行、維護的，未經委托方同意，不得訪問、獲取、留存、使用、泄露或者向他人提供網絡數據，不得對網絡數據進行關聯分析數據安全管理體系 通常涵蓋數據安全組織架構、人員勝任能力、制度流程體系、管理評價體系等 特別是在數據安全應急處置、數據安全投訴舉報等制度流程方面，條例明確：o

11、 建立健全網絡數據安全事件應急預案，按照規定向有關主管部門報告、通知利害關系人等o 接受社會監督，建立便捷的網絡數據安全投訴、舉報渠道，公布投訴、舉報方式等信息，及時受理并處理網絡數據安全投訴、舉報。數據安全管理技術 通常涵蓋數據安全識別技術、數據安全防護技術、數據安全監測技術、數據安全響應技術等 特別是在等級保護基礎上，加強加密、備份、訪問控制、安全認證、漏洞管理等方面，條例明確：o 在網絡安全等級保護的基礎上，采取加密、備份、訪問控制、安全認證等技術措施和其他必要措施保護網絡數據，防范針對和利用網絡數據實施的違法犯罪活動o 應對安全缺陷、漏洞、風險立即采取補救措施，按照規定及時告知用戶并向

12、有關主管部門報告，涉及危害國家安全、公共利益的，應當在24小時內向有關主管部門報告網絡數據處理者應關注數據安全治理提升62024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。文檔密級：公開 數據出境安全管理總體合規要求應以網安法、個保法、數安法和其他相關最新數據出境規定為主，在以下方面應遵循補充要求：o 國家采取措施，防范、處置網絡數據跨境安全風險和威脅。任何個人、組織不得提供專門用于破壞、避開技術措施的程序、工具等；明知他

13、人從事破壞、避開技術措施等活動的，不得為其提供技術支持或者幫助 個人信息處理者總體合規要求應以個保法和其他相關個人信息保護規定為主，在以下方面應遵循補充要求：o 細化個人信息轉移的具體條件、保存期限的具體落實等o 向其他網絡數據處理者提供、委托處理個人信息的處理情況記錄，應當至少保存3年o 處理1000萬人以上個人信息的，還應當遵守適用于重要數據的處理者的有關于網絡數據安全負責人和網絡數據安全管理機構、以及因公司變動等可能影響數據安全的相關保障和報告要求個人信息保護數據出境安全管理 網絡數據處理者開展網絡數據處理活動，影響或者可能影響國家安全的，應當按照國家有關規定進行國家安全審查國家安全審查

14、其他主要參考：個保法、網安法、GB/T35273個人信息安全規范等其他主要參考：網安法、個保法、數安法、數據出境安全評估辦法、個人信息出境標準合同辦法、促進和規范數據跨境流動規定等主要參考：國安法、網安法、數安法、關鍵信息基礎設施安全保護條例、網絡安全審查辦法專題管理事項應重點關注與其他相關合規要求和實踐的銜接與補充特定數據處理活動要求72024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。文檔密級：公開 網絡平臺服務提供者

15、在數據安全方面的管理要求在條例中被首次提出，主要包括：o 明確接入其平臺的第三方產品和服務提供者的網絡數據安全保護義務，督促第三方產品和服務提供者加強網絡數據安全管理，其中，應用程序分發服務的網絡平臺服務提供者還應當建立應用程序核驗規則并開展網絡數據安全相關核驗o 通過自動化決策方式向個人進行信息推送的，個性化推薦易關閉、個人特征標簽可刪除o 國家鼓勵網絡平臺服務提供者支持用戶使用國家網絡身份認證公共服務登記、核驗真實身份信息 此外，大型網絡平臺服務提供者大型網絡平臺服務提供者：o 每年度發布個人信息保護社會責任報告o 跨境提供網絡數據，應當遵守國家數據跨境安全管理要求，健全相關技術和管理措施

16、，防范網絡數據跨境安全風險o 不得利用網絡數據、算法以及平臺規則等，開展不當網絡數據處理活動，損害用戶合法權o 如涉及重要數據處理，年度風險評估還應充分說明關鍵業務和供應鏈網絡數據安全等情況網絡平臺服務提供者數據安全管理大型網絡平臺服務提供者大型網絡平臺服務提供者是指注注冊用戶冊用戶5000萬以上或者月活躍用月活躍用戶戶1000萬以上，業務類型復雜，網絡數據處理活動對國家安全、經濟運行、國計民生等具有重要影響的網絡平臺。網絡平臺服務提供者網絡平臺服務提供者面向大量用戶和平臺內經營者提供服務，可能包括：提供信息發布和交互的社交媒體平臺、提供支付服務的網絡平臺、提供視聽服務的網絡平臺、提供應用程序

17、分發服務的網絡平臺、預裝應用程序的智能終端等設備生產者等。特定數據處理活動要求（續）網絡平臺服務提供者82024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。文檔密級：公開條例對涉及重要數據的網絡數據處理者在以下方面提出明確要求：數據安全治理方針應當明確網絡數據安全負責人和網絡數據安全管理機構，網絡數據安全負責人應當具備網絡數據安全專業知識和相關管理工作經歷，由網絡數據處理者管理層成員擔任，有權直接向有關主管部門報告網絡數據

18、安全情況發生合并、分立、解散、破產等情況的，應當向省級以上有關主管部門報告應當每年度對其網絡數據處理活動開展風險評估，并向省級以上有關主管部門報送風險評估報告數據安全生命周期管理提供、委托處理、共同處理重要數據的應當遵守額外規定（比如開展風險評估、處理情況記錄保留至少3年）數據安全管理體系和管理技術國家鼓勵使用數據標簽標識等技術和產品，提高重要數據安全管理水平重要數據安全管理目前，關于重要數據的識別和保護，部分行業領域主管（監管）部門已明確其行業數據分類細則，確定重要數據和一般數據范圍，如工業、電信、衛生健康及教育。同時，部分自貿區已針對重要數據發布了詳細的規定和識別指南，如中國（北京）自由貿

19、易試驗區數據出境負面清單管理辦法（試行）及中國（天津）自由貿易試驗區企業數據分類分級標準規范等。重要數據的定義和識別細則尚未明確的行業，可參考GB/T 43697-2024數據安全技術 數據分類分級規則、信息安全技術 重要數據識別指南（征求意見稿）來指導識別工作。工業 工業和信息化領域數據安全管理辦法（試行）YD/T4981-2024 工業領域重要數據識別指南 汽車數據安全管理若干規定（試行）電信 YD/T3867-2024 電信領域重要數據識別指南金融 中國人民銀行業務領域數據安全管理辦法（征求意見稿）銀行保險機構數據安全管理辦法（公開征求意見稿）JR/T 0197-2020 金融數據安全

20、數據安全分級指南衛生健康 衛生健康行業數據分類分級指南（試行）教育 教育系統核心數據和重要數據識別認定工作指南（試行）工業電信交通金融自然資源衛生健康教育科技特定數據處理活動要求（續）重要數據安全管理92024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。文檔密級：公開“對網絡數據實行分類分級保護，明確各類主體責任，落實網絡數據安全保障措施。要厘清安全邊界，保障數據依法有序自由流動，為促進數字經濟高質量發展、推動科技創新和產

21、業創新營造良好環境”關注與個人信息管理、網絡安全運營的銜接與運行個人信息作為特殊的數據類型，其管理具有一定的特殊性，企業內部的數據安全管理組織和人員在處理個人信息安全方面，應與企業現有的個人信息保護框架體系有效融合；此外，在數據安全技術的建設與落實方面也與傳統的信息安全、網絡安全存在交叉與依賴，應考慮以數據安全為目標，對現有的網絡安全技術措施進行重新審視和調整，以確保數據安全。有針對性地開展數據生命周期管理和數據安全管理技術落地針對安全級別較高的數據及其所涉及的系統平臺和基礎設施環境，優先考慮加強數據安全技術管理措施的實施和落地，包括但不限于加強加密控制措施、訪問控制措施、備份和恢復管理機制、

22、日志和事件監控機制等，以有效保障此類數據等完整性、保密性和可用性等。加快數據安全管理體系總體建設應盡快建立健全數據安全治理體系建設，建立基本組織保障和制度體系保障，包括但不限于數據安全保護總則、數據生命周期安全管理原則、數據安全事件管理和應急預案、數據安全投訴處理機制、數據安全風險與合規管理機制等。推進數據安全分級優化與落實進一步推進數據安全分級工作的有效落實，結合外部合規要求和企業自身管理需要，實現數據資產分類和數據安全分級的有機結合，并通過技術和工具的應用，提升數據安全分級工作的可操作性和便利性，加大數據安全分級工作對數據處理活動和系統應用的覆蓋面，為數據生命周期保護奠定良好基礎。行動建議

23、102024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。文檔密級：公開數據分類分級設計與落地安全分類分級標準和工具設計、管理機制建設、安全分類分級實施等數據安全生命周期管理數據安全管理體系數據安全管理技術數據安全治理方針前提指導基礎保障安全運營安全工程落地數據安全管理要求推動數據安全管理要求優化與實現數據安全管理治理建設和規劃數據安全管理成熟度評估、數據安全管理提升路線圖規劃、數據安全管理體系建設、數據跨境傳輸合規體系建設

24、等數據安全風險評估/專項審計數據安全定期風險評估、數據安全管理專項審計、數倉/數據湖等高風險系統數據安全管理專項審計和技術測試等數據防泄漏管理與技術實施數據防泄漏需求梳理、工具選型、技術實施項目管理等數據安全事件應急響應管理數據安全事件應急預案設計、培訓和演練等畢馬威數據安全管理解決方案協助企業一站式管理數據安全風險所載資料僅供一般參考用，并非針對任何個人或團體的個別情況而提供。雖然本所已致力提供準確和及時的資料，但本所不能保證這些資料在閣下收取時或日后仍然準確。任何人士不應在沒有詳細考慮相關的情況及獲取適當的專業意見下依據所載資料行事。2024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙

25、制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。在中國印刷。畢馬威的名稱和標識均為畢馬威全球組織中的獨立成員所經許可后使用的商標。 3149郵箱：郝長偉科技咨詢技術風險管理服務主管合伙人畢馬威中國電話：+86(10)8508 5485郵箱：林海燕科技咨詢技術風險管理服務業務合伙人畢馬威中國電話：+852 2143 8803郵箱：宋智佳科技咨詢技術風險管理服務業務總監畢馬威中國電話：+86(21)2212 2888郵箱：鄔敏華科技咨詢技術風險管理服務業務總監畢馬威中國電話：+86(21)2212 2888郵箱：聯系我們張令琪科技咨詢服務主管合伙人畢馬威中國電話：+8 6(21)2212 3637郵箱：張倪?？萍甲稍兗夹g風險管理服務業務合伙人畢馬威中國電話：+852 2847 5026郵箱：李振科技咨詢技術風險管理服務業務總監畢馬威中國電話：+86(10)8508 5000郵箱：