图解《网络数据安全管理条例(征求意见稿)》 b u h t i g m o c 及数据安全技术体系 . 5 炼石网络 2021年11月14日 1 01 图解《网络数据安全管理条例(征)》 02 数据安全发展面临严峻挑战 03 数据安全产业迎来发展机遇 04 数据安全技术亟待叠加演进 05 数据安全框架重点技术详解 m o c . 5 b u h t i g 06 数据安全应用示例方案参考 2 前言 数字经济时代，数据已经成为基础性资源和战略性资源，是决定数字经济发展水平和竞争 力的核心资源。然而，数据安全形势日益严峻，高价值数据泄漏、个人信息滥用情况突出，新技 m o c . 5 术迭代衍生出新的风险，针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新，经济、政治 、社会等各领域面临巨大潜在影响，亟待建立专门制度，明确各方责任，加快提升数据安全和个 人信息保护能力。 b u h t i g 2021年11月14日，《网络数据安全管理条例（征求意见稿）》（以下简称“数安条例” ）正式发布，条例强化和落实数据处理者主体责任，充分发挥政府及社会各方面的作用，共同保 护重要数据和个人信息安全。 3 数安条例的定位 《中华人民共和国网络安全法》 《中华人民共和国密码法》 根据2015年3月15日表决通过的修订后《中华人民共和国立法 《中华人民共和国数据安全法》 法》。中国的立法体制就是中央统一领导下的多级立法体制。 行政 国务院 地方人大及常委会 地方人民政府 m o c . 5 法律 全国人大及其常委会 法规 b u h t i g 地方政 府规章 《网络数据安全管理条例（征求意见稿）》 《数据安全法》第六条　各地区、各部门对本地区、 本部门工作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生健康、教 育、科技等主管部门承担本行业、本领域数据安全监 管职责。 地方性 法规 《中华人民共和国个人信息保护法》 公安机关、国家安全机关等依照本法和有关法律、行 部门 政法规的规定，在各自职责范围内承担数据安全监管 规章 职责。 国家网信部门依照本法和有关法律、行政法规的规定 ，负责统筹协调网络数据安全和相关监管工作。 4 《网络数据安全管理条例（征求意见稿）》总结构 数据安全管理条例 网络数据安全管理条例 第一章 总则 第二章 一般义务 1.立法目的 8.守法原则 14.继承报告 2.适用范围 9.等保措施 15.间接获取 3.基本原则 10.风险补救 16.机关数据安全责任 4.鼓励支持 11.应急处置 17.自动化合规 5.分类分级 12.共享合规 18.投诉举报 6.数据安全责任 13.网络安全审查 7.数据共享与交易 60.一般责任 第八章 法律责任 70.民刑衔接 59.行业自律 58.合规审计 57.监督检查 56.应急机制 55.协调分工 第七章 监督管理 第九章 附则 19.原则 23.权力响应 27.地方管理 20.处理规则告知 24.个人信息转移 28.专职机构 m o c . 5 21.征求同意 25.生物认证 29.备案要求及内容 22.删除处理 26.升级重保 30.教育及培训 b u h t i g 61.个保责任 71.监管责任 67.运营者责任 68.共享责任 69.新技术责任 51.国家机关服务 47.应用分发 43.义务要求 52.国务数据调取 48.服务反垄断 44.第三方责任 53.年度审计 49.个性化推送 45.即时通信分类 54.新技术评估 50.个人身份认证 46.禁止行为 66.网关责任 31.可信采购原则 62.重保责任 32.年度安全评估 63.关保责任 72.境外追责 33.共享交易审批 65.司协责任 64.跨境责任 34.机关、关基运营者 云计算服务采购评估 41.安全网关 39.合规义务 37.出境评估 35合规路径 42.技管措施 40.出境年报 38.国际条约 36.向个人告知同意 第六章 网络平台 73.定义 第四章 重要数据 第三章 个人信息 第五章 数据跨境 74.指引适用 75.生效条款 5 “网络数据”的关键定义 1.总则 中华人民共和国网络安全法 中华人民共和国数据安全法 中华人民共和国个人信息保护法 （四） 第三条 第四条 2.一般规定 3. 个人信息 网络数据，是指通过网络收集、 存储、传输、处理和产生的各种 4. 重要数据 5. 数据跨境 6. 网络平台 7. 监督管理 电子数据。 m o c . 5 本法所称数据，是指任何以电子 个人信息是以电子或者其他方式记 或者其他方式对信息的记录。 录的与已识别或者可识别的自然人 b u h t i g 有关的各种信息，不包括匿名化处 理后的信息。 国家互联网信息办公室关于《网络数据安全管理条例（征求意见稿）》公开征求意见的通知 （一） 网络数据（简称数据）是指任何以电子方式对信息的记录。 8. 法律责任 9. 附则 6 落实三部上位法要求细化实施路径 1.总则 2.一般规定 3. 个人信息 4. 重要数据 5. 数据跨境 6. 网络平台 7. 监督管理 b u h t i g 《网络数据安全管理条例》 《网络安全法》 落实三部上位法中 落实 提出的数据安全制 度，明确实施路径 m o c . 5 《数据安全法》 《个人信息保护法》 细化 原则性要求，给出 进一步明确规定 补充新要求 重要数据处理者备案要求和年度报告要求、 数据出境安全管理义务、互联网平台责任等 8. 法律责任 9. 附则 7 延续属地原则，以保护主体为界定标准 1.总则 2.一般规定 强调“属地原则” 在中华人民共和国境内利用网络开展数据处理活动，以及网络数据安全 3. 个人信息 m o c . 5 属地 原则 的监督管理，适用本条例。（无论处理者是否在境内设立，或者处理的 是否为境内网络数据，只要处理行为发生在境内，就受条例制约。） b u h t i g 4. 重要数据 5. 数据跨境 6. 网络平台 以“保护主体”为标准 只要符合“向境内提供产品或者服务为目的”、“为分析、评估境内个 人、组织的行为”、“涉及境内重要数据处理”或法律、行政法规规定 的其他情形的，均适用条例规定。 7. 监督管理 8. 法律责任 例外排除 自然人因个人或者家庭事务开展数据处理活动，不适用本条例。 9. 附则 8 安全与发展并重，推进数据有序有效利用 1.总则 2.一般规定 m o c . 5 3. 个人信息 4. 重要数据 5. 数据跨境 6. 网络平台 7. 监督管理 国家统筹安全和发展 b u h t i g 鼓励合作，加大宣传教育 坚持促进数据开发利用与保障数据安全 国家支持数据开发利用与安全保护相关的 并重，加强数据安全防护能力建设，保 技术、产品、服务创新和人才培养。 障数据依法有序自由流动，促进数据依 国家鼓励国家机关、行业组织、企业、教 法合理有效利用。 育和科研机构、有关专业机构等开展数据 开发利用和安全保护合作，开展数据安全 宣传教育和培训。 8. 法律责任 9. 附则 9 落实国家分类分级保护制度 1.总则 2.一般规定 条例落实了两法的国家数据分类分级保护制度，对一般数据、个人信息、重要数据等如何保护给出了具体要求。  国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、 核心数据，不同级别的数据采取不同的保护措施。 3. 个人信息 m o c . 5  国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。  各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 b u h t i g 4. 重要数据 5. 数据跨境 6. 网络平台 7. 监督管理 8. 法律责任 9. 附则 《数据安全法》中分类分级要求 《个人信息保护法》中分类分级要求 第二十一条　国家建立数据分类分级保护制度，根据数据在经济社会发展中 第五十一条　个人信息处理者应当根据个人信息的处理目的、处理方式、 的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对 个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取 国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行 下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未 分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据 经授权的访问以及个人信息泄露、篡改、丢失： 目录，加强对重要数据的保护。 （一）制定内部管理制度和操作规程； 　　各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门 （二）对个人信息实行分类管理； 以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。 （三）采取相应的加密、去标识化等安全技术措施； …… …… 10 采取密码技术保障数据安全 1.总则 泄露 完整性 2.一般规定 采取备份、加密、访问控制等 3. 个人信息 4. 重要数据 数据处理者 必要措施 m o c . 5 篡改 b u h t i g 数据传输网络 5. 数据跨境 非法使用 数据 可用性 数据处理系统 数据存储环境 6. 网络平台 窃取 丢失 应当满足三级以上网络安全等级保护和 处理核心数据的系统依照有关规 关键信息基础设施安全保护要求 定从严保护 保密性 毁损 7. 监督管理 8. 法律责任 9. 附则 重要数据 核心数据 使用密码技术保护 11 缺陷补救与应急处置要求 1.总则 缺陷补救 2.一般规定 3. 个人信息 4. 重要数据 使用或提供 数据处理者 7. 监督管理 8. 法律责任 9. 附则 漏洞 网络产品和服务 m o c . 5 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞，或者威胁国家安全、危害公共利益 b u h t i g 等风险时，应当立即采取补救措施。 5. 数据跨境 6. 网络平台 缺陷 建立数据安全应急处置机制 安全事件对个人、组织造成危害的，数据处理者应当 发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全 在三个工作日内将