网络安全行业：图解《网络数据安全管理条例（征求意见稿）》 及数据安全技术体系

1炼石网络2021年11月14日图解《网络数据安全管理条例(征求意见稿)》及数据安全技术体系 201 图解《网络数据安全管理条例(征)》02 数据安全发展面临严峻挑战03 数据安全产业迎来发展机遇04 数据安全技术亟待叠加演进05 数据安全框架重点技术详解06 数据安全应用示例方案参考 3前 言 数字经济时代，数据已经成为基础性资源和战略性资源，是决定数字经济发展水平和竞争力的核心资源。然而，数据安全形势日益严峻，高价值数据泄漏、个人信息滥用情况突出，新技术迭代衍生出新的风险，针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新，经济、政治、社会等各领域面临巨大潜在影响，亟待建立专门制度，明确各方责任，加快提升数据安全和个人信息保护能力。 2021年11月14日，《网络数据安全管理条例（征求意见稿）》（以下简称“数安条例”）正式发布，条例强化和落实数据处理者主体责任，充分发挥政府及社会各方面的作用，共同保护重要数据和个人信息安全。 4数安条例的定位全国人大及其常委会国务院地方人大及常委会地方人民政府法律行政 法规地方性法规地方政府规章部门 规章根据2015年3月15日表决通过的修订后《中华人民共和国立法法》。中国的立法体制就是中央统一领导下的多级立法体制。《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例（征求意见稿）》《数据安全法》第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。 5《网络数据安全管理条例（征求意见稿）》总结构数据安全管理条例网络数据安全管理条例第一章 总则1.立法目的7.数据共享与交易2.适用范围3.基本原则4.鼓励支持5.分类分级6.数据安全责任第七章 监督管理59.行业自律58.合规审计57.监督检查56.应急机制55.协调分工第二章 一般义务第三章 个人信息19.原则20.处理规则告知21.征求同意22.删除处理61.个保责任8.守法原则9.等保措施10.风险补救11.应急处置12.共享合规13.网络安全审查14.继承报告15.间接获取17.自动化合规18.投诉举报60.一般责任23.权力响应24.个人信息转移25.生物认证26.升级重保第四章 重要数据27.地方管理28.专职机构29.备案要求及内容30.教育及培训31.可信采购原则32.年度安全评估33.共享交易审批34.机关、关基运营者云计算服务采购评估62.重保责任63.关保责任第五章 数据跨境40.出境年报36.向个人告知同意38.国际条约42.技管措施39.合规义务35合规路径37.出境评估41.安全网关65.司协责任66.网关责任64.跨境责任第六章 网络平台68.共享责任51.国家机关服务第八章 法律责任第九章 附则73.定义74.指引适用75.生效条款70.民刑衔接71.监管责任72.境外追责16.机关数据安全责任69.新技术责任67.运营者责任47.应用分发43.义务要求52.国务数据调取48.服务反垄断44.第三方责任53.年度审计49.个性化推送45.即时通信分类54.新技术评估50.个人身份认证46.禁止行为 6“网络数据”的关键定义2.一般规定3. 个人信息4. 重要数据5. 数据跨境7. 监督管理1.总则6. 网络平台8. 法律责任9. 附则中华人民共和国网络安全法网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。中华人民共和国数据安全法本法所称数据，是指任何以电子或者其他方式对信息的记录。中华人民共和国个人信息保护法个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。（四）第四条 第三条国家互联网信息办公室关于《网络数据安全管理条例（征求意见稿）》公开征求意见的通知网络数据（简称数据）是指任何以电子方式对信息的记录。（一） 7落实三部上位法要求细化实施路径《网络数据安全管理条例》《网络安全法》 《数据安全法》 《个人信息保护法》落实补充新要求 重要数据处理者备案要求和年度报告要求、数据出境安全管理义务、互联网平台责任等2.一般规定3. 个人信息4. 重要数据5. 数据跨境7. 监督管理1.总则6. 网络平台8. 法律责任9. 附则落实三部上位法中提出的数据安全制度，明确实施路径原则性要求，给出进一步明确规定细化 8延续属地原则，以保护主体为界定标准2.一般规定3. 个人信息4. 重要数据5. 数据跨境7. 监督管理1.总则6. 网络平台8. 法律责任9. 附则强调“属地原则”在中华人民共和国境内利用网络开展数据处理活动，以及网络数据安全的监督管理，适用本条例。（无论处理者是否在境内设立，或者处理的是否为境内网络数据，只要处理行为发生在境内，就受条例制约。）以“保护主体”为标准只要符合“向境内提供产品或者服务为目的”、“为分析、评估境内个人、组织的行为”、“涉及境内重要数据处理”或法律、行政法规规定的其他情形的，均适用条例规定。例外排除自然人因个人或者家庭事务开展数据处理活动，不适用本条例。属地原则 9安全与发展并重，推进数据有序有效利用2.一般规定3. 个人信息4. 重要数据5. 数据跨境7. 监督管理1.总则6. 网络平台8. 法律责任9. 附则坚持促进数据开发利用与保障数据安全并重，加强数据安全防护能力建设，保障数据依法有序自由流动，促进数据依法合理有效利用。国家统筹安全和发展国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作，开展数据安全宣传教育和培训。鼓励合作，加大宣传教育 10落实国家分类分级保护制度2.一般规定3. 个人信息4. 重要数据5. 数据跨境7. 监督管理1.总则6. 网络平台8. 法律责任9. 附则第二十一条 国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。 各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。......《数据安全法》中分类分级要求国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；......《个人信息保护法》中分类分级要求条例落实了两法的国家数据分类分级保护制度，对一般数据、个人信息、重要数据等如何保护给出了具体要求。 11数据处理者采取密码技术保障数据安全1.总则3. 个人信息4. 重要数据5. 数据跨境7. 监督管理2.一般规定6. 网络平台8. 法律责任9. 附则使用密码技术保护采取备份、加密、访问控制等必要措施泄露数据非法使用丢失毁损篡改窃取可用性完整性保密性数据处理系统数据传输网络数据存储环境重要数据核心数据应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求处理核心数据的系统依照有关规定从严保护 12缺陷补救与应急处置要求1.总则3. 个人信息4. 重要数据5. 数据跨境7. 监督管理2.一般规定6. 网络平台8. 法律责任9. 附则建立数据安全应急处置机制发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当履行以下义务：（一）在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等；（二）在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。安全事件对个人、组织造成危害的，数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人，无法通知的可采取公告方式告知，法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的，数据处理者应当按规定向公安机关报案。数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞，或者威胁国家安全、危害公共利益等风险时，应当立即采取补救措施。网络产品和服务缺陷补救数据处理者使用或提供缺陷漏洞 13四类场景下的数据处理规定1.总则3. 个人信息4. 重要数据5. 数据跨境7. 监督管理2.一般规定6. 网络平台8. 法律责任9. 附则个人信息第三方提供自动化工具•向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点，并取得个人单独同意，符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外；•与接收方约定处理数据的目的、范围、处理方式，保护措施等，通过合同明确双方责任义务，并对接收方进行监督；•审批记录、日志记录至少留存五年•数据接收方应当履行约定的义务，不得超出约定的目的、范围、处理方式处理个人信息和重要数据 数据处理者在采用自动化工具访问、收集数据时，应当评估对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能。自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能，或者侵犯他人知识产权等合法权益的，数据处理者应当停止访问、收集数据行为并采取相应补救措施。自动化工具数据处理者提供、共享、委托处理第三接收方个人信息个人信息转移因合并、重组、分立、解散、宣告破产等转移个人信息•数据处理者发生解散、被宣告破产等情况的，应当向设区的市级主管部门报告，按照相关要求移交或删除数据，主管部门不明确的，应当向设区的市级网信部门报告数据处理者接收方•数据接收方应当继续履行数据安全保护义务，涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告政务数据 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全国家机关 14网络安全审查要求1.总则3. 个人信息4. 重要数据5. 数据跨境7. 监督管理2.一般规定6. 网络平台8. 法律责任9. 附则数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：1.汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；2.处理一百万人以上个人信息的数据处理者赴国外上市的；3.数据处理者赴香港上市，影响或者可能影响国家安全的；4.其他影响或者可能影响国家安全的数据处理活动。大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。1234 15个人信息处理基本要求和处理规则2.一般规定3. 个人信息4. 重要数