图解《数据安全法》

图解《数据安全法》炼石网络 2021年8月前言 2021年6月10日，《数据安全法》正式颁布，将于2021年9月1日正式施行，作为我国数据安全领域的首部基础性法律，也是国家安全领域的一部重要法律，标志着我国以数据安全保障数据开发利用和产业发展全面进入法治化轨道。数据安全领域里程碑 2021年11月1日《数据安全法》《个人信息保护法》 • 加速个人信息法制化进程 2021年9月1日 • 提升国家数据安全保障能力《密码法》 • 提出数据保护技术手段 2020年1月1日 2017年6月1日《网络安全法》 • 规定网络安全治理道路《数据安全法》总结构数据安全法第二章数据安全与发展第一章总则 1.立法目的 2.适用范围 3.关键定义第三章数据安全制度 13. 产业发展 14. 大数据战略 15. 智能化公共服务 16. 技术研究 17. 标准体系 18. 检测认证 19. 数据交易 20. 人才培养 4.体系保障 21.分类分级 22.风险评估第四章数据安全保护义务 5.领导架构 6.监管职责 7.权益保障 8.刑事追责 9.社会责任 27.数据处理 28.公德伦理 29.监测处置 30.风险评估 31.关基要求 32.合理收集 33.交易中介 34.行政许可 35.批准手续 36.境外要求第五章政务数据安全与开放 10.行业自律 11.国际合作 12.投诉举报 24.安全审查第六章法律责任 37.政务建设 38.依法收集 39.安全制度 40.委托建设 41.及时准确 42.开放目录 43.公共事务 23.应急处置 44.约谈整改 47.交易中介罚则 50.国家人员罚则 45.处罚活动 48.不配合罚则 51.行政处罚 25.出口管制 46.境外罚则 49.国家机关罚则 52.民事刑事责任 26.对等反制第七章附则 53.他法遵循 54.他法遵循 55.实施时间适用范围兼顾域外效力 1. 总则 2.发展 3. 制度在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。 4. 义务 5. 政务 6. 罚则 7. 附则《网络安全法》《数据安全法》数据相关概念给出权威界定 1. 总则 2.发展 3. 制度 4. 义务数据处理数据安全包括数据的收集、存储、使用、是指通过采取必要措施，确保数据加工、传输、提供、公开等。处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 5. 政务 6. 罚则 7. 附则数据是指任何以电子或者其他方式对信息的记录。坚持总体国家安全观，健全数据安全治理体系 1. 总则中央国家安全领导机构 2.发展 3. 制度 4. 义务公安机关各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业电信交通金融国家网信部门统筹协调自然资源 5. 政务 6. 罚则 7. 附则有关部门个人教育科技 … 国家安全机关行业组织共同参与数据安全保护工作国际交流与合作卫生健康企业科研机构任何个人、组织有权向有关部门投诉、举报以数据安全保障数据开发利用和产业发展 1. 总则数据基础设施 2.发展国家实施大数据战略，推进数据基础设施 3. 制度的创新应用建设，鼓励和支持数据在各行业、各领域 4. 义务 5. 政务 6. 罚则 7. 附则开发利用产业发展数据安全数字经济发展省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。安全与发展 1. 总则服务提供智能化公共服务，应当充分考虑老年人、残 2.发展疾人的需求…… 评估国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证…… 3. 制度 4. 义务技术市场国家支持数据开发利用和数据安全技术研究，鼓国家建立健全数据交易管理制度，规范数据交易励数据开发利用和数据安全等领域的技术推广和 5. 政务 6. 罚则 7. 附则行为，培育数据交易市场…… 商业创新…… 标准国家推进数据开发利用技术和数据安全标准体系建设…… 教育国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场…… 首次从国家层面建立数据安全制度 1. 总则 2.发展 3. 制度 4. 义务 5. 政务 6. 罚则 7. 附则分类分级安全审查各地区、各部门应当按照数据分类分级国家建立数据安全审查制度，对影响或保护制度，确定本地区、本部门以及相者可能影响国家安全的数据处理活动进关行业、领域的重要数据具体目录，对行国家安全审查。依法作出的安全审查列入目录的数据进行重点保护…… 决定为最终决定。风险管理出口管制国家建立集中统一、高效权威的数据安全国家对与维护国家安全和利益、履行国际风险评估、报告、信息共享、监测预警机义务相关的属于管制物项的数据依法实施制。国家数据安全工作协调机制统筹协调出口管制。有关部门加强数据安全风险信息的获取、分析、研判、预警工作。应急响应贸易措施国家建立数据安全应急处置机制。发生数任何国家或者地区在与数据和数据开发利用据安全事件，有关主管部门应当依法启动技术等有关的投资、贸易等方面对中华人民应急预案，采取相应的应急处置措施，防共和国采取歧视性的禁止、限制或者其他类止危害扩大，消除安全隐患，并及时向社似措施的，中华人民共和国可以根据实际情会发布与公众有关的警示信息。况对该国家或者地区对等采取措施。不同的数据保护义务主体 1. 总则 2.发展国家机关 3. 制度 4. 义务 5. 政务重要数据处理者关键信息基础设施运营者 6. 罚则 7. 附则数据处理者从事数据交易中介服务的机构数据处理者：建立健全全流程数据安全管理制度总纲层如数据安全管理办法 1. 总则 2.发展编目层 3. 制度 4. 义务 5. 政务管理编目业务编目专项编目 • 定级备案 • 规划 • 重大保障 • 安全测评 • 建设 • 监管配合 • 风险评估 • 运营 • 数据出境 • 投诉处置 6. 罚则 7. 附则建立健全完整的数据安全管理制度是企事业单位开展数据安全工作的基石。针对数据安全工作基础薄弱的企业，可以参考《数据安全法》进行解读数据安全管理制度体系设计，比如建立总纲层，编制宏观安全要求框架；梳理编目层，从管理、业务、专项等方面确定实施细则、作业规范等。数据处理者：组织开展数据安全教育培训 1. 总则 2.发展培训类 3. 制度 • 新员工入职 4. 义务 • 在职培训 • 日常作业培训 5. 政务 6. 罚则培训工作 • 计划 • 实施 • 记录 • 总结培训形式 • 融于日常安全知识屏保、视频 • 特色：知识竞争、趣味问答培训周期 • 月度 • 季度 • 不定期 • 技术提升：数据安全知识历史种种数据安全事件表明，组织的决策层、管理层、执行层都可能造成数据泄露；内部IT建设中业务逻辑混乱、网络策略错误和设备配置故障 7. 附则解读也可能会造成数据泄露。因此，提升企业各层级知识储备和技能水平，变得尤为重要。企事业单位的数据安全教育培训应当覆盖员工入职、在职、离职；应采用渗透式的培训教育，通过定期或不定期培训方式，保证数据安全教育融入企业文化。数据处理者：采取相应技术措施和其他必要措施，保障数据安全以数据为中心的安全 1. 总则数据态势 2.发展 3. 制度 4. 义务 5. 政务 6. 罚则 7. 附则解密细控沙箱检测泄露检测解读零信任网络数据审计终端管控 SIEM 数据鉴权移动安全端点安全存储加密反病毒 VPN 通信加密身份鉴别密级标识数据分类 IDS 防火墙数据安全技术专家基于网络与数据并重的建设理念，结合业务应用场景，聚焦“以数据为中心”的安全建设思路。企事业单位应结合自身组织使命和业务价值，进行与组织特色匹配的数据安全体系设计，构建安全心的中络为以网网络与数据并重的新安全建设理念有效数据安全防线。数据处理者：强化风险监测、应急补救加强风险监测 1. 总则 2.发展发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施发生数据安全事件时，应当立即采取处置措施 • 上报与通报 • 风险评估影响分析业务风险监测产品配置管理 3. 制度网络入侵检测 4. 义务 5. 政务数据边界管理事件响应机制公关管理事件处置机制网络暴露面管理互联网安全监测 • 新闻发布 • 影响消除 6. 罚则 7. 附则 • 抑制措施 • 恢复措施企事业单位应当建立主动的内/外部联动的数据安全风险监测机制，及时发现安全漏洞、安全威胁，处置安全问题，把数据安全风险降到最小，解读并加强安全事件影响分析，强化与监管单位上报机制，重视安全事件公共通报。数据处理者：执法调取数据执行严格批准手续 1. 总则 2.发展境内执法配合境外执法配合 3. 制度 4. 义务 5. 政务 6. 罚则 7. 附则公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。重要数据处理者：明确数据安全负责人和管理机构，落实数据安全保护责任 1. 总则内部组织安全责任 2.发展 • 安全领导小组 • 安全协调小组 • 安全管理