全面解读数据安全法规.docx

《全面解读数据安全法规.docx》由会员分享，可在线阅读，更多相关《全面解读数据安全法规.docx（12页珍藏版）》请在优知文库上搜索。

1、2） .商业数据针对商业数据这块，可概括分为：公共数据、平台数据与企业数据，企业数据企业数据，指企业业务系统中的数据.与平台数据关系上，一般来说企业有的数据，平台理论上都有。当然，不排除有些企业不嘿公开给平台的数据，通过加密方式传送，导致平台没有，而企业有.平台数据一个平台上会有多个企业,比如金融行业，贷款超市上的每个借贷产品,交通出行行业.聚合打车平台上面有多个打车企业的产品。公共数据公共数据涌1的范围最广，当然，也会有部分数据.由于企业或平台不愿公开，而无法成为公共数据。3） .理解要点如何理解个人数据与企业数据的交叉？个人行为数据这块，既属于个人数据，又属于商业数据，为个人与企业共有。如

2、企业或平台需使用（产生此数据的企业或平台），需征得个人的授权同意：如第三方企业或平台需使用，则需征得产生此数据的企业或平行以及个人双方/三方的授权同意。今如何理解市要数据和核心数据”？在图中标注的座要数据和核心数据，是在数据安全法规中提到的.这两类数据，和之前的分类并不在一个维度.重要数据，是指个人数据（除个人阳私外的部分）与企业、平台乃至公共数据的结合，通过大量数据的汇聚、关联、映射而产生数据价值及增值。例从业务角度出发，梳理哪些元数据璃于哪个业务范崎，也就是类别。这个业务他防囊括的范用Uf大可小,完全依托干企业前期基于业务的梳理结果0做数据分类并不是业务越细分越好,大部分细分之后的数据均具

3、有多里属性,会导致数据的多理划分，这是典型分类失败的体现.反之，如果分类过于粗犷，对于企业的指导意义也明显下降，找到分类颗粒度的平衡点，这很理要，数掳分镒不同于数据分类，对于大多数企业来说，更多是从满足监管要求的角度出发。数据分线属户数据安全领域，或许称其为敏感等级更为贴切。企业中的数据密级程度有的高、有的低、有的可公开、有的不可公开，敏感等级不同的数据对内使用时受到的保护策略不同，对外共享开放的程度也不同.如果企业对自Cl内部的数据没有一个明确的认识，公为企业的运营带来严坦的想患.2 ).分类分级实Bb电信下面以电信企业为例，说明如何诳行依据分类分级。数据分类分级原则安全性原则：从利于数据安

4、全管控的角度时数据进行分类分级.稳定性原则：分类分般设黄在相当长个时期内是稳定的，对冬类数据涵盖广，包容性强,可执行原则：为保障数据分类分级后续的可操作性,数据分类分级应贴近企业实际运营情况，不应过于红杂或过于粗犷，企业的安全防护要求均应在此分类分级基础上进行展开.时效性原则：数据的级别会依据相关要求进行动态变化和更新，企业应预留-定的管理和技术储备，以便应对数据级别变化产生的影响，令数据分级方法在数据分类基础匕根据基咄电信企业数据苴要程度以及泄露后前国家安全、社公秩序、企业经营管理和公众利益造成的影响和危击程度,对基础电信企业网络数据资源遂行分级.数据分级按照下图所示的步骤和方法进行，具体如

5、下.第二级数据：一旦丢失、泄正、俄募改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成一定程度影响的数据,执行绻本的安全管控.第一级数据：一旦丢失漕露、被改、被损毁对国家安全、社会公共利益或企业利益或用户利益造成影响较小或无影响的数据，对安全管控不作要求.3 .解读法规与标准1).多层次法规与标准随着对数据安全重视不断加强，国家/地区、行业出台一系列法律法规与标准引导数据安全建设。总体来说，可分为三个层面：法律、行政法规和国家或地方标准，如下图，2.行政法规在法律层面，国家陆续出台包括国家安全法、数据安全法、个人信息保护法、网络安全法及密码法等一系列法律来规范指导.卜图摘自安全厂商炼

6、石科技的对外公开资料。国家安全法PODSre体安金的本法If“CttM严格现Hsmefiir分绩分要的累风呛讦信配合,UfKfllIRat交黑中介R吗嫌釜发敏个人值息保护法202111m2miSHI个人S遂“化QII密码法BB三三rttt*W0用本飨化与的Ml网络安全市）侯应Cl安全我个人（！儿个人信权利应其中2015年施行的国家安全法第25条明确提出“实现网络和信息核心技术、关键基础设施和里要领域信息系统及数据的安全可控”在2017年施行的网络安全法将数据安全纳入网络安全范畴，网络安全等级保护制度、关犍信息基础设施保护制度、个人信息保护制度等为保障数据安全提供审要制慢支投.2021年实施的，

7、:数据安全法则全面黄彻落实总体国家安全观，确立国家数据安全工作体制机制，构建数据安全协同治理体系，明确预防,控制和消除数据安全风险的一系列制度、措施，提升国家整体数据安全保障能力。令行政法规各行业根据白身特点,出台系列带有行业属性的规范、指引等,粗略整理如下:行业JFVT0197-2020金电数据安全数据安全分级指南中国人民限行2020.9.23行业JR/T0223-2021金眩数据安全数据生合周期安全观范中国人民银行2021.4.8行业JFVT0171-2020个人金H信息保妒技术规愈中国人民银行2020.2.13行业JR0158.2018证券期货行业数寤分类分级指引中囹证券监督管理委员会2

8、018.9.27行业工业数据分关分级后席（M）工业桁信息化部办公厅2020.2.27行业YD/T3813-2020万础电信企业敢电分类分圾方法中Sl通信标港化协会2020.12.9行业工业和信息化领域散抵安全管理办法（试行）工业和信息化部2023.1.1行业中国银伊监会靖管数据安全管理办法（试行）银保监会2020.9.23行业交通运输政务政襦共享着理办法交通运输部2021.4.15行业国京医疗保建号关于加强网格安全和数据俣护工作的指导意见国家医疗保!局2021.4.6行业敦g部机关及直事业单位蚊日敢克管理办法B852018.1.22名称发布单位发布时间sta4国家或地方标准在标状方面出台一系列

9、国家或地方标准，粗略整理如下:名将发布,0发布时闾sGBZT35273-2020信卷安全技术个人信彩安全规息at三ssw三s国家标准化管理要奥金202036M家GBrr38667.2020信怠技术大敬鹿政榭分煲IX南段家市场粒督管理毋同望不标准化管理委2会2020.4.28S7G&T39725-2020傀包安全技术健事医疗敷现安全府席区京市场通告管理后XM家标港化It津委员会2020.12.14M事GR-T41773-2022信卷安全授术步多识捌12%安全要末X索市场目管理.勺星国事际准化省理安奥会2022.10.12*GB?Y41800-2022信息安全技术基因识别UJ8安全要求潭本市场业客

10、量康2WM不标准化詈理委员会2022.1012三*GB/T4180720Z2信&安全技术声馍设别15超安全要求三*i三iStf三.9里复标激化管理委员会2022.1012OE季GaT41817-2022值，安全接十个人僧，安仝InS值席AB床环环诔建9喝壁*标Jtt化管理委员会2022.10.12M京GBT41819-2022信包史仝技术人除0别敢找安全昼求SE*市场监第管理20国家标准化臂理委后金2022.1012GBT4187120Z2信包安全校木汽车|38处理安全要求M家壬踢位等置理总N军簟标腐化管理委员会2022.1012GRT420122022信，安仝技术即时通也圉务敢摄安仝求图家市

11、场IfitSIt理由SE家标准化管理委员会2022.10.12名粽发布重位三WW国家GB.T42013-2022信息安全技术快透物凝参务骰霜安全要求国夜市场Ifi督Ilt殍尊网国家历港化管理委员会2022.10.12OntGBZT42014.2022U息安全技术网上附物80务蚊索安仝要求国米市通监督管津纪N国京标准化胃理豆员会2022.10.12XGB-T42015-2022信息安仝技术网络支付BB芬蚊泰安仝要求国宝小埼匕备位居总焉国京行准化If理委员会2022.10.12*GB-T42016-2022（S患安全授为网培哥蝴彩苏12菇安全更农国求市场发*意注6同BI夜行准化管理安员会2022.

12、10.12OB-GB-T42017.2022信息安全授术网培预约汽写“将数5安全要求国东市场总普管理6同国求力港化管理要员会2022.10.12国家GB41479-20228息安全技术网络被器效殍安全要求中国阿塔安全市技术与认注中心中ES电子技术蛛准化研究K2022.11.1地方DB332351-2021数字化茂革公夬敢据分类分取Hi爱游江备市堵监督董律马2021.75缗方D852/T1123-2016改若蚊3S敢露分类分母搭：畲州杳居技本益W.Q2016928地方DB3301/T0322.3-2020数据渭源管理S3分：段若数况分柒分锻桃邦南市环监督管过局2020.10.31均方2）.解读3

13、OB22OVT17-2020政务数重安全分柒分场店南GBA35273-2020（个人信息安全规范长岑市磨场监管理局202214下面以国家标准-个人信息安全规范为例,说明如何定义（分类分级）及约束数据及相关行为。引数据定义（分类分级）个人信息personalinformation个人信息是指以电子或者其他方式记录的能做单独或者与其他信息结合识别特定。自然人身份或者反映特定自然人活动情况的各种信息.如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。判定某项信息是否属于个人信息，应考虑

14、以卜两条路径：一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人.个人信息应有助于识别出特定个人.二是关联，即从个人到信息.!已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。个人基本资料个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号询、电的附地等个人身份信息身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等个人生物识S监息个人基因、指纹、声纹、掌纹、耳麻、虹膜、面部识另胸等网络身份信息个人信息主体账号、IP地址、个人数字证书等个人W三i信息个人因生痛医治等产生的相关记录,如痛症、住院志.医峥、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况家族病史、现病史、传颊史等，以及与个人身体健康状况相关的信息，如体ar身高、肺活量等个人教育工作信息个人职业、职位、工作单位、学历、学位、敢育经历、工作经历、培训记录、成绩单等个人财产信息银行账户、鉴别信息（口令）、丽信息（包括资金数量、支付收款记录等）、房产信息.信贷记录、征信信息、交