25TC-33-数据资产培训：数据资产合规背景及分类管理

数据资产培训：

数据资产合规背景及分类管理汇报人：W数据资产培训简介概述从数据资产合规要求出发，介绍适用的法律法规，即数据资产管理的大背景和依据，引出数据资产全生命周期管理的概念。进一步从数据资产的识别与梳理、分类分级、使用和后续处置四个方面分别介绍数据资产的管理要求、管理流程与方法。其中数据资产的使用，将重点介绍数据安全管理与数据出境管理两个重要领域。数据资产全生命周期管理背景识别与梳理分类分级使用后续处置数据资产识别与梳理数据资产分类分级管理数据资产合规要求数据安全管理数据出境管理数据资产后续处置本次培训内容法律法规发展进程数据安全监管体系数据出境场景判定数据资产盘点与处置数据资产定义数据资产识别分类分级标准数据安全组织架构数据出境风险评估数据资产价值评估“重要数据”分类核心监管部门处罚案例数据安全控制措施数据出境申报及审核数据资产审计数据资产目录制定与维护“个人信息”分类3目录一、数据资产合规要求•

法律法规发展进程•

核心监管部门•

处罚案例二、数据资产识别与梳理•

数据资产定义•

数据资产识别•

数据资产目录制定与维护三、数据资产分类分级管理•

分类分级标准•

“重要数据”分类•

“个人信息”分类4认识数据资产什么是数据资产数据资产固定资产固定资产，是指企业为生产产品、提供劳务、出租或者经营管理而持有的、使用时间超过12个月的，价值达到一定标准的非货币性资产，包括房屋、建筑物、机器、机械、运输工具以及其他与生产经营活动有关的设备、器具、工具等。固定资产是企业的劳动手段，也是企业赖以生产经营的主要资产。个人数据资产

姓名企业数据资产

制度程序

流程文档

设计图纸

采购订单

销售合同

会计报表

薪资表

生日

性别

国籍

家庭关系

手机号码

个人图像

录音无形资产无形资产，是指企业拥有或者控制的没有实物形态的可辨认非货币性资产。主要包括专利权、非专利技术、商标权、著作权、土地使用权、特许权等。

编辑的文档5法律法规发展进程《数据出境安全评估办法》《中华人民共和国数据安全法》于2021年9月1日正式生效《中华人民共和国个人信息保护法》于2021年11月1日正式生效《个人信息数据出境安全评估办法（征求意见稿）》于2019年6月13日开始意见征询于2022年9月1日正式生效《中华人民共和国网络安全法》于2017年6月1日正式生效《个人信息出境标准合同办法》于2023年6月1日正式生效2017201820192020202120222023《GB/T

35273-2020

信息安全技术

个人信息安全规范》于2022年3月6日发布，2020年10月1日实施《通用数据保护规定(GDPR)》于2018年5月25日正式生效《网络安全审查办法》于2022年2月15日正式生效欧盟与中国数据保护监管要求对比数据范围立法特点监管体制欧盟早期立法围绕《通用数据保护规定关注个人数据各国设立独立专门的数据保护监管机构(GDPR)》的法律法规要求中国近年来聚焦数据安全领域，短期相继出台了严格的法律法规及监管要求关注个人信息及重要数据网信部门为核心的多方监管6核心监管部门中华人民共和国工业和信息化部(MIIT)2008年3月11日成立••负责拟定实施行业规划、产业政策和标准、管理通信业、指导推进信息化建设、协调维护国家信息安全。具体包括网站ICP备案及网络域名管理、APP数据安全合规审查等•

2000年11月13日成立•负责管理上海市公用通信网、互中华人民共和国互联网信息办公室(CAC)联网、专用通信网网络信息安全平台，监管上海市网络运行安全等监管职责上海市通信管理局(SHCA)核心监管部门•

2011年5月成立•

负责互联网信息内容管理、网络新闻业务等审批和日常监管等•

国家数据局是国家发展和改革委员会管中华人民共和1954年9月成立国家数据局（组建中）理的机构。•国公安部(MPS)•

负责监督管理公共信息网络的安全监察工作等。具体包括网络安全等级保护备案及测评、网站公安备案等监管职责2023年3月，中共中央、国务院印发了《党和国家机构改革方案》，组建国家数据局，负责统筹数据管理等。•7处罚案例豆瓣超范围收集个人信息案例微信读书APP侵害用户个人信息案例滴滴美股上市案例

小鹏汽车摄像头案例

违法行为

违法行为

违法行为

违法行为微信读书APP收集原告微信好友列表，未经用户自愿授权向原告并未主动添加关注的微信好友自动公开读书信息，并未以合理的“透明度”告知原告并获得原告的同意。违反了法律关于处理个人信息的规定，侵害了个人信息权益。违法处理个人信息达647.09亿条，数量巨大，并且其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。违法行为涉及多个App，涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全、数据安全保护义务等多种情形。上海小鹏汽车销售服务有限公司共向某公司购买具有人脸识别功能的摄像设备22台，安装在旗下门店，开通系统账号8个，2021年1月至2021年6月期间，共计采集上传人脸照片431623张，并未经得消费者同意，也无明示、告知消费者收集、使用目的。北京豆网科技有限公司旗下豆瓣网及豆瓣APP超范围、高频次索取权限，非服务场景所必需收集用户个人信息等，由工信部信息通信管理局于11月3日公开通报，至12月9日，微信公众号“工信微报”发布《关于下架侵害用户权益APP名单的通报》。豆瓣超期一个月仍未及时整改。”

处罚措施北京互联网法院令腾讯停止微信读书收集、使用原告微信好友列表的行为，并删除这些列表信息，解除原告与微信好友的互相关注，停止向微信好友展示原告读书信息，并赔偿公证费6600元，并向原告书面赔礼道歉。

处罚措施

处罚措施

处罚措施2022年7月21日，国家互联网信息办公室发布对滴滴全球股份有限公司处人民币

80.26

亿元罚款，对其董事长兼CEO程维、总裁柳青各处人民币100

万元罚款。小鹏汽车因侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利，被上海市徐汇区市场监督管理局罚款10万元。工信部立即组织对豆瓣APP进行下架处理，相关应用商店在通报发布后，立即组织对其进行下架处理。国家对于危害国家网络安全、数据安全以及侵害公民个人信息的违法行为越来越重视，日后管控也会愈加严格8数据资产定义数据成为新型生产要素：2020年4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，提出土地、劳动力、资本、技术、数据五个要素领域的改革方向和具体举措。数据作为一种新型生产要素写入中央文件中，体现了互联网大数据时代的新特征。数据作为基础性资源和战略性资源，是数字经济高速发展的基石，也将成为“新基建”最重要的生产资料。全国信息技术标准化技术委员会《GB/T40685-2021

信息技术服务

数据资产

管理要求》•

合法拥有或者控制的，能进行计量的，为组织带来经济和社会价值的数据资源。可增值大数据技术标准推进委员会《数据资产管理实践白皮书（6.0版）》可共享可控制•

由组织（政府机构、企事业单位等）合法拥有或控制的数据，以电子或其他方式记录，例如文本、图像、语音、视频、网页、数据库、传感信号等结构化或非结构化数据，可进行计量或交易，能直接或间接带来经济效益和社会效益。可量化浙江省财政厅浙江省地方标准

数据资产确认工作指南（征求意见稿）•

会计主体过去的交易或事项形成的，由会计主体拥有或者合法控制的，能进行可靠计量的，预期会给会计主体带来经济利益或产生服务潜力的数据资源。数据资产特征9数据资产识别业务流程业务流程梳理业务流程

子流程•

•子流程采购供应商主数据维护客户主数据维护员工入离职流程报销流程•

•销售•

•人事•

•财务识别业务流程及子流程识别数据资产及变化识别信息要素数据资产信息要素业务活动••采购订单数据基本属性业务要素管理要素价值要素••供应商数据销售订单数据客户数据•••••设计图纸员工档案••会计凭证数据资产应用于业务活动制定数据资产目录10数据资产目录制定与维护建立数据资产管理制度公司建立数据资产管理制度，明确数据资产目录制定目的及具体管理要求。通过数据资产目录记录组织内所有被识别的数据资产信息，支撑数据资产识别、应用、变更、盘点和处置等的全过程管理。数据资产目录制定与维护的牵头部门：数据管理部、法律合规部、风险管理部等数据资产目录制定与维护的参与部门：公司所有职能部门确定管理职责目录管理要求：•

识别业务流程制定数据资产目录•

识别数据资产数据资产名称数据资产用途个人信息字段业务流程数据使用者•

识别信息要素•

建立目录管理权限•

建立目录版本控制•

建立目录发布流程进行数据资产分类数据出境情况子业务流程数据类别数据控制者重要性等级••

实施数据资产管理•

及时维护与更新11数据资产分类分级实施流程分类分级实施流程：主要步骤包括数据资产梳理、数据分类、数据分级、审核上报目录和动态更新管理。审

核

不

通

过审核上报目录数据分级动态更新管理数据资产梳理数据分类

分类分级审核批准发布实施数据分类分级标识数据分类分级清单重要数据、核心数据目录报送

确定分级对象分级因素识别数据影响分析综合评估定级明确分级规则

数据分类分级规则更新重要数据、核心数据目录更新数据分类分级清单更新数据分类分级标识更新

结构化数据资产梳理非结构化数据资产梳理资产基本信息和相关方形成数据资产清单

明确数据范围细化业务分类业务属性分类确定分类规则

数

据

发

生

变

化12数据资产分类分级标准数据资产目录维护数据资产分类分级标准行业领域数据分类

数据对象分类

数据加工程度分类

数据安全级别分类

个人数据分类►工业数据►电信数据►金融数据►能源数据►交通运输数据►自然资源数据►卫生健康数据►教育数据►用户数据►业务数据►经营管理数据►系统运行和安全数据►核心数据►重要数据►一般数据►一般个人信息►原始数据►脱敏数据►标签数据►统计数据►融合数据►敏感个人信息►科学数据数据资产差异化管理13“重要数据”分类为什么要识别重要数据？信息安全技术

网络数据分类分级要求（征求意见稿）•

6数据分级框架A数据分类分级管理要求•

根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，将数据从高到低分为核心、重要、一般三个级别。各行业各领域应在遵循数据分级框架的基础上，明确本行业本领域数据分级规则，并对行业领域数据进行定级。B数据出境安全评估办法（征求意见稿）•

第四条数据处理者向境外提供，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。数据出境管理要求•

（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；•

（二）出境数据中包含重要数据；•

（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；•

（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；•

（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。*数据出境管理要求及申报办法将在第三次（2023/6/15）培训中具体展开14“重要数据”分类重要数据的发展进程：自2017年《网络安全法》首次提出“重要数据”的概念后，我国对重要数据不断深入理解和重视。2017~20202021~20232017年《网络安全法》首次提出了“重要数据”的概念，但未正式定义2021年《数据安全法》提出数据分类分级保护制度，制定重要数据目录2017年《信息安全技术

数据出境安全评估指南（草案）》按照行业划分28大类重要数据，但草案最终并未生效2021年《重要数据识别指南（征求意见稿）》确定重要数据的识别原则、识别流程2021年《网络数据安全管理条例（征求意见稿）》对“重要数据”正式定义，并设专章列明具体管理规则2019年《数据安全管理办法（征求意见稿）》明确“重要数据”的概念及具体安全防护工作2020年《网络安全审查办法（征求意见稿）》规定网络安全审查重点评估内容包括重要数据2022年《重要数据识别指南（征求意见稿）》修订，取消重要数据的“特征”说明2022年《信息安全技术

网络数据分类分级要求（征求意见稿）》对“重要数据”正式定义15“重要数据”分类重要数据的定义重要数据的6大识别原则2020年9月23日，《重要数据识别指南（征求意见稿）》发布。该标准由全国信息安全标准化技术委员会提出并归口，《指南》提出了重要数据的特征，并明确从国家的角度对重要数据进行分类，主要为我国数据安全防护工作提供重要支撑。聚集安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、动态识别复评。全国信息技术标准化技术委员会《信息安全技术

重要数据识别指南（征求意见稿）》•

以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。•

注：重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。综合考虑风险突出保护重点聚集安全影响定性定量结合全国信息技术标准化技术委员会《信息安全技术

网络数据分类分级要求（征求意见稿）》•

特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。动态识别复评衔接既有规定•

注：仅影响组织自身或公民个体的数据一般不作为重要数据。16“重要数据”分类重要数据的评估方法：针对国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益六个影响对象，产生不同影响程度。影响程度影响对象特别严重危害核心数据核心数据核心数据核心数据一般数据严重危害核心数据重要数据重要数据重要数据一般数据一般危害重要数据重要数据一般数据一般数据一般数据国家安全经济运行社会稳定公共利益组织权益、个人权益17“重要数据”分类重要数据分级实施流程：首先判断是否为核心数据，再判断是否为重要数据。若都不是，按照一般数据级别定级。核心数据级别是重要数据级别是按照一般数据分级规则或行业数据分级规定定级一般数据1级、2级、3级、4级数据定级判定是否为核心数据判定是否为重要数据一般数据级别18“重要数据”分类重要数据示例支持关键基础设施运行或重点领域工业生产反映重点目标和场所物理安全保护情况或未公开地理位置反映国家战略储备、应急动员能力反映关键基础设施网络安全保护情况可能被利用对我国发起军事打击关系出口管制物项可能被利用实施破坏•

战略物资产能•

储备量•

直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据•

基础架构网络安全方案•

设计原理•

工艺流程•

制作方法•

源代码•

集成电路布图•

技术方案•

重要参数•

实验数据•

检测报告•

满足一定精度要求的地理信息•

重点安保单位、重要生产企业、国家重要资产如铁路和输油管道的施工图、内部结构、安防等情况•

未公开的专用公路•

未公开的机场•

重要客户清单•

未公开的采购产品•

系统配置信息和服务情况•

核心软硬件设计信•

未公开的重大漏洞息•

系统拓扑•

应急预案向政府机关、军工企业等提供服务产生的不宜公开的数据关系敏感物项生产交易反应群体健康生理状况的基础数据国家自然资源、环境基础数据关系科技实力、影响国际竞争力其他可能影响国家安全的数据及重要装备配备，可能被外国政府实施制裁未公开的机密•

人口普查资料•

人类遗传资源信息•

基因测序原始数据•

未公开的水情信息•

水文观测数据•

气象观测数据•

环保监测数据•

描述与国防、国家安全相关的知识产权的数据•

重点企业金融交易数据•

军工企业较长一段时间内的用车信息•

政务数据•

工作秘密•

情报数据•

可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据•

重要装备生产制造信息•

执法司法数据•

国家重大工程的生产活动信息19“个人信息数据”分类为什么要识别个人信息数据？中华人民共和国个人信息保护法•

第五十五条

有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：A个人信息保护法监管要求•

（一）处理敏感个人信息；•

（二）利用个人信息进行自动化决策；•

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；•

（四）向境外提供个人信息；•

（五）其他对个人权益有重大影响的个人信息处理活动。B数据出境安全评估办法（征求意见稿）•

第四条数据处理者向境外提供，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。数据出境管理要求•

（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；•

（二）出境数据中包含重要数据；•

（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；•

（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；•

（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。*数据出境管理要求及申报办法将在第三次（2023/6/15）培训中具体展开20“个人信息数据”分类个人信息的定义个人信息的识别路径2021年8月20日，为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，自2021年11月1日起施行。其中明确对个人信息及敏感个人信息进行了定义。判定某项信息是否属于个人信息，应考虑以下两条路径：1.识别即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。全国人民代表大会常务委员会《个人信息保护法》个人信息•

是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。2.关联敏感个人信息即从个人到信