网络安全与数据合规
2020-05-11 18:23:12 1 举报
AI智能生成
网络安全与数据合规
作者其他创作
大纲/内容
一、网络运行安全
1.落实网络安全等级保护义务
a.等保测评
2.网络产品、服务、关键设备、安全专用产品应符合国家标准的强制性要求
3.落实网络实名制要求
a.“后台实名,前台自愿”原则
网站、app或者其他网络平台中,
开设或者存在评论、留言、商品评价等功能的,属于为客户提供信息发布服务
开设或者存在评论、留言、商品评价等功能的,属于为客户提供信息发布服务
4.制定应急预案,向有关部门汇报
5.不得擅自发布网络公共安全信息
6.禁止危害网络安全以及帮助他人危害网络安全
二、关键信息基础设施保护
1.建设关键信息基础设施应当确保其有支持业务稳定、持续运行的性能,并保证安全技术措施规划、建设、使用“三同步”
2.在网络安全等级保护基础上履行特别保护义务
a.责任主体界定
《关键信息基础设施安全保护条例(征求意见稿)》
中已扩大到了教育行业
中已扩大到了教育行业
b.从业人员教育培训
c.容灾备份
d.应急预案
3.采购网路产品与服务履行国家安全审查义务,并与提供者签订安全保密协议
4.重要数据和个人信息境内存储,出境应当安全评估
5.健全安全测评制度,定期检测评估
三、网络信息保护与合规
1.网上信息保护与合规
a.管理用户发布信息的义务
政治类
b.管理用户发送的电子信息、提供的应用软件的义务
恶意软件类
c.建立网络信息安全投诉举报制度的义务
公布投诉、举报方式等信息 并及时处理
2.个人信息保护
a.收集使用个人信息应当遵循合法、正当、必要原则
公开收集
个人信息指:包括不限于自然人的姓名、出生日期、
身份证件号码、个人生物识别信息、住址、电话等
身份证件号码、个人生物识别信息、住址、电话等
标准体系可遵守《中华人民共和国标准化法》
《信息安全技术 个人信息安全规范》(GB/T 35273-2017)
《信息安全技术 个人信息安全规范》(GB/T 35273-2017)
使用规则
明示收集
使用目的
方式和范围
经被收集者同意
b.处理个人信息应当遵守法律法规和双方约定
不得泄漏、篡改、损毁
未经被收集者同意,不得向他人提供,脱敏信息除外
c.建立健全用户信息保护制度
采取技术和其他必要措施,确保收集的个人信息安全
个人信息脱敏处理
d.将收集的个人信息向境外提供
应当明确告知个人信息主体并获得同意
进行安全评估
e.按个人信息主体意愿
要求删除或者更正信息
四、数据出境合规
1.在中国境内收集的个人信息和重要数据向境外提供的
应当进行安全评估
2.对个人信息向境外提供的
应当告知个人信息主体并取得同意
3.在数据出境前,应当进行自评估
每年对数据处境进行一次评估
4.符合条件的应当提请主管部门评估
a.含有或累计含有50万人以上的个人信息
b.数据量超过1000GB
c.核设施、化学生物、国防军工、人口健康等领域数据
d.大型工程活动、海洋环境以及敏感地理信息数据
e.关键信息基础设施的系统漏洞、安全防护等网络安全信息
f.关键信息基础设施运营者向境外提供个人信息和重要数据
5.下列情形之一的 数据不得出境
a.个人信息出境未经个人信息主体同意,或可能侵害个人利益
b.数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益。
c.经国家网信部门、公安部门、安全部门等有关部门认定不能出境的
d.不符合国家法律、行政法规、部门规章等有关规定,不具备合法性,不能出境
written by Legal &Compliance Dept. Helen Huang
0 条评论
下一页