2022年上半年國內網絡安全政策法規
2022年上半年相繼發布了多項網絡安全相關政策,意味著建設網絡強國、維護和保障我國國家網絡安全的戰略任務正在轉化為一種可執行、可操作的制度性安排。標志著我國網絡安全領域已越發成熟。漏洞銀行為大家梳理出2022上半年國內網絡安全領域發布的重要法律和政策條文,以供參考。
國家政策
1、2022年1月4日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部等十三部門聯合修訂了《網絡安全審查辦法》,自2022年2月15日起正式施行。
《辦法》指出,網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合,從產品和服務以及數據處理活動安全性、可能帶來的國家安全風險等方面進行審查。
2、2022年1月4日,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合發布《互聯網信息服務算法推薦管理規定》,自2022年3月1日起施行。
《規定》的出臺,旨在規范互聯網信息服務算法推薦活動,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,促進互聯網信息服務健康發展。
3、2022年1月6日,國務院辦公廳發布《要素市場化配置綜合改革試點總體方案》(國辦發〔2021〕51號)
《方案》要求完善公共數據開放共享機制、建立健全數據流通交易規則、拓展規范化數據開發利用場景、加強數據安全保護。明確探索“原始數據不出域、數據可用不可見”的交易范式,實現數據使用“可控可計量”,推動完善數據分級分類安全保護制度。
4、2022年1月12日,國務院發布《“十四五”數字經濟發展規劃》
《規劃》部署了八項重點任務,在數字經濟安全體系方面,提出了三個方向的要求,一是增強網絡安全防護能力、二是提升數據安全保障水平、三是切實有效防范各類風險,并系統闡述了網絡安全對于數字經濟的獨特作用及重要性。
5、2022年1月18日,發改委、網信辦、市場監管總局、工信部等九部門聯合發布《關于推動平臺經濟規范健康持續發展的若干意見》(發改高技〔2021〕1872號)
《意見》強化數據安全管理工作;推動平臺企業深入落實網絡安全等級保護制度,探索開展數據安全風險態勢監測通報,建立應急處置機制。
6、2022年1月22日,工信部、發改委聯合印發《關于促進云網融合 加快中小城市信息基礎設施建設的通知》
《通知》明確將面向城區常住人口100萬以下的中小城市(含地級市、縣城和特大鎮)組織實施云網強基行動,增強中小城市網絡基礎設施承載和服務能力,推進應用基礎設施優化布局,建立多層次、體系化的算力供給體系。
7、2022年1月26日,中央網信辦等10部門印發《數字鄉村發展行動計劃(2022-2025年)》
數據安全保障提出,加強安全保障加強農業農村數據安全保護,落實涉農關鍵信息基礎設施安全保護制度和網絡安全等級保護制度。
8、2022年2月15日,國家互聯網信息辦公室等十三部門聯合修訂發布的《網絡安全審查辦法》正式施行
《辦法》以關鍵信息基礎設施的供應鏈安全為核心,重點加強對數據安全的關注和規范,聚焦網絡產品、服務及數據處理活動,助推關鍵信息基礎設施與網絡平臺的高質量發展。
9、2022年2月17日,國家發改委等部門宣布“東數西算”工程全面啟動實施
按照全國一體化大數據中心體系布局,京津冀、長三角、粵港澳大灣區、成渝、內蒙古、貴州、甘肅、寧夏等地8個國家算力樞紐節點將作為我國算力網絡的骨干連接點,發展數據中心集群,開展數據中心與網絡、云計算、大數據之間的協同建設,并作為國家“東數西算”工程的戰略支點,推動算力資源有序向西轉移,促進解決東西部算力供需失衡問題。
10、2022年2月21日,工業和信息化部發布《工業和信息化部辦公廳關于做好工業領域數據安全管理試點工作的通知》
《通知》要求試點地區加快提升行政執法能力,加大對行政執法人員和企業培訓力度,鼓勵有條件的地區統籌建立專業執法隊伍。要強化政策支持和資金投入,加強數據安全監測、風險報送、事件處置等技術能力建設,全面提升本地區數據安全監管能力。
11、2022年3月5日,發布《2022年政府工作報告》
《政府工作報告》提到2022年重點工作,其中包含強化網絡安全、數據安全和個人信息保護。這是自2021年政府工作報告以來,再次對數據安全和個人信息保護的強調。并指出建設數字信息基礎設施,逐步構建全國一體化大數據中心體系,推進5G規模化應用,促進產業數字化轉型,發展智慧城市、數字鄉村。
12、2022年3月25日,中共中央、國務院發布《關于加快建設全國統一大市場的意見》
《意見》旨在從全局和戰略高度加快建設全國統一大市場。意見要求,加快培育數據要素市場,建立健全數據安全、權利保護、跨境傳輸管理、交易流通、開放共享、安全認證等基礎制度和標準規范,深入開展數據資源調查,推動數據資源開發利用。
13、2022年4月18日,中共中央辦公廳、國務院辦公廳印發《關于加強打擊治理電信網絡詐騙違法犯罪工作的意見》
《意見》對加強打擊治理電信網絡詐騙違法犯罪工作作出安排部署,要求要加強行業監管源頭治理。建立健全行業安全評估和準入制度;加強金融行業監管,及時發現、管控新型洗錢通道;加強電信行業監管,嚴格落實電話用戶實名制;加強互聯網行業監管;完善責任追究制度,建立健全行業主管部門、企業、用戶三級責任制;建立健全信用懲戒制度,將電信網絡詐騙及關聯違法犯罪人員納入嚴重失信主體名單。《意見》還要求,要強化屬地管控綜合治理,加強犯罪源頭地綜合整治。
14、2022年4月25日,中央網信辦、國家發展改革委、工業和信息化部聯合印發《深入推進IPv6規模部署和應用2022年工作安排》
《工作安排》明確了2022年工作目標:到2022年末,IPv6活躍用戶數達到7億,物聯網IPv6連接數達到1.8億,固定網絡IPv6流量占比達到13%,移動網絡IPv6流量占比達到45%。網絡和應用基礎設施承載能力和服務質量持續提升,IPv6網絡性能指標與IPv4相當,部分指標優于IPv4。數據中心、內容分發網絡、云平臺和域名解析系統等應用基礎設施深度支持IPv6服務。新出廠家庭無線路由器全面支持IPv6,并默認開啟IPv6地址分配功能。“IPv6+”技術生態體系更加完善,行業融合應用領域持續擴大。縣級以上政府門戶網站IPv6支持率達到85%,國內主要商業網站及移動互聯網應用IPv6支持率達到85%。IPv6網絡安全防護能力大幅提升。
15、2022年5月7日,中央文明辦、文化和旅游部、國家廣播電視總局、國家互聯網信息辦公室四部門聯合發布《關于規范網絡直播打賞 加強未成年人保護的意見》
《意見》提出加強網絡素養教育。鼓勵學校開展未成年人網絡素養教育,圍繞網絡道德意識和行為準則、網絡法治觀念和行為規范、網絡使用能力建設、人身財產安全保護等培育未成年人網絡安全意識、文明素養、行為習慣和防護技能。引導未成年人監護人主動學習網絡知識,加強對未成年人使用網絡行為的教育、示范、引導和監督。支持社會各界共同開展宣傳教育,促進未成年人開闊眼界、提高素質、陶冶情操、愉悅身心。
16、2022年5月22日,中共中央辦公廳、國務院辦公廳印發《關于推進實施國家文化數字化戰略的意見》
《意見》要求,在數據采集加工、交易分發、傳輸存儲及數據治理等環節,制定文化數據安全標準,強化中華文化數據庫數據入庫標準,構建完善的文化數據安全監管體系,完善文化資源數據和文化數字內容的產權保護措施。
17、2022年6月9日,關于開展數據安全管理認證工作的公告
根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國認證認可條例》有關規定,國家市場監督管理總局、國家互聯網信息辦公室決定開展數據安全管理認證工作,鼓勵網絡運營者通過認證方式規范網絡數據處理活動,加強網絡數據安全保護。從事數據安全管理認證活動的認證機構應當依法設立,并按照《數據安全管理認證實施規則》實施認證。
18、2022年6月14日,國家互聯網信息辦公室發布新修訂《移動互聯網應用程序信息服務管理規定》自2022年8月1日起施行。
新《規定》旨在進一步依法監管移動互聯網應用程序,促進應用程序信息服務健康有序發展。新《規定》要求,應用程序提供者和應用程序分發平臺應當履行信息內容管理主體責任,建立健全信息內容安全管理、信息內容生態治理、數據安全和個人信息保護、未成年人保護等管理制度,確保網絡安全,維護良好網絡生態。
19、2022年6月21日,最高人民檢察院印發《關于加強刑事檢察與公益訴訟檢察銜接協作嚴厲打擊電信網絡犯罪加強個人信息司法保護的通知》
《通知》要求各地檢察機關積極推動促進個人信息保護法等法律法規的統一正確實施,參與網絡空間治理,強化刑事檢察和公益訴訟檢察職能銜接協作,實現全鏈條打擊、一體化網絡治理。《通知》強調,要進一步加強網絡空間系統治理和溯源治理。結合監督辦案加強類案治理的分析研判,注重發現執法司法、行業監管、信息公開、綜合治理等工作中的問題和漏洞,精準向有關部門提出促進完善監管的檢察建議,探索向有關網絡平臺提出依法履行社會責任的檢察建議。
20、2022年6月22日,中央全面深化改革委員會第二十六次會議召開,審議通過了《關于構建數據基礎制度更好發揮數據要素作用的意見》。
數據基礎制度建設事關國家發展和安全大局,要維護國家數據安全,保護個人信息和商業秘密,促進數據高效流通使用、賦能實體經濟,統籌推進數據產權、流通交易、收益分配、安全治理,加快構建數據基礎制度體系。
21、2022年6月23日,國務院印發《關于加強數字政府建設的指導意見》
《意見》提出加強自主創新,加快數字政府建設領域關鍵核心技術攻關,強化安全可靠技術和產品應用,切實提高自主可控水平。
22、2022年6月23日,最高人民檢察院印發《關于加強數字政府建設的指導意見》
《通知》要求各地檢察機關積極推動促進個人信息保護法等法律法規的統一正確實施,參與網絡空間治理,強化刑事檢察和公益訴訟檢察職能銜接協作,實現全鏈條打擊、一體化網絡治理。《通知》強調,要進一步加強網絡空間系統治理和溯源治理。結合監督辦案加強類案治理的分析研判,注重發現執法司法、行業監管、信息公開、綜合治理等工作中的問題和漏洞,精準向有關部門提出促進完善監管的檢察建議,探索向有關網絡平臺提出依法履行社會責任的檢察建議。
23、2022年6月24日,十三屆全國人大常委會第三十五次會議對《中華人民共和國反電信網絡詐騙法(草案二次審議稿)》進行了審議。
《審議稿》提出,個人信息處理者應當依照《中華人民共和國個人信息保護法》等法律規定,規范個人信息處理,加強個人信息保護,建立個人信息被用于電信網絡詐騙的防范機制。
24、2022年6月27日,國家互聯網信息辦公室發布《互聯網用戶賬號信息管理規定》,自2022年8月1日起施行。
《規定》提出要建立健全并嚴格落實真實身份信息認證、賬號信息核驗、信息內容安全、生態治理、應急處置、個人信息保護等管理制度。
行業政策
金融
1、2022年1月5日,中國人民銀行編制發布《金融科技發展規劃(2022-2025年)》
《規劃》提出新時期金融科技發展指導意見,明確金融數字化轉型的總體思路、發展目標、重點任務和實施保障。其中重點任務提出要充分釋放數據要素潛能,強化數據能力建設,推動數據有序共享,深化數據綜合應用,做好數據安全保護。
2、2022年1月5日,為進一步加強銀行保險機構信息科技外包風險監管,促進銀行保險機構提升信息技外包風險管控能力,推動銀行保險機構穩健開展數字化轉型工作,中國銀保監會印發了《銀行保險機構信息科技外包風險監管辦法》。
《辦法》的制定出臺,將促進銀行保險機構建立并完善信息科技外包治理架構,加強外信息科技外包風險管理體系建設,提升信息科技外包風險管控能力,促進銀行保險機構穩健開展數字化轉型工作。
3、2022年1月10日,《關于銀行業保險業數字化轉型的指導意見》
《意見》指出,到2025年,銀行業保險業數字化轉型取得明顯成效。數字化金融產品和服務方式廣泛普及,基于數據資產和數字化技術的金融創新有序實踐,個性化、差異化、定制化產品和服務開發能力明顯增強,金融服務質量和效率顯著提高。數字化經營管理體系基本建成,數據治理更加健全,科技能力大幅提升,網絡安全、數據安全和風險管理水平全面提升。
4、2022年1月23日,央行會同市場監管總局、銀保監會、證監會聯合印發《金融標準化“十四五”發展規劃》。
《規劃》要求統籌金融數據開發利用、公共安全、商業秘密和個人隱私保護,加快完善金融數據資源產權、交易流通、跨境傳輸和安全保護等標準規范。建立健全金融業關鍵信息基礎設施保護標準體系,支持提升安全防護能力。
5、2022年1月25日,銀保監會印發《銀行保險機構信息科技外包風險監管辦法》。
《辦法》要求銀行保險機構不得將信息科技管理責任、網絡安全主體責任外包;保障網絡和信息安全,加強重要數據和個人信息保護;強調事前控制和事中監督。
6、2022年1月26日,中國銀保監會發布《關于銀行業保險業數字化轉型的指導意見》(銀保監辦發〔2022〕2號)
《意見》從戰略規劃與組織流程建設、業務經營管理數字化、數據能力建設、科技能力建設、風險防范等方面提出要求,并提出到2025年,銀行業保險業數字化轉型取得明顯成效,數字化經營管理體系基本建成,數據治理更加健全,科技能力大幅提升,網絡安全、數據安全和風險管理水平全面提升。
7、2022年1月27日,銀保監會印發《關于銀行業保險業數字化轉型的指導意見》。
《意見》要求完善數據安全管理體系,建立數據分級分類管理制度,落實技術和管理措施。強化對數據的安全訪問控制,建立數據全生命周期的安全閉環管理機制。構建云環境、分布式架構下的技術安全防護體系。
8、2022年2月8日,中國人民銀行、市場監管總局、銀保監會、證監會聯合發布《金融標準化“十四五”發展規劃》(銀發〔2022〕18號)
《規劃》明確了強化金融網絡安全標準防護、推進金融業信息化核心技術安全可控標準建設。
9、2022年2月9日,中國人民銀行會同市場監管總局、銀保監會、證監會聯合印發《金融標準化“十四五”發展規劃》
《規劃》明確提出要穩步推進金融科技標準建設,系統完善金融數據要素標準,健全金融信息基礎設施標準,強化金融網絡安全標準防護,推進金融業信息化核心技術安全可控標準建設。
10、2022年4月7日,中國銀聯聯合國家金融科技測評中心、中國金融認證中心共同制定了《中國銀聯金融信息技術應用創新產品能力評估指引(試行)》
《指引》對金融信息技術應用創新產品在事前產品選型把關、強化關鍵技術提供方資質能力審核、前瞻性、可擴展性、穩定性等方面給予在技術應用適配測試和安全評估指導,確保技術路徑與需求高度匹配。
11、2022年4月29日,為建立健全證券期貨業網絡安全監管制度體系,防范化解行業網絡安全風險隱患,中國證監會印發《證券期貨業網絡安全管理辦法(征求意見稿)》并公開征求意見。
《辦法》主要包括證券期貨業網絡安全監督管理體系、網絡安全運行、數據安全統籌管理、網絡安全應急處置、關鍵信息基礎設施網絡安全、網絡安全促進與發展、監督管理與法律責任等方面內容。同時,《辦法》還明確了名詞釋義、參照執行主體和情境、實施時間以及相關辦法銜接等事項。
12、2022年5月19日,中國銀保監會發布《銀行保險監管統計管理辦法(征求意見稿)》強調數據安全保護
根據《數據安全法》相關規定,《征求意見稿》在職責范圍、統計資料管理制度、監督檢查中增加了涉及數據安全保護的監管內容,明確提出監管統計工作有關保密要求。
電力能源
1、2022年3月3日,國家能源局發布《2022年電力安全監管重點任務》,明確電力安全監管目標,并對2022年的電力安全工作進行了部署。
《任務》強調要做好電力安全日常監管工作,進“明目”“賦能”“強基”三大行動,加快網絡安全態勢感知平臺建設,組織開展網絡安全實戰演習,評估遴選一批電力行業網絡安全分靶場,組織開展關鍵信息基礎設施安全保護監督檢查,建立電力行業網絡安全等級保護體系。
2、2022年4月16日,國家發展和改革委員會發布《電力可靠性管理辦法(暫行)》。
《辦法》規定,電力企業應當落實網絡安全保護責任,健全網絡安全組織體系,設立專門的網絡安全管理及監督機構,加快各級網絡安全專業人員配備;落實網絡安全等級保護、關鍵信息基礎設施安全保護和數據安全制度,加強網絡安全審查、容災備份、監測審計、態勢感知、縱深防御、信任體系建設、供應鏈管理等工作;開展網絡安全監測、風險評估和隱患排查治理,提高網絡安全監測分析與應急處置能力。
3、4月27日,國家發改委發布《電力可靠性管理辦法(暫行)》
《辦法》自2022年6月1日起施行,辦法新增“第七章 網絡安全”專章,并重點提出了網絡安全防護、網絡安全監測、風險評估、隱患排查治理、網絡安全責任落實等電力行業網絡安全相關要求。
4、2022年6月14日,國家能源局發布《電力行業網絡安全管理辦法(修訂征求意見稿)》
《辦法》提出國家能源局和地方能源主管部門是電力行業網絡安全主管部門,履行電力行業網絡安全監督管理職責,電力企業是本單位網絡安全的責任主體,電力企業主要負責人是本單位網絡安全的第一責任人。電力企業應當按照電力監控系統安全防護規定、國家網絡安全等級保護制度、關鍵信息基礎設施安全保護制度、數據安全保護制度及網絡安全審查工作機制的要求,對本單位的網絡與信息系統進行安全保護,并將網絡安全納入安全生產管理體系。
5、2022年6月12日,國家能源局綜合司發布《電力行業網絡安全管理辦法(修訂征求意見稿)》《電力行業網絡安全等級保護管理辦法(修訂征求意見稿)》
除此之外,并向社會廣泛征求意見,這是時隔八年后對《電力行業網絡與信息安全管理辦法》(國能安全〔2014〕317號)、《電力行業信息安全等級保護管理辦法》(國能安全〔2014〕318號)的首次修訂,意見反饋截止日期為2022年7月13日。
6、2022年6月14日,國家能源局發布《電力行業網絡安全等級保護管理辦法(修訂征求意見稿)》
《辦法》提出電力行業網絡安全等級保護堅持分等級保護、突出重點、積極防御、綜合防控的原則。電力企業在網絡規劃、建設、運營過程中,應當遵循同步規劃、同步建設、同步使用的原則,按照該網絡的安全保護等級要求,建設網絡安全設備設施,制定并落實安全管理制度,健全網絡安全防護體系。第二級電力監控系統應當每兩年至少進行一次自查,第三級及以上網絡應當每年至少進行一次自查。
醫療衛生
2022年4月24日,國家藥監局印發《藥品監管網絡安全與信息化建設“十四五”規劃》
網絡安全方面,規劃要求健全網絡安全管理制度,建立網絡安全責任體系,落實網絡安全管理主體責任,升級信息系統安全建設、安全測評、容災備份等保障措施,完善電子政務內網和外網管理,形成各方協同配合的網絡安全防范、監測、通報、響應和處置機制,構建涵蓋物理、網絡、數據、系統等全方位、多層次的安全防護體系。加強對網絡視頻會議、電視電話會議等服務保障能力。
工業互聯網
1、2022年2月10日,工信部發布《工業和信息化領域數據安全管理辦法(試行)》(征求意見稿)再次公開征集意見。
《意見》明確其對數據處理活動負安全主體責任,對各類數據實行分級防護,不同級別數據同時被處理且難以分別采取保護措施的,應當按照其中級別最高的要求實施保護,確保數據持續處于有效保護和合法利用的狀態。
2、2022年4月7日,工業和信息化部、國家發展和改革委員會、科學技術部、生態環境部、應急管理部、國家能源局近日聯合印發《關于“十四五”推動石化化工行業高質量發展的指導意見》。
《意見》提出到2025年我國石化化工行業基本形成自主創新能力強、結構布局合理、綠色安全低碳的高質量發展格局,高端產品保障能力大幅提高,核心競爭能力明顯增強,高水平自立自強邁出堅實步伐。并在創新發展、產業結構、產業布局、數字化轉型、綠色安全等五個方面明確了具體發展目標。
3、2022年4月13日,工業和信息化部印發《工業互聯網專項工作組2022年工作計劃》
《計劃》從夯實基礎設施、深化融合應用、強化技術創新、培育產業生態、提升安全保障、完善要素保障等方面,提出了網絡體系強基、標識解析增強、平臺體系壯大、數據匯聚賦能、新型模式培育、融通賦能“牽手”等15大類任務83項具體舉措。
交通運輸
1、2022年3月7日,工信部發布《車聯網網絡安全和數據安全標準體系建設指南》(工信廳科〔2022〕5號)。
《指南》提出重點研究基礎共性、終端與設施網絡安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標準,完成50項以上急需標準的研制。
2、2022年4月6日,為深入貫徹落實《國務院關于印發“十四五”現代綜合交通運輸體系發展規劃的通知》(國發〔2021〕27號)有關“提高道路客運聯網售票水平,普及電子客票”的部署要求,交通運輸部辦公廳印發《關于做好道路客運電子客票推廣普及有關工作的通知》。
《通知》提出要加強信息安全管理,規范電子客票相關信息的采集、傳輸、存儲、應用流程,強化道路客運電子客票服務網絡安全、數據安全和個人信息保護,確保系統安全平穩運行,嚴防旅客個人信息等重要數據泄露。要加強風險防控和隱患排查,對發現的問題督促系統運營單位立行立改,壓實企業主體責任,堅決筑牢信息安全屏障。
3、2022年4月8日,工業和信息化部辦公廳、公安部辦公廳、交通運輸部辦公廳、應急管理部辦公廳 國家市場監督管理總局辦公廳印發《關于進一步加強新能源汽車企業安全體系建設的指導意見》
《意見》提出完善安全管理機制,加強安全教育培訓。強調健全網絡安全保障體系,加強網絡安全防護、強化數據安全保護、落實個人信息安全防護。
政企
1、 2022年4月21日,國家郵政局、公安部、國家互聯網信息辦公室聯合啟動郵政快遞領域個人信息安全治理專項行動
4月21日,國家郵政局、公安部、國家互聯網信息辦公室聯合召開電視電話會議,部署開展為期半年的郵政快遞領域個人信息安全治理專項行動。會議指出,郵政快遞業是網絡安全和關鍵信息基礎設施保護的重要行業領域,是國家網絡安全工作的重要組成部分。要夯實基礎,加強關鍵信息基礎設施安全保護,建立健全網絡安全監測預警和網絡安全事件應急預案。
2、2022年5月25日,最高人民法院發布《最高人民法院關于加強區塊鏈司法應用的意見》
《意見》明確人民法院加強區塊鏈司法應用總體要求及人民法院區塊鏈平臺建設要求,提出運用區塊鏈數據防篡改技術提升司法公信力,保障司法數據安全、操作合規。
數據安全及個人信息保護領域
1、2022年1月19日,國家發改委等部門發布《關于推動平臺經濟規范健康持續發展的若干意見》。
要求細化平臺企業數據處理規則。嚴厲打擊平臺企業超范圍收集個人信息、超權限調用個人信息等違法行為。推動平臺企業深入落實網絡安全等級保護制度,探索開展數據安全風險態勢監測通報,建立應急處置機制。
2、2022年2月7日,交通運輸部等八部門聯合發布《關于加強網絡預約出租汽車行業事前事中事后全鏈條聯合監管有關工作的通知》。
網約車平臺公司存在危害網絡安全、數據安全,侵害用戶個人信息權益等違法違規行為的,可開展事前事中事后全鏈條聯合監管。
3、2022年2月10日,工信部再次征求對《工業和信息化領域數據安全管理辦法(試行)》(征求意見稿)的意見。
明確數據處理者對數據處理活動負安全主體責任,對各類數據實行分級防護。要求跨主體提供、轉移、委托處理核心數據的,應當評估安全風險,采取必要的安全保護措施并報批。
4、2022年3月2日,中央網信辦、教育部、工信部、人力資源社會保障部聯合印發《2022年提升全民數字素養與技能工作要點》。
《要點》要求增強網絡安全、數據安全防護意識和能力,加強個人信息和隱私保護。
5、2022年5月7日,工信部《APP收集使用個人信息最小必要評估規范》等4項行業標準報批,涉及總則、位置信息、圖片信息和短信信息。
在以上標準批準發布之前,為進一步聽取社會各界意見,工業和信息化部科技司對此進行公示。
6、2022年5月17日,工業和信息化部向社會公布2022年規章制定工作計劃。其中《電信和互聯網用戶個人信息保護規定(修訂)》被列入十項年內完成研究起草任務的項目之一。該規定于2013年9月首次施行。
《規定》共分為六章、二十五條,規定了電信和互聯網用戶個人信息的保護范圍、用戶個人信息收集和使用原則、用戶個人信息收集和使用規則、代理商管理、安全保障制度、監督檢查制度等內容。這是《電信和互聯網用戶個人信息保護規定》在施行八年后的首次修訂計劃。
7、2022年6月5日,國家市場監督管理總局、國家互聯網信息辦公室發布《關于開展數據安全管理認證工作的公告》,并公布《數據安全管理認證實施規則》
公告中提出國家市場監督管理總局、國家互聯網信息辦公室決定開展數據安全管理認證工作,鼓勵網絡運營者通過認證方式規范網絡數據處理活動,加強網絡數據安全保護。從事數據安全管理認證活動的認證機構應當依法設立,并按照《數據安全管理認證實施規則》實施認證。《數據安全管理認證實施規則》規定了對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求。
互聯網安全領域
1、2022年1月5日,國家網信辦發布《移動互聯網應用程序信息服務管理規定(征求意見稿)》。
《規定》指出,應用程序提供者和應用程序分發平臺應當履行信息內容管理主體責任,建立健全信息內容安全管理、信息內容生態治理、網絡數據安全、個人信息保護、未成年人保護等管理制度,確保信息內容安全。
2、2022年1月28日,國家網信辦發布《互聯網信息服務深度合成管理規定(征求意見稿)》。
《規定》指出,深度合成服務提供者應當落實信息安全主體責任,建立健全算法機制機理審核、用戶注冊、信息內容管理、數據安全和個人信息保護、未成年人保護、從業人員教育培訓等管理制度,具有與新技術新應用發展相適應的安全可控的技術保障措施。
3、2022年3月2日,國家網信辦發布《互聯網彈窗信息推送服務管理規定(征求意見稿)》。
《規定》強調互聯網彈窗信息推送服務提供者應當落實信息內容安全管理主體責任,建立健全信息內容審核、生態治理、網絡安全、數據安全、個人信息保護、未成年人保護等管理制度。
4、2022年3月14日,國家網信辦就《未成年人網絡保護條例(征求意見稿)》再次征求意見。
要求建立健全未成年人網絡保護合規制度體系。發現未成年人私密信息或者其發布的個人信息中涉及私密信息時,應及時提示并采取停止傳輸等必要保護措施。以顯著方式提示未成年人用戶依法享有的網絡保護權利和遭受網絡侵害的救濟途徑等義務。
5、2022年6月14日,國家互聯網信息辦公室發布新修訂的《移動互聯網應用程序信息服務管理規定》。新《規定》自2022年8月1日起施行,2016年6月28日公布的《移動互聯網應用程序信息服務管理規定》同時廢止。
新《規定》提出應用程序提供者和應用程序分發平臺應當遵守法律法規,大力弘揚社會主義核心價值觀,堅持正確政治方向、輿論導向和價值取向,自覺遵守公序良俗,積極履行社會責任,維護清朗網絡空間。新《規定》要求,應用程序提供者和應用程序分發平臺應當履行信息內容管理主體責任,建立健全信息內容安全管理、信息內容生態治理、數據安全和個人信息保護、未成年人保護等管理制度,確保網絡安全,維護良好網絡生態。
6、2022年6月17日,網信辦發布《互聯網跟帖評論服務管理規定(修訂草案征求意見稿)》
《規定》指出,建立健全跟帖評論審核管理、實時巡查、應急處置、舉報受理等信息安全管理制度,對跟帖評論信息內容實行先審后發,及時發現處置違法和不良信息,并向網信部門報告。
7、2022年6月27日,網信辦發布《互聯網用戶賬號信息管理規定》,自8月1日起施行。
《規定》要求建立健全并嚴格落實真實身份信息認證、賬號信息核驗、信息內容安全、生態治理、應急處置、個人信息保護等管理制度。
區域政策
1、2022年1月26日,上海市首份《企業數據合規指引》出臺
《指引》鼓勵各類企業設置專門的數據合規管理部門,而不是由法務部門履行合規管理職能。明確不得強制個人同意收集人臉、步態、指紋、虹膜、聲紋等生物特征信息。明確不得使用風險不可控的開源軟件開發工具包等工具。
2、2022年2月1日,《福建省大數據發展條例》正式施行。
規定明示數據采集目的、方式和范圍,并經被采集者同意。開展涉及個人信息的數據活動,應當對所采集的個人信息進行去標識化或者匿名化處理,記錄數據處理全流程,不得泄露或者篡改采集的個人信息。
3、2022年2月7日,廣東省政務服務數據管理局發布《廣東省公共數據安全管理辦法(二次征求意見稿)》。
要求制定公共數據分類分級指南,明確分類分級的原則和規則等,特別是重要數據、核心數據的識別及分級保護規則。
4、2022年2月9日,山東省人民政府發布《山東省公共數據開放辦法》。
要求公共數據提供單位建立本單位公共數據安全保護制度,采取相應的技術措施和其他必要措施,保障公共數據安全。
5、2022年2月11日,黑龍江省人大常委會法制工作委員會發布《黑龍江省促進大數據發展應用條例(草案修改稿征求意見稿)》。
明確從事數據處理活動的單位應當履行建立健全全流程數據安全管理制度;制定數據安全事件應急預案,定期開展風險評估和應急演練等活動;采取安全保護技術措施,防止數據丟失、毀損、泄露和篡改等。
6、2022年3月1日,《浙江省公共數據條例》正式施行。
公共數據安全實行誰收集誰負責、誰使用誰負責、誰運行誰負責的責任制。公共數據主管部門、公共管理和服務機構的主要負責人是本單位數據安全工作的**責任人。加強公共數據全生命周期安全和合法利用管理,防止數據被非法獲取、篡改、泄露、損毀或者不當利用。
7、2022年3月7日,河南省大數據局發布《河南省數據條例(草案)》(征求意見稿)。
按照“一數一源、一源多用”收集公共數據,安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需。公共管理和服務機構應當強化數據安全組織和人才力量,采取多種方式培養數據安全專業人才。
8、2022年3月25日,新疆維吾爾自治區第十三屆人民代表大會常務委員會第三十二次會議通過《新疆維吾爾自治區關鍵信息基礎設施安全保護條例》,自2022年6月15日起施行。
適用于自治區行政區域內關鍵信息基礎設施的安全保護和監督管理工作。
9、2022年3月30日,《重慶市數據條例》經市五屆人大常委會第三十三次會議表決通過。
明確數據安全是數據管理的底線,完善數據處理規則,建立健全數據處理規則和數據安全體系,銜接和落實個人信息保護法、數據安全法的相關規定。
10、2022年5月27日,河北省十三屆人大常委會第三十次會議表決通過了《河北省數字經濟促進條例》,該條例將于2022年7月1日起施行。
《條例》共九章81條,主要圍繞數字基礎設施建設、數據資源開發利用、數字產業化、產業數字化、數字化治理、京津冀數字經濟協同發展、保障和監督等方面作出規范。
11、2022年6月2日,廈門市司法局發布《廈門經濟特區數據條例(草案征求意見稿)》,并向社會公開征求意見。
意見稿從數據資源、數據要素市場、數據安全、應用與發展、法律責任等方面做出規定,為促進數據作為生產要素在市場中發揮作用、推動數字經濟的發展提供法治保障。意見征集截止時間為2022年7月1日前。
其他網絡安全相關政策
1、2022年1月26日,最高法印發《人民法院在線運行規則》。
要求各級人民法院應當建設安全保障系統,為人民法院在線運行提供網絡和信息安全保障。安全保障系統應當為各類信息基礎設施、應用系統和數據資源提供主機安全、身份認證、訪問控制、分類分級、密碼加密、防火墻、安全審計和安全管理等安全服務。
2、2022年2月25日,工信部印發《車聯網網絡安全和數據安全標準體系建設指南》
聚焦車聯網終端與設施網絡安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等,著力增加基礎通用、共性技術、試驗方法、典型應用等產業急需標準的有效供給,覆蓋車聯網網絡安全、數據安全的關鍵領域和環節。
3、2022年4月8日,工業和信息化部、公安部、交通運輸部、應急管理部、國家市場監督管理總局等五部門近日聯合印發《關于進一步加強新能源汽車企業安全體系建設的指導意見》。
《指導意見》要求新能源汽車企業加快構建系統、科學、規范的安全體系,全面增強企業在安全管理機制、產品質量、運行監測、售后服務、事故響應處置、網絡安全等方面的安全保障能力,提升新能源汽車安全水平,推動新能源汽車產業高質量發展。
4、2022年5月25日,最高人民法院發布《最高人民法院關于加強區塊鏈司法應用的意見》。
這是人民法院深入貫徹習近平法治思想、落實習近平總書記關于推動區塊鏈技術創新發展重要指示精神的具體舉措,將進一步推進人民法院運用以區塊鏈為代表的關鍵技術加速人民法院數字化變革、創造更高水平數字正義,促進法治與科技深度融合發展、推動智慧法治建設邁向更高層次。
5、2022年5月11日,國家藥監局關于印發《藥品監管網絡安全與信息化建設“十四五”規劃》的通知。
《規劃》分為4大部分,總結了“十三五”時期,藥監部門信息化建設工作成效,提出“十四五”期間,堅持“系統思維,統籌協同”“業務引領,數據驅動”“技術賦能,融合創新”“集約建設,安全可控”4個基本原則,重點明確了升級“兩品一械”智慧監管能力、提升政務一體化服務能力、推進監管數據融合與驅動、筑牢藥品智慧監管數字底座、夯實網絡安全綜合保障能力5個方面重點任務。
網絡安全標準規范
1、2022年1月7日,全國信安標委發布了《信息安全技術 重要數據識別指南》(征求意見稿)。
《指南》給出了識別重要數據的基本原則、考慮因素以及重要數據描述格式。《指南》適用于數據處理者識別其掌握的重要數據,為重要數據安全保護工作提供支撐,也可供各地區、各部門制定本地區、本部門以及相關行業、領域的重要數據具體目錄提供參考。
2、2022年3月6日,全國信安標委公布《2022年網絡安全國家標準需求清單》
旨在加強網絡安全國家標準在國家網絡安全保障工作中的基礎性、規范性、引領性作用。清單共包含34項標準,其中制定標準20項,修訂標準14項。
3、2022年3月28日,為確保標準質量,全國信安標委秘書處面向社會廣泛征求《信息安全技術 電子政務移動辦公系統安全技術規范》意見。
4、2022年4月7日,全國信安標委秘書處面向社會公開《信息安全技術 信息安全控制評估指南》(征求意見稿)、《信息安全技術 行業間和組織間通信的信息安全管理》(征求意見稿)、《信息安全技術 大數據服務安全能力要求》共3項國家標準意見。
5、2022年4月11日,全國信安標委公開征求《網絡安全標準實踐指南—Windows 7操作系統安全加固指引(征求意見稿)》國家標準
旨在為幫助用戶降低Windows 7操作系統停服后仍須使用該操作系統應用場景下的網絡安全風險。
6、2022年4月26日,全國信安標委公開征求《網絡安全標準實踐指南—信息系統災難備份實踐指引(征求意見稿)》國家標準
旨在指導各組織開展信息系統災難備份實踐工作。
7、2022年4月29日,全國信安標委就《網絡安全標準實踐指南—個人信息跨境處理活動認證技術規范(征求意見稿)》公開征求意見
旨在指導個人信息處理者規范開展個人信息跨境處理活動。
8、2022年5月9日,全國信安標委發布《關于征集ISO/IEC JTC1/SC27國際標準提案的通知》
重點聚焦數據安全、個人信息保護、關鍵信息基礎設施、消費物聯網、工業互聯網、車聯網、IPv6等我國具有技術優勢和豐富實踐應用經驗等領域,提案優先但不限于上述領域。
9、2022年5月26日,全國信安標委秘書處發布了《網絡安全標準實踐指南—Windows 7操作系統安全加固指引》。
本《實踐指南》從安全防護加固和安全配置加固兩個方面,給出了Windows 7操作系統本地安全防護和安全策略配置建議。
10、2022年6月2日,全國信安標委發布了《信息安全技術 零信任參考體系架構》(征求意見稿)。
《征求意見稿》提出由主體、資源、核心組件和支撐組件組成零信任參考體系架構。核心組件由策略決定點和策略執行點組成,執行主體對資源的策略決定。支撐組件由密碼服務和應用、身份管理、設備管理、資源管理、態勢感知組件組成,提供多來源信息、以及支撐主體、資源和核心組件運行的多種服務。《征求意見稿》適用于采用零信任參考體系架構的信息系統的規劃、設計、開發、應用。
11、2022年6月2日,全國信安標委發布了《信息安全技術 零信任參考體系架構》(征求意見稿)。
《征求意見稿》提出由主體、資源、核心組件和支撐組件組成零信任參考體系架構。核心組件由策略決定點和策略執行點組成,執行主體對資源的策略決定。支撐組件由密碼服務和應用、身份管理、設備管理、資源管理、態勢感知組件組成,提供多來源信息、以及支撐主體、資源和核心組件運行的多種服務。《征求意見稿》適用于采用零信任參考體系架構的信息系統的規劃、設計、開發、應用。
12、2022年6月13日,全國信安標委秘書處發布關于國家標準《信息安全技術 移動智能終端的移動互聯網應用程序(App)個人信息處理活動管理指南》征求意見稿征求意見的通知。
征求意見稿針對移動智能終端提供了App個人信息安全功能設計、管理個人信息安全風險的指南,以增強App收集個人信息行為的明示程度,并為App用戶提供更多個人信息保護方面的控制機制。此文件適用于指導移動智能終端提供者進行系統設計、開發活動,主要適用于智能手機。
13、2022年6月17日,全國信安標委秘書處發布關于國家標準《信息安全技術 應用商店的App個人信息處理規范性審核與管理指南》征求意見稿征求意見的通知。
《征求意見稿》給出了應用商店運營者對App個人信息處理活動的審核與管理指南。該文件適用于指導應用商店運營者審核管理App個人信息處理活動,也適用于第三方機構對應用商店運營者審核管理App個人信息處理活動的能力進行審查和評估。
14項網絡安全國家標準獲批發布
