第八十七期網絡安全政策法律動態半月刊(2022.2.16—2022.2.28)
本期關注
境外關注
歐盟委員會發布《數據法案》草案,消除私營和公共部門獲取數據的障礙,強化個人和企業對其數據的控制。受俄烏沖突等國際局勢影響,網絡攻擊事件頻發,網絡安全形勢嚴峻,包括俄羅斯、美國在內的諸多國家發布警報,要求本國組織尤其是關鍵基礎設施運營者保持警惕,強化網絡安全防御。
境內關注
國務院辦公廳印發《關于加快推進電子證照擴大應用領域和全國互通互認的意見》,要求加快推進國家網絡身份認證公共服務基礎設施建設和應用。最高人民檢察院發布統計數據,2021年檢察機關共辦理個人信息保護領域公益訴訟案件2000余件,發現利用手機APP等違規收集個人信息、個人信息保護監管合力不足等問題突出,將繼續加大公益訴訟辦案力度,推動《個人信息保護法》落地落實。3月1日起,《互聯網信息服務算法推薦管理規定》施行,互聯網信息服務算法備案系統正式上線運行。
境外動態
1. 歐盟委員會發布《數據法案》草案
https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data
2. 德國聯邦內閣批準《自動駕駛條例》
https://www.bmvi.de/SharedDocs/DE/Pressemitteilungen/2022/008-wissing-verordnung-zum-autonomen-fahren.html
3. 歐盟數據保護委員會就《<網絡犯罪公約>關于加強合作和披露電子證據的第二項附加議定書》表明立場
https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-response-mr-juan-fernando-lopez-aguilar-regarding-request_en
4. 美國參議院引入《兒童在線安全法案》
https://www.congress.gov/bill/117th-congress/senate-bill/3663?q=%7B%22search%22%3A%5B%22S3663%22%2C%22S3663%22%5D%7D&s=2&r=1
5. 美國加州引入《加州適齡設計規范法案》
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202120220AB2273
6. 澳大利亞眾議院引入《2022年運輸安全(關鍵基礎設施)修訂法案》
https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6837
7. 日本個人信息保護委員會發布《<個人信息保護法>合規要點》
https://www.ppc.go.jp/news/kaiseihogohou_checkpoint/
8. 日本經濟產業省與總務省發布新版《企業隱私治理指南》
https://www.meti.go.jp/policy/it_policy/privacy/guidebook12.pdf
9. 美國NIST發布《遠程醫療遠程患者監測生態系統保護指南》
https://www.nist.gov/publications/securing-telehealth-remote-patient-monitoring-ecosystem
10. 美國NIST發布《勒索軟件風險管理:網絡安全框架》
https://csrc.nist.gov/publications/detail/nistir/8374/final
11. 美國NIST就更新網絡安全框架征求公眾意見
https://www.federalregister.gov/documents/2022/02/22/2022-03642/evaluating-and-improving-nist-cybersecurity-resources-the-cybersecurity-framework-and-cybersecurity
12. 美國三部門發布警報,要求國防承包商警惕來自俄羅斯國家支持的網絡行為者的安全威脅
https://www.cisa.gov/uscert/ncas/alerts/aa22-047a
13. 俄羅斯發布警報:對俄羅斯信息資源的網絡攻擊強度可能增加
https://safe-surf.ru/specialists/news/675925/
14. 美國發布警報:保護組織免受烏克蘭破壞性惡意軟件威脅
https://www.cisa.gov/uscert/ncas/alerts/aa22-057a
15. 英國、日本、澳大利亞、新加坡發布警報,要求組織對網絡安全形勢保持警惕,強化網絡防御
日本警報原文鏈接:
https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html
英國警報原文鏈接:
https://www.ncsc.gov.uk/news/organisations-urged-to-bolster-defences
澳大利亞警報原文鏈接:
https://www.cyber.gov.au/acsc/view-all-content/alerts/australian-organisations-encouraged-urgently-adopt-enhanced-cyber-security-posture
新加坡警報原文鏈接:
https://www.csa.gov.sg/en/singcert/Advisories/ad-2022-001
16. 美國FCC啟動對網絡路由漏洞的調查,保護國家通信網絡免受網絡攻擊
https://www.fcc.gov/document/fcc-launches-inquiry-internet-routing-vulnerabilities
境內動態
1. 國務院辦公廳印發《關于加快推進電子證照擴大應用領域和全國互通互認的意見》
1月20日,國務院辦公廳印發《關于加快推進電子證照擴大應用領域和全國互通互認的意見》,要求擴大電子證照應用領域、推動電子證照全國互通互認、全面提升電子證照應用支撐能力。
《意見》要求加強電子證照應用安全管理和監管。加強電子證照簽發、歸集、存儲、使用等各環節安全管理,嚴格落實網絡安全等級保護制度等要求,強化密碼應用安全性評估,探索運用區塊鏈、新興密碼技術、隱私計算等手段提升電子證照安全防護、追蹤溯源和精準授權等能力。按照信息采集最小化原則歸集數據,對共享的電子證照進行分類分級管理,避免信息泄露。
《意見》要求加快推進國家網絡身份認證公共服務基礎設施建設和應用,加強對電子證照持證主體、用證人員的身份認證、授權管理和個人信息保護。強化企業和群眾身份認證支撐,增強電子證照簽發和使用等環節的統一身份認證能力。建立健全嚴格的責任追究制度,依法嚴厲打擊電子證照制作生成過程中的造假行為,杜絕未經授權擅自調用、留存電子證照信息,切實保障電子證照及相關信息合法合規使用,保護持證主體的商業秘密和個人信息。
2. 最高人民法院印發《人民法院在線運行規則》
1月26日,最高人民法院印發《人民法院在線運行規則》。《規則》共五章四十五條,涉及系統建設、應用方式、運行管理等內容。
《規則》要求各級人民法院應當建設安全保障系統,為人民法院在線運行提供網絡和信息安全保障。安全保障系統應當為各類信息基礎設施、應用系統和數據資源提供主機安全、身份認證、訪問控制、分類分級、密碼加密、防火墻、安全審計和安全管理等安全服務。
《規則》要求各級人民法院應當開展與等級保護標準相符合的信息系統安全保障建設和測評以及密碼應用安全評估;應當確保智慧法院信息系統相關數據全生命周期安全,制定數據分類分級保護、數據安全應急處理和數據安全審查等制度;應當制定應急計劃,及時有效處理人民法院在線運行過程中出現的停電、斷線、技術故障、遭受網絡攻擊、數據安全漏洞等突發事件。
3. 工信部發布《關于進一步規范移動智能終端應用軟件預置行為的通告(征求意見稿)》
2月16日,工信部發布《關于進一步規范移動智能終端應用軟件預置行為的通告(征求意見稿)》。
征求意見稿規定,移動智能終端預置應用軟件應遵循依法合規、用戶至上、安全便捷、最小必要的原則,按“誰預置、誰負責”要求落實企業主體責任,依法維護用戶知情權、選擇權,保障用戶合法權益。生產企業應完善移動智能終端權限管理機制,提升操作系統安全性,采取技術措施預防在產品流通環節發生置換操作系統或安裝應用軟件的行為。
4. 工信部發布通知,組織開展工業領域數據安全管理試點工作
2月17日,工信部辦公廳發布《工業和信息化部辦公廳關于做好工業領域數據安全管理試點工作的通知》,組織開展工業領域數據安全管理試點工作。
《通知》要求加快提升行政執法能力,加大對行政執法人員和企業培訓力度,鼓勵有條件的地區統籌建立專業執法隊伍。強化政策支持和資金投入,加強數據安全監測、風險報送、事件處置等技術能力建設,全面提升本地區數據安全監管能力。
本次試點工作覆蓋遼寧等15個省(區、市)及計劃單列市,必選試點內容為數據安全管理、安全防護和安全評估,可選試點內容包括數據安全產品應用推廣、安全監測、出境安全管理。
5. 銀保監會發布風險提示,防范以“元宇宙”名義進行非法集資
2月18日,銀保監會處置非法集資部際聯席會議辦公室發布《關于防范以“元宇宙”名義進行非法集資的風險提示》,提示一些不法分子以“元宇宙投資項目”“元宇宙區塊鏈游戲”“元宇宙房地產”“元宇宙虛擬幣”等名目吸收資金,涉嫌非法集資、詐騙等違法犯罪活動。
6. 上海市人大常委會通過《上海市未成年人保護條例》
2月18日,上海市第十五屆人民代表大會常務委員會第三十九次會議修訂通過《上海市未成年人保護條例》,自2022年3月1日起施行。
《條例》共九章八十七條,內容涉及家庭保護和自我保護、學校保護、社會保護、網絡保護、政府保護和司法保護、特別保護等內容。《條例》規定,任何組織或者個人處理不滿十四周歲未成年人個人信息的,應當依法取得未成年人的父母或者其他監護人的同意。網絡產品和服務提供者應當針對未成年人使用其產品和服務設置相應的時間管理、權限管理、消費管理等功能。
7. 《金融機構客戶盡職調查和客戶身份資料及交易記錄保存管理辦法》暫緩實施
2月21日,中國人民銀行發布公告,宣布《金融機構客戶盡職調查和客戶身份資料及交易記錄保存管理辦法》(中國人民銀行 銀保監會 證監會令〔2022〕第1號)因技術原因暫緩施行。相關業務按原規定辦理。
人民銀行有關負責人表示,《辦法》發布后,一些中小金融機構提出,《辦法》針對不同金融產品和業務模式提出了具體規范和要求,金融機構需要修訂完善內部管理制度、信息系統、業務流程,并進行人員培訓。為此,經研究,決定暫緩實施《辦法》。
8. 工信部:推動建立工業互聯網企業網絡安全分類分級管理制度
2月23日,國務院新聞辦公室舉行國務院政策例行吹風會,工信部就工業互聯網平臺安全保障情況加以介紹。
安全保障方面,工信部目前主要采取以下措施:(1)政策體系方面,在發展工業互聯網的同時,要求加強網絡安全,特別是網絡平臺安全問題;(2)積極推動開展分類分級管理工作,在15個省市開展分類分級管理試點,近百家平臺企業完成科學定級、風險評估和相關整改落實。加強安全標準體系建設,加快研制平臺安全防護、測試評估、能力評價等10多項行業標準;(3)強化安全防護能力方面,健全工業互聯網安全技術監測體系,累計監測覆蓋165個重點工業互聯網平臺。
下一步,工信部將繼續在三方面發力:(1)推動建立工業互聯網企業網絡安全分類分級管理制度,在試點基礎上進一步總結,擴大推廣應用。加快研制發布平臺企業網絡安全標準;(2)健全平臺企業監測預警,對網絡安全平臺企業要加強監測預警、信息通報和應急處置,確保安全;(3)組織開展安全深度行活動,推動新技術、新產品、新標準應用,使工業互聯網平臺安全產品解決方案在各行各業中能夠得到實際應用,確保“5G+工業互聯網”普及推廣應用的同時,確保工業互聯網安全有序健康發展。
9. 公安部公布依法打擊網絡賬號黑色產業鏈“斷號”行動典型案例
2月24日,公安部通報依法打擊網絡賬號黑色產業鏈“斷號”行動情況。
2021年,公安部深入推進“凈網2021” 專項行動,依法嚴厲打擊突出網絡違法犯罪,深入整治網絡黑產、網絡亂象,持續深化網絡生態治理,并在專項行動中發起“斷號”行動,對網絡賬號黑色產業鏈發起凌厲攻勢,共抓獲行業“內鬼”6000余名,打掉關停接碼、打碼、解封、養號、非法交易網絡平臺80余個,收繳“貓池”、卡池設備1萬余臺,查獲關停涉案網絡賬號1000余萬個,有力維護網絡空間秩序和人民群眾合法權益。
同期公布“斷號”行動十大典型案例,分別是:(1)廣東公安機關破獲陳某等人幫助信息網絡犯罪活動案;(2)山東公安機關破獲徐某等人幫助信息網絡犯罪活動案;(3)江蘇公安機關破獲蔣某等人非法獲取計算機信息系統數據案;(4)陜西公安機關破獲余某等人侵犯公民個人信息案;(5)北京公安機關破獲某公司幫助信息網絡犯罪活動案;(6)遼寧公安機關破獲楊某等人幫助信息網絡犯罪活動案;(7)湖北公安機關破獲李某等人幫助信息網絡犯罪活動案;(8)陜西公安機關破獲訾某等人侵犯公民個人信息案;(9)廣西公安機關破獲謝某等人侵犯公民個人信息案;(10)江蘇公安機關破獲楊某等人侵犯公民個人信息案。
10. 2021年檢察機關辦理個人信息保護領域公益訴訟案件2000余件
2月27日,最高人民檢察院發布數據顯示,2021年,檢察機關共辦理個人信息保護領域公益訴訟案件2000余件,同比上升近3倍。
辦案發現,當前個人信息保護面臨四方面突出問題,須加強綜合治理:(1)利用手機APP等違規收集個人信息問題突出。2021年,檢察機關共辦理網絡侵害個人信息公益訴訟案件800余件,同比上升約1.7倍;(2)特定群體個人信息需要加大保護力度。檢察機關辦案發現,未成年人、老年人等群體防范意識薄弱,更易成為個人信息侵害的對象;(3)個人信息泄露導致騷擾電話和電信網絡詐騙風險。泄露的個人信息經網絡黑灰產業鏈交易傳輸,有的引發騷擾電話、垃圾短信,有的被用于實施電信網絡詐騙等犯罪,嚴重危害人民群眾人身財產安全;(4)個人信息保護監管合力不足。個人信息保護涉及對象多、領域廣,多個部門職責交叉或者職權定位不夠明晰,亟需形成監管合力。
下一步,檢察機關將繼續加大公益訴訟辦案力度,推動《個人信息保護法》落地落實:(1)突出保護重點。聚焦重點人員、重點領域,為個人信息安全保駕護航。嚴格保護生物識別、宗教信仰、特殊身份、醫療健康、金融賬號、行蹤軌跡等敏感個人信息;特別保護兒童、婦女、殘疾人、老年人、軍人等特定群體的個人信息;重點保護教育、醫療、就業、養老、消費等領域處理的個人信息,以及涉及100萬人以上的大規模個人信息;精準保護因時間、空間等聯結形成的特定對象的個人信息;(2)強化檢察機關內部銜接配合。充分發揮檢察一體化辦案優勢,上級檢察機關加大自辦案件力度和對下指導力度,采取交辦、提辦、督辦、領辦等方式,積極應對個人信息公益損害網絡化。暢通檢察機關內部線索審查移送機制,注重在涉及個人信息保護的刑事、民事、行政檢察案件中同步發現公益訴訟案件線索,加強全流程、全鏈條保護,實現懲治違法和保護公益的多重效果;(3)形成個人信息保護監管合力。加強與網信、工信、公安、市場監管、教育等職能部門在線索移送、信息共享、專業咨詢、辦案輔助等方面的協作配合,健全行政執法與公益訴訟檢察銜接機制,積極穩妥辦理涉及網絡黑灰產、數據安全的重大網絡侵害類公益訴訟案件。加強與法院的溝通協調,深化個人信息保護公益訴訟制度探索。通過提出檢察建議等方式,督促相關單位或部門采取有效防范措施,從源頭上強化信息安全,筑牢個人信息保護“防火墻”。
11. 工信部:將對移動互聯網服務進行全鏈條、全覆蓋監管
2月28日,國務院新聞辦公室舉行促進工業和信息化平穩運行和提質升級發布會。發布會期間,工信部就移動互聯網領域保障用戶權益、改進服務工作情況進行介紹。
據介紹,工信部目前主要突出解決APP治理和適老化改造兩方面問題。APP治理方面,打好“組合拳”,通過制定標準、技術檢驗、專項整治、行業自律等措施,大力整治違規收集使用個人信息、彈窗騷擾等侵害用戶權益的行為。2021年累計檢測208萬款APP,通報1549款違規APP,對514款拒不整改的進行下架處理。適老化改造方面,組織227家網站和APP完成改造,推出字體放大、語音引導、“一鍵直連人工客服”等多種具有特色的功能,指導終端企業為適老化智能終端產品設計生產服務提供支持。
下一步,工信部將持續推進相關工作,包括:(1)聚焦用戶權益,加強綜合治理。持續關注用戶反映的各類違規問題,深入開展APP整治,對移動互聯網服務涉及的諸多環節進行全鏈條、全覆蓋監管。主要實現三個“全覆蓋”,即對手機、平板各類終端全覆蓋;對應用商店、第三方軟件開發工具包、預置預裝等關鍵的責任鏈環節全覆蓋;對APP技術檢測全覆蓋,讓用戶權益得到全方位保護;(2)聚焦服務感知,滿足用戶期待。提升個人信息保護水平,督促主要互聯網企業建立客服熱線,響應用戶訴求;(3)聚焦重點人群,推進信息普惠。再組織一批新的APP和網站,開展適老化和信息無障礙改造提升,打造一批適老化和無障礙改造標桿;(4)聚焦長效機制,形成工作合力。圍繞移動互聯網服務、個人信息保護等重點領域,我們將進一步完善激勵機制,同時也完善問責機制,強化技術手段,激發企業自身改進服務、提高水平的動能。
12. 互聯網信息服務算法備案系統上線
3月1日起,互聯網信息服務算法備案系統正式上線運行,官方網址為https://beian.cac.gov.cn。備案主體通過官網填報備案信息、查看備案狀態,普通用戶通過官網查詢備案信息。
互聯網信息服務算法備案僅對備案主體所提供的算法推薦服務及服務中使用的算法推薦技術進行備案,信息由備案主體自行填報,該備案不代表對有關主體、算法、產品、服務等的認可,任何組織和個人不得將備案結果用于宣傳和其他商業用途。
《互聯網信息服務算法推薦管理規定》于3月1日起施行。《規定》要求具有輿論屬性或者社會動員能力的算法推薦服務提供者應當在提供服務之日起十個工作日內通過互聯網信息服務算法備案系統填報服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息,履行備案手續。算法推薦服務提供者的備案信息發生變更的,應當在變更之日起十個工作日內辦理變更手續。算法推薦服務提供者終止服務的,應當在終止服務之日起二十個工作日內辦理注銷備案手續,并作出妥善安排。
