第八十六期網絡安全政策法律動態半月刊(2022.2.1—2022.2.15)
本期關注
? 境外關注
美英澳三國聯合發布警報,表示針對全球關鍵基礎設施的復雜、高影響的勒索攻擊數量有所增加。為強化關鍵基礎設施保護,美國參議院引入《2022年提升美國網絡安全法案》,賦予關鍵基礎設施運營者網絡攻擊報告義務;澳大利亞議會引入《2022年安全立法修正案(關鍵基礎設施保護)法案》,為關鍵基礎設施實體引入風險管理計劃。此外,歐盟委員會公布《芯片法案》,支持芯片生產、試點項目和初創企業;美國眾議院通過《2022年美國競爭法案》,支持半導體產業發展。
? 境內關注
《網絡安全審查辦法》正式施行。工信部再次公開征求對《工業和信息化領域數據安全管理辦法(試行)》(征求意見稿)的意見。此次發布的征求意見稿對數據定義、監管機構、重要數據和核心數據目錄備案、主體責任、數據出境等諸多條款進行調整,新增核心數據跨主體處理、日志留存等內容。
境外動態
1. 愛爾蘭政府發布新的國家數字戰略,推動數字化轉型
https://www.gov.ie/en/press-release/3a922-online-launch-of-harnessing-digital-the-digital-ireland-framework/
2. 烏克蘭發布總統令,實施《烏克蘭網絡安全戰略實施計劃》
https://www.president.gov.ua/documents/372022-41289
3. 美國國防部批準發布《國防部軟件現代化戰略》
https://www.defense.gov/News/Releases/Release/Article/2924187/dod-software-modernization-strategy-approved/
4. 巴西頒布一項修正案,將個人數據保護為憲法權利
https://www12.senado.leg.br/noticias/materias/2022/02/04/emenda-que-inclui-protecao-de-dados-pessoais-na-constituicao-sera-promulgada-na-quinta
5. 美國NIST發布《軟件供應鏈安全指南》
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/software-supply-chain-security-guidance
6. 美英澳三國聯合發布《勒索軟件全球化威脅升級》警報
https://www.cisa.gov/uscert/ncas/alerts/aa22-040a
7. 美國證券委員會發布擬議網絡安全規則,加強網絡安全風險管理
https://www.sec.gov/rules/proposed/2022/33-11028.pdf
8. 英國發布更新后的《監控攝像頭使用守則》
https://www.gov.uk/government/publications/update-to-surveillance-camera-code/amended-surveillance-camera-code-of-practice-accessible-version
9. 美國眾議院通過《2022年美國競爭法案》
https://rules.house.gov/sites/democrats.rules.house.gov/files/BILLS-117HR4521RH-RCP117-31.pdf
10. 美國參議院引入《2022年提升美國網絡安全法案》
https://www.congress.gov/bill/117th-congress/senate-bill/3600/text
11. 美國參議院引入《推動用戶在社交媒體獲得良好體驗法案》,治理在線有害內容
https://www.congress.gov/bill/117th-congress/senate-bill/3608/text?r=4&s=1
12. 美國參議院引入《2022年算法問責法案》,加強自動化決策系統監管
https://www.congress.gov/bill/117th-congress/senate-bill/3572/text
13. 美國參議院引入《健康數據使用和隱私委員會法案》
https://www.baldwin.senate.gov/imo/media/doc/Health%20Data%20Use%20and%20Privacy%20Commission%20Act.pdf
14. 美國參議院引入《刪除法案》,允許個人刪除數據經紀人收集的個人數據
https://www.congress.gov/bill/117th-congress/senate-bill/3627/text?r=1&s=2
15. 歐盟委員會公布《芯片法案》
https://digital-strategy.ec.europa.eu/en/library/european-chips-act-communication-regulation-joint-undertaking-and-recommendation
16. 澳大利亞議會引入《2022年安全立法修正案(關鍵基礎設施保護)法案》
https://www.homeaffairs.gov.au/reports-and-publications/submissions-and-discussion-papers/slacip-bill-2022
17. 澳大利亞議會引入《2022年社交媒體(反網絡暴力)法案》,打擊在線誹謗
https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6831
境內動態
1. 中俄發表聯合聲明,重申將深化國際信息安全領域協作
2月4日,中俄兩國元首舉行會談,發表《中華人民共和國和俄羅斯聯邦關于新時代國際關系和全球可持續發展的聯合聲明》,集中闡述中俄在民主觀、發展觀、安全觀、秩序觀方面的共同立場,其中包括數字經濟、國際科技發展環境、國際信息安全領域協作等方面的合作發展規劃。兩國有關部門還簽署了《信息化和數字化領域合作協議》等一系列重點領域合作文件。
聲明中,雙方重申將深化國際信息安全領域協作,推動構建開放、安全、可持續、可及的信息通信技術環境。雙方強調《聯合國憲章》確立的不使用武力、尊重國家主權和基本人權及自由、不干涉內政等原則適用于信息空間,重申聯合國在應對國際信息安全威脅領域的關鍵作用,支持聯合國制定該領域新的國家行為準則。
雙方認為,應聯合國際社會制定信息網絡空間新的、負責任的國家行為準則,包括具有法律效力的規范各國信息通信技術領域活動的普遍性國際法律文件。雙方認為由中方提出、俄方原則支持的《全球數據安全倡議》為工作組討論制定數據安全等國際信息安全威脅的應對措施提供了基礎。
雙方支持打造國際化的互聯網治理體系,認為各國平等享有互聯網治理權,主權國家有權管控和保障本國網絡安全,任何企圖限制國家網絡主權的行為不可接受,應促進國際電信聯盟在解決有關問題上發揮更加積極的作用。
【中華人民共和國和俄羅斯聯邦關于新時代國際關系和全球可持續發展的聯合聲明 | 信息安全與科學技術發展等相關內容摘錄】
來源:新華網
2. 四部門印發《金融標準化“十四五”發展規劃》,以標準化引領金融業數字生態建設
1月23日,中國人民銀行會同市場監管總局、銀保監會、證監會聯合印發《金融標準化“十四五”發展規劃》,明確“十四五”時期統籌推進金融標準化發展的指導思想、基本原則、主要目標、重點任務和保障措施。
《規劃》要求以標準化引領金融業數字生態建設,具體包括穩步推進金融科技標準建設、系統完善金融數據要素標準、健全金融信息基礎設施標準、強化金融網絡安全標準防護、推進金融業信息化核心技術安全可控標準建設、穩妥推進法定數字貨幣標準研制。
其中,《規劃》要求統籌金融數據開發利用、公共安全、商業秘密和個人隱私保護,加快完善金融數據資源產權、交易流通、跨境傳輸和安全保護等標準規范。建立健全金融業關鍵信息基礎設施保護標準體系,支持提升安全防護能力。
來源:中國人民銀行官網
3. 八部門聯合發布《關于加強網絡預約出租汽車行業事前事中事后全鏈條聯合監管有關工作的通知》
2月7日,交通運輸部、工信部、公安部等八部門聯合發布《關于加強網絡預約出租汽車行業事前事中事后全鏈條聯合監管有關工作的通知》。
《通知》要求各地聯合監管機制要建立健全日常工作制度,制定落實風險監測研判、定期報告、重大情況通報反饋、重大事項聯合督辦等工作制度,加強部門間信息通報和溝通共享,共同分析形勢、研究問題,及時總結工作、通報經驗做法。
《通知》明確網約車平臺公司存在危害網絡安全、數據安全,侵害用戶個人信息權益等違法違規行為的,可開展事前事中事后全鏈條聯合監管。根據違法法規行為情節,可對網約車平臺公司采取暫停區域內經營服務、暫停發布或下架移動互聯網應用程序(APP)、停止互聯網服務、停止聯網或停機整頓等處置措施。
來源:交通運輸部官網
4. 全國信安標委發布《信息安全技術 移動互聯網應用程序(App)生命周期安全管理指南》(征求意見稿)
2月8日,全國信安標委發布《信息安全技術 移動互聯網應用程序(App)生命周期安全管理指南》(征求意見稿),要求開發者、移動應用分發平臺廠商和移動智能終端廠商對App生命周期進行協同管理。
征求意見稿明確,App的生命周期主要包含七個階段:需求分析階段、開發設計階段、測試驗證階段、上架發布階段、安裝運行階段、更新維護階段和終止運營階段,七個階段都可能面臨各種不同的安全風險,需要在App生命周期中對每個階段進行安全分析與安全管理。
來源:全國信安標委官網
5. 工信部再次公開征求對《工業和信息化領域數據安全管理辦法(試行)》(征求意見稿)的意見
2月10日,工信部再次公開征求對《工業和信息化領域數據安全管理辦法(試行)》(征求意見稿)的意見。此次發布的征求意見稿對數據定義、監管機構、重要數據和核心數據目錄備案、主體責任、數據出境等諸多條款進行調整。
工業和信息化領域數據處理者責任方面,征求意見稿明確其對數據處理活動負安全主體責任,對各類數據實行分級防護,不同級別數據同時被處理且難以分別采取保護措施的,應當按照其中級別最高的要求實施保護,確保數據持續處于有效保護和合法利用的狀態。應當將本單位重要數據和核心數據目錄向地方工業和信息化主管部門(工業領域)或通信管理局(電信領域)或無線電管理機構(無線電領域)備案。
征求意見稿增加核心數據跨主體處理、日志留存條款,要求跨主體提供、轉移、委托處理核心數據的,應當評估安全風險,采取必要的安全保護措施,并經由地方工業和信息化主管部門(工業領域)或通信管理局(電信領域)或無線電管理機構(無線電領域)報工業和信息化部。工業和信息化部按照有關規定進行審查。
來源:工信部官網
6. 《網絡安全審查辦法》正式施行
2月15日,國家互聯網信息辦公室等十三部門聯合修訂發布的《網絡安全審查辦法》正式施行。
《辦法》將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍,要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查。
《辦法》規定為了防范風險,當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。此外,《辦法》對審查工作機制成員進行擴充,增加中國證券監督管理委員會作為國家網絡安全審查工作機制成員。
7. 山東省政府印發《山東省公共數據開放辦法》
1月31日,山東省政府印發《山東省公共數據開放辦法》,自2022年4月1日起施行。
《辦法》進一步拓展公共數據適用范圍,明確國家機關,法律法規授權的具有管理公共事務職能的組織,具有公共服務職能的企業事業單位,人民團體等在依法履行公共管理職責、提供公共服務過程中,收集和產生的各類數據均屬于公共數據,應納入公共數據開放辦法管理。《辦法》與其他地方現有公共數據開放立法相比,適用范圍更全面。
關于重點和優先開放數據范圍,《辦法》有針對性地提出:重點和優先開放與數字經濟、公共服務、公共安全、社會治理、民生保障等領域密切相關的市場監管、衛生健康、自然資源、生態環境、就業、教育、交通、氣象等數據,以及行政許可、行政處罰、企業公共信用信息等數據。同時《辦法》遵循“需求導向”原則,重點和優先開放的數據范圍應當征求社會公眾、行業組織、企業、行業主管部門的意見,切實滿足公民、法人和其他組織開發利用公共數據的需求。
此外,在開發利用促進措施及數據安全保護等方面,《辦法》也結合實際作出規定。
來源:山東省人民政府官網
8. 廣東省發布《廣東省公共數據安全管理辦法(二次征求意見稿)》
2月7日,廣東省政務服務數據管理局發布《廣東省公共數據安全管理辦法(二次征求意見稿)》。
征求意見稿規定,省公共數據主管部門牽頭制定公共數據分類分級指南,明確分類分級的原則和規則等,特別是重要數據、核心數據的識別及分級保護規則。地級以上市的公共數據主管部門應當根據國家和省公共數據分類分級相關規定,增補本地公共數據的分類分級規則。行業主管部門應當根據國家、省、地級以上市公共數據分類分級有關規定,增補本行業、本領域公共數據的分類分級規則。
征求意見稿規定,公共管理和服務機構應當按照國家網絡安全等級保護制度、商用密碼應用要求,采取數據脫敏、加密保護、安全認證等安全保護措施,保障公共數據安全。
來源:廣東省政務服務數據管理局官網
9. 黑龍江省發布《黑龍江省促進大數據發展應用條例(草案修改稿征求意見稿)》
2月11日,黑龍江省人大常委會法制工作委員會發布《黑龍江省促進大數據發展應用條例(草案修改稿征求意見稿)》,涉及數據資源、數據要素市場、發展應用、促進措施、安全保護等內容。
征求意見稿規定,自然人、法人和非法人組織對其合法取得的數據,可以依法使用、加工。法律、行政法規另有規定或者當事人另有約定的除外。自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益,依法自主使用,進行處分。
安全保護方面,征求意見稿規定,從事數據處理活動的單位應當履行建立健全全流程數據安全管理制度;制定數據安全事件應急預案,定期開展風險評估和應急演練等活動;采取安全保護技術措施,防止數據丟失、毀損、泄露和篡改等義務。
來源: 黑龍 江省人大常委 會官網
10. 打擊治理跨境賭博工作第四次專題會議召開,堅持重拳出擊,注重標本兼治
2月15日,國務委員、公安部部長趙克志在京主持召開打擊治理跨境賭博工作第四次專題會議,研究部署今年打擊治理工作。
會議要求,要注重標本兼治、綜合施策,持續形成對跨境賭博犯罪的壓倒性態勢。要堅持綜合治理,開展“一人多卡”、非銀行支付機構風險專項整治,推動治理利用虛擬貨幣轉移涉賭資金措施落地見效,開展涉賭網站和應用程序專項清理行動,繼續落實擅自利用互聯網銷售彩票發現、核查、處置機制,斬斷跨境賭博生態鏈條。要堅持法治思維,深入貫徹實施刑法修正案和有關司法解釋,不斷增強法律威懾效果。
來源:公安部官網
