致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件
于2017年6月1日正式生效的《中华人民共和国网络安全法》(以下简称《网络安全法》),作为我国网络空间安全管理的基本法律,对网络运营者的网络运行安全、网络信息安全提出了若干制度性管理要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施的安全保护制度、个人信息和重要数据保护制度、网络产品和服务管理制度、网络安全事件管理制度等。
为保障上述制度的有效实施,一方面,以国家互联网信息办公室(以下简称“网信办”)为主的多个监管部门制定了多项配套法规,进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式;另一方面,全国信息安全标准化技术委员会(以下简称“信安标委”)同时制定并公开了一系列以信息安全技术为主的重要标准(包括征求意见稿),为网络运营者和监管部门提供了非常具有操作性的合规指引。与此同时,工业和信息化部(以下简称“工信部”)以及公安部也在自己的职权范围内,制定了相应的规定或规范性文件;国家质量监督检验检疫总局、国家食品药品监管总局、国家宗教事务局等部门针对各自领域内的数据制定了具体的规范、标准和规定。
整体而言,2018年,新发布的生效法规及尚处于征求意见稿阶段的法规草案数量较大。有以下几个特点:
一、在规范对象上
新发布规范对于上述各大网安制度均有涉及,并集中于网络产品和服务管理、网络安全事件管理等制度;移动智能终端、云计算、电子政务移动办公系统、移动互联网应用服务器等领域均出台了专门的安全技术标准。
二、在制定主体机构方面
信安标委作为信息技术领域标准的主要制定部门,加快了制定相关标准的进程,发布了大量的标准规范;工信部针对工业互联网建设、公共互联网安全等领域出台了相应的规范文件。网信办、公安部分别针对互联网信息内容管理、网络安全等级保护等主题发布了生效规范,其中,于2018年11月1日起生效的《公安机关互联网安全监督检查规定》作为公安机关落实《网络安全法》行政监管职责的重要制度性文件,将使得公安机关互联网安全监督检查工作制度化和常态化,对企业合规工作的开展与落实会产生实质性影响。
三、具体到细分制度层面
a) 在互联网信息内容管理制度方面,网信办已经针对互联网新闻信息服务、互联网论坛社区服务等制定了专门的管理规定,以期全方位多层次地保障互联网信息内容的安全和可控性。
b) 在网络安全等级保护制度方面,公安部牵头制定的 《网络安全等级保护条例(征求意见稿)》,几近完成,预计近期会正式发布。信安标委在原有的信息系统安全等级保护制度的基础之上,发布了包括《网络安全等级保护实施指南》、《网络安全等级保护定级指南》在内的多项标准文件的征求意见稿,但截至目前,正式版本的文件尚未公布。此外,关于等级保护测评的标准、管理规范也不断出台,这些规定在完整的网络安全等级保护制度出台之前,原有的信息系统安全等级保护制度对企业进行合规工作仍是有效的法律文件。
c) 在关键信息基础设施安全保护制度方面,随着《关键信息基础设施安全保护条例》、《信息安全技术 关键信息基础设施安全检查评估指南》等征求意见稿的公布,关键信息基础设施运营者的安全保护义务得以进一步明确。但是关键信息基础设施的范围依旧有待进一步地明确。
d) 在个人信息和重要数据保护制度方面,其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。于2018年5月1日正式生效的《GB/T 35273-2017信息安全技术 个人信息安全规范》将作为个人信息保护工作的重要指引。除《网络安全法》及配套法规外,在《民法总则》、《侵权责任法》和《刑法》中同样也建立了相应的保护机制,各行业的特别法律法规对某些特殊的个人信息也提出了特殊的法律要求。
e) 在网络产品和服务的管理制度方面,以安全可控性为基本要求,网信办建立了全新的国家安全审查制度和网络关键设备和网络安全专用产品目录管理制度。实践中,企业在进行网络产品和服务的合规管理时,同时还应当考虑密码管理局的密码产品管理制度和公安部的计算机信息系统安全专用产品管理制度。
f) 网络安全事件管理制度本身是网络安全等级保护制度中的一部分,为了加强对重点领域的管理,网信办和信安标委等制定了更加针对性的合规指引。
四、法规文件整理汇总
本文以上述各项制度为类别,对截止目前已经公布和即将出台的《网络安全法》相关的各项战略、法律法规及标准进行了梳理总结,主要包括以下三个部分,供大家参考:
第一部分为现有法规汇总,其中表1-1为《网络安全法》及其配套法律法规和规范性文件汇总目录,表1-2为个人信息保护相关的重要法规及规范性文件汇总目录,表1-3为信息系统安全等级保护相关法规及重要国家标准汇总目录,表1-4为密码产品相关法规汇总目录;
第二部分为2018年新发布法规清单,重点汇总工信部、公安部、网信办、信安标委、国家认证认可监督管理委员会等部门在2018年的新立法成果,方便大家迅速把握网络安全及数据保护领域主要立法机关的立法动向;
第三部分为部分细分领域数据法规清单,重点关注地图数据、测绘数据、宗教信息、科学数据、电子证照管理、金融信息、网约车管理、汽车数据、自动驾驶管理、医药数据、人类遗传资源、人口健康信息、电信与互联网个人信息等重点领域,以便大家更有针对性地了解数据高频使用领域下现行主要立法情况。
第一部分 现有法规汇总
(截止时间均为2018-12-09)
表1-1:《网络安全法》及其配套法律法规和规范性文件汇总目录(2018年正式生效的法规以橙色底纹呈现)
点击图片查看大图
表1-2:个人信息保护相关的重要法规及规范性文件汇总目录
点击图片查看大图
表1-3:信息系统安全等级保护相关法规及重要国家标准汇总目录
点击图片查看大图
表1-4:密码产品相关法规汇总目录
点击图片查看大图
第二部分 2018年新发布法规清单
(截止时间为2018-12-09)
点击图片查看大图
第三部分 部分细分领域数据法规清单
(截止时间为2018-12-09)
点击图片查看大图
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表为北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 北京办公室
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
长按识别图中二维码,可查阅该合伙人简历详情。
输12
吴佳蔚 律师
北京办公室 知识产权部
薛泽涵 律师
北京办公室 知识产权部
作者往期文章推荐:
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
《盘点2018 | 致敬数据合规元年,网络安全年度法律评论》
《China's New Measures (draft) on Data Cross-border Transmission》
点击“阅读原文”,可查阅该文章官网版。