查看原文
其他

《网络安全法》相关法规及标准总结(2020年—2021年2月)

蔡荣伟 钱闻侃 中伦视界 2024-04-08

序言

《网络安全法》自2017年6月实施以来,作为基本法对各行业在网络安全方面提出了总体要求。近三年,各种法规、部门规章、国家标准及行业标准也陆续出台,明确将《网络安全法》作为依据,为各领域网络安全、数据合规、个人信息保护等制度的落实提供了更详细的参考。2020年至今,除了《数据安全法(草案)》及《个人信息保护法(草案)》在2020年7月及10月公开征求意见外,市监总局、网信办等监管部门也发布了不少法规及标准。本文将结合适用对象和行业分类,对多部法规和标准(包括征求意见稿)进行简要梳理。第二部分还将分别从普遍适用于网络运营者及个人信息控制者,适用于网络信息内容生产者、互联网信息服务提供者,适用于关键信息基础设施运营者,适用于APP及小程序运营者,以及适用于金融机构五个类别,对涉及的法规及标准进行评析。 


一、各法规及标准梳理


本文第一部分将通过列表梳理各法规及标准。从适用对象及规制内容上,可看出规制目标及内容。各企业可结合自身运营所涉业务,有针对性地深入研究。


点击可查看大图


二、法规及标准简要内容分析


本文第二部分将针对各法规及标准(包括征求意见稿)进行简要分析,依照适用对象分类,更具体地展开法规及标准所提供的治理思路及参考标准。


1.

普遍适用于网络运营者及个人信息控制者的法规和标准


《中华人民共和国数据安全法(草案)》(征求意见稿)(本段简称“《草案》”)


《草案》从数据安全制度、数据安全保护义务、政务数据安全与开放等角度对在境内开展数据活动,包括数据的收集、存储、加工、使用、提供、交易、公开等行为进行了规制,明确了对于数据的定义为“指任何以电子或者非电子形式对信息的记录”。《草案》第四章中规定的数据安全保护义务,值得各企业在合规过程中进行参考。另外,第23条规定的“国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制”,也与2020年公布的《出口管制法》相呼应。

 

《个人信息保护法(草案)》(征求意见稿)(本段简称“《草案》”)


《草案》在《网络安全法》及《个人信息安全规范》之外,提出更多个人信息处理规范。首先,第3条规定特定情况下的域外适用效力,具有“长臂管辖”的效果。其次,《草案》使得“知情同意”不再是个人信息处理唯一合法性基础,增加了订立合同所必须、保护自然人的重大利益等合法基础。另外,《草案》还提出了合法性原则、最小必要原则、公开透明原则等处理个人信息的基本原则。

 

《信息安全技术 个人信息安全规范》(本段简称“《规范》”)


上一版本《规范》在《网络安全法》公布后实施,规定了个人信息控制者在收集、存储、使用、共享、转让、公开披露等个人信息处理环节中的行为。2020版《规范》的修订包括,增加“用户画像的使用限制”“个性化展示的使用”,增加对各项服务分别征求同意的要求,及平台接入第三方的管理要求等。另外还修改了“征求授权同意的例外”、“个人信息主体注销账户”等。同时,《规范》对于个人生物识别信息的存储、转让及共享提出特别要求。

 

《信息安全技术 个人信息告知同意指南》(征求意见稿)(本段简称“《指南》”)


《指南》明确适用于网络运营者在网络环境中进行个人信息告知同意的情形,为网络运营者个人信息处理告知的内容、结构,及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。根据《网络安全法》第41条,个人信息主体同意是收集和使用个人信息的基础。《指南》具体提出了个人信息处理告知的内容,告知同意的适用情形,免于告知同意的情形,告知同意的基本原则、内容、形式及同意的方式等,更提供了针对未成年人个人信息、互联网金融等场景的具体指引。


《信息安全技术 个人信息安全影响评估指南》(本段简称“《指南》”)


《指南》明确了展开个人信息安全影响评估的时间点、原理及流程等。关于安全评估机制,《网络安全法》中规定了个人信息在跨境传输以及网络安全事件发生后的安全评估,《个人信息保护法(草案)》规定了事前风险评估要求,而《指南》提供了更多的操作细则,使个人信息安全的评估方法更清晰。

 

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(本段简称“《意见》”)


《意见》对网络安全等级保护制度和关键信息基础设施安全保护制度提出要求。其中,保障重点是关键信息基础设施和第三级以上的网络。《意见》在《网络安全法》第31条基础上确认了根据网络在国家安全、经济建设、社会生活中的重要程度,及其遭到破坏后的危害程度等因素,实施网络安全等级保护制度。《意见》指出,应将符合认定条件的基础网络、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。

    

《信息安全技术网络安全等级保护定级指南》(本段简称“《指南》”)


《指南》从定级原理及流程、定级对象、保护等级等方面落实了不涉及国家秘密的等级保护对象的安全保护等级方法和定级流程。与网络安全等级保护制度保持一致,根据对象在国家安全、经济建设等方面的重要程度,以及一旦遭到破坏或数据遭遇泄露等事件后的侵害程度等因素,将安全保护等级分为五级,并针对不同级别提出要求。

 

《信息安全技术 网络数据处理安全规范》(征求意见稿)(本段简称“《规范》”)


《规范》规定了网络运营者在利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和管理的要求。《规范》一大亮点是针对突发公共卫生事件中个人信息保护的合规要求作出规定,包括个人信息服务协议、个人信息的收集与调用,应对工作结束后的个人信息处理等问题。


2.

适用于网络信息内容生产者、互联网信息服务提供者、公众账号信息平台的法规和标准


《互联网信息服务管理办法》(修订草案征求意见稿)(本段简称“《办法》”)


《办法》10年来首次修改,内容包括,将互联网信息服务区分为属于经营电信业务与不属于经营电信业务,对于执法机构和分工给与了明确标准,对网络接入服务提供者的要求增多,对教育、新闻等领域要求更具体,及增加了一系列与网络安全,个人信息保护相关的规定。与现行法规和标准比较,大多修改都是在现有基础上提出进一步要求。

 

《互联网用户公众账号信息服务管理规定》(本段简称“《规定》”)


《规定》对公众账号信息服务平台及公众账号生产运营者提出了一系列要求。包括新增生态治理、数据保护、个人信息保护等平台主体责任。《规定》还针对账号分类注册、主体资质核验、打击网络谣言等问题新增多个条款。《规定》也要求公众账号信息服务平台加强对公众账号信息服务活动的监督管理,及时发现和处置违法违规信息或行为。


《网络信息内容生态治理规定》(本段简称“《规定》”)


《规定》明确了网络信息生产者、网络信息内容服务平台及网络信息服务使用者被鼓励发布、不得发布、以及应该防范的内容。此前相关规定主要出现在《互联网信息服务管理办法》中,而随着网络环境变化,网络诈骗、人肉搜索等新情况层数不穷。《规定》对《互联网信息服务管理办法》中的九项禁止性内容进行扩充,并明确将网络信息内容生产者、网络信息内容服务使用者一并纳入管理范围。《互联网信息服务管理办法》在2021年1月的征求意见稿中,也将九项禁止性内容进行扩充,与《规定》相呼应。


3.

适用于关键信息基础设施运营者的法规和标准


《网络安全审查办法》(本段简称“《办法》”)


《办法》为确保关键信息基础设施供应链安全提供了具体规定。关键信息基础设施运营者在采购网络产品和服务前,需对产品和服务投入使用后可能带来的国家安全风险进行预判,如果发现影响或者可能影响国家安全,应当事前申报网络安全审查。重点领域包括了电信、广播电视、能源、金融、国防科技工业等。具体内容方面,属于审查范围的网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务等。

 

《信息安全技术 关键信息基础设施安全防护能力评价方法》(征求意见稿)(本段简称“《方法》”)


《方法》提供了关键信息基础设施安全防护能力的评价模型,为关键信息基础设施运营者对自身安全能力进行评价,网络安全服务机构对关键信息基础设施运营者安全能力进行评价提供了参考。同时,《方法》也适用于对关键信息基础设施运营者的安全管理,以及关键信息基础设施保护工作部门和关键信息基础设施安全保护的其他参与者。

 

《信息安全技术 关键信息基础设施边界确定方法》(征求意见稿)(本段简称“《方法》”)


《方法》为关键信息基础设施运营者开展关键信息基础设施边界识别工作提供参考,界定了边界识别的原则、模型和流程。同时,还明确规定了保护对象和保护范围,是关键信息基础设施安全标准得以实施的基础。


4.

适用于APP及小程序运营者的法规和标准


《常见类型移动互联网应用程序(App)必要个人信息范围》(征求意见稿)(本段简称“《范围》”)


《范围》规定了地图导航、网约车等38类常见App必要个人信息的范围,并针对不同类型的App规定了个人信息处理的要求。例如,网络直播类、拍摄美化类等App可在无需个人信息的情况下使用基本功能,《范围》便规定这类App要求获取个人信息没有必要性。

 

《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(本段简称“《指南》”)


《指南》提供了App收集使用个人信息的6个评估点。其中包括,是否公开收集使用个人信息的规则、是否明示收集使用个人信息的目的、方式和方位、是否征得用户同意后才收集使用个人信息、是否遵循必要原则、是否经用户同意后才向他人提供个人信息、是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息。

 

《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引》(征求意见稿)(本段简称“《指引》”)


《指引》提出了10个App在个人信息保护中出现的问题,包括超范围收集、默认选择同意、未提供删除渠道等。同时针对每个问题给出相应的防范建议。例如,App超范围收集个人信息的情况中,包括了收集无人信息、强制收集非必要个人信息、收集频率不合理等,《指引》给出的方法包括,使用户可选择拒绝、遵循最小必要原则等。

 

《信息安全技术 即时通信服务数据安全指南(征求意见稿)》(本段简称“《指南》”)


《指南》规定了即时通信服务可以收集、使用、交换、存储、传输、删除的数据种类、范围、方式、条件等。值得一提的是,《指南》还专门针对未成年人应用即时通信服务的保护措施,以及可能产生网络诈骗的个人信息安全作了相关规定。


5.

适用于金融机构的法规和标准


除了上述普遍适用的法规和标准外,各细分行业也陆续出台行业标准。例如,在金融业就出台了如下推荐性行业标准:

 

《个人金融信息保护技术规范》(本段简称“《规范》”)


《规范》适用主体包括金融业机构和获取个人金融信息的非金融机构,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。

 

《网上银行系统信息安全通用规范》(本段简称“《规范》”)


《规范》对2012年版进行了与时俱进的更新,适用对象包括境内设立的商业银行等银行业金融机构所运营的网上银行系统,以及其他金融机构提供网上金融服务的业务系统。为网银系统建设、改造升级、安全检查、审计提供安全依据。《规范》明确网银系统按照网络安全等级保护第三级安全要求进行建设与运维管理,与网络安全等级保护相呼应。

 

《金融数据安全数据安全分级指南》(本段简称“《指南》”)

 

《指南》适用于金融业机构开展电子数据安全分级工作,对金融业机构在开展业务活动、提供金融服务以及日常经营管理时采集或生成的“电子数据”进行分类,根据影响对象和影响程度,将金融数据进行5层安全级别的分类。


三、结语


本文尽可能多地总结了2020年至2021年2月期间与《网络安全法》相关的法律法规及标准。虽然新冠病毒影响了全球经济的正常运转,但我国在网络安全、数据安全和个人信息保护的轨道上迈得越来越稳健,使各企业在实际操作中有法可依,有迹可循。我们将会持续关注相关立法动向,为企业合规提供更有价值的参考。


End

 作者简介

蔡荣伟


上海办公室  高级顾问

业务领域:投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁

特色行业类别:能源与自然资源, 通讯与技术

钱闻侃 


上海办公室  公司业务部

作者往期文章推荐:

《中国技术进出口管制法律发展及对跨国公司的影响》

《外商在华投资在线服务指南》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存