第八十四期网络安全政策法律动态半月刊(2022.1.1—2022.1.15)
本期关注
❖ 国际关注
国际社会,Log4j漏洞影响仍在发酵。美国联邦贸易委员会表示“如果企业未能采取充足措施,保护客户数据免受Log4j等已知漏洞的影响,FTC将动用全部权力追究其法律责任。”网络安全信息共享成为事件关注点之一,参议院国土安全与政府事务委员会与CISA、NSA等联邦部门就此事件召开会议并在会后发布声明,表示“联邦政府仍缺乏必要的洞察力来了解所面临的网络威胁和潜在后果,应继续推动立法,强化网络安全事件及赎金支付等行为的报告要求。”此外,FTC发布新的数据泄露报告,欧盟数据保护委员会也就个人数据泄露的通知发布指南。
❖ 境内关注
境内方面,数据安全立法仍是重要关注点。国务院发布《要素市场化配置综合改革试点总体方案》《“十四五”数字经济发展规划》,要求加快数据要素市场化流通、探索建立数据要素流通规则、强化高质量数据要素供给,同时强调加强数据安全保护、着力强化数字经济安全体系;修订后的《网络安全审查办法》正式发布,明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须通过网络安全审查。全国信安标委发布《信息安全技术 重要数据识别指南(征求意见稿)》,给出重要数据识别原则和考虑因素。此外,公安部发布2021年公安机关打击治理跨境赌博成果,通报全国公安机关开展“净网2021”专项行动的工作举措和取得成效。
本期要目
境外动态
俄罗斯第263-FZ号法案部分条款生效,日用户超过50万的外国互联网企业应在俄罗斯设立分支机构
欧盟数据保护委员会发布《个人数据泄露通知示例指南》
美国联邦贸易委员会:未能保护客户数据免受Log4j漏洞影响的企业可能面临法律后果
美国参议院国土安全与政府事务委员会就Log4j漏洞事件发布声明,将强化网络安全事件及赎金支付等行为的报告要求
美国三部门发布有关《了解并缓解俄罗斯国家支持的针对美国关键基础设施的网络威胁》的警报
美国联邦通信委员会发布新的数据泄露报告要求
美国参议院通过《供应链安全培训法案》《州和地方政府网络安全法案》
美国国会引入法案,提高在线透明度
境内动态
国务院印发《“十四五”数字经济发展规划》
国务院办公厅印发《要素市场化配置综合改革试点总体方案》
国家互联网信息办公室等十三部门修订发布《网络安全审查办法》
中国银保监会办公厅印发《银行保险机构信息科技外包风险监管办法》
国家互联网信息办公室等四部门发布《互联网信息服务算法推荐管理规定》
国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定(征求意见稿)
十二部门发布通知,开展网络安全技术应用试点示范工作
全国信安标委发布《信息安全技术 重要数据识别指南(征求意见稿)》
公安机关2021年打掉网络赌博平台2200余个
公安部公布打击侵犯公民个人信息犯罪十大典型案例
公安部通报“净网2021”专项行动成效:共侦办案件6.2万余起,抓获犯罪嫌疑人10.3万余名
境内动态
1. 国务院印发《“十四五”数字经济发展规划》
2021年12月12日,国务院印发《“十四五”数字经济发展规划》,明确“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。
《规划》部署了八项重点任务,包括优化升级数字基础设施、充分发挥数据要素作用、大力推进产业数字化转型、健全完善数字经济治理体系、着力强化数字经济安全体系等。
数据要素方面,《规划》要求强化高质量数据要素供给、加快数据要素市场化流通、创新数据要素开发利用机制。支持市场主体依法合规开展数据采集,聚焦数据的标注、清洗、脱敏、脱密、聚合、分析等环节,提升数据资源处理能力,培育壮大数据服务产业。
数字经济安全方面,《规划》要求增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。提升网络安全应急处置能力,加强电信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络安全防护能力,支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估。健全完善数据跨境流动安全管理相关制度规范。
来源:中国政府网
2. 国务院办公厅印发《要素市场化配置综合改革试点总体方案》
2021年12月21日,国务院办公厅印发《要素市场化配置综合改革试点总体方案》,旨在以综合改革试点为牵引,支持具备条件的地区结合实际大胆改革探索,尊重基层首创精神,注重总结经验,及时规范提升,为全国提供可复制可推广的路径模式。
《方案》要求完善公共数据开放共享机制、建立健全数据流通交易规则、拓展规范化数据开发利用场景、加强数据安全保护。聚焦数据采集、开放、流通、使用、开发、保护等全生命周期的制度建设,推动部分领域数据采集标准化,分级分类、分步有序推动部分领域数据流通应用,探索“原始数据不出域、数据可用不可见”的交易范式,实现数据使用“可控可计量”,推动完善数据分级分类安全保护制度,探索制定大数据分析和交易禁止清单。
来源:中国政府网
3. 国家互联网信息办公室等十三部门修订发布《网络安全审查办法》
2021年12月28日,国家互联网信息办公室、国家发展和改革委员会、工信部、公安部、国家安全部等十三部门联合发布修订后的《网络安全审查办法》,自2022年2月15日起施行。
《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。
4. 中国银保监会办公厅印发《银行保险机构信息科技外包风险监管办法》
2021年12月30日,中国银保监会办公厅印发《银行保险机构信息科技外包风险监管办法》,对信息科技外包治理、准入、监控评价、风险管理、监督管理等环节加以规定。
《办法》要求银行保险机构在实施信息科技外包时应坚持以下原则:1)不得将信息科技管理责任、网络安全主体责任外包;2)以不妨碍核心能力建设、积极掌握关键技术为导向;3)保持外包风险、成本和效益的平衡;4)保障网络和信息安全,加强重要数据和个人信息保护;5)强调事前控制和事中监督;6)持续改进外包策略和风险管理措施。
《办法》要求银行保险机构应建立并持续完善风险管理制度和流程,充分识别并评估信息科技外包可能产生的风险。针对可能给业务连续性管理造成重大影响的重要外包服务,银行保险机构应当事先建立风险控制、缓释或转移措施。
来源:银保监会官网
5. 国家互联网信息办公室等四部门发布《互联网信息服务算法推荐管理规定》
2021年12月31日,国家互联网信息办公室、工信部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》,自2022年3月1日起施行。
《规定》要求,算法推荐服务提供者应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施。
《规定》要求,网信部门会同电信、公安、市场监管等有关部门建立算法分级分类安全管理制度。网信部门会同电信、公安、市场监管等有关部门对算法推荐服务依法开展安全评估和监督检查工作,对发现的问题及时提出整改意见并限期整改。算法推荐服务提供者应当依法留存网络日志,配合网信部门和电信、公安、市场监管等有关部门开展安全评估和监督检查工作,并提供必要的技术、数据等支持和协助。
6. 国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定(征求意见稿)》
2022年1月5日,国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定(征求意见稿)》。
应用程序提供者方面,征求意见稿规定,应用程序为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。
应用程序分发平台方面,征求意见稿规定,应用程序分发平台应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理,并将应用程序向应用程序分发平台所在地省、自治区、直辖市互联网信息办公室备案。
7. 十二部门发布通知,开展网络安全技术应用试点示范工作
2022年1月7日,工信部、国家互联网信息办公室等十二部门发布《十二部门关于开展网络安全技术应用试点示范工作的通知》(工信厅联网安函〔2022〕2号),旨在深入贯彻落实《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》,加强网络安全先进技术应用引导,推动网络安全产业高质量发展。
试点示范以新型基础设施安全、数字化应用场景安全、安全基础能力提升为主线,面向公共通信和信息服务、能源、交通、水利、应急管理、金融、医疗、广播电视等重要行业领域网络安全保障需求。试点示范覆盖9个重点方向,包括云安全、人工智能安全、大数据安全、车联网安全、物联网安全、智慧城市安全等。
来源:工信部官网8. 全国信安标委发布《信息安全技术 重要数据识别指南(征求意见稿)》
2022年1月13日,全国信安标委发布《信息安全技术 重要数据识别指南(征求意见稿)》,给出识别重要数据的基本原则、考虑因素以及重要数据描述格式。
征求意见稿明确识别重要数据应遵循的六项原则,分别是聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、动态识别复评。具体来说,征求意见稿要求从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据。应通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值。
来源:全国信安标委官网
9. 公安机关2021年打掉网络赌博平台2200余个
2022年1月7日,公安部发布2021年公安机关打击治理跨境赌博成果。
2021年,公安部会同外交、文化旅游、移民管理、商务、人民银行、网信、财政等部门,以最严措施、最大力度持续深入推进打击治理跨境赌博工作,部署全国公安机关多波次开展全国性集群打击行动和专项治理行动,全链条打击针对我公民招赌吸赌的犯罪团伙,坚决遏制跨境赌博乱象,全力维护我经济安全、社会稳定和国家形象。
公安机关共侦办跨境赌博及相关犯罪案件1.7万余起,抓获犯罪嫌疑人8万余名。打掉网络赌博平台2200余个、打掉非法支付平台和地下钱庄1600余个、非法技术服务团队930余个、赌博推广平台1500余个,查扣冻结一批涉案资金,处罚教育了一大批参赌人员。
一年来,公安部会同有关部门综合运用多种手段,全面开展打击治理,成功打掉境外多个特大赌博集团在我境内的招赌吸赌网络和洗钱等非法资金通道,对跨境赌博团伙利用空壳公司和对公账户转移赌资进行专项治理,封堵处置一批跨境网络赌博网站和应用程序,有效遏制了跨境赌博推广传播、对中国公民招赌吸赌的猖獗势头。
来源:公安部官网10. 公安部公布打击侵犯公民个人信息犯罪十大典型案例
2022年1月8日,公安部公布2021年侵犯公民个人信息犯罪十大典型案例,分别是:1)江苏公安机关破获何某非法获取公民个人信息案;2)湖北公安机关破获徐某等人利用外挂程序非法获取公民个人信息案;3)安徽公安机关破获吴某等人非法获取老年人个人信息推销虚假保健品案;4)江苏公安机关破获关某等人非法获取公民个人信息案;5)福建公安机关破获谢某等人利用木马窃取网民购物信息案;6)辽宁公安机关破获石某等人非法获取公民信息注册游戏账号并向未成年人出售案;7)广东公安机关破获某公司非法获取公民个人信息实施诈骗案;8)江苏公安机关破获某公司非法获取公民个人信息案;9)浙江公安机关破获李某等人非法获取公民快递信息案;10)江苏公安机关破获张某等人非法获取公民个人信息案。
来源:公安部官网
11. 公安部通报“净网2021”专项行动成效:共侦办案件6.2万余起,抓获犯罪嫌疑人10.3万余名
2022年1月14日,公安部召开新闻发布会,通报全国公安机关开展“净网2021”专项行动的工作举措和取得的成效等情况。
通报称,2021年,公安部党委连续第4年在全国部署开展“净网”专项行动。按照公安部的统一部署,各地公安机关精心组织、周密安排,坚持“全链打击、生态治理”策略,聚焦网上突出违法犯罪和网络乱象,以打开路、以打促管、以管促治,全年共侦办案件6.2万余起,同比增长10.7%;抓获犯罪嫌疑人10.3万余名,同比增长28.7%;行政处罚违法互联网企业、单位2.7万余家,有力维护了网络空间安全和网上秩序稳定,有效增强了人民群众的网上安全感、获得感和幸福感。
依法严厉打击侵犯公民个人信息犯罪方面,全国公安机关始终保持对侵犯公民个人信息犯罪的高压严打态势,聚焦网上贩卖公民个人信息犯罪新动向,紧盯“暗网”等隐秘部位全力开展侦查攻坚,2021年共侦办侵犯公民个人信息案件9800余起,抓获犯罪嫌疑人1.7万余名。
依法严厉惩治黑客攻击犯罪方面,公安机关坚持下先手棋、打主动仗,集中研判、集群作战,2021年共抓获实施黑客攻击活动及为其提供工具、洗钱等服务的人员3309名,铲除制售木马病毒、开发攻击软件平台团伙341个,有力保障了重要信息系统和网络安全,也有力保护了公民个人信息。
深入开展网络犯罪关键物料“四断”行动方面,“黑卡、黑号、黑线路、黑设备”是实施网络犯罪的四类关键物料,成为各类网络违法犯罪团伙躲避监管打击的重要依托。对此,公安机关全面发起“四断”行动,聚焦卡商、号商、打码接码平台等重点对象,重拳出击,2021年共侦办此类案件1.3万余起,抓获犯罪嫌疑人3.1万余名,清理手机黑卡300万余张,关停网络黑号1000万余个,捣毁接码平台63个,缴获 “猫池”等黑产设备1万余台。
深入开展网络犯罪关键黑产“四治”行动方面,非法“支付结算”“广告推广”“建站设施”“技术支持”是支撑网络犯罪的四类关键黑产业。为切实斩断网络利益链条,公安机关聚焦这四类黑产业深入推进“四治”行动,2021年共打掉非法支付结算等各类团伙6000余个,抓获犯罪嫌疑人7.3万余名。同时,加大对这四类黑产业违法信息的识别、阻断和清理力度,共巡查处置违法信息44万余条,有效防止了相关犯罪活动蔓延扩散。
此外,新闻发布会还就公安机关在打击窃听窃照违法犯罪、打击非法黑公关等“网络水军”违法犯罪、深入开展网约犯罪预警防范和打击、深入开展重点基础资源生态治理“四管”行动、打击治理网络黑灰产、保护公民个人信息、整治网络环境等方面的工作进行介绍。
来源:公安部官网
密码法实施两周年暨寰球密码法律政策发展动态高端座谈会圆满落幕
第八十三期网络安全政策法律动态半月刊(2021.12.16—2021.12.31)
第八十二期网络安全政策法律动态半月刊(2021.12.1—2021.12.15)