第八十八期网络安全政策法律动态半月刊(2022.3.1—2022.3.15)
本期关注
❖ 境外关注
美国总统拜登签署《确保数字资产负责任发展的行政令》,采取有力措施减少数字资产可能对消费者、投资者和商业保护构成的风险。俄罗斯总统普京签署俄罗斯联邦刑法修正案,严惩故意公开传播俄罗斯武装部队虚假信息的行为,导致严重后果的将被处以最高10至15年监禁。俄罗斯杜马引入法案,规定外国科技巨头未在俄罗斯设立代表处的将面临最高10%营业额的罚款。❖ 境内关注
《政府工作报告》《全国人大常委会工作报告》《最高人民法院工作报告》《最高人民检察院工作报告》相继发布,强化网络安全、数据安全和个人信息保护,重点打击网络犯罪,反制“长臂管辖”。国家互联网信息办公室就《未成年人网络保护条例(征求意见稿)》再次征求公众意见,进一步突出重要互联网平台服务提供者责任。1. 美国总统拜登签署《确保数字资产负责任发展的行政令》
https://www.whitehouse.gov/briefing-room/presidential-actions/2022/03/09/executive-order-on-ensuring-responsible-development-of-digital-assets/
2. 俄罗斯总统普京签署俄罗斯联邦刑法修正案,严惩故意公开传播俄罗斯武装部队虚假信息行为
https://www.garant.ru/hotlaw/federal/1531139/
3. 美国NSA发布《网络基础设施安全指南》
https://media.defense.gov/2022/Mar/01/2002947139/-1/-1/0/CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDANCE_20220301.PDF
4. 日本多部门发布公告,提请政府机构与关键基础设施运营商加强网络安全措施
https://www.meti.go.jp/english/press/2022/0301_003.html
5. 美国CISA发布《应急通信资金应急计划指南》
https://www.cisa.gov/blog/2022/03/04/cybersecurity-and-infrastructure-security-agency-cisa-has-published-its-0
6. 俄罗斯国家计算机事件协调中心发布《确保电信设备安全建议》
https://safe-surf.ru/specialists/news/676222/
7. 英国发布《数据中心安全:所有者和用户指南》
https://www.cpni.gov.uk/data-centre-security
8. 美国SEC发布拟议规则《网络安全风险管理、战略、治理和事件披露》
https://www.sec.gov/rules/proposed/2022/33-11038.pdf
9. 丹麦发布《云服务使用指南》
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/mar/ny-vejledning-og-ekspertgruppe-om-brug-af-cloud
10. 英国政府发布数字身份立法咨询反馈,推进数字身份安全管理立法
https://www.gov.uk/government/consultations/digital-identity-and-attributes-consultation/outcome/government-response-to-the-digital-identity-and-attributes-consultation
11. 法国CNIL发布《2022-2024年战略计划》
https://www.cnil.fr/en/cnil-publishes-its-2022-2024-strategic-plan
12. 美国NIST发布SP 800-172A《评估受控非密信息增强安全要求》
https://csrc.nist.gov/publications/detail/sp/800-172a/final
13. 英国政府发布《电信安全业务手册》草案
https://www.gov.uk/government/consultations/proposal-for-new-telecoms-security-regulations-and-code-of-practice
14. 美国CISA发布《基于零信任架构的企业移动安全指南》草案
https://www.cisa.gov/sites/default/files/publications/Zero_Trust_Principles_Enterprise_Mobility_For_Public_Comment_508C.pdf
15. 英国ICO发布《匿名化、假名化和隐私增强技术指南(草案)》第四章“问责制与治理措施”内容
https://ico.org.uk/media/about-the-ico/consultations/4019713/chapter-4-anonymisation-guidance-accountability-and-governance.pdf
16. 美国参议院引入《2022年安全访问电信法案》
https://www.congress.gov/bill/117th-congress/senate-bill/3775/text
17. 美国参议院引入《对丝绸之路说不法案》,加强对数字人民币的监管
https://www.congress.gov/bill/117th-congress/senate-bill/3784/text?r=1&s=1
18. 俄罗斯杜马引入法案,外国科技巨头未在俄罗斯设立代表处将面临最高10%营业额罚款
http://duma.gov.ru/news/53668/
1. 国务院2022年政府工作报告:强化网络安全、数据安全和个人信息保护
3月5日,国务院总理李克强向第十三届全国人民代表大会第五次会议作《2022年政府工作报告》。
报告指出,2021年,国务院营造良好网络生态。推进法治政府建设和治理创新,保持社会和谐稳定。提请全国人大常委会审议法律议案10件,制定修订行政法规15部。加强国家安全保障能力建设。完善社会治安防控体系,常态化开展扫黑除恶斗争,集中打击治理电信网络诈骗等犯罪。
2022年,国务院将强化网络安全、数据安全和个人信息保护。促进数字经济发展。加强数字中国建设整体布局。建设数字信息基础设施,逐步构建全国一体化大数据中心体系,推进5G规模化应用,促进产业数字化转型,发展智慧城市、数字乡村。加快发展工业互联网,培育壮大集成电路、人工智能等数字产业,提升关键软硬件技术创新和供给能力。完善数字经济治理,培育数据要素市场,释放数据要素潜力,提高应用能力,更好赋能经济发展、丰富人民生活。来源:中国政府网
2. 全国人大常委会工作报告提出制定反电信网络诈骗法
3月8日,全国人大常委会委员长栗战书向十三届全国人大五次会议作《全国人民代表大会常务委员会工作报告》。
报告指出,2021年,全国人大常委会制定数据安全法,提升国家数据安全保障能力。制定反外国制裁法,健全完善反制裁、反干涉、反制“长臂管辖”的法律制度。根据这部法律,任何国家以任何借口、任何方式干涉中国内政,损害我国国家、组织和个人利益的行为,我国都有权采取相应反制措施,坚决捍卫国家主权、安全、发展利益,坚决保护我国公民、组织的合法权益。制定个人信息保护法,起草并初次审议反电信网络诈骗法草案,回应人民群众反映强烈的电信网络诈骗问题,维护公民在网络空间的合法权益。
2022年,全国人大常委会将在重大政治原则和大是大非问题上立场坚定,主动谋划涉外斗争的法律武器,运用法治手段开展国际斗争,维护国家安全。增强立法工作系统性、整体性、协同性。根据年度立法工作计划,预安排审议40件法律案。加快推进民生、社会、环保领域立法,制定反电信网络诈骗法。
来源:中国人大网
3. 最高人民法院工作报告:将严惩网络犯罪,坚决依法反制“长臂管辖”
3月8日,最高人民法院院长周强向十三届全国人大五次会议作《最高人民法院工作报告》。
报告指出,2021年,各级人民法院审结网络传销、网络赌博、非法利用信息网络等犯罪案件9.2万件,维护互联网安全。认真贯彻个人信息保护法,严惩窃取倒卖身份证、通讯录、快递单、微信账号、患者信息等各类侵犯公民个人信息犯罪,审结相关案件4098件,同比上升60.2%。依法从严惩治行业“内鬼”泄露个人信息。严惩利用恶意程序、钓鱼欺诈等形式非法获取个人信息,审理“颜值检测”软件窃取个人信息案,惩治网络黑灰产业链犯罪。严惩通过非法侵入监控系统贩卖幼儿园、养老院实时监控数据的犯罪分子。对侵犯个人信息、煽动网络暴力侮辱诽谤的,依法追究刑事责任。出台人脸识别司法解释,制止滥用人脸识别技术行为,让公众不再为自己的“脸面”担忧。审理人脸识别第一案,明确人脸识别技术应用范围,守护公众重要生物识别信息安全。严惩电信网络诈骗犯罪,审结相关案件7.9万件14.9万人,对“5·09”特大跨境电信网络诈骗案590名被告人判处刑罚。
2022年,人民法院将严惩危害国家安全犯罪,坚决维护国家政治安全。严惩网络犯罪和跨国跨境犯罪。依法规范数字经济发展,保护平台从业人员和消费者合法权益。坚决依法反制外国对我国企业和公民实施的“长臂管辖”。中国法院维护以国际法为基础的国际秩序坚定不移,捍卫国家主权和司法管辖权寸步不让。
来源:最高人民法院官网
4. 最高人民检察院工作报告:积极稳妥办理网络治理等新领域案件
3月8日,最高人民检察院检察长张军向十三届全国人大五次会议作《最高人民检察院工作报告》。
报告指出,2021年,检查机关依法惩治涉虚拟货币、网贷平台等新型金融犯罪。营造清朗网络空间方面,会同公安部等出台办理电信网络诈骗等刑事案件指导意见,全链条打击、一体化防治,起诉利用网络实施诈骗、赌博、传播淫秽物品等犯罪28.2万人,同比上升98.5%。协同推进“断卡”行动,起诉非法买卖电话卡和银行卡、帮助提款转账等犯罪12.9万人,是2020年的9.5倍。继取快递女子被造谣出轨案自诉转公诉,接续发布公民人格权保护指导性案例,从严追诉网络诽谤、侮辱、侵犯公民个人信息等严重危害社会秩序、侵犯公民权利犯罪,起诉3436人,同比上升51.3%。注重源头防范,办理个人信息保护领域公益诉讼2000余件;上海、重庆等地检察机关对利用手机软件违法收集使用个人信息开展专项监督,推动网信、通信管理等部门综合治理。网络虚拟空间,依法治理要实。
2022年,检察机关将落实总体国家安全观,从严从细从实抓好防风险、保安全、护稳定、促发展各项工作,坚决维护国家安全、社会安定、人民安宁。办好法定领域公益诉讼案件,积极稳妥办理网络治理、金融证券、知识产权、文物和文化遗产保护、妇女权益保障等新领域案件。
来源:最高人民检察院官网
5. 国务院印发《关于加快推进政务服务标准化规范化便利化的指导意见》
2月7日,国务院印发《关于加快推进政务服务标准化规范化便利化的指导意见》。
《指导意见》要求全面提升全国一体化政务服务平台服务能力。各级部门能依托全国一体化政务服务平台支撑政务服务业务办理的,不再单独建设相关业务系统,确需单独建设业务系统的,要把与全国一体化政务服务平台对接融合和数据共享作为项目立项及验收条件。
《指导意见》要求以全国一体化政务服务平台为数据共享总枢纽,在确保数据安全的基础上,充分发挥政务数据共享协调机制作用,建立政务数据共享供需对接机制,推进国务院部门垂直管理业务信息系统与地方政务服务平台深度对接和数据双向共享,强化部门之间、部门与地方之间、地方之间政务数据共享,提高数据质量和可用性、时效性,满足不动产登记、社会保障、户籍管理、市场主体准入准营等重点领域以及人口、法人、地名、教育、婚姻、生育、住房、信用等普遍性数据需求。
来源:中国政府网
6. 工信部印发《车联网网络安全和数据安全标准体系建设指南》
2月25日,工信部印发《车联网网络安全和数据安全标准体系建设指南》,聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点领域,着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给,覆盖车联网网络安全、数据安全的关键领域和关键环节。
其中,数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等,包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。
来源:工信部官网
7. 文化和旅游部发布《网络文化市场执法工作指引(征求意见稿)》
2月25日,文化和旅游部发布《网络文化市场执法工作指引(征求意见稿)》,内容涉及基础保障、网络巡查、远程取证、现场取证、电子数据管理、执法协作等内容。
征求意见稿规定,网络文化单位是指从事网络文化活动的所有主体,既包括已取得相关资质的经营性互联网文化单位、非经营性互联网文化单位,也包括生产、制作、传播网络文化产品或提供网络文化服务的其他公民、法人和其他组织。
征求意见稿规定,执法部门应当利用搜索工具和软件,使用网络文化单位的名称、域名、IP地址、网络文化产品或者服务的名称、内容等条目作为关键词,搜集整理辖区内网络文化活动及相关单位信息,及时了解网络文化市场状况,并对辖区内重点网络文化单位及其活动、涉嫌违法违规网络文化经营活动进行重点巡查。
来源:文化和旅游部官网
8. 科技部中国人类遗传资源管理办公室发布《人类遗传资源管理常见问题解答》
3月2日,科技部中国人类遗传资源管理办公室发布《人类遗传资源管理常见问题解答》。
其中,针对数据统计公司如需接收人类遗传资源信息,是否需要进行信息备份和备案的问题,答案是合作各方之外的外方单位如需接收人类遗传资源信息,需要进行信息备份和备案。
针对实时出境的数据信息应如何进行备份和备案的问题,答案是如涉及基因数据信息,应将拟出境数据信息类型、合计例数、单位/规格等进行数据备份,并预估整个项目的数据量进行数据备案,备案通过后定期进行数据备份,如果实际备份的数据量预计超过备案数据量时,需要进行备案变更;如不涉及基因数据信息,不需要进行信息备份和备案。来源:科技部官网
9. 中央网信办等四部门印发《2022年提升全民数字素养与技能工作要点》,加强个人信息和隐私保护
3月2日消息,中央网信办、教育部、工信部、人力资源社会保障部近日联合印发《2022年提升全民数字素养与技能工作要点》。
工作要点部署了8个方面29项重点任务,分别是加大优质数字资源供给、打造高品质数字生活、提升劳动者数字工作能力、促进全民终身数字学习、提高数字创新创业创造能力、筑牢数字安全保护屏障、加强数字社会文明建设,以及加强组织领导和整体推进。其中,安全保护方面要求增强网络安全、数据安全防护意识和能力,加强个人信息和隐私保护。来源:中国网信网
10. 国家互联网信息办公室发布《互联网弹窗信息推送服务管理规定(征求意见稿)》
3月2日,国家互联网信息办公室发布《互联网弹窗信息推送服务管理规定(征求意见稿)》。
征求意见稿强调,互联网弹窗信息推送服务提供者应当落实信息内容安全管理主体责任,建立健全信息内容审核、生态治理、网络安全、数据安全、个人信息保护、未成年人保护等管理制度。
征求意见稿强调,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型;不得滥用个性化弹窗服务,利用算法屏蔽信息、过度推荐等;不得滥用算法,针对未成年用户进行画像,向未成年用户推送可能影响其身心健康的信息。来源:中国网信网
11. 全国信息安全标准化技术委员会发布《2022年网络安全国家标准需求清单》
3月6日,全国信息安全标准化技术委员会秘书处发布《2022年网络安全国家标准需求清单》,共列出34项国家标准制定需求,涉及重要数据处理、关键信息基础设施安全评测、网络安全保险、网络安全服务能力等方面。
其中,《信息安全技术 重要数据处理安全要求》旨在支撑《数据安全法》第二十一条对重要数据进行重点保护的要求,拟明确数据处理者在重要数据全流程处理过程中的保护要求,重点针对存储、使用环节提出专门要求。
《信息安全技术 关键信息基础设施安全测评要求》,旨在支撑《关键信息基础设施安全保护条例》的落地实施,为关键信息基础设施的安全测评工作提供方法和技术支撑,拟规定关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等环节的安全检测评估要求。
来源:全国信标委官网
12. 河南省大数据管理局发布《河南省数据条例(草案)》(征求意见稿)
3月7日,河南省大数据局发布《河南省数据条例(草案)》(征求意见稿)。征求意见稿共七章,对公共数据、非公共数据、数据开发利用、数据安全等内容作出详细规定。
公共数据方面,征求意见稿指出,公共数据收集遵循合法、正当、必要原则,按照“一数一源、一源多用”收集公共数据,可以通过共享方式获取或者确认的公共数据,不得重复收集、多头收集,法律、行政法规另有规定的除外。
数据开发利用方面,征求意见稿指出,自然人、法人和非法人组织可以利用其合法持有的数据。依法获取的数据经过处理无法识别特定个人且不能复原的,或者取得特定数据提供者明确授权的,可以交易、交换或者以其他方式开发利用。
来源:河南省大数据管理局官网
13. 上海市人民政府办公厅数据发展管理办公室发布《上海市政务云管理暂行办法(征求意见稿)》
3月8日,上海市人民政府办公厅数据发展管理办公室发布《上海市政务云管理暂行办法(征求意见稿)》。
征求意见稿明确,政务云是指依托非涉密电子政务网络,为等保三级及以下的非涉密信息系统提供计算资源、存储资源、服务支撑、安全保障等共性资源的信息基础设施,由市级政务云(含政务云专有域)和区级政务云组成。
征求意见稿规定,政务云运行管理单位应当加大国产化软硬件产品的规模化应用,积极满足各类业务对于人工智能、大数据、区块链等前沿技术需求,不断提升覆盖多元算力、基础软件、能力组件、安全套件的综合服务能力,以服务目录的形式向使用单位进行能力输出,并推进政务云与政务外网资源融合、灵活调度、动态优化。
征求意见稿规定,政务云服务商负责建立健全安全保护工作制度,提供安全可信的产品和服务,做好政务云的安全监测和防御工作,定期开展网络安全等级保护测评与密码应用安全性评估,保障政务云安全稳定运行。政务云主管部门、政务云运行管理单位和使用单位应当严格落实国家网络安全和商用密码应用要求,采取安全管理措施,并与政务云同步规划、同步建设、同步运行网络安全体系与密码保障体系。来源:上海市人民政府官网
14. 国家互联网信息办公室就《未成年人网络保护条例(征求意见稿)》再次公开征求意见
征求意见稿突出大平台责任,规定未成年人用户数量巨大、在未成年人群体具有显著影响力的重要互联网平台服务提供者,应当履行在互联网平台服务的设计、研发、运营等阶段,充分考虑未成年人身心健康发展特点,定期开展未成年人网络保护影响评估;按照国家规定建立健全未成年人网络保护合规制度体系,成立主要由外部成员组成的独立机构,对未成年人网络保护情况进行监督;遵循公开、公平、公正的原则,制定专门的平台规则,明确平台内产品或者服务提供者未成年人网络保护的义务,并以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径等义务。
15. 银保监会发布风险提示,指出个人消费借贷领域过度收集个人信息
3月14日,中国银保监会发布2022年第2期消费者风险提示——《关于警惕过度借贷营销诱导的风险提示》,指出个人消费信贷领域存在过度收集个人信息,侵害消费者个人信息安全权的问题。
银保监会指出,一些金融机构、互联网平台在开展相关业务或合作业务时,对消费者个人信息保护不到位,比如以默认同意、概括授权等方式获取授权;未经消费者同意或违背消费者意愿将个人信息用于信用卡业务、消费信贷业务以外的用途;不当获取消费者外部信息等。以上过度收集或使用消费者个人信息的行为,侵害消费者个人信息安全权。
对此,银保监会提示,消费者要提高保护个人信息安全意识。在消费过程中提高保护自身合法权益的意识。认真阅读合同条款,不随意签字授权,注意保管好个人重要证件、账号密码、验证码、人脸识别等信息。不随意委托他人签订协议、授权他人办理金融业务,避免给不法分子可乘之机。一旦发现侵害自身合法权益行为,要及时选择合法途径维权。来源:中国银保监会官网
16. 全国信安标委发布2022年度工作要点:将研制重要数据保护等一批急需关键标准
3月15日,全国信安标委发布2022年度工作要点。2022年,全国信安标委将支撑“3法+1条例”,研制重要数据保护、数据安全风险评估、数据交易服务安全、政务数据处理、智能手机预装应用程序、敏感个人信息处理、大型互联网企业个人信息保护监督机构要求、关键信息基础设施安全测评要求等数据安全、个人信息保护、关键信息基础设施安全保护等领域一批急需关键标准。
17. 工信部召开行政指导会,规范APP推荐下载行为
3月3日消息,针对部分网站在用户浏览页面信息时强制要求下载APP的问题,工信部信息通信管理局近日召开行政指导会,督促相关互联网企业进行整改。
会议要求,相关互联网企业在用户浏览页面内容时,应做到1)未经用户同意或主动选择,不得自动或强制下载APP;推荐下载APP时,应同步提供明显的“取消”选项,切实保障用户的知情权、选择权;2)无合理正当理由,不得要求用户不下载APP就不给看,或者不让看全文;3)不得以折叠显示、主动弹窗、频繁提示、降低体验等方式强迫、误导用户下载、打开APP,或跳转至应用商店,影响用户正常浏览信息。
来源:工信部官网
18. 公安机关严厉打击偷拍偷窥黑色产业链条
3月7日,公安部公布依法严厉打击偷拍偷窥黑色产业链条行动情况。
据介绍,2021年11月以来,专项打击行动共侦破刑事案件160余起,抓获犯罪嫌疑人860余名,打掉窃听窃照专用器材生产窝点15个,缴获专用器材1.1万件,查获被非法控制的网络摄像头3万个。
专项打击行动对偷拍偷窥黑产实施全链条打击,依法严惩偷拍偷窥人员、传播贩卖偷拍图片音视频人员、窃听窃照专用器材生产销售人员以及黑客等。
来源:公安部官网
第八十七期网络安全政策法律动态半月刊(2022.2.16—2022.2.28)
第八十六期网络安全政策法律动态半月刊(2022.2.1—2022.2.15)报告全文发布 | 全球网络安全政策法律发展年度报告 (2021)第八十五期网络安全政策法律动态半月刊(2022.1.16—2022.1.31)