第九十一期网络安全政策法律动态半月刊(2022.4.15—2022.4.30)
本期关注
❖ 境外关注
欧盟就《数字服务法案》达成临时政治协议。欧盟委员会主席表示,该法案在达成速度及实质内容上都是历史性的,将促使“线下违法行为在线上依然违法”的原则取得实效。印度计算机应急响应小组发布指令,强制要求组织向其报告网络安全事件。
❖ 境内关注
中共中央办公厅、国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》,要求完善责任追究制度,建立健全行业主管部门、企业、用户三级责任制。中央网信办部署开展“清朗·网络暴力专项治理行动”,对网络暴力易发多发、社会影响力大的18家网站平台进行全链条治理。
1. 美国三部门发布警报:警惕朝鲜黑客对加密货币的威胁
https://www.cisa.gov/uscert/ncas/alerts/aa22-108a
2. 五眼联盟就俄罗斯对关键基础设施构成的网络威胁发布警报
https://www.cisa.gov/uscert/ncas/alerts/aa22-110a
3. 印度和英国签订谅解备忘录,深化电信和信息通信技术领域合作
https://www.gov.uk/government/publications/mou-on-telecommunications-and-information-communication-technology-between-india-and-the-united-kingdom
4. 美国白宫发布《国内反无人机系统国家行动计划》
https://www.whitehouse.gov/briefing-room/statements-releases/2022/04/25/fact-sheet-the-domestic-counter-unmanned-aircraft-systems-national-action-plan/
5. 五眼联盟联合发布警报,披露2021年最常被利用的15个漏洞
https://www.cisa.gov/uscert/ncas/alerts/aa22-117a
6. 美国联合60个全球伙伴发起《互联网未来宣言》
https://www.whitehouse.gov/wp-content/uploads/2022/04/Declaration-for-the-Future-for-the-Internet_Launch-Event-Signing-Version_FINAL.pdf
7. 印度计算机应急响应小组发布指令,强化网络安全事件报告义务
https://www.pib.gov.in/PressReleasePage.aspx?PRID=1820904
8. 新加坡网络安全局发布《CII所有者增强5G应用网络安全指南》
https://www.csa.gov.sg/News/Publications/guidelines-for-cii-owners-to-enhance-cyber-security-for-5g-use-cases
9. 欧盟就《数字服务法案》达成临时政治协议
https://www.europarl.europa.eu/news/en/press-room/20220412IPR27111/digital-services-act-agreement-for-a-transparent-and-safe-online-environment
10. 美国NIST发布SP1800-33B《5G网络安全:方法、架构和安全特性指南》草案
https://www.nist.gov/news-events/news/2022/04/nist-requests-public-comment-draft-guidance-5g-cybersecurity
11. 美国NIST发布SP 800-82《运营技术安全指南》草案
https://csrc.nist.gov/News/2022/guide-to-operational-technology-ot-security
12. 巴西参议院通过一项加密货币监管法案
https://www25.senado.leg.br/web/atividade/materias/-/materia/137512
13. 美国纽约州提出《确立与加密欺诈有关的罪行法案》
https://www.nysenate.gov/legislation/bills/2021/s8839
1. 国家主席习近平提出全球安全倡议
4月21日,国家主席习近平出席博鳌亚洲论坛2022年年会开幕式并发表主旨演讲。
习近平指出,为了促进世界安危与共,中方愿提出全球安全倡议:要坚持共同、综合、合作、可持续的安全观,共同维护世界和平和安全;坚持尊重各国主权、领土完整,不干涉别国内政,尊重各国人民自主选择的发展道路和社会制度;坚持遵守联合国宪章宗旨和原则,摒弃冷战思维,反对单边主义,不搞集团政治和阵营对抗;坚持重视各国合理安全关切,秉持安全不可分割原则,构建均衡、有效、可持续的安全架构,反对把本国安全建立在他国不安全的基础之上;坚持通过对话协商以和平方式解决国家间的分歧和争端,支持一切有利于和平解决危机的努力,不能搞双重标准,反对滥用单边制裁和“长臂管辖”;坚持统筹维护传统领域和非传统领域安全,共同应对地区争端和恐怖主义、气候变化、网络安全、生物安全等全球性问题。
来源:中国政府网
2. 中央财经委员会:全面加强基础设施建设 构建现代化基础设施体系
4月26日,中共中央总书记、国家主席、中央军委主席、中央财经委员会主任习近平主持召开中央财经委员会第十一次会议,研究全面加强基础设施建设问题,研究党的十九大以来中央财经委员会会议决策部署落实情况。
会议指出,要加强交通、能源、水利等网络型基础设施建设,把联网、补网、强链作为建设的重点,着力提升网络效益。要加强信息、科技、物流等产业升级基础设施建设,布局建设新一代超算、云计算、人工智能平台、宽带基础网络等设施,推进重大科技基础设施布局建设。要加强国家安全基础设施建设,加快提升应对极端情况的能力。
会议强调,要统筹发展和安全两件大事,牢固树立底线思维,切实加强重大风险预测预警能力,有切实管用的应对预案及具体可操作的举措。
来源:新华网
3. 国家发展和改革委员会发布《电力可靠性管理办法(暂行)》
4月16日,国家发展和改革委员会发布《电力可靠性管理办法(暂行)》。《办法》共十一章六十四条,其中第七章为网络安全。
《办法》规定,电力企业应当落实网络安全保护责任,健全网络安全组织体系,设立专门的网络安全管理及监督机构,加快各级网络安全专业人员配备;落实网络安全等级保护、关键信息基础设施安全保护和数据安全制度,加强网络安全审查、容灾备份、监测审计、态势感知、纵深防御、信任体系建设、供应链管理等工作;开展网络安全监测、风险评估和隐患排查治理,提高网络安全监测分析与应急处置能力。
4. 中共中央办公厅、国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》
近日,中共中央办公厅、国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》,对加强打击治理电信网络诈骗违法犯罪工作作出安排部署。
《意见》要求,要依法严厉打击电信网络诈骗违法犯罪。坚持依法从严惩处,形成打击合力,提升打击效能;坚持全链条纵深打击,依法打击电信网络诈骗以及上下游关联违法犯罪;健全涉诈资金查处机制,最大限度追赃挽损;进一步强化法律支撑,为实现全链条打击、一体化治理提供法治保障;加强国际执法司法合作,积极推动涉诈在逃人员通缉、引渡、遣返工作。
《意见》要求,要加强行业监管源头治理。建立健全行业安全评估和准入制度;加强金融行业监管,及时发现、管控新型洗钱通道;加强电信行业监管,严格落实电话用户实名制;加强互联网行业监管;完善责任追究制度,建立健全行业主管部门、企业、用户三级责任制;建立健全信用惩戒制度,将电信网络诈骗及关联违法犯罪人员纳入严重失信主体名单。《意见》还要求强化属地管控综合治理,加强犯罪源头地综合整治。
来源:公安部官网
5. 中央深改委审议通过《关于加强数字政府建设的指导意见》
4月19日,中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平主持召开中央全面深化改革委员会第二十五次会议,审议通过《关于加强数字政府建设的指导意见》等文件。
会议指出,加强数字政府建设是创新政府治理理念和方式的重要举措,对加快转变政府职能,建设法治政府、廉洁政府、服务型政府意义重大。党的十八大以来,党中央围绕实施网络强国战略、大数据战略等作出一系列重大部署,各方面工作取得新进展。要把坚持和加强党的全面领导贯穿数字政府建设各领域各环节,坚持正确政治方向。要把满足人民对美好生活的向往作为数字政府建设的出发点和落脚点,打造泛在可及、智慧便捷、公平普惠的数字化服务体系,让百姓少跑腿、数据多跑路。要以数字化改革助力政府职能转变,统筹推进各行业各领域政务应用系统集约建设、互联互通、协同联动,发挥数字化在政府履行经济调节、市场监管、社会管理、公共服务、生态环境保护等方面职能的重要支撑作用,构建协同高效的政府数字化履职能力体系。要强化系统观念,健全科学规范的数字政府建设制度体系,依法依规促进数据高效共享和有序开发利用,统筹推进技术融合、业务融合、数据融合,提升跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务水平。要始终绷紧数据安全这根弦,加快构建数字政府全方位安全保障体系,全面强化数字政府安全管理责任。
来源:中国政府网
6. 上海将研制“生物特征及用户习惯采集、数据跨境流通安全评估”等标准
4月20日,上海市人民政府发布《上海城市数字化转型标准化建设实施方案》,围绕“经济、生活、治理”全面数字化转型要求,通过研制实施一批能用、管用、好用的数字化转型标准,构建具有系统性、协调性、开放性的城市数字化转型标准体系。
《实施方案》指出,到2023年底,上海将新增发布100项以上城市数字化转型地方标准及团体标准,主导或参与制定50项以上国际标准和国家标准,形成15项以上“上海标准”,推动50项以上城市数字化转型标准化试点,有效支撑上海城市数字化转型。
在数字安全方面,将聚焦信息安全、链路安全、数据安全防护,研制实施数据资源全流程监测、生物特征及用户习惯采集和应用管理、数据跨境流通安全评估等标准,以标准化支撑构建城市数字化转型的大安全格局。
来源:上海市人民政府官网
7. 10项网络安全国家标准获批发布
4月24日,全国信息安全标准化技术委员会归口的10项国家标准正式发布。具体清单如下:
来源:全国信安标委官网
8. 全国信安标委发布两项网络安全标准实践指南征求意见稿
其中,《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》旨在落实《个人信息保护法》第三十八条个人信息保护认证制度提供认证依据,从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出要求,为认证机构实施个人信息跨境处理活动认证提供认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。
来源:全国信安标委官网
9. 更新后的国家标准《信息安全技术 重要数据识别指南》(征求意见稿)发布
近日,更新后的国家标准《信息安全技术 重要数据识别指南》(征求意见稿)发布,较此前公开征求意见版本有了较大修改。具体来说,有四方面的改动:
一是,从我国数据分类分级制度实施的整体工作部署出发,标准更名为《重要数据识别规则》,后续将向国标委履行申请更名程序。
二是,“重要数据”的定义修改如下:特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。重要数据监管是国家数据安全分类分级制度的核心,也是国家数据安全工作的重点,故对重要数据的定义是个政策问题,不是由标准编制组决定的,本次的修改有着充足的政策依据。
三是,在描述重要数据识别因素时,侧重于从后果角度,而不是从数据类型角度。例如,无论是地理数据,还是战略物资产能数据,都具有潜在军事价值,可能被其他国家或组织利用发起对我国的军事打击。那么,就需要从“军事安全”角度描述该重要数据识别因素。
四是,严格践行总体国家安全观,从国家安全体系涵盖的十六个问题领域分别阐述数据安全与国家安全的关系。
来源:“小贝说安全”微信公众号
10. 中央网信办等三部门印发《深入推进IPv6规模部署和应用2022年工作安排》
4月25日消息,中央网信办、国家发展改革委、工信部近日联合印发《深入推进IPv6规模部署和应用2022年工作安排》。
《工作安排》部署了十个方面重点任务,包括强化网络承载能力、提升终端支持能力、优化应用设施性能、拓展行业融合应用、加快政务应用改造等。强化安全保障。《工作安排》要求加快IPv6安全关键技术研发和应用、提升IPv6网络安全防护和监测预警能力、加强IPv6网络安全管理和监督检查。
来源:中国政府网
11. 市场监管总局发布《2022年立法工作计划》
4月26日,市场监管总局发布《2022年立法工作计划》。工作计划共列入立法项目69部。其中,第一类立法项目36部,力争在年内提请总局局务会审议,第二类立法项目33部,抓紧启动并持续推进。
具体来说,第一类立法项目包括《反不正当竞争法》《互联网广告管理办法》等,第二类立法项目包括《认证认可条例》《禁止非法生产销售使用窃听窃照专用器材和“伪基站”设备的规定》等。
来源:市场监管总局官网
12. 中国证监会发布《证券期货业网络安全管理办法(征求意见稿)》
4月29日,中国证监会发布《证券期货业网络安全管理办法(征求意见稿)》。
征求意见稿共八章六十六条,对证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面提出了要求。
征求意见稿规定,核心机构和经营机构应当依法履行网络安全保护义务,对本机构网络安全负责,相关责任不因其他机构提供产品或者服务进行转移或者减轻。信息技术服务机构应当勤勉尽责,对提供产品或者服务的合规性、安全性承担责任。
来源:证监会官网
13. 三部门联合启动邮政快递领域个人信息安全治理专项行动
4月21日,国家邮政局、公安部、国家互联网信息办公室联合召开电视电话会议,部署开展为期半年的邮政快递领域个人信息安全治理专项行动。
会议指出,一要聚焦解决突出问题,确保实现涉邮政快递领域侵犯公民个人信息违法犯罪得到明显遏制,社会公众对邮政快递面单信息保护直观感受明显改善,邮政快递领域信息安全管理短板弱项得到有效补强。二要摸清底数,各企业要全面开展排查,严格落实人防物防技防措施。三要坚持合成作战,提升打击效能,对侵害用户信息安全行为“零容忍”,严厉打击涉寄递电信诈骗、空包“刷单”等违法犯罪行为。四要严格依法监管执法,严肃查处追责,切实形成高压态势。五要加大整治力度,大力推广虚拟安全号码、隐私面单、网络身份认证等技术应用。六要夯实基础,加强关键信息基础设施安全保护,建立健全网络安全监测预警和网络安全事件应急预案。
会议要求,要密切协作配合,充分发挥各自职能优势,切实形成整体合力。公安机关网安、刑侦等部门要将专项工作与“净网2022”、“护网2022”、打击电信诈骗等专项行动有机结合,抽调精干力量,组建工作专班,确保各项任务落实落地。网信部门要加强与邮政管理部门、公安机关的协同配合,不断健全完善邮政快递领域个人信息保护相关制度措施,切实提升邮政快递领域个人信息保护水平。各企业要落实主体责任,加强对全网专项行动的统筹调度、内部管理。
来源:国家邮政局官网
14. 中央网信办部署开展“清朗·网络暴力专项治理行动”
4月24日,为有效防范和解决网络暴力问题,切实保障广大网民合法权益,中央网信办就加强网络暴力治理进行专门部署,要求网站平台认真抓好集中整治,建立健全长效机制,确保治理工作取得扎实成效。
中央网信办有关负责人表示,这次“清朗·网络暴力专项治理行动”主要聚焦网络暴力易发多发、社会影响力大的18家网站平台,包括新浪微博、抖音、百度贴吧、知乎等,通过建立完善监测识别、实时保护、干预处置、溯源追责、宣传曝光等措施,进行全链条治理。一是建立健全识别预警机制,进一步细化网络暴力信息分类标准,强化行为识别和舆情发现,及时预警网络暴力苗头性、倾向性问题。二是建立健全网络暴力当事人实时保护机制,调整私信功能规则,及时过滤“网暴”内容,强化“一键防护”等应急保护措施,建立快速取证和举报通道,加大弹窗提醒警示力度,加强重点群体救助保护。三是严防网络暴力信息传播扩散,以社交、直播、短视频、搜索引擎、新闻资讯和榜单、话题、群组、推荐、弹窗等环节为重点,及时清理处置涉及网络暴力的评论、弹幕等内容。四是加大对违法违规账号、机构和网站平台处置处罚力度,针对首发、多发、煽动和跟风发布等不同情形,分类处置网络暴力相关账号,连带处置违规账号背后MCN机构,严肃问责处罚失职失责网站平台,会同有关部门依法追究相关人员法律责任。五是强化警示曝光和正向引导,及时公布典型案例处置情况,推动权威机构和专业人士友善评论、理性发声。
来源:中国网信网
第八十九期网络安全政策法律动态半月刊(2022.4.1—2022.4.15)