第九十三期网络安全政策法律动态半月刊(2022.5.16—2022.5.31)
本期关注
❖ 境外关注
美国司法部修订了依据《计算机欺诈和滥用法》提起违规指控的政策,指示检察官不得使用该法起诉网络安全研究人员。美国BIS公布《信息安全管制:网络安全物项》,规定出于国家安全与反恐原因,对“可用于监视、间谍活动或其他破坏、瘫痪或降级网络或设备”的特定网络安全物项引入新的出口管制措施。
❖ 境内关注
工信部公布2022年规章制定工作计划,计划年内修订完成《电信和互联网用户个人信息保护规定》。各省积极推进地方性法规建设和监督检查工作,河北省、辽宁省先后通过《河北省数字经济促进条例》《辽宁省大数据发展条例》;北京市、浙江省通信管理局组织开展2022年电信和互联网行业网络与数据安全检查。1. 美国-欧盟贸易和技术委员会发布联合声明,加强ICT等供应链弹性
https://www.commerce.gov/news/press-releases/2022/05/us-eu-joint-statement-trade-and-technology-council
2. 美韩发表联合声明,深化网络安全合作
https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/21/united-states-republic-of-korea-leaders-joint-statement/
3. 美日印澳发表联合声明,将采取集体措施加强网络安全
https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/24/quad-joint-leaders-statement/
4. 加拿大以“国家安全”为由,禁止华为中兴参与5G网络建设
https://www.canada.ca/en/innovation-science-economic-development/news/2022/05/policy-statement--securing-canadas-telecommunications-system.html
5. 欧盟理事会批准《数据治理法案》
https://www.consilium.europa.eu/en/press/press-releases/2022/05/16/le-conseil-approuve-l-acte-sur-la-gouvernance-des-donnees/
6. 美国司法部修订依据《计算机欺诈和滥用法》提起违规指控的政策,将不对“白帽黑客”追究责任
https://www.justice.gov/opa/pr/department-justice-announces-new-policy-charging-cases-under-computer-fraud-and-abuse-act
7. 美国BIS发布《信息安全管制:网络安全物项》,加强网络安全与漏洞信息管控
https://www.federalregister.gov/documents/2022/05/26/2022-11282/information-security-controls-cybersecurity-items
8. 俄通过《保护关键信息基础设施国家政策基本原则》草案
http://kremlin.ru/events/president/news/68451
9. 意大利政府发布《2022-2026年意大利国家网络安全战略》及实施计划
战略原文链接:https://www.acn.gov.it/ACN_Strategia.pdf
计划原文链接:https://www.acn.gov.it/ACN_Implementazione.pdf
10. 英国发布《数据共享治理框架》
https://www.gov.uk/government/publications/data-sharing-governance-framework/data-sharing-governance-framework
11. 印度发布《国家数据治理框架政策》草案
https://www.meity.gov.in/content/draft-national-data-governance-framework-policy
12. 俄罗斯国家杜马一读通过一项关于加强俄罗斯公民个人数据保护的法案
http://duma.gov.ru/news/54379/
13. 印度CERT-In发布常见问题解答,重申网络安全事件报告指令要求
https://pib.gov.in/PressReleaseIframePage.aspx?PRID=1826388
14. 欧盟EDPB发布《GDPR下的行政罚款计算指南》
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-042022-calculation-administrative_en
15. 欧盟EDPB发布《执法领域人脸识别技术应用指南》
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-052022-use-facial-recognition_en
16. 加拿大隐私专员办公室发布《个人信息保护和电子文件法》下敏感信息的解释
https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/pipeda-compliance-help/pipeda-interpretation-bulletins/interpretations_10_sensible/
17. 新加坡个人数据保护委员会发布《在安全应用中负责任地使用生物特征数据的指南》
https://www.pdpc.gov.sg/help-and-resources/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications
18. 美国CISA发布紧急指令,要求联邦机构缓解VMware产品漏洞
https://www.cisa.gov/emergency-directive-22-03
19. 美国FTC发布一项有关教育科技公司儿童在线隐私保护的声明
https://www.ftc.gov/business-guidance/blog/2022/05/ftc-ed-tech-protecting-kids-privacy-your-responsibility
20. 欧盟委员会发布问答文件,为标准合同条款SCC提供应用指导
https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
21. 爱尔兰数据保护委员会发布《儿童数据保护权利指南》
https://www.dataprotection.ie/en/dpc-guidance/childrens-data-protection-rights
22. 美国众议院通过《州和地方政府网络安全法案》
https://www.congress.gov/bill/117th-congress/senate-bill/2520?q=%7B%22search%22%3A%5B%22S2520%22%2C%22S2520%22%5D%7D&s=1&r=1
23. 美国参议院引入《数字广告竞争和透明度法案》
https://www.congress.gov/bill/117th-congress/senate-bill/4258/text
24. 美国参议院引入法案,禁止支持数字人民币的应用程序
https://www.congress.gov/bill/117th-congress/senate-bill/4313?s=1&r=3
25. 美国加州隐私保护局发布CCPA修订条例草案
https://www.wsgr.com/en/insights/california-privacy-protection-agency-releases-draft-cpra-regulations-key-takeaways.html
26. 美国马里兰州颁布《个人信息保护法修订案》
https://trackbill.com/bill/maryland-house-bill-962-commercial-law-maryland-personal-information-protection-act-revisions/2221351/
27. 英国就《数据存储和处理基础设施的安全性和弹性》征求意见
https://www.gov.uk/government/publications/data-storage-and-processing-infrastructure-security-and-resilience-call-for-views/data-storage-and-processing-infrastructure-security-and-resilience-call-for-views
1. 工信部计划年内修订完成《电信和互联网用户个人信息保护规定》
5月17日,工信部公布2022年规章制定工作计划。其中,《电信和互联网用户个人信息保护规定(修订)》被列入十项年内完成研究起草任务的项目清单。
《电信和互联网用户个人信息保护规定》自2013年9月1日起施行,距今已超过8年时间。《电信和互联网用户个人信息保护规定》是为了保护电信和互联网用户的合法权益,维护网络信息安全而制定的法规,主要规定了电信和互联网用户个人信息的保护范围、用户个人信息收集和使用原则、用户个人信息收集和使用规则、代理商管理、安全保障制度、监督检查制度等。
来源:工信部官网
2. 中国银保监会发布《银行保险监管统计管理办法(征求意见稿)》
5月19日,中国银保监会发布《银行保险监管统计管理办法(征求意见稿)》。征求意见稿共6章33条,重点就以下内容予以规范:
一是明确归口管理要求。征求意见稿明确监管统计工作归口管理要求,对监管统计管理机构归口管理部门职责作出界定,对银行保险机构归口管理部门职责予以明确,同时列明各相关主体职责边界。
二是明确数据质量责任。为督促银行保险机构重视数据质量,征求意见稿明确提出银行保险机构法定代表人或者主要负责人对监管统计数据质量承担最终责任。
三是强调数据安全保护。根据《数据安全法》相关规定,征求意见稿在职责范围、统计资料管理制度、监督检查中增加了涉及数据安全保护的监管内容,明确提出监管统计工作有关保密要求。
四是对接数据治理要求。充分吸收近年来中国银保监会对银行保险机构数据治理的监管要求,征求意见稿明确要求银行保险机构应将本单位监管统计工作纳入数据治理范畴。
五是重视数据价值实现。为引导银行保险机构不断提高数据分析能力,充分挖掘发挥监管统计资料价值,征求意见稿明确提出监管统计数据分析应用相关要求,引导银行保险机构充分运用数据分析手段,开展数据分析和挖掘应用,充分发挥监管统计资料价值。
来源:中国银保监会官网
3. 中国银保监会发布《银行保险机构消费者权益保护管理办法(征求意见稿)》
5月19日,中国银保监会发布《银行保险机构消费者权益保护管理办法(征求意见稿)》。征求意见稿共8章56条,明确了银行保险机构消费者权益保护的工作机制与管理要求,明确知情权、自主选择权、公平交易权、财产安全权、依法求偿权、受教育权、受尊重权、信息安全权等在内的八项消费者权益。
保障消费者信息安全权方面,征求意见稿要求银行保险机构处理消费者个人信息坚持“合法、正当、必要”原则,并对收集、格式条款、外部合作、互联网平台、系统控制、行为管理等方面作出要求。
外部合作方面,征求意见稿要求银行保险机构应在消费者授权同意的基础上与合作方处理消费者信息,与合作机构的协议中应约定数据保护责任、保密义务、监督、处罚、合同终止和突发情况下的应急处置条款。合作过程中,应通过加密传输线路、安全隔离、数据加密、权限管控、监测报警等方式,严格控制合作方行为与权限,开展数据分析等方面合作应使用脱敏后的数据,防范数据滥用或泄露风险。此外,在与互联网平台合作的过程中,未经消费者授权同意,不得在不同平台间传递消费者个人信息。不得利用痕迹数据对消费者开展未经授权的营销活动。
来源:中国银保监会官网
4. 国家广播电视总局印发《广播电视和网络视听领域经纪机构管理办法》
5月20日,国家广播电视总局印发《广播电视和网络视听领域经纪机构管理办法》。
办法规定,广播电视和网络视听领域经纪机构、经纪人员收集、处理、使用个人信息,应当遵守国家有关法律规定。经纪机构、经纪人员应当严格规范信息发布,不得发布或者雇佣营销号发布引发粉丝互撕、拉踩引战等有害信息,不得以打赏排名、刷量控评、虚构事实、造谣攻击等方式进行炒作,不得以虚假消费、带头打赏、应援集资等方式诱导粉丝消费。
办法规定,经纪机构、经纪人员,应当配合广播电视行政部门依法实施的监督检查,包括如实提供有关材料、给予技术支持等。
来源:中国政府网
5. 中共中央办公厅、国务院办公厅印发《关于推进实施国家文化数字化战略的意见》
5月22日消息,中共中央办公厅、国务院办公厅近日印发《关于推进实施国家文化数字化战略的意见》。
意见提出8项重点任务,分别是:(1)统筹利用文化领域已建或在建数字化工程和数据库所形成的成果,关联形成中华文化数据库;(2)夯实文化数字化基础设施,依托现有有线电视网络设施、广电5G网络和互联互通平台,形成国家文化专网;(3)鼓励多元主体依托国家文化专网,共同搭建文化数据服务平台;(4)鼓励和支持各类文化机构接入国家文化专网,利用文化数据服务平台,探索数字化转型升级的有效途径;(5)发展数字化文化消费新场景,大力发展线上线下一体化、在线在场相结合的数字化文化新体验;(6)统筹推进国家文化大数据体系、全国智慧图书馆体系和公共文化云建设,增强公共文化数字内容的供给能力,提升公共文化服务数字化水平;(7)加快文化产业数字化布局,在文化数据采集、加工、交易、分发、呈现等领域,培育一批新型文化企业,引领文化产业数字化建设方向;(8)构建文化数字化治理体系,完善文化市场综合执法体制,强化文化数据要素市场交易监管。
意见要求,在数据采集加工、交易分发、传输存储及数据治理等环节,制定文化数据安全标准,强化中华文化数据库数据入库标准,构建完善的文化数据安全监管体系,完善文化资源数据和文化数字内容的产权保护措施。加快文化数字化建设标准研究制定,健全文化资源数据分享动力机制,研究制定扶持文化数字化建设的产业政策,落实和完善财政支持政策,在文化数字化建设领域布局国家技术创新中心、全国重点实验室等国家科技创新基地,支持符合科创属性的数字化文化企业在科创板上市融资,推进文化数字化相关学科专业建设,用好产教融合平台。
来源:中国政府网
6. 最高人民法院发布《关于加强区块链司法应用的意见》
5月25日,最高人民法院发布《关于加强区块链司法应用的意见》。
意见明确人民法院区块链平台建设要求,要求充分运用区块链数据防篡改技术,进一步提升司法公信力;充分发挥区块链优化业务流程的重要作用,不断提高司法效率;充分挖掘区块链互通联动的巨大潜力,增强司法协同能力;充分利用区块链联盟互认可信的价值属性,服务经济社会治理。
安全方面,意见要求以安全可信为前提,着力提升上链数据和智能合约的准确可控水平,确保数据安全,保护个人信息,推动形成区块链在司法领域稳中求进、有序发展、安全可靠的应用生态。各级人民法院要健全事前审核和测试评估机制,确保上链数据真实性、准确性、合规性以及链上链下数据一致性,确保智能合约的合法性、有效性、安全性和可靠性。
来源:最高人民法院官网
7. 全国信安标委发布《信息安全技术 互联网平台及产品服务隐私协议要求(征求意见稿)》
5月26日,全国信安标委就国家标准《信息安全技术 互联网平台及产品服务隐私协议要求(征求意见稿)》公开征求意见。
征求意见稿规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式,增加隐私协议的可读性、透明性,以及处理隐私协议相关的争议纠纷等方面的要求。
征求意见稿适用于规范个人信息处理者制定、发布隐私协议的过程,也适用于主管监管部门、第三方评估机构等对隐私协议进行监督、管理和评估。
来源:全国信安标委官网
8. 上海市人大常委会通过《关于进一步促进和保障城市运行“一网统管”建设的决定》,要求因防疫采集的个人信息不得泄露
5月24日,上海市十五届人大常委会第四十次会议表决通过《关于进一步促进和保障城市运行“一网统管”建设的决定》。
决定规定,本市运用治理数字化功能,在疫情防控期间,实行个人疫情防控信息核验措施(即“场所码”或“数字哨兵”等核验措施),核验个人健康信息。信息核验中采集、处理个人疫情防控信息应当遵守个人信息保护相关法律、法规的规定,采集的个人信息仅用于疫情防控需要,任何单位和个人不得泄露。
决定规定,“一网统管”建设相关部门和单位应当按照有关法律法规和安全技术标准,建立健全风险评估、安全审查、日常监控、应急处置等机制,严格落实网络安全等级保护制度,加强数据分类分级保护,依法履行个人信息保护义务。
来源:上海人大官网
9. 河北省人大常委会通过《河北省数字经济促进条例》
5月27日,河北省十三届人大常委会第三十次会议审议通过《河北省数字经济促进条例》,自7月1日起施行。
条例共9章81条,主要围绕数字基础设施建设、数据资源开发利用、数字产业化、产业数字化、数字化治理、京津冀数字经济协同发展、保障和监督等方面作出规范。
条例指出,数据资源开发利用应当遵循依法规范、促进流通、合理使用、保障安全的原则,加强数据资源全生命周期管理,提高数据要素质量,培育发展数据要素市场,激发数据要素潜能。
来源:河北人大官网
10. 辽宁省人大常委会通过《辽宁省大数据发展条例》
5月31日,辽宁省十三届人大常委会第三十四次会议表决通过《辽宁省大数据发展条例》,自2022年8月1日正式施行。条例共9章54条,是规范全省大数据发展的首部地方性法规。
为解决数据要素市场发育不充分问题,条例设置“数据要素市场”专章,明确市场主体在数据采集、加工、使用、交易等基本权益方面的保障性规定;同时,对数据交易和竞争行为以“负面清单”方式划定禁区,就交易市场配套制度建设予以规定,并对违法交易、侵害其他市场主体合法权益等行为设置了处罚条款。此外,针对公共数据资源价值释放不充分问题,在“公共数据”一章中规定建立公共数据授权运营机制,导入市场化开发,提升数据利用价值。
条例设置“数据安全”专章,规定实行数据安全责任制和分类分级保护制度,明确责任确定原则,搭建数据安全管理体制,并就全社会各主体建立落实数据安全保护制度、强化数据存储管理和应急处置等予以明确。
来源:辽宁省人民政府官网
11. 北京市通信管理局开展2022年电信和互联网行业网络与数据安全检查
5月19日,北京市通信管理局发布通知,决定开展2022年电信和互联网行业网络与数据安全检查工作。
检查对象包括提供公共互联网网络信息服务的基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等。重点检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。
检查内容包括网络安全管理制度和保障体系建设落实情况、通信网络安全防护工作落实情况、数据安全保护落实情况、个人信息保护工作情况、工业互联网企业网络安全防护情况。
检查共分为自查自纠、重点抽查、整改问责三个阶段。对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的,北京市通信管理局将依法依规给予行政处罚并纳入不良名单和失信名单。
来源:北京市通信管理局官网
12. 浙江省通信管理局开展2022年电信和互联网行业数据安全检查
5月30日,浙江省通信管理局发布通知,组织开展2022年电信和互联网行业数据安全检查工作。
检查对象包括省内基础电信企业、增值电信企业、域名注册机构、重点互联网企业、APP运营者、APP应用商店及具有分发功能的平台。检查内容包括数据安全保护落实情况和个人信息保护工作情况。检查共分为自查自纠、监督检查、总结整改三个阶段。对于检查中发现的违规企业,浙江省通信管理局将采取通报、约谈、行政处罚等措施。
来源:浙江省通信管理局官网
第九十二期网络安全政策法律动态半月刊(2022.5.1—2022.5.15)
第九十一期网络安全政策法律动态半月刊(2022.4.15—2022.4.30)