第九十四期网络安全政策法律动态半月刊(2022.6.1—2022.6.15)
本期关注
❖ 境外关注
欧盟《解决恐怖主义内容在线传播条例》生效,要求在线平台在收到成员国删除令一小时内删除恐怖内容。加拿大政府引入C-26号法案,将指定对加拿大国家安全或公共安全至关重要的服务和系统,以及负责保护这些服务和系统的运营商,强制要求运营商采取措施应对已确定的网络安全威胁或漏洞,报告达到或超过特定阈值的网络事件。美国《数据隐私和保护法案》公布,该立法草案是第一个获得两党、两院支持的综合隐私提案。
❖ 境内关注
国家市场监督管理总局、国家互联网信息办公室发布公告,开展数据安全管理认证工作,并同步发布《数据安全管理认证实施规则》。国家网信办发布修订后的《移动互联网应用程序信息服务管理规定》,要求应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任。境外动态
1. 欧盟《解决恐怖主义内容在线传播条例》生效
https://eur-lex.europa.eu/eli/reg/2021/784/oj
2. 美国能源部发布《国家网络信息工程战略》
https://www.energy.gov/articles/doe-releases-strategy-building-cyber-resilient-energy-systems
3. 泰国《个人数据保护法》正式生效
https://thainetizen.org/wp-content/uploads/2019/11/thailand-personal-data-protection-act-2019-en.pdf
4. 新加坡金融管理局发布修订后的《业务连续性管理指南》
https://www.mas.gov.sg/news/media-releases/2022/mas-strengthens-financial-institutions-business-continuity-to-address-evolving-threats
5. 英国发布《数字身份和属性信任框架》
https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-beta-version
6. 英国发布《数字战略》
https://www.gov.uk/government/publications/uks-digital-strategy/uk-digital-strategy
7. 英国发布《数据拯救生命:用数据重塑健康和社会关怀》战略
https://www.gov.uk/government/publications/data-saves-lives-reshaping-health-and-social-care-with-data
8. 美国《数据隐私和保护法案》公布
https://republicans-energycommerce.house.gov/news/house-and-senate-leaders-release-bipartisan-discussion-draft-of-comprehensive-data-privacy-bill/
9. 加拿大政府引入C-26号法案,要求报告达到或超过特定阈值的网络事件
https://www.canada.ca/en/public-safety-canada/news/2022/06/protecting-critical-cyber-systems.html
10. 印度发布《2021年信息技术(中介指南和数字媒体道德规范)规则》拟议草案
https://www.meity.gov.in/content/seeking-public-comments-proposed-draft-amendment-part-i-and-part-ii-information-technology-0
11. 尼日利亚发布《交互式计算机服务平台/互联网中介机构实践守则》草案
https://nitda.gov.ng/wp-content/uploads/2022/06/Code-of-Practice.pdf
12. 美国参议院引入《健康和位置数据保护法案》
https://www.warren.senate.gov/imo/media/doc/Health%20and%20Location%20Data%20Protection%20Act.pdf
13. 美国参议院引入一项法案,加强数字货币监管
https://www.sidley.com/en/insights/newsupdates/2022/06/responsible-financial-innovation-act
14. 美国NIST发布《零信任架构实践指南》草案
https://csrc.nist.gov/publications/detail/sp/1800-35/draft
15. 俄罗斯数字化部制定修正案草案,强化违反生物识别数据处理程序的法律责任
https://roskomsvoboda.org/post/srokishtrafy-za-biometr/
16. 俄罗斯杜马引入《关于俄罗斯联邦监管数字金融资产流通和实用数字权利的立法修正案》
https://sozd.duma.gov.ru/bill/138674-8#bh_note
17. 日本参议院通过《刑法修正案》,强化网络暴力犯罪打击
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/208/meisai/m208080208057.htm
境内动态
1. 《“中国+中亚五国”数据安全合作倡议》发布
6月8日,“中国+中亚五国”外长第三次会晤举行,会晤通过《“中国+中亚五国”数据安全合作倡议》。
倡议指出,中国+中亚五国欢迎国际社会在支持多边主义、兼顾安全发展、坚守公平正义的基础上,为保障数据安全所作出的努力,愿共同应对数据安全风险挑战并在联合国等国际组织框架内开展相关合作。中亚各国支持中方提出的《全球数据安全倡议》。
倡议指出,在遵守国内法和国际法基础上,各方建议各国及各主体:就防范全球信息安全所面临的挑战和威胁,保障数据安全,开展协调行动与合作;增进在保障数据安全和使用信息技术领域的互信;应以事实为依据全面客观看待数据安全问题,积极维护全球信息技术产品和服务的供应链开放、安全、稳定;各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据。
来源:中国政府网
2. 国家市场监督管理总局、国家互联网信息办公室发布公告,开展数据安全管理认证工作
6月5日,国家市场监督管理总局、国家互联网信息办公室发布公告,根据《网络安全法》《数据安全法》《个人信息保护法》《认证认可条例》有关规定,两部门决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》实施认证。
公告同步发布《数据安全管理认证实施规则》,规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。《数据安全管理认证实施规则》明确数据安全管理认证的认证模式为技术验证+现场审核+获证后监督。认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。
3. 国家网信办发布修订后的《移动互联网应用程序信息服务管理规定》
6月14日,国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》,自2022年8月1日起施行。
《移动互联网应用程序信息服务管理规定》自2016年8月1日施行以来,对于维护网络信息内容生态,保护公民、法人和其他组织的合法权益发挥了积极作用。但随着移动应用程序快速发展、广泛应用,新情况新问题不断出现,需要适应形势发展进行修订完善。新规定共27条,包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。
新规定要求,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。应用程序提供者和应用程序分发平台应当按照要求,切实履行责任和义务,依照相关法律法规加强自身管理,主动接受社会监督,不断促进应用程序信息服务健康有序发展。
来源:中国网信网
4. 国家能源局发布《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》
6月14日,国家能源局发布《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》。
《电力行业网络安全管理办法(修订征求意见稿)》共5章35条,规定监督管理职责、电力企业职责等内容。关键信息基础设施安全保护方面,修订征求意见稿规定,电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责,要明确一名领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。电力行业关键信息基础设施运营单位应当于每年11月1日前,将当年关键信息基础设施安全保护的专项总结报送国家能源局及其派出机构、地方能源主管部门。
《电力行业网络安全等级保护管理办法(修订征求意见稿)》共6章28条,涉及等级划分与保护、等级保护的实施与管理等内容。修订征求意见稿规定,第二级网络每两年应进行一次等级保护测评,第三级及以上网络每年应进行一次等级保护测评。国家能源局及其派出机构结合关键信息基础设施网络安全检查,定期组织对运营有第三级及以上网络的电力企业开展抽查。
来源:国家能源局官网
5. 全国信安标委发布两项国家标准征求意见稿
6月,全国信安标委发布两项国家标准征求意见稿,分别是:
(1)《信息安全技术 零信任参考体系架构》:本文件给出了零信任参考体系架构,包括组件及组件之间的关系,适用于采用零信任参考体系架构的信息系统的规划、设计、开发、应用。
(2)《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》:本文件针对移动智能终端提供App个人信息安全功能设计、管理个人信息安全风险的活动,以增强App收集个人信息行为的明示程度,并为App用户提供更多个人信息保护方面的控制机制。本文件适用于指导移动智能终端提供者进行系统设计、开发活动,主要适用于智能手机。
来源:全国信安标委官网
6. 江西省人民政府印发《江西省“十四五”数字经济发展规划》
5月25日,江西省人民政府印发《江西省“十四五”数字经济发展规划》。
规划要求坚持促进发展和监管规范并重,更好把充分发挥市场决定性作用和更好发挥政府作用有机结合起来,构建经济社会各主体多元参与、协同联动的数字经济发展新机制,建立健全适应数字经济发展的市场监管、宏观调节、政策法规体系,牢牢守住安全底线。
安全方面,规划要求强化协同治理和监管机制、增强政府数字化治理能力、完善多元共治新格局、健全网络安全保障体系、强化数据安全保护。具体来说,规划要求进一步明确平台企业主体责任和义务;贯彻《网络安全法》《密码法》,落实等级保护、安全测评、电子认证、应急管理、国产密码应用等制度;全面贯彻落实《数据安全法》《个人信息保护法》,建立健全数据安全相关管理制度;制定重要数据具体目录,加强数据分类分级保护。
来源:江西省人民政府官网
7. 厦门市司法局发布《厦门经济特区数据条例(草案征求意见稿)》
6月1日,福建省厦门市司法局就《厦门经济特区数据条例(草案征求意见稿)》征求公众意见。草案征求意见稿共7章59条,涉及数据资源、数据要素市场、数据安全、应用与发展等内容。
草案征求意见稿规定,在本市政务部门和公共服务组织探索建立首席数据官制度。首席数据官由单位相关负责人担任,协同管理数据工作与业务工作,提升本单位的数字化管理能力和管理水平。
草案征求意见稿规定,本市组织市工信、网信、公安、国家安全等部门,建立数据安全监督检查协作机制,依法处理数据安全事件。
来源:厦门司法行政网
8. 《四川省数据条例(草案)》公开征求意见
6月13日,四川省人大常委会办公厅就《四川省数据条例(草案)》公开征求意见。草案共9章75条,涉及基础设施、数据资源、数据流通、发展应用、数据安全、区域合作等内容。
草案要求建立以公共数据为主的数据资源体系,明确全省建立公共数据资源体系,实行统一目录管理,建立公共数据资源普查、质量管控、数据校核和考核评价制度,构建完善的数据管理制度体系。草案要求统筹规划数据要素市场,完善数据交易规则,发展数据资产评估、交易中介服务等市场运营体系。
草案要求加强数据安全管理和个人信息保护。建立数据安全责任制,明确政府部门和数据处理者数据安全管理的职责义务,建立分级分类保护、风险防范预警、应急处理机制和安全评估监管等制度。
来源:四川人大网
9. 江苏省通信管理局开展2022年电信和互联网行业网络和数据安全检查工作
6月9日,江苏省通信管理局发布通知,将开展2022年电信和互联网行业网络和数据安全检查工作。
检查对象包括依法获得电信主管部门许可的基础电信企业、增值电信企业、标识解析节点企业以及提供工业互联网服务的平台企业建设运营的网络和系统。重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、门户网站和计费系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、数据安全和用户个人电子信息系统、工业互联网标识解析节点、工业互联网平台等。
检查内容包括网络和数据安全管理制度建设情况、网络安全防护落实情况、数据安全防护落实情况、个人信息保护工作情况、工业互联网企业网络安全防护情况。
检查采取现场和远程两种方式,通过访谈、资料查阅、技术抽测等,检查企业网络安全和数据安全技术防护措施的落实情况,重点检查相关软硬件和业务系统是否存在安全漏洞,是否已被植入恶意代码,是否被非法远程控制或发生数据泄露事件等。检查工作分为自查自纠、重点抽查、整改落实三阶段。
来源:江苏省通信管理局官网
第九十三期网络安全政策法律动态半月刊(2022.5.16—2022.5.31)
第九十二期网络安全政策法律动态半月刊(2022.5.1—2022.5.15)