从网络安全到数据安全,正在紧盯!互联网保险也不例外!
继7月10日发布《网络安全审查办法(修订草案征求意见稿)》(以下简称《征求意见稿》),公开征求意见之后,8月17日,中国政府网发布了国务院第745号令,即《关键信息基础设施安全保护条例》。从9月1日起施行,非法侵入干扰破坏关键信息基础设施将受到处罚。
数据安全纳入审查
《网络安全审查办法(修订草案征求意见稿)》在数据安全法确立数据安全审查制度基础上,明确将数据安全纳入审查范围,审查对象为“关键信息基础设施运营者采购网络产品和服务”。因此,关键信息基础设施的运营者或有关键信息基础设施运营者采购网络产品和服务的企业,都具有安全保护义务。
7月初,国家网信办连续发布对滴滴出行、Boss直聘、运满满、货车帮等企业采取下架App、启动网络安全审查的公告。
《网络安全审查办法》是由国家网信办、国家发展改革委等12个部门联合发布、2020年6月1日正式实施的部门规章,旨在确保关键信息基础设施供应链安全,维护国家安全。
此次公布的《征求意见稿》,在《中华人民共和国国家安全法》《中华人民共和国网络安全法》基础上,新增《中华人民共和国数据安全法》为《网络安全审查办法》制定的上位法依据,将数据处理活动纳入网络安全审查范围,要求掌握100万以上用户个人信息的运营者赴国外上市必须申报网络安全审查。
《征求意见稿》第一条在现行《网络安全审查办法》基础上,增加“数据安全法作为上位法依据之一”;第二条,扩大网络安全审查范围,在关键信息基础设施运营者采购网络产品和服务的基础上,增加了“数据处理者开展数据处理活动”。
《征求意见稿》在数据处理和国外上市等方面还新增规定。第六条规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。第十条,在网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险的主要考虑因素中,新增加了“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。
审查重点领域
现行《网络安全审查办法》的审查对象为“关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的”。
何为“关键信息基础设施”?我国网络安全法第三十一条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”
《关键信息基础设施安全保护条例》所确定的关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
当前,多家赴美上市企业被启动网络安全审查,也引发人们对“关键信息基础设施”的关注。网络安全法第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
出台攻击侵入处罚标准
《关键信息基础设施安全保护条例》规定,运营者应当建立健全网络安全保护制度和责任制,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。
《关键信息基础设施安全保护条例》提到,关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照《中华人民共和国网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
个人信息保护法酝酿中
8月17日至20日,十三届全国人大常委会第三十次会议审议个人信息保护法草案(三次审议稿)等,个人信息保护等将迎来重大变化。
2021年4月,十三届全国人大常委会第二十八次会议对个人信息保护法草案进行了二次审议。根据各方面意见,提请本次常委会会议审议的草案三次审议稿拟作出的主要修改包括:进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、“大数据杀熟”等作出有针对性规范;将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则等。
个人信息保护法草案立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作了有针对性规范。
其中,对自动化决策的概念作出界定,是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动;自动化决策应当遵守个人信息处理的一般规则,包括应遵循合法、正当、必要和诚信原则,目的明确和最小化处理原则等,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。
互联网保险专项整治
近日,中国银保监会办公厅关于开展互联网保险乱象专项整治工作的通知。自8月15日保险机构和保险监管部门成立领导小组并确定联系人,到10月20日前完成整体工作情况报告,历时三个月将完成涉及互联网保险产品管理、销售管理、理赔管理、信息安全等乱象频频发生的领域的专项整治工作。
银保监会还给这次互联网保险乱象专项整治工作列明要点,要求各保险公司逐条排查,拉网式梳理与互联网平台合作业务情况,确保“合作机构全覆盖”、“重点问题全覆盖”、“业务流程全覆盖”,深入查找互联网保险业务中存在的薄弱环节和违规问题。
在这其中,通知也明确了排查用户信息泄露、违规收集用户信息、信息安全隐患等问题,并要求公司不断强化内控合规管理。各保险机构要结合自查发现的问题和薄弱环节,梳理制度、系统和操作层面的漏洞,逐项补齐短板,建立健全互联网保险运行机制和合规管理体系,定期评价信息化系统安全性和有效性。
相关报道
● 2021-08-11A智慧保 互联网保险乱象有多少?银保监会专项整治三个“全覆盖”!
● 2021-08-11
保险一哥 赵本山徒弟小沈X直播卖保险翻车!监管拟专项整治互联网保险乱象!
● 2021-8-11
历险记 银保监:拟专项整治互联网保险乱象——销售误导、强制搭售、非法经营等问题
● 2021-08-11
圈中人保险网 重磅!银保监会拟专项整治互联网保险乱象!
● 2021-08-12
险企高参 联手5大部门开启产品大排查!银保监“铁腕”整治互联网保险乱象:销售误导、强制搭售等4大领域问题被划重点…
● 2021-08-15
A智慧保周评 | 互联网保险乱象冷思考:要向前看insurtech,不要向后看insurance!
2021年中国保险新媒体联席会成员(第一批)
2020年中国保险新媒体联席会成员
往期回顾
► 险企惊现高管“内鬼”,行骗6000余万?上海警方侦破特大职务侵占案!
► 好消息!“证照分离”提高保险运营效率!由事前审批到事后备案,监管高压未减!
► 抢险救灾第一线:河南保险估损92亿!沿海应对台风“烟花”肆虐已启动!
► 这篇文章总算把金融舆情痛点说透了:没事过度宣传,有事草木皆兵!
► 百图庆百年!7.8全国保险公众宣传日,寻找你熟悉的人!