13771998064（同微信）征文启事简报长期征稿，欢迎政府、科研、产业和学术同仁投稿，择优录用，以每千字100-300元标准支付稿酬，投稿邮箱:

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

2022年2月25日，英国信息专员办公室（ICO）针对苏格兰政府及苏格兰国民医疗服务体系（NHS）在COVID-19防控过程中使用公民数据的情况发布了一则谴责声明，指责上述两个机构没有为公民提供清晰的“COVID-19状态APP”在公民数据使用方面的情况（包括敏感的个人医疗数据）。“COVID-19状态APP”被用于证明公民的疫苗接种状态，以满足苏格兰某些场所（包括夜总会）仍在进行的强制性新冠病毒状态检查（这非常类似于我国疫情防控中的“一码通”等小程序），其在某种程度上也可以归于ICO所定义的“接触追踪类APP”（例如流调）。ICO副专员Steve

赞比亚议会于2021年3月23日批准了《数据保护法（2021）》（以下简称数保法），并于次日正式颁布该法案。数保法共11部分82条，通过定义和解释涉及个人数据和个人数据保护的相关名词，规范个人数据的处理，设立专门机构并赋予其相应的执法权力，限制数据控制者的注册和数据审计员的许可，规定数据控制者和数据处理者的职责以及规定数据主体的权利等方式和手段，以立法形式为个人数据的使用和处理提供了有效、系统的保护，充分体现了赞比亚政府对个人数据安全的重视。赞比亚的数保法明确解释了有关保护和处理个人数据的名词概念。其中包括对数据保护及处理过程有关的主体，如：“消费者”、“接收者”、“公共机构”、“第三方”、“权力部门”、“委员会”以及“执法人员”的解释；关于数据处理过程中的“匿名化”、“自动化”、“假名化”等词的定义；对本法案中所指保护的信息数据类型，如：“生物特征数据”，以及特别提出的敏感群体及有关内容：“弱势人士”、“敏感个人数据”、“虐待儿童信息”、“儿童数据”的解释；对在数据处理中的“行为准则”及与处理过程中“同意”行为的解释等。数保法的核心内容主要在于加强保护和规范个人数据的处理。包括将处理过程细分后规定了各类处理人员的许可要求并设立了专门的机构“数据保护专员办公室”以负责注册、登记数据控制者、数据处理者，给数据审计员颁发执照；通过以法律形式严格要求该政府机构的专员资格以及该机构的专员组成和职能分工，将国家公民个人信息的数据处理这项重要民生大事从根本层进行统筹，更好达到法案对个人数据的有效管理和控制；明确数据主体的权利，数据处理者、数据控制者、数据审计员在信息处理过程中的权利与义务以及检察员、数据专员及“数据保护专员办公室”在执行监督等有关公务中的权利与职责；关于保护个人数据的一般规定、原则和违反本法案的处罚。数保法特别设立了“数据保护专员办公室”以负责更好地监督和推动个人数据保护的进行。本法在第二部分解释和明确了该专门机构的负责内容、专门职能及人事安排。根据数保法第二部分，所设立的专门机构“数据保护专员办公室”负责注册、登记数据控制者、数据处理者，给数据审计员颁发执照。通过以法律形式严格要求该政府机构的专员资格以及该机构的专员组成和职能分工，将国家公民个人信息的数据处理这项重要民生大事从根本层进行统筹，更好达到法案对个人数据的有效管理和控制。数保法中还有关于国家安全和数据跨境的内容。包括在法案第七部分对于豁免的要求：为国家安全、国防和公共秩序利益处理个人数据的数据控制者不受部分规定的约束；以及在第十部分对数据跨境准许的条件和限制的要求，包含对服务器地理位置的和在境外所存储的数据类别的要求、对数据传输至境外的条件及审批、紧急情况和除外情况等。数保法在适用的主体上具有较强的针对性，仅适用于法人以及非法人组织对个人数据隐私等权利的侵犯行为，而不适用于为个人目的使用而处理他人个人数据的情况。因此可以将其看作是对自然人关于个人数据方面的保护。数保法将涉及个人数据处理过程的主体细分划定为数据控制者、数据处理者、数据审计员等，并明确各自权利与义务，切实将有关个人数据的公民权利纳入法律保护之下，并力求覆盖数据传输、处理的全部过程和内容，在保障国家安全的原则和基础上维护信息处理过程的安全性和隐私性，使保护数据主体个人信息在隐私要求下得到妥当的处理和使用。数保法从国内和跨境方面都对个人数据进行保护，也体现了赞比亚在个人信息数据领域对国家安全和国家发展前景的正确认识。数保法除了有以上特点和优势以外，还存在部分弊端，主要在于可能会导致政府和相关执法部门出现自由裁量权过大的情况。其第二部分对“数据保护专员办公室”目的和职能的规定中，所赋予专员办公室的职权贯穿对数据处理的全过程以及对国内和跨国数据保护的监管；第三部分中政府监督和检察员具有很大自由裁量空间，包括在以数据保护为目的和持有搜查令的前提下，自我认定处理和检查数据控制者和处理者的私人空间、数据记录，处置数据相关人员物品，以及甚至在合理理由下对人员实施无证逮捕等。虽然这一部分也规定了被执法人员的索赔权利，但仍明显地给政府执法人员赋予了过大的权力，易造成权力滥用。综上，赞比亚共和国于2021年颁布的《数据保护法》通过立法规制对个人数据的处理做出了一系列的保护和管控，并就相应违法行为给予了定罪量刑，为赞比亚公民个人数据保护、国家数据发展和安全奠定了较好的法律基础。智库快讯·隐私保护专栏简介

关注本公众号，后台回复“无名论坛2021年度报告”，获取报告全文。联系人：谢老师

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

内容提要2022年2月4日，美国众议院以222票赞成、210反对的投票结果通过了《2022美国竞争法案》。该法案全文长达近3000页，主要内容旨在促进美国半导体制造业的大规模投资。半导体产业与网络安全密切相关，经初步梳理，该法案中涉及网络安全的相关内容主要有以下几个方面。一是加强政府相关部门对网络安全工作的指导。赋予国家标准与技术研究院（NIST）、国家电信和信息管理局（NTIA）等相关机构更多职权，从总体上加强网络安全和隐私保护。同时，还新设一些机构，进一步加强对网络安全工作的协调和指导。例如，在NTIA设立政策与网络安全办公室（Office

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

编者按隐私保护是一个全球性的命题。随着我国《数据安全法》、《个人信息保护法》等法律法规的出台，我国个人隐私的保护制度更加完善，对数据处理者的隐私保护要求也更细更高。然而“徒法不足以自行”，要实现我国隐私保护立法的宗旨，还需要从守法、执法和司法层面予以努力。本专栏拟通过报道国际隐私保护的法律事件，为我国个人隐私保护合规和遵从提供实践经验和具体执法的参考，并为我们了解和借鉴国外隐私保护制度提供第一手的资料。2021年12月15日，总部位于美国加利福尼亚州的在线广告平台OpenX

Act）对私营部门在商业活动中如何收集、使用或披露个人信息规定了明确的原则。但这两部法律并不能满足数字时代保护公民隐私的新需求。2020年，加拿大提出《数字宪章实施法》（Digital

2021年2月4日，美国华盛顿特区的战略与国际研究中心(CSIS)发布报告《加密战争已经结束》。报告指出，围绕“公民可以使用什么样的加密、在什么情况下执法机构能够访问公民的加密信息”的问题，争论已持续了近三十年；但随着端到端加密服务的出现，执法机构获得访问用户数据的难度加大，争论的条件发生了巨大变化，隐私自由与公共利益的冲突日益凸显。报告的主要内容分为四部分：

2021年12月7日，社民党、90联盟/绿党和民主党签署了主题为“勇敢进步，创造自由、正义和可持续的联盟”的联盟协议。公布的联盟协议承诺了：“加密权”、“匿名权”、“增强IT安全性”、“公共代码的公共资金”等数字权利。一、加密权与安全审查

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

鉴于信息技术利用高移动计算设备和可移动存储媒体的趋势，保护静态数据(DAR)已经变得越来越重要。国防部不仅担心个人可识别信息（PII）的损失，而且担心移动设备上包含的所有非机密数据。存储在笔记本电脑、拇指驱动器和掌上电脑等设备上的个人身份信息或敏感的政府信息，有些并未列入保密行列。一旦这些设备受到威胁，可能会带来严重的问题。早在2007年7月3日，国防部发布了主题为“移动计算设备和可移动存储介质上静态敏感非机密数据”加密军事部门秘书备忘录，不仅要求对PII记录进行加密，而且还要求对移动计算设备和可移动存储媒体上包含的所有非公开发布的非机密信息进行加密。当下，研究该备忘录不仅使我们关注动态个人可识别信息保护问题，而且关注移动计算设备和可移动存储介质上静态敏感非机密数据保护问题，并加深对“重要数据”加密保护问题的进一步理解。一、明确静态敏感非机密数据定义

12月8日，数字丝路安全智库主办，西交苏州信息安全法学所、西交科教院网络安全法治研究所和省法学会信息安全法学研究会承办的2021年终座谈会在西安顺利举办。数字丝路安全智库专家委主任、信息安全法学研究会年会会长马民虎教授，西安交通大学科教院常务副院长李成福，智库秘书长朱莉欣到会。座谈会特别邀请了陕西省国家密码管理局局长强国宏、西安市委机要和保密局副局长张世教、陕西省国家密码管理局商密处处长王勇卫、省委网信办网络安全协调和秘书处处长屈耀军、陕西省国家保密局调研员马晓峰、西安市委机要和保密局综合处处长郭雨、西安市委机要和保密局密码通信处处长谢振云、西安市中级人民法院副院长姚建军、陕西省仲裁院知识产权仲裁中心主任焦智源、陕西省广播电视局王鹏、陕西省社会科学院助理研究员闵晶晶、西北政法大学讲师马宁、西安得安信息技术有限公司董事长邢少敏、荣耀终端有限公司隐私安全专家宫展博、西安四叶草信息技术有限公司技术副总裁童小敏等嘉宾到会。李成福院长首先对各位嘉宾的到来表示欢迎和感谢，阐释了智库的战略平台意义，希望智库作为学术平台，继续促进学术界、产业界和政府展开交流和合作，为政府荐言献策，为企业面临的问题提供解决方案。强国宏局长致辞指出，网络空间争夺日益成为大国博弈的主战场，并呈现出强对抗性、强战略性、强实战性三个特征，全面和系统的学习密码法、保密法、数据网络安全法和个人信息保护法有着非常重要的意义，希望大家通过座谈会的形式进行深入学习和探讨。强国宏局长还对马民虎教授在密码法方面所做的工作表示感谢，充分肯定了马民虎教授及其团队开展的密码法研究和宣传工作。朱莉欣秘书长汇报了2021年数字丝路安全智库一年的主要工作，包括承担项目、无名论坛、智库快讯等。参会的各位嘉宾积极评价了数字丝路安全智库今年取得的成绩，围绕智库的主要工作，参会嘉宾们热烈讨论了密码法、保密法、数据安全法和个人信息保护法的关系，就法律的实施和完善，以及加强外部的安全监督提出了建设性的意见。智库简介

为总结爱因斯坦计划实施效果，重新部署加密系统，2019年2月28日，美国人口普查局发布《用于保护在线调查安全的应用层加密》研究报告。报告指出，人口普查局使用万维网联盟的网页加密API开发了一个系统，为调查回复数据提供了第二层加密保护，且即使在回复者与互联网自我反馈设备之间使用某种TLS解密或网页内容过滤系统的情况下，第二层加密保护机制仍然能够正常运行。1.

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

2021年10月30日，国家主席习近平同志在出席二十国集团领导人峰会时明确指出，中国高度重视数字经济发展的国际合作，已经决定申请加入《数字经济伙伴关系协定》（Digital

目前，俄罗斯已形成围绕《国家安全战略》的国家安全观，以《信息安全学说》等纲领性文件为政策指导，以《俄罗斯联邦宪法》为根本立法依据，同时根据阶段性重点不断丰富和延展的网络空间战略规划体系。2021

2021年11月3日，美国众议院能源和商业委员会和消费者保护及商业小组委员会联合就一项综合的立法草案发布声明。该草案旨在建立国家隐私标准，为美国的消费者隐私和数据安全确定明确的规则，并增强联邦贸易委员会的执法能力，从而实现对公民隐私和数据安全保护。这项草案被命名为《“控制我们的数据”法》（Control

郝静雯联系电话：0512—69562805，13771998064（同微信）投稿邮箱：xieyonghong2015@xjtu.edu.cn编委会及首届成员简介

1、《目录》将此前公众号解读认为不够严谨的加密“软件”，扩展到了所有的加密“技术”。由于技术需要相应的软硬件“载体”，因此事实上正式版本的《目录》监管范围涵盖了加密技术的各种软硬件实现形式。

2021年10月26日国家卫生健康委医政医管局发布《互联网诊疗监管细则（征求意见稿）》（“《监管细则》”）征求公众意见。法学所结合网络安全、数据安全法律治理的相关理论和实务经验，提出以下初步分析建议：1、整体上看，《监管细则》主要是对《互联网诊疗管理办法（试行）》定义的两类诊疗活动进行规范：医疗机构利用在本机构注册的医师，通过互联网等信息技术开展的（1）部分常见病、慢性病复诊；和（2）“互联网+”家庭医生签约服务。面向的并非预诊、其他病症诊疗，也不涉及远程医疗。实际上更需要在人身权和人格权之间设定平衡。例如《互联网诊疗管理办法（试行）》第16条规定“不得对首诊患者开展互联网诊疗活动”，这里本质上是一个个人信息问题。涉及患者在注册后如何判定首诊，以及区分是否首诊后的个人信息处理，其实需要在《监管细则》的第18条进行更细化的个人信息收集、提供、共享等处理规定和程序设计，充实“终止互联网诊疗活动”的内容，而不仅是重复《互联网诊疗管理办法（试行）》的“引导患者到实体医疗机构就诊”。2、具体条款而言，我们就下述条款提出初步建议：（1）第19条：医疗机构开展互联网诊疗过程中所产生的电子病历信息，应当与依托的实体医疗机构电子病历系统共享，由依托的实体医疗机构开展线上线下一体化质控。互联网诊疗病历记录按照门诊电子病历的有关规定进行管理，诊疗过程中的图文对话、音视频资料等应当全程留痕、可追溯，并向省级监管平台开放数据接口，保存时间不得少于15年。就此条而言，需要明确对“图文对话、音视频资料”的保存不等同于“留痕”，前者是资料本身的存储，后者实际上指的是记录或者索引（如索引的则需指向资料本身）。由于具体活动的不同，后续向省级机构提供接口、存储地点，甚至采用的具体的三级以上网络安全等级保护的技术措施都有不同。因此建议应明确具体的存储和“留痕”对象，格式标准、压缩要求等内容，这些都应是细则层面需要解决的问题。（2）第25条：省级卫生健康主管部门应当按照“最少可用原则”采集医疗机构的相关数据，重点采集医疗机构资质、医务人员资质、诊疗科目、诊疗病种、电子病历、电子处方、用药情况、满意度评价、患者投诉、患者安全不良事件等信息，对互联网诊疗整体情况进行分析，定期（每月至少1次）向各医疗机构及其登记机关反馈问题，并明确整改期限，医疗机构在收到省级卫生健康主管部门问题反馈后应当及时整改，并将整改情况上传至省级监管平台，同时报其登记机关。鼓励有条件的省份在省级监管平台中设定互联网诊疗合理性判定规则，运用人工智能、大数据等新兴技术实施分析和监管。这里其实有两个问题，一是“最少可用原则”其实并非应规定的“原则”。作为监管机构进行对互联网诊疗实施监管的前提，其必然会要求医疗机构提供支持或抗辩的充分性资料。这一监管原则不因省级机构通过接口“自取”或要求医疗机构“提供”而改变。当然，对这一权限进行限定和约束，以及基于此要求医疗机构做出的整改，应当适用“比例原则”等行政法的其他原则，也是必要。在第一个问题基础上，我们也会发现，其实该条第2款恰恰与“最小可用”相冲突，进行大数据、AI分析的前提是数据获取的充分性，否则难以做出第2款设想的“合理性判定”结论。（3）第34条：医疗机构发生患者个人信息、医疗数据泄露等网络安全事件时，应当及时向相关主管部门报告，并采取有效应对措施。这一条的主要问题是应该按照《个人信息保护法》第57条进行细化，明确通知/报告对象包括“履行个人信息保护职责的部门和个人”。当然这就又回到了那个医疗机构敏感的老问题……3、结论《监管细则》作为《互联网诊疗管理办法（试行）》的细则文件，应根据新近国内外出台的多部基础、专门法律，特别是国内正在密集征求意见的《网络数据安全管理条例（征求意见稿）》等进行前瞻性的考量。毕竟在互联网医院打通线上线下一体化质控和向云端发展的并行趋势下，医院信息系统数据作为CDE《用于产生真实世界证据的真实世界数据指导原则（试行）》中应用较广的一类数据来源，其兼具非特定性和具有特定功能的双重数据特点，应当作为互联网医院发展和监管的一个精准切入，也为远程医疗的实质性推动提供早期准备。（图片来源网络，侵删）本文作者：研究员

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

尽管“密码机制”长期以来始终是一个颇具技术性的话语表达，但如果从政策决策的角度观察，符合特定管理目标及价值诉求的“密码机制”仍然构成了整个密码规范体系的基石，其决定了密码体制的分层结构（例如我国的分类分级管理）、目的、对象和方法。“密码机制”的基本思想是对机密信息进行“伪装”，阻却未经授权的访问、篡改和披露。2016年8月，美国国家标准与技术研究院（NIST）发布《联邦政府使用密码标准指南：密码机制》（Guideline

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

2021年9月28日，参议员伊丽莎白·沃伦(民主党参议员)在华盛顿特区哈特参议院办公大楼听取参议院听证会。2021年10月5日，美国议员提出一项新的立法案，名为“赎金披露法案”，要求勒索软件受害者在支付赎金48小时内披露支付情况，包括要求和支付的赎金数额，支付赎金所用的货币类型，以及要求赎金的实体的任何已知信息。赎金披露法案获得了国土安全部部长及美国网络司令部主任的支持。众议院国土安全委员会已经准备将这一法案纳入国会立法程序。法案除要求受害者报告外，还要求国土安全部以报告形式公开上一年度赎金支付情况，进一步研究加密货币在勒索攻击中的作用，并就此提出网络安全改善建议。事实上，美国国会正在考虑一系列网络安全事件通知法案，赎金披露法案正是其中一项。众议院国土安全委员会还在考虑授权国土安全部网络与基础设施安全局制定事件报告细则，要求关键基础设施受害者在72小时内报告情况。在参议院其后公布的事件报告法案中，同样强调关键基础设施所有者和运营者在72小时内报告网络安全事件，并要求其他组织亦需要报告勒索赎金支付情况。

美国将于10月13-14日举办打击勒索软件全球峰会，旨在加强国际合作，共同探讨打击勒索软件的方法。一位白宫高级官员表示，峰会由白宫国家安全委员会主办，参会者将围绕四个议题展开讨论：一是建立面对勒索企图的弹性；二是如何应对加密货币被用于洗白勒索；三是强化法律和司法行为；四是通过外交打击勒索软件。欧盟、日本、澳大利亚、英国、印度、法国、德国、韩国、以色列、肯尼亚和墨西哥等30个国家将参加此次线上峰会，俄罗斯和中国并未受邀。信息来源：https://english.alarabiya.net/News/world/2021/10/13/US-to-host-Ransomware-summit-without-Russiahttps://nayanazriya.com/world/uk/white-home-schedules-a-world-ransomware-summit-without-russia-or-china/https://www.fgcbolsa-fgcfinancialmarkets.info/2021/10/wsj-pro-cybersecurity-cyber-daily-us.html快讯简介

假期里整点啥实务不行，非得学人家研究学问，核酸检测不香么……《汽车数据安全管理若干规定（试行）》第9条说“汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息”。这个条款中出现的“充分的”必要性，是指“加强版”的必要性（条件），还是充分性加必要性，或是“充分必要条件”？据说市面上有不同的解读，但其直接来源却是照搬《个人信息保护法》第28条：“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息”，这种不假思索的复制将对算法的某些底层逻辑（非算法的逻辑结构）产生影响，最终可能放大成一种人工智能的安全问题。就必要性和充分性看，极其有限的初高中和本本数学知识告诉我，“凡是根据条件推导结论就是证明充分性，根据结论推导条件就是证明必要性”，而如果要使用充分必要条件，其对应的却是“当且仅当”（if

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

2020年11月20日，习近平总书记以视频方式出席亚太经合组织领导人非正式会议时表示，“中方将积极考虑加入全面与进步跨太平洋伙伴关系协定”。2021年9月16日，中国商务部部长王文涛向CPTPP保存方新西兰贸易与出口增长部长奥康纳提交中国正式申请加入CPTPP的书面信函。两国部长举行电话会议，就中方正式申请加入的有关后续工作进行沟通。如果顺利加入CPTPP，无疑将更为有力地推动我国多边和区域经济一体化战略建设。为使国际义务与国内要求保持一致，加入CPTPP，我国必然将面临国内密码管理现行规定的调整问题。事实上，作为我国密码管理的基本法，2019年《密码法》提供了非常有利的国内密码法治环境，在最大程度上改变了1999年《商用密码管理条例》严苛的密码管理框架，尝试融入并符合国际密码管理制度的发展趋势。例如，《密码法》鼓励商用密码从业单位自愿接受商用密码检测认证，而非强制性的义务；规定大众消费类产品所采用的商用密码不实行进口许可和出口管制。这在一定程度上为我国加入CPTPP在密码事项上扫清了障碍。一、CPTPP签订及生效历程《全面与进步跨太平洋伙伴关系协定》（The

由英国防部提交议会的《国防和安全产业战略》(简称“DSIS”/“战略”)于2021年3月发布，该战略是英国政府对《竞争时代的防御》中所提出的威胁和挑战所做出的应对方案。该战略要求工业界、政府和学术界更加紧密地合作，以推动研究、加强投资和促进创新，使得英国从根本上改革管理国防和安全采购单一来源合同的法规，提高采购效能，确保英国持续激励创新和生产力。最终促进国家安全和支撑经济增长，并确保英国能够继续拥有的绝对竞争力、创新性能力和世界一流的国防力量和安全产业。在产业的发展过程中，战略将加密密钥和核能、潜艇、攻击性网络共同列为“战略需求”的必需品。进而强调了加密在“战略需求”、保护国家秘密和发展网络安全上的重要地位，并且列举出政府与加密研发企业合作的原则和可行性方案。一、明确将加密密钥列为“战略需求”之一（P10）战略将采取更具战略性的方法来获得对战略需求和运营需求至关重要的产业能力。尽管在许多领域和供应链中，竞争是影响物品价格波动的重要工具，但是英国需要在采购战略中保持一定的灵活性，扶持一定的企业，以增强其陆上作战所需的技能、技术和能力。为了实现政府的愿景，

278g-3，FIPS出版物经商务部长批准后由NIST发布，对非国家安全的联邦系统具有强制性。NIST使用其来发布有关基本密码术语（例如分组密码、数字签名算法、哈希函数等）的标准。（2）NIST

一、密码技术在《个人信息保护法》中的基石地位《个人信息保护法》是个人信息领域的基本法律。其承继和细化了《民法典》和《网络安全法》中关于个人信息保护的规定，从个人主体的权利、个人信息处理者的义务和监管者职责等多方面塑造了中国个人信息保护规则的全貌。整体上，《个人信息保护法》是一部保护法，其对个人信息处理技术的规范是“内向”性的，而对于包括个人信息在内的数据开发、利用和资源化，则更多的是《数据安全法》的平衡考虑和立法目的。从上述出发，便不难理解为何密码技术在《个人信息保护法》中具有基石性的重要地位。密码对于《网络安全法》和《数据安全法》等所界定的网络数据“属性”保密性、完整性和可用性的保障和实现具有重要作用。密码对个人信息和数据的保密性维护自不待言，通过“特定变换的方法对信息等进行加密保护”，是《密码法》定义的基本表述，属于密码“基因”上的功能要求。密码对完整性的维护，是密码对保密性、可用性保障功能的自然推导，SM3、SHA-3等哈希算法和ZUC的完整性算法都是为此而生。至于可用性，一方面指向信息和数据的普遍可获得性，另一方面，什么人访问什么信息，知情同意、因需知晓又有赖于访问控制，可利用密码的身份鉴别、密钥管理等安全认证机制和功能实现。欧盟的GDPR中，也有使用加密技术措施保护个人数据不被未经授权访问的明确规定（第32条、第34条等）。二、密码技术在《个人信息保护法》中的体现——以第51条为例1、《个人信息保护法》对加密等去标识化的要求

近日，国务院正式公布了《关键信息基础设施安全保护条例》（简称《条例》），并将于9月1日起施行。《条例》作为《网络安全法》的重要配套法规，界定了关键信息基础设施的范围，明确了保护工作部门职责，确立了监督管理体制，规定了相关保障和促进措施。《条例》进一步压实各方面的法律责任，推动全社会汇聚力量，保护关键信息基础设施安全，共同推动国家网络安全保障体系建设进入新阶段。8月24日,国务院新闻办公室举行国务院政策例行吹风会，司法部、网信办、工业和信息化部、公安部负责人介绍了《条例》有关情况并答记者问。以下为吹风会热词汇总，以期对大家学习领会《条例》的意义及重点内容有所帮助。快讯简介

7月，美国国防部检察长办公室发布了一份关于网络安全与网络行动军地协同执行情况的报告，对自2010年以来美国国防部与国土安全部之间就网络安全与网络行动签署的备忘录的执行情况进行了审查评估。美国为加强对关键信息基础设施的保护，一直强调军地各部门之间的协调与合作，并发布了一系列相关总统政策指令。为落实总统政策指令，美国国防部和国土安全部先后签订了三份备忘录，就应对网络安全威胁、保护美国关键信息基础设施安全设立协调机制，确定合作目标，制定行动计划，明确各自职责。报告认为，双方对2010年和2015年备忘录中提出的制定网络行动计划、跨部门信息交换机制、网络司令部支援国内网络安全应急响应机制均已完成，此外，国家安全局与网络司令部开展了相关演习，并向国土安全部提交了相关报告。2018年备忘录中的部分活动也得到了落实，如制定政策备忘录、与国土安全部官员参加跨部门会议。但是，由于网络防护与防御领导小组(CPDSG)没有制定完成时间节点，还有很多任务没有完成，需要继续落实。该领导小组是国防部和国土安全部之间关于网络安全的跨部门协调机构，于2018年成立，旨在提高美国政府应对网络安全威胁的处理能力。报告还对未落实原因进行了分析，认为军地之间还需要进一步加强沟通协调，对各自承担的职责任务进行明确划分，及时向对方提供支持，因此，需要进一步加强网络防护与国防指导小组工作机制。报告建议，由国防部副部长和参联会主席来共同指导小组工作，与国土安全部共同制定各项任务的执行计划，并追踪任务进展，对制约两部门密切协作的存在的问题进行梳理。该报告为美国防部发布，国土安全部也将提交相应报告。快讯简介

数字丝路安全智库快讯，主要报道并介绍国际数据和网络安全方面的法律法规事件，期望以最新、最快和最专业的报道为读者提供信息安全领域的国际资讯，为国家的数据和网络安全法治建设作出积极贡献。

2021年商务部《中国禁止进口限制进口技术目录》（征求公众意见稿）的限制进口部分“软件和信息技术服务业”增加一类——技术名称：数据加密技术控制要点：高于256

在当前社会整体的风险环境下，密码技术的安全保障作用日益凸显，对信息和系统进行有计划的加密保护仍然是不可替代的安全策略。但是对于大多数系统运营者和使用者而言，由数量庞大的政策、立法和标准组成的“密码机制”显然仍然过于复杂。例如，如何有效确定何时需要进行密码保护，以及如何部署相应的加密策略。在今天看来，随着密码技术应用的普及，“密码机制”中相对分散的规范性结构（不同的层次、细致度、模糊的对应关系）开始构成密码合规实践中的巨大障碍，如何在宏观政策立法层面和微观标准层面形成清晰的对应和指导关系就变得异常重要。针对这一问题，美国国家标准与技术研究院（NIST）分别于2016年和2020年发布极具代表性的指南：《联邦政府使用密码标准指南：指令，法律和政策》（Guideline

2021年6月，美国信息安全监督办公室（ISOO）向美国总统提交了2020年度报告，围绕美国有关信息安全行政令的规定，就新冠疫情对国家安全机密信息和受控非机密信息系统的影响、改造国家安全机密信息系统、国家安全信息分类及上诉、国家工业安全计划、受控制非机密信息等内容做了年度的总结和汇报。报告开篇就提出，“2020年是国家安全保密信息和受控非机密信息系统历史上独一无二的一年。COVID-19大流行提醒我们，谁也不知道即将到来的生活会是什么样子。”报告第一部分即“COVID-19大流行对国家安全机密信息和受控非机密信息系统的影响”，是往年报告中从未涉及的内容，成为2020年度报告的一大亮点。总结了2020年度的疫情，报告在新冠疫情对国家安全信息影响方面，主要提出了以下几个方面的问题：首先，由于增加了线上工作和远程办公，从根本上改变了美国政府雇员和承包商获取、使用国家安全机密信息和受控非机密信息的方式；新冠疫情总体上明显减慢了政府对国家安全机密信息（CNSI）系统进行现代化和改革的进程。其次，以往“有安全许可的人员在安全的办公空间访问机密信息”的基本规则被打破，由于新冠疫情并非只是一个短暂的干扰因素，相关机构允许联邦工作人员远程访问、使用、创建和共享机密信息的尝试正在展开。第三，新冠疫情对国家安全机密信息项目的管理和监督也产生了不利影响，其中两个最受影响的领域是解密和自我检查。第四，新冠病毒大流行大大削弱了许多机构按照规定完成自动解密审查的能力，并造成了更多强制性解密审查申请的积压。第五，持续的疫情对机密信息分类和解密的相关上诉处理、裁决也带来重大挑战。针对上述挑战，2020年度报告也提出了一些解决办法。如增加资金以促进跨机构信息技术现代化项目，改进国家安全机密信息分类和解密计划；将自动解密审查的重点放在最敏感和有关最高级别机密的记录上；设计和实施新的安全政策和程序以改进远程工作，使其在数字环境中更有效、更高效地运行；通过现代化的改革，建立一个更灵活、数字化的系统，更好地适应21世纪的国家安全任务。消息来源https://www.archives.gov/isoo智库资讯往期整理：智库资讯丨日本将推出新版《网络安全战略》智库专栏丨滴滴黑洞频谱引发全方位警惕智库快讯丨新版俄罗斯《国家安全战略》加强信息安全建设智库快讯丨德国IT安全法2.0正式生效智库快讯丨美国2021年《芯片法》简介国际资讯丨欧盟理事会通过旗舰项目“连通欧洲基金2.0”智库快讯丨美国欲借“2021年创新与竞争法案”追求网络空间绝对优势智库快讯丨德国将批准关于自动驾驶车辆的法律草案（附全文下载）智库资讯丨美议员提出《2021年算法正义与在线平台透明度法案》智库资讯丨ENISA发布《关于互联和自动驾驶安全的建议》智库资讯丨联合国车辆网络安全法规：通过软件更新及管理降低风险智库资讯丨联合国第157号条例为三级自动驾驶确定安全原则智库快讯丨关于车辆网络和网络安全管理系统首部国际法规正式生效智库快讯丨印度欧盟-印度互联互通合作伙伴关系将加强双方数字领域合作智库快讯丨美国总统签署行政令以提高国家网络安全水平智库快讯丨欧盟理事会一读通过2021-2027年欧盟单一市场方案智库资讯丨欧盟将建立网络安全能力中心智库资讯丨欧洲EDPB和EDPS发布关于《数据治理法》提案的联合意见智库资讯丨欧洲消费者组织发布关于《数据治理法》的立场文件智库资讯丨美国拟推《数据审慎法》以保护个人在线数据RCEP

Guides）作为提高女性在网络安全技能中持续努力的一部分，NCSC与英国Girlguiding西南部部门合作，开发了一个名为“在网上”的活动。该倡议于2月在西英格兰大学（the

2021年7月12日，日本发布新《网络安全战略》草案并征求公众意见。作为信息化高度发达、拥有领先网络信息技术的国家，日本对网络安全高度重视。2014年，日本通过《网络安全基本法》，明确了网络安全战略的法律地位。并分别于2015年、2018年推出《网络安全战略》，评估日本网络安全面临的形式，明确日本网络安全战略的目标、原则、措施和未来发展方向，以此指导和加强国家网络安全建设。基于新冠疫情下数字技术使用的加速、日本“5.0社会”持续推进网络空间和现实空间的高度融合、日本为举办东京奥运会、残奥会及其他大型国际活动在网络安全方面付出诸多努力并取得相关经验、国际秩序的深刻复杂变化等一系列背景，日本将推出新版《网络安全战略》，明确日本在网络空间的内外方针，确保“自由、公平和安全的网络空间”。战略草案确定了规划和实施有关网络安全措施的五项基本原则：确保信息的自由传播、法治、开放性、自主性和多方合作。其中，多方合作包含两个方面：一是国家政府、地方政府、关键基础设施供应商、网络安全企业和其他企业、教育和研究机构以及个人之间的合作；二是更多促进与有共同价值观的国家以及和国际社会的合作。战略草案指出，为确保实现“自由、公平和安全的网络空间”应从以下三个方向推进相关工作：一是在数字化变革的基础上，同步推进数字化转型和网络安全。数字化投资和安全措施一体化设计，增强公众对网络空间技术基础设施和数据的信任；二是促进网络空间安全，“实现公民可安全生活的社会”。其中包括：强化“任务保证”，确保供应链安全，加强风险管理，积极防御网络攻击，并对威胁进行追溯；三是从安全角度加强努力，增强参与、协调和合作。国内各实体持续加强检测、调查和分析网络攻击的能力，积极合作，以确定和追究攻击者的责任并加强威慑。国际上与志同道合的国家展开合作，采用政治、经济、法律、外交等多种手段，对网络威胁采取果断的应对措施。在上述三个方向指引下，日本将围绕三个政策目标采取多项具体举措：一是增强经济和社会活力及可持续发展，用网络安全促进数字化转型。其中包括：推动企业管理意识的改变，网络安全将被嵌入数字化管理进程中；提高地区和中小企业的网络安全能力；为确保供应链的可靠性建立基础，以支持新价值的创造；提高公民的网络安全知识和能力。二是实现可以使公民安全、安心生活的数字社会。其中包括：提供网络安全环境以保护公民和社会；确保网络安全与数字改革相结合；政府机构根据统一的标准采取安全措施，并通过基于标准的审计、CSIRT培训和训练等促进整个政府机构安全水平的提高；公共和私营部门共同努力促进关键基础设施的安全和可持续服务；教育和研究机构开展风险管理培训，并在面对威胁时实现信息共享，对拥有先进技术的大学需加强安全保护；政府向国内外分享奥运会的安全风险管理的经验，促进各实体的密切合作，支持建立一个新的信息共享框架，提升日本在日常的整体网络安全；强化应对大规模网络攻击的能力和准备工作。三是对国际社会的和平稳定以及日本的安全做出贡献。其中包括：促进网络空间法治，利用《网络犯罪公约》等现有国际框架，充分参与联合国制定新公约的讨论，建立互联网安全体系，发挥日本在国际舞台的作用，推动网络空间的规则形成，确保实现“自由、公平和安全的网络空间”；加强日本的防卫能力、威慑力和态势感知能力；加强国际合作，政府应促进知识共享、政策协调、网络事务的国际合作和能力建设支持。实现三个政策目标，日本还需从横向、中长期夯实基础。从横向上促进网络安全研究，加强研发的国际竞争力，培育和发展网络安全产业，促进密码学等方面的研究。从中长期上需应对人工智能技术、量子技术的发展。同时还需要培养网络安全人才，推动公众网络安全意识的提升。日本要加强自身网络安全能力建设本无可厚非，但是，新《网络安全战略》草案还认为中国、俄罗斯、朝鲜涉嫌发动网络攻击。在罔顾基本事实，恶意渲染“邻国威胁”的同时，日本通过战略草案再次表达了与美国深化合作的意愿：根据2021年3月日美“2+2”结果保持和加强日美联盟的威慑力，积极推动与美国、澳大利亚、印度和东盟在网络安全领域的合作,以实现“自由、开放的印度-太平洋（FOIP）”。日本在网络空间的试探和博弈，无疑对全球网络空间的战略稳定增加了更多不确定性。智库资讯往期整理：智库专栏丨滴滴黑洞频谱引发全方位警惕智库快讯丨新版俄罗斯《国家安全战略》加强信息安全建设智库快讯丨德国IT安全法2.0正式生效智库快讯丨美国2021年《芯片法》简介国际资讯丨欧盟理事会通过旗舰项目“连通欧洲基金2.0”智库快讯丨美国欲借“2021年创新与竞争法案”追求网络空间绝对优势智库快讯丨德国将批准关于自动驾驶车辆的法律草案（附全文下载）智库资讯丨美议员提出《2021年算法正义与在线平台透明度法案》智库资讯丨ENISA发布《关于互联和自动驾驶安全的建议》智库资讯丨联合国车辆网络安全法规：通过软件更新及管理降低风险智库资讯丨联合国第157号条例为三级自动驾驶确定安全原则智库快讯丨关于车辆网络和网络安全管理系统首部国际法规正式生效智库快讯丨印度欧盟-印度互联互通合作伙伴关系将加强双方数字领域合作智库快讯丨美国总统签署行政令以提高国家网络安全水平智库快讯丨欧盟理事会一读通过2021-2027年欧盟单一市场方案智库资讯丨欧盟将建立网络安全能力中心智库资讯丨欧洲EDPB和EDPS发布关于《数据治理法》提案的联合意见智库资讯丨欧洲消费者组织发布关于《数据治理法》的立场文件智库资讯丨美国拟推《数据审慎法》以保护个人在线数据RCEP

NSA试图通过ITAR的扩展适用以防止公众密码学研究相关技术数据的出口。NSA认为ITAR是对保护国家安全而言有用的、合理的限制，应该予以政策保持，尤其适用于高级加密设备。3）

编者按滴滴在美国闪电上市之后，紧接着迎来国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合开展的网络安全审查。对滴滴而言，一切或许突如其来。事实上，大的互联网科技公司在20余年的宽松环境下，已经在各自领域形成了难以打破的垄断和权力，其独特功能性的业务模式也产生了溢出效应。美国国防部就曾以Uber模式对其全域指挥及控制体系的构建作以参考和类比，以期提升其国防体系的决策和指挥效率，重新构建战斗中的打击能力。因此，梳理滴滴背后的黑洞频谱，加强监管，防范系统性风险，有益于推动我国数据经济的持续健康发展，并增强全球数字经济的发展韧性和抗风险能力。黑洞一：境外注册或形成监管屏障滴滴公开资料显示，滴滴全球有限公司于2013年1月11日在开曼群岛注册。作为避税港的开曼，只有进口税、商业登记税、旅游税等一些简单的税种，并没有开征个人所得税、企业所得税等。这对滴滴们显然具有极大吸引力。同样在开曼注册的中国企业还有：阿里巴巴、腾讯、百度、网易、小米、京东、奇虎360等。除了可以合法避税，在美国等境外上市也相对容易。企业将注册地放在境外，然后在香港或者其他地方成立一家子公司，通过子公司来控股国内公司。境外公司通过收购、股权置换等方式取得境内资产的控制权，再去境外交易所上市。这样一是避开了中国企业在境内或者直接境外上市的高要求；二是不必遵守内地注册的企业在海外上市筹集的资金必须转回内地的规定；三是通过境外公司，不仅可以将境内资金转化为境外资金，还可以使境外公司作为独立法人承担所有投资风险，规避责任追究问题。企业降低成本、规避风险本无可厚非，但是如果从开始就意有所图，计划用境外注册来逃避相关监管，且并没有坚持健康运营和持续发展，一是可能造成资产从国内向境外的不当流失，离岸资产难以收回；二是通过资产再分配，将资产向少数大股东汇集，中小股东利益可能被侵害；三是在出现法律追责的情况下，实际控制人可利用离岸公司身份逃避责任，而其滥用公司人格的后果可能会影响中国企业在全球的口碑。黑洞二：情报融合或引发大数据武器化滴滴的上市路演材料显示，目前滴滴拥有4.93亿活跃用户,覆盖全球16个国家4000多城市，滴滴提供叫车服务、出租车叫车服务、司机服务、搭车服务和其他形式的共享移动服务，以及企业商务乘车解决方案；包括租赁、加油、保养和维修服务的汽车解决方案；电动汽车租赁服务；自行车和电动自行车共享、城市内货运、食品配送和金融服务，坐拥海量数据。出行数据有利于舒缓交通，促进环保，推动就业，并有效改善城市治理。但是，通过有针对性的情报收集和分析，可以对一个国家的社会状况进行准确的分析，甚至对后者的国家安全造成威胁。滴滴曾通过大数据监测分析某一时段国家各部委的忙碌情况，结合各部委的职能和前后时事，不难建立模型对国家一些要事进行分析预测。滴滴提交的SEC文件中也介绍到某一时段在某区域销量的下滑，和疫情时期管控政策直接相关，由此可对地方疫情进行推断。同时，滴滴提供的企业乘车解决方案可以从另一个侧面反映出企业规模和经济效益。滴滴的经营业绩区域分布也可以直接或者间接地反映出人口分布与流动、商业运作与经济发展、货物流动以及交通建设等情况。美国国防部在推动其全域指挥与控制概念（Joint