第八十一期网络安全政策法律动态半月刊（2021.11.16—2021.11.30）

本期要目

境外动态

美国 CISA 发布《新版网络安全事件和漏洞响应手册》

美国金融监管机构发布《银行机构及其银行服务提供商的计算机安全事件通知要求》
欧盟数据保护委员会发布指南，澄清域外适用与数据跨境传输条款间的相互作用
美国 NSA 和 CISA 发布《5G云基础设施安全指南》第二部分
联合国教科文组织通过首份人工智能伦理问题全球性协议
英国政府发布算法透明度标准
美国 NIST 更新《联邦政府物联网设备网络安全指南》
澳大利亚发布《2021年电信服务提供商(客户身份验证)决定提案》，强化电信诈骗打击力度
美国众议院重新引入《在线隐私法案》
欧洲议会内部市场和消费者保护委员会通过《数字市场法》建议案
英国议会引入《产品安全和电信基础设施法案》

境内动态

中共中央政治局会议审议《国家安全战略（2021－2025年）》
工信部印发《“十四五”信息通信行业发展规划》
教育部办公厅、工信部办公厅发布《关于提高高等学校网络管理和服务质量的通知》
中央网络安全和信息化委员会办公室发布《网信系统法治宣传教育第八个五年规划（2021-2025年）》
国家网络安全等级保护工作协调小组办公室发布公告，撤销网络安全等级测评机构推荐证书
中央网信办发布《关于进一步加强娱乐明星网上信息规范相关工作的通知》
国家市场监管总局发布《互联网广告管理办法（公开征求意见稿）》
工信部印发《“十四五”大数据产业发展规划》
工信部印发《“十四五”软件和信息技术服务业发展规划》

境内动态

1. 中共中央政治局会议审议《国家安全战略（2021－2025年）》

11月18日，中共中央政治局召开会议，审议《国家安全战略（2021－2025年）》等。

会议指出，新形势下维护国家安全，必须牢固树立总体国家安全观，加快构建新安全格局。必须坚持党的绝对领导，完善集中统一、高效权威的国家安全工作领导体制，实现政治安全、人民安全、国家利益至上相统一；坚持捍卫国家主权和领土完整，维护边疆、边境、周边安定有序；坚持安全发展，推动高质量发展和高水平安全动态平衡；坚持总体战，统筹传统安全和非传统安全；坚持走和平发展道路，促进自身安全和共同安全相协调。

会议强调，必须坚持把政治安全放在首要位置，统筹做好政治安全、经济安全、社会安全、科技安全、新型领域安全等重点领域、重点地区、重点方向国家安全工作。要增强产业韧性和抗冲击能力，筑牢防范系统性金融风险安全底线，确保重要基础设施安全，加强海外利益安全保护。要强化科技自立自强作为国家安全和发展的战略支撑作用。要积极维护社会安全稳定，从源头上预防和减少社会矛盾。要持续做好新冠肺炎疫情防控，加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力。要全面提升国家安全能力，更加注重协同高效，更加注重法治思维，更加注重科技赋能，更加注重基层基础。

来源：中国政府网

2. 工信部印发《“十四五”信息通信行业发展规划》

11月16日，工信部印发《“十四五”信息通信行业发展规划》。与以往的五年规划相比，本次规划进一步凸显信息通信行业的功能和定位：是构建国家新型数字基础设施、提供网络和信息服务、全面支撑经济社会发展的战略性、基础性和先导性行业。

规划要求，全面加强网络和数据安全保障体系和能力建设。坚决落实国家网络安全工作“四个坚持”，紧紧围绕防范化解重大网络安全风险的工作主线，着力完备网络基础设施保护和网络数据安全体系，持续推进新型数字基础设施安全管理水平，打造繁荣发展的网络安全产业和可信的网络生态环境，全面提升行业网络安全应急处置，服务行业高质量发展，支撑构建国家网络安全新格局。

规划要求，增强行业关键信息基础设施安全保障能力，深入落实《网络安全法》及国家关键信息基础设施安全。健全行业网络安全审查体系，推进网络关键设备安全检测认证，建立供应商网络安全成熟度认证等供应链风险管理制度，稳妥有序推进商用密码应用，提升网络基础设施安全保障水平。系统完善网络数据安全治理体系深入落实国家数据安全等法律制度，制定出台信息通信行业网络数据安全部门规章，建立健全行业数据分类分级保护、重要数据目录、数据泄露通知、跨境传输等基础管理制度规范。建立完善大数据平台和算法安全规则，推动出台人工智能技术应用安全规范。深化数据安全合规评估体系建设，推动建立数据安全治理能力评估、认证评测、行业自律等机制。

来源：工信部官网

3. 教育部办公厅、工信部办公厅发布《关于提高高等学校网络管理和服务质量的通知》

11月16日，教育部办公厅、工信部办公厅发布《关于提高高等学校网络管理和服务质量的通知》。

通知要求，高等学校应严格按照《网络安全法》《数据安全法》《个人信息保护法》等法律法规和政策文件要求，落实各项安全防护要求；严格落实互联网访问实名认证制度，规范外来访客网络访问管理，实行上网地址统一管理和网络准入统一认证制度，按规定做好上网访问日志记录和存储；建立网络流量监测机制，及时识别网络攻击行为、屏蔽不良网络信息，提升校园局域网安全态势感知能力；健全应急管理机制，建立网络安全事件协同处置机制，确保各类网络故障和安全事件得到快速响应、有效处置。

来源：教育部官网

4. 中央网络安全和信息化委员会办公室发布《网信系统法治宣传教育第八个五年规划（2021-2025年）》

11月17日，中央网络安全和信息化委员会办公室发布《网信系统法治宣传教育第八个五年规划（2021-2025年）》，对网信系统“八五”普法工作作出安排部署。

规划围绕五个方面部署主要任务，一是明确网络普法的重点内容，二是系统提升全民网络法治素养，三是推进网络普法与依法治网有机融合，四是着力提升网络普法针对性实效性，五是构建网络普法大格局。

规划提出五项工程，包括：网信系统领导干部依法管网治网能力提升工程，青少年网络法治素养培育提升工程，互联网企业合规建设工程，网络普法师资培养工程，网络普法志愿者队伍建设工程。

来源：中国网信网

5. 国家网络安全等级保护工作协调小组办公室发布公告，撤销网络安全等级测评机构推荐证书

11月19日，国家网络安全等级保护工作协调小组办公室发布《关于撤销网络安全等级测评机构推荐证书的公告》。公告称，为贯彻落实国务院“放管服”改革要求，不断提升网络安全等级测评机构管理工作的规范化、专业化和社会化水平，经研究决定，自即日起，国家网络安全等级保护工作协调小组办公室撤销网络安全等级测评机构推荐证书，不再发布《全国网络安全等级测评机构推荐目录》，相关工作纳入国家认证体系。

同日，中关村信息安全测评联盟表示，为保障网络安全等级测评和检测评估工作的顺利开展，经公安部第三研究所（国家认证认可委员会批准的认证机构）认证发放的《网络安全等级测评与检测评估机构服务认证证书》自颁布之日起即可使用，同步使用新的认证标志。

来源：网络安全等级保护网

6. 中央网信办发布《关于进一步加强娱乐明星网上信息规范相关工作的通知》

11月23日，中央网信办发布《关于进一步加强娱乐明星网上信息规范相关工作的通知》，从内容导向、信息呈现、账号管理、舆情机制等4个方面提出15项具体工作措施。

通知要求，严把娱乐明星网上信息内容导向，加强正面引导，建立负面清单，禁止娱乐明星网上信息含有宣扬畸形审美、低俗绯闻炒作、恶意刷量控评、虚假不实爆料、诱导非理性追星等内容。通知按照信息内容属性、影响作用等因素，将娱乐明星网上信息划分为演艺作品、个人动态、商业活动、公告、公益、权威发布等6种类型，针对网站平台首页首屏、热门推荐、热搜榜单等重点环节提出明确要求，以进一步规范娱乐明星网上信息呈现。

来源：中国网信网

7. 国家市场监管总局发布《互联网广告管理办法（公开征求意见稿）》

11月26日，国家市场监管总局发布《互联网广告管理办法（公开征求意见稿）》。

公开征求意见稿要求提供互联网信息服务的平台经营者应当采取措施防范、制止虚假违法广告，完善发现、处置为违法犯罪活动提供广告推广以及在广告服务中植入恶意代码或者插入违法信息的技术措施。

公开征求意见稿要求利用算法推荐等方式发布互联网广告，其投放程序的后台数据属于互联网广告业务档案。互联网广告业务档案及有关证明文件保存时间自广告发布行为终止之日起不少于三年；法律、行政法规另有规定的，依照其规定。

【阅读原文】

8. 工信部印发《“十四五”大数据产业发展规划》

11月30日，工信部印发《“十四五”大数据产业发展规划》。

安全保障方面，规划要求筑牢数据安全保障防线，完善数据安全保障体系。强化大数据安全顶层设计，落实网络安全和数据安全相关法律法规和政策标准。鼓励行业、地方和企业推进数据分类分级管理、数据安全共享使用，开展数据安全能力成熟度评估、数据安全管理认证等。加强数据安全保障能力建设，引导建设数据安全态势感知平台，提升对敏感数据泄露、违法跨境数据流动等安全隐患的监测、分析与处置能力。推动数据安全产业发展。支持重点行业开展数据安全技术手段建设，提升数据安全防护水平和应急处置能力。加强数据安全产品研发应用，推动大数据技术在数字基础设施安全防护中的应用。加强隐私计算、数据脱敏、密码等数据安全技术与产品的研发应用，提升数据安全产品供给能力，做大做强数据安全产业。

规划明确，将开展数据安全铸盾行动，加强数据安全管理能力。推动建立数据安全管理制度，制定相关配套管理办法和标准规范，组织开展数据分类分级管理，制定重要数据保护目录，对重要数据进行备案管理、定期评估与重点保护。加强数据跨境安全管理。开展数据跨境传输安全管理试点，支持有条件的地区创新数据跨境流动管理机制，建立数据跨境传输备案审查、风险评估和安全审计等工作机制。鼓励有关试点地区参与数字规则国际合作，加大对跨境数据的保护力度。建设数据安全监测系统。基于大数据平台、互联网数据中心等重要网络节点、建设涵盖行业、地方、企业的全国性数据安全监测平台，形成敏感数据监测发现、数据异常流动分析、数据安全事件追踪溯源等能力。