2022年上半年相继发布了多项网络安全相关政策,意味着建设网络强国、维护和保障我国国家网络安全的战略任务正在转化为一种可执行、可操作的制度性安排。标志着我国网络安全领域已越发成熟。漏洞银行为大家梳理出2022上半年国内网络安全领域发布的重要法律和政策条文,以供参考。
国家政策
1、2022年1月4日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等十三部门联合修订了《网络安全审查办法》,自2022年2月15日起正式施行。
《办法》指出,网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
2、2022年1月4日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》,自2022年3月1日起施行。
《规定》的出台,旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。
3、2022年1月6日,国务院办公厅发布《要素市场化配置综合改革试点总体方案》(国办发〔2021〕51号)
《方案》要求完善公共数据开放共享机制、建立健全数据流通交易规则、拓展规范化数据开发利用场景、加强数据安全保护。明确探索“原始数据不出域、数据可用不可见”的交易范式,实现数据使用“可控可计量”,推动完善数据分级分类安全保护制度。
4、2022年1月12日,国务院发布《“十四五”数字经济发展规划》
《规划》部署了八项重点任务,在数字经济安全体系方面,提出了三个方向的要求,一是增强网络安全防护能力、二是提升数据安全保障水平、三是切实有效防范各类风险,并系统阐述了网络安全对于数字经济的独特作用及重要性。
5、2022年1月18日,发改委、网信办、市场监管总局、工信部等九部门联合发布《关于推动平台经济规范健康持续发展的若干意见》(发改高技〔2021〕1872号)
《意见》强化数据安全管理工作;推动平台企业深入落实网络安全等级保护制度,探索开展数据安全风险态势监测通报,建立应急处置机制。
6、2022年1月22日,工信部、发改委联合印发《关于促进云网融合 加快中小城市信息基础设施建设的通知》
《通知》明确将面向城区常住人口100万以下的中小城市(含地级市、县城和特大镇)组织实施云网强基行动,增强中小城市网络基础设施承载和服务能力,推进应用基础设施优化布局,建立多层次、体系化的算力供给体系。
7、2022年1月26日,中央网信办等10部门印发《数字乡村发展行动计划(2022-2025年)》
数据安全保障提出,加强安全保障加强农业农村数据安全保护,落实涉农关键信息基础设施安全保护制度和网络安全等级保护制度。
8、2022年2月15日,国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式施行
《办法》以关键信息基础设施的供应链安全为核心,重点加强对数据安全的关注和规范,聚焦网络产品、服务及数据处理活动,助推关键信息基础设施与网络平台的高质量发展。
9、2022年2月17日,国家发改委等部门宣布“东数西算”工程全面启动实施
按照全国一体化大数据中心体系布局,京津冀、长三角、粤港澳大湾区、成渝、内蒙古、贵州、甘肃、宁夏等地8个国家算力枢纽节点将作为我国算力网络的骨干连接点,发展数据中心集群,开展数据中心与网络、云计算、大数据之间的协同建设,并作为国家“东数西算”工程的战略支点,推动算力资源有序向西转移,促进解决东西部算力供需失衡问题。
10、2022年2月21日,工业和信息化部发布《工业和信息化部办公厅关于做好工业领域数据安全管理试点工作的通知》
《通知》要求试点地区加快提升行政执法能力,加大对行政执法人员和企业培训力度,鼓励有条件的地区统筹建立专业执法队伍。要强化政策支持和资金投入,加强数据安全监测、风险报送、事件处置等技术能力建设,全面提升本地区数据安全监管能力。
11、2022年3月5日,发布《2022年政府工作报告》
《政府工作报告》提到2022年重点工作,其中包含强化网络安全、数据安全和个人信息保护。这是自2021年政府工作报告以来,再次对数据安全和个人信息保护的强调。并指出建设数字信息基础设施,逐步构建全国一体化大数据中心体系,推进5G规模化应用,促进产业数字化转型,发展智慧城市、数字乡村。
12、2022年3月25日,中共中央、国务院发布《关于加快建设全国统一大市场的意见》
《意见》旨在从全局和战略高度加快建设全国统一大市场。意见要求,加快培育数据要素市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范,深入开展数据资源调查,推动数据资源开发利用。
13、2022年4月18日,中共中央办公厅、国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》
《意见》对加强打击治理电信网络诈骗违法犯罪工作作出安排部署,要求要加强行业监管源头治理。建立健全行业安全评估和准入制度;加强金融行业监管,及时发现、管控新型洗钱通道;加强电信行业监管,严格落实电话用户实名制;加强互联网行业监管;完善责任追究制度,建立健全行业主管部门、企业、用户三级责任制;建立健全信用惩戒制度,将电信网络诈骗及关联违法犯罪人员纳入严重失信主体名单。《意见》还要求,要强化属地管控综合治理,加强犯罪源头地综合整治。
14、2022年4月25日,中央网信办、国家发展改革委、工业和信息化部联合印发《深入推进IPv6规模部署和应用2022年工作安排》
《工作安排》明确了2022年工作目标:到2022年末,IPv6活跃用户数达到7亿,物联网IPv6连接数达到1.8亿,固定网络IPv6流量占比达到13%,移动网络IPv6流量占比达到45%。网络和应用基础设施承载能力和服务质量持续提升,IPv6网络性能指标与IPv4相当,部分指标优于IPv4。数据中心、内容分发网络、云平台和域名解析系统等应用基础设施深度支持IPv6服务。新出厂家庭无线路由器全面支持IPv6,并默认开启IPv6地址分配功能。“IPv6+”技术生态体系更加完善,行业融合应用领域持续扩大。县级以上政府门户网站IPv6支持率达到85%,国内主要商业网站及移动互联网应用IPv6支持率达到85%。IPv6网络安全防护能力大幅提升。
15、2022年5月7日,中央文明办、文化和旅游部、国家广播电视总局、国家互联网信息办公室四部门联合发布《关于规范网络直播打赏 加强未成年人保护的意见》
《意见》提出加强网络素养教育。鼓励学校开展未成年人网络素养教育,围绕网络道德意识和行为准则、网络法治观念和行为规范、网络使用能力建设、人身财产安全保护等培育未成年人网络安全意识、文明素养、行为习惯和防护技能。引导未成年人监护人主动学习网络知识,加强对未成年人使用网络行为的教育、示范、引导和监督。支持社会各界共同开展宣传教育,促进未成年人开阔眼界、提高素质、陶冶情操、愉悦身心。
16、2022年5月22日,中共中央办公厅、国务院办公厅印发《关于推进实施国家文化数字化战略的意见》
《意见》要求,在数据采集加工、交易分发、传输存储及数据治理等环节,制定文化数据安全标准,强化中华文化数据库数据入库标准,构建完善的文化数据安全监管体系,完善文化资源数据和文化数字内容的产权保护措施。
17、2022年6月9日,关于开展数据安全管理认证工作的公告
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定,国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》实施认证。
18、2022年6月14日,国家互联网信息办公室发布新修订《移动互联网应用程序信息服务管理规定》自2022年8月1日起施行。
新《规定》旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。新《规定》要求,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。
19、2022年6月21日,最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》
《通知》要求各地检察机关积极推动促进个人信息保护法等法律法规的统一正确实施,参与网络空间治理,强化刑事检察和公益诉讼检察职能衔接协作,实现全链条打击、一体化网络治理。《通知》强调,要进一步加强网络空间系统治理和溯源治理。结合监督办案加强类案治理的分析研判,注重发现执法司法、行业监管、信息公开、综合治理等工作中的问题和漏洞,精准向有关部门提出促进完善监管的检察建议,探索向有关网络平台提出依法履行社会责任的检察建议。
20、2022年6月22日,中央全面深化改革委员会第二十六次会议召开,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。
数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。
21、2022年6月23日,国务院印发《关于加强数字政府建设的指导意见》
《意见》提出加强自主创新,加快数字政府建设领域关键核心技术攻关,强化安全可靠技术和产品应用,切实提高自主可控水平。
22、2022年6月23日,最高人民检察院印发《关于加强数字政府建设的指导意见》
《通知》要求各地检察机关积极推动促进个人信息保护法等法律法规的统一正确实施,参与网络空间治理,强化刑事检察和公益诉讼检察职能衔接协作,实现全链条打击、一体化网络治理。《通知》强调,要进一步加强网络空间系统治理和溯源治理。结合监督办案加强类案治理的分析研判,注重发现执法司法、行业监管、信息公开、综合治理等工作中的问题和漏洞,精准向有关部门提出促进完善监管的检察建议,探索向有关网络平台提出依法履行社会责任的检察建议。
23、2022年6月24日,十三届全国人大常委会第三十五次会议对《中华人民共和国反电信网络诈骗法(草案二次审议稿)》进行了审议。
《审议稿》提出,个人信息处理者应当依照《中华人民共和国个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。
24、2022年6月27日,国家互联网信息办公室发布《互联网用户账号信息管理规定》,自2022年8月1日起施行。
《规定》提出要建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。
行业政策
金融
1、2022年1月5日,中国人民银行编制发布《金融科技发展规划(2022-2025年)》
《规划》提出新时期金融科技发展指导意见,明确金融数字化转型的总体思路、发展目标、重点任务和实施保障。其中重点任务提出要充分释放数据要素潜能,强化数据能力建设,推动数据有序共享,深化数据综合应用,做好数据安全保护。
2、2022年1月5日,为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息技外包风险管控能力,推动银行保险机构稳健开展数字化转型工作,中国银保监会印发了《银行保险机构信息科技外包风险监管办法》。
《办法》的制定出台,将促进银行保险机构建立并完善信息科技外包治理架构,加强外信息科技外包风险管理体系建设,提升信息科技外包风险管控能力,促进银行保险机构稳健开展数字化转型工作。
3、2022年1月10日,《关于银行业保险业数字化转型的指导意见》
《意见》指出,到2025年,银行业保险业数字化转型取得明显成效。数字化金融产品和服务方式广泛普及,基于数据资产和数字化技术的金融创新有序实践,个性化、差异化、定制化产品和服务开发能力明显增强,金融服务质量和效率显著提高。数字化经营管理体系基本建成,数据治理更加健全,科技能力大幅提升,网络安全、数据安全和风险管理水平全面提升。
4、2022年1月23日,央行会同市场监管总局、银保监会、证监会联合印发《金融标准化“十四五”发展规划》。
《规划》要求统筹金融数据开发利用、公共安全、商业秘密和个人隐私保护,加快完善金融数据资源产权、交易流通、跨境传输和安全保护等标准规范。建立健全金融业关键信息基础设施保护标准体系,支持提升安全防护能力。
5、2022年1月25日,银保监会印发《银行保险机构信息科技外包风险监管办法》。
《办法》要求银行保险机构不得将信息科技管理责任、网络安全主体责任外包;保障网络和信息安全,加强重要数据和个人信息保护;强调事前控制和事中监督。
6、2022年1月26日,中国银保监会发布《关于银行业保险业数字化转型的指导意见》(银保监办发〔2022〕2号)
《意见》从战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范等方面提出要求,并提出到2025年,银行业保险业数字化转型取得明显成效,数字化经营管理体系基本建成,数据治理更加健全,科技能力大幅提升,网络安全、数据安全和风险管理水平全面提升。
7、2022年1月27日,银保监会印发《关于银行业保险业数字化转型的指导意见》。
《意见》要求完善数据安全管理体系,建立数据分级分类管理制度,落实技术和管理措施。强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制。构建云环境、分布式架构下的技术安全防护体系。
8、2022年2月8日,中国人民银行、市场监管总局、银保监会、证监会联合发布《金融标准化“十四五”发展规划》(银发〔2022〕18号)
《规划》明确了强化金融网络安全标准防护、推进金融业信息化核心技术安全可控标准建设。
9、2022年2月9日,中国人民银行会同市场监管总局、银保监会、证监会联合印发《金融标准化“十四五”发展规划》
《规划》明确提出要稳步推进金融科技标准建设,系统完善金融数据要素标准,健全金融信息基础设施标准,强化金融网络安全标准防护,推进金融业信息化核心技术安全可控标准建设。
10、2022年4月7日,中国银联联合国家金融科技测评中心、中国金融认证中心共同制定了《中国银联金融信息技术应用创新产品能力评估指引(试行)》
《指引》对金融信息技术应用创新产品在事前产品选型把关、强化关键技术提供方资质能力审核、前瞻性、可扩展性、稳定性等方面给予在技术应用适配测试和安全评估指导,确保技术路径与需求高度匹配。
11、2022年4月29日,为建立健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,中国证监会印发《证券期货业网络安全管理办法(征求意见稿)》并公开征求意见。
《办法》主要包括证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面内容。同时,《办法》还明确了名词释义、参照执行主体和情境、实施时间以及相关办法衔接等事项。
12、2022年5月19日,中国银保监会发布《银行保险监管统计管理办法(征求意见稿)》强调数据安全保护
根据《数据安全法》相关规定,《征求意见稿》在职责范围、统计资料管理制度、监督检查中增加了涉及数据安全保护的监管内容,明确提出监管统计工作有关保密要求。
电力能源
1、2022年3月3日,国家能源局发布《2022年电力安全监管重点任务》,明确电力安全监管目标,并对2022年的电力安全工作进行了部署。
《任务》强调要做好电力安全日常监管工作,进“明目”“赋能”“强基”三大行动,加快网络安全态势感知平台建设,组织开展网络安全实战演习,评估遴选一批电力行业网络安全分靶场,组织开展关键信息基础设施安全保护监督检查,建立电力行业网络安全等级保护体系。
2、2022年4月16日,国家发展和改革委员会发布《电力可靠性管理办法(暂行)》。
《办法》规定,电力企业应当落实网络安全保护责任,健全网络安全组织体系,设立专门的网络安全管理及监督机构,加快各级网络安全专业人员配备;落实网络安全等级保护、关键信息基础设施安全保护和数据安全制度,加强网络安全审查、容灾备份、监测审计、态势感知、纵深防御、信任体系建设、供应链管理等工作;开展网络安全监测、风险评估和隐患排查治理,提高网络安全监测分析与应急处置能力。
3、4月27日,国家发改委发布《电力可靠性管理办法(暂行)》
《办法》自2022年6月1日起施行,办法新增“第七章 网络安全”专章,并重点提出了网络安全防护、网络安全监测、风险评估、隐患排查治理、网络安全责任落实等电力行业网络安全相关要求。
4、2022年6月14日,国家能源局发布《电力行业网络安全管理办法(修订征求意见稿)》
《办法》提出国家能源局和地方能源主管部门是电力行业网络安全主管部门,履行电力行业网络安全监督管理职责,电力企业是本单位网络安全的责任主体,电力企业主要负责人是本单位网络安全的第一责任人。电力企业应当按照电力监控系统安全防护规定、国家网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全保护制度及网络安全审查工作机制的要求,对本单位的网络与信息系统进行安全保护,并将网络安全纳入安全生产管理体系。
5、2022年6月12日,国家能源局综合司发布《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》
除此之外,并向社会广泛征求意见,这是时隔八年后对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)的首次修订,意见反馈截止日期为2022年7月13日。
6、2022年6月14日,国家能源局发布《电力行业网络安全等级保护管理办法(修订征求意见稿)》
《办法》提出电力行业网络安全等级保护坚持分等级保护、突出重点、积极防御、综合防控的原则。电力企业在网络规划、建设、运营过程中,应当遵循同步规划、同步建设、同步使用的原则,按照该网络的安全保护等级要求,建设网络安全设备设施,制定并落实安全管理制度,健全网络安全防护体系。第二级电力监控系统应当每两年至少进行一次自查,第三级及以上网络应当每年至少进行一次自查。
医疗卫生
2022年4月24日,国家药监局印发《药品监管网络安全与信息化建设“十四五”规划》
网络安全方面,规划要求健全网络安全管理制度,建立网络安全责任体系,落实网络安全管理主体责任,升级信息系统安全建设、安全测评、容灾备份等保障措施,完善电子政务内网和外网管理,形成各方协同配合的网络安全防范、监测、通报、响应和处置机制,构建涵盖物理、网络、数据、系统等全方位、多层次的安全防护体系。加强对网络视频会议、电视电话会议等服务保障能力。
工业互联网
1、2022年2月10日,工信部发布《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)再次公开征集意见。
《意见》明确其对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
2、2022年4月7日,工业和信息化部、国家发展和改革委员会、科学技术部、生态环境部、应急管理部、国家能源局近日联合印发《关于“十四五”推动石化化工行业高质量发展的指导意见》。
《意见》提出到2025年我国石化化工行业基本形成自主创新能力强、结构布局合理、绿色安全低碳的高质量发展格局,高端产品保障能力大幅提高,核心竞争能力明显增强,高水平自立自强迈出坚实步伐。并在创新发展、产业结构、产业布局、数字化转型、绿色安全等五个方面明确了具体发展目标。
3、2022年4月13日,工业和信息化部印发《工业互联网专项工作组2022年工作计划》
《计划》从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面,提出了网络体系强基、标识解析增强、平台体系壮大、数据汇聚赋能、新型模式培育、融通赋能“牵手”等15大类任务83项具体举措。
交通运输
1、2022年3月7日,工信部发布《车联网网络安全和数据安全标准体系建设指南》(工信厅科〔2022〕5号)。
《指南》提出重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。
2、2022年4月6日,为深入贯彻落实《国务院关于印发“十四五”现代综合交通运输体系发展规划的通知》(国发〔2021〕27号)有关“提高道路客运联网售票水平,普及电子客票”的部署要求,交通运输部办公厅印发《关于做好道路客运电子客票推广普及有关工作的通知》。
《通知》提出要加强信息安全管理,规范电子客票相关信息的采集、传输、存储、应用流程,强化道路客运电子客票服务网络安全、数据安全和个人信息保护,确保系统安全平稳运行,严防旅客个人信息等重要数据泄露。要加强风险防控和隐患排查,对发现的问题督促系统运营单位立行立改,压实企业主体责任,坚决筑牢信息安全屏障。
3、2022年4月8日,工业和信息化部办公厅、公安部办公厅、交通运输部办公厅、应急管理部办公厅 国家市场监督管理总局办公厅印发《关于进一步加强新能源汽车企业安全体系建设的指导意见》
《意见》提出完善安全管理机制,加强安全教育培训。强调健全网络安全保障体系,加强网络安全防护、强化数据安全保护、落实个人信息安全防护。
政企
1、 2022年4月21日,国家邮政局、公安部、国家互联网信息办公室联合启动邮政快递领域个人信息安全治理专项行动
4月21日,国家邮政局、公安部、国家互联网信息办公室联合召开电视电话会议,部署开展为期半年的邮政快递领域个人信息安全治理专项行动。会议指出,邮政快递业是网络安全和关键信息基础设施保护的重要行业领域,是国家网络安全工作的重要组成部分。要夯实基础,加强关键信息基础设施安全保护,建立健全网络安全监测预警和网络安全事件应急预案。
2、2022年5月25日,最高人民法院发布《最高人民法院关于加强区块链司法应用的意见》
《意见》明确人民法院加强区块链司法应用总体要求及人民法院区块链平台建设要求,提出运用区块链数据防篡改技术提升司法公信力,保障司法数据安全、操作合规。
数据安全及个人信息保护领域
1、2022年1月19日,国家发改委等部门发布《关于推动平台经济规范健康持续发展的若干意见》。
要求细化平台企业数据处理规则。严厉打击平台企业超范围收集个人信息、超权限调用个人信息等违法行为。推动平台企业深入落实网络安全等级保护制度,探索开展数据安全风险态势监测通报,建立应急处置机制。
2、2022年2月7日,交通运输部等八部门联合发布《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》。
网约车平台公司存在危害网络安全、数据安全,侵害用户个人信息权益等违法违规行为的,可开展事前事中事后全链条联合监管。
3、2022年2月10日,工信部再次征求对《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)的意见。
明确数据处理者对数据处理活动负安全主体责任,对各类数据实行分级防护。要求跨主体提供、转移、委托处理核心数据的,应当评估安全风险,采取必要的安全保护措施并报批。
4、2022年3月2日,中央网信办、教育部、工信部、人力资源社会保障部联合印发《2022年提升全民数字素养与技能工作要点》。
《要点》要求增强网络安全、数据安全防护意识和能力,加强个人信息和隐私保护。
5、2022年5月7日,工信部《APP收集使用个人信息最小必要评估规范》等4项行业标准报批,涉及总则、位置信息、图片信息和短信信息。
在以上标准批准发布之前,为进一步听取社会各界意见,工业和信息化部科技司对此进行公示。
6、2022年5月17日,工业和信息化部向社会公布2022年规章制定工作计划。其中《电信和互联网用户个人信息保护规定(修订)》被列入十项年内完成研究起草任务的项目之一。该规定于2013年9月首次施行。
《规定》共分为六章、二十五条,规定了电信和互联网用户个人信息的保护范围、用户个人信息收集和使用原则、用户个人信息收集和使用规则、代理商管理、安全保障制度、监督检查制度等内容。这是《电信和互联网用户个人信息保护规定》在施行八年后的首次修订计划。
7、2022年6月5日,国家市场监督管理总局、国家互联网信息办公室发布《关于开展数据安全管理认证工作的公告》,并公布《数据安全管理认证实施规则》
公告中提出国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》实施认证。《数据安全管理认证实施规则》规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。
互联网安全领域
1、2022年1月5日,国家网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》。
《规定》指出,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、网络数据安全、个人信息保护、未成年人保护等管理制度,确保信息内容安全。
2、2022年1月28日,国家网信办发布《互联网信息服务深度合成管理规定(征求意见稿)》。
《规定》指出,深度合成服务提供者应当落实信息安全主体责任,建立健全算法机制机理审核、用户注册、信息内容管理、数据安全和个人信息保护、未成年人保护、从业人员教育培训等管理制度,具有与新技术新应用发展相适应的安全可控的技术保障措施。
3、2022年3月2日,国家网信办发布《互联网弹窗信息推送服务管理规定(征求意见稿)》。
《规定》强调互联网弹窗信息推送服务提供者应当落实信息内容安全管理主体责任,建立健全信息内容审核、生态治理、网络安全、数据安全、个人信息保护、未成年人保护等管理制度。
4、2022年3月14日,国家网信办就《未成年人网络保护条例(征求意见稿)》再次征求意见。
要求建立健全未成年人网络保护合规制度体系。发现未成年人私密信息或者其发布的个人信息中涉及私密信息时,应及时提示并采取停止传输等必要保护措施。以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径等义务。
5、2022年6月14日,国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》。新《规定》自2022年8月1日起施行,2016年6月28日公布的《移动互联网应用程序信息服务管理规定》同时废止。
新《规定》提出应用程序提供者和应用程序分发平台应当遵守法律法规,大力弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,自觉遵守公序良俗,积极履行社会责任,维护清朗网络空间。新《规定》要求,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。
6、2022年6月17日,网信办发布《互联网跟帖评论服务管理规定(修订草案征求意见稿)》
《规定》指出,建立健全跟帖评论审核管理、实时巡查、应急处置、举报受理等信息安全管理制度,对跟帖评论信息内容实行先审后发,及时发现处置违法和不良信息,并向网信部门报告。
7、2022年6月27日,网信办发布《互联网用户账号信息管理规定》,自8月1日起施行。
《规定》要求建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。
区域政策
1、2022年1月26日,上海市首份《企业数据合规指引》出台
《指引》鼓励各类企业设置专门的数据合规管理部门,而不是由法务部门履行合规管理职能。明确不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。明确不得使用风险不可控的开源软件开发工具包等工具。
2、2022年2月1日,《福建省大数据发展条例》正式施行。
规定明示数据采集目的、方式和范围,并经被采集者同意。开展涉及个人信息的数据活动,应当对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。
3、2022年2月7日,广东省政务服务数据管理局发布《广东省公共数据安全管理办法(二次征求意见稿)》。
要求制定公共数据分类分级指南,明确分类分级的原则和规则等,特别是重要数据、核心数据的识别及分级保护规则。
4、2022年2月9日,山东省人民政府发布《山东省公共数据开放办法》。
要求公共数据提供单位建立本单位公共数据安全保护制度,采取相应的技术措施和其他必要措施,保障公共数据安全。
5、2022年2月11日,黑龙江省人大常委会法制工作委员会发布《黑龙江省促进大数据发展应用条例(草案修改稿征求意见稿)》。
明确从事数据处理活动的单位应当履行建立健全全流程数据安全管理制度;制定数据安全事件应急预案,定期开展风险评估和应急演练等活动;采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改等。
6、2022年3月1日,《浙江省公共数据条例》正式施行。
公共数据安全实行谁收集谁负责、谁使用谁负责、谁运行谁负责的责任制。公共数据主管部门、公共管理和服务机构的主要负责人是本单位数据安全工作的**责任人。加强公共数据全生命周期安全和合法利用管理,防止数据被非法获取、篡改、泄露、损毁或者不当利用。
7、2022年3月7日,河南省大数据局发布《河南省数据条例(草案)》(征求意见稿)。
按照“一数一源、一源多用”收集公共数据,安装图像采集、个人身份识别设备,应当为维护公共安全所必需。公共管理和服务机构应当强化数据安全组织和人才力量,采取多种方式培养数据安全专业人才。
8、2022年3月25日,新疆维吾尔自治区第十三届人民代表大会常务委员会第三十二次会议通过《新疆维吾尔自治区关键信息基础设施安全保护条例》,自2022年6月15日起施行。
适用于自治区行政区域内关键信息基础设施的安全保护和监督管理工作。
9、2022年3月30日,《重庆市数据条例》经市五届人大常委会第三十三次会议表决通过。
明确数据安全是数据管理的底线,完善数据处理规则,建立健全数据处理规则和数据安全体系,衔接和落实个人信息保护法、数据安全法的相关规定。
10、2022年5月27日,河北省十三届人大常委会第三十次会议表决通过了《河北省数字经济促进条例》,该条例将于2022年7月1日起施行。
《条例》共九章81条,主要围绕数字基础设施建设、数据资源开发利用、数字产业化、产业数字化、数字化治理、京津冀数字经济协同发展、保障和监督等方面作出规范。
11、2022年6月2日,厦门市司法局发布《厦门经济特区数据条例(草案征求意见稿)》,并向社会公开征求意见。
意见稿从数据资源、数据要素市场、数据安全、应用与发展、法律责任等方面做出规定,为促进数据作为生产要素在市场中发挥作用、推动数字经济的发展提供法治保障。意见征集截止时间为2022年7月1日前。
其他网络安全相关政策
1、2022年1月26日,最高法印发《人民法院在线运行规则》。
要求各级人民法院应当建设安全保障系统,为人民法院在线运行提供网络和信息安全保障。安全保障系统应当为各类信息基础设施、应用系统和数据资源提供主机安全、身份认证、访问控制、分类分级、密码加密、防火墙、安全审计和安全管理等安全服务。
2、2022年2月25日,工信部印发《车联网网络安全和数据安全标准体系建设指南》
聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等,着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给,覆盖车联网网络安全、数据安全的关键领域和环节。
3、2022年4月8日,工业和信息化部、公安部、交通运输部、应急管理部、国家市场监督管理总局等五部门近日联合印发《关于进一步加强新能源汽车企业安全体系建设的指导意见》。
《指导意见》要求新能源汽车企业加快构建系统、科学、规范的安全体系,全面增强企业在安全管理机制、产品质量、运行监测、售后服务、事故响应处置、网络安全等方面的安全保障能力,提升新能源汽车安全水平,推动新能源汽车产业高质量发展。
4、2022年5月25日,最高人民法院发布《最高人民法院关于加强区块链司法应用的意见》。
这是人民法院深入贯彻习近平法治思想、落实习近平总书记关于推动区块链技术创新发展重要指示精神的具体举措,将进一步推进人民法院运用以区块链为代表的关键技术加速人民法院数字化变革、创造更高水平数字正义,促进法治与科技深度融合发展、推动智慧法治建设迈向更高层次。
5、2022年5月11日,国家药监局关于印发《药品监管网络安全与信息化建设“十四五”规划》的通知。
《规划》分为4大部分,总结了“十三五”时期,药监部门信息化建设工作成效,提出“十四五”期间,坚持“系统思维,统筹协同”“业务引领,数据驱动”“技术赋能,融合创新”“集约建设,安全可控”4个基本原则,重点明确了升级“两品一械”智慧监管能力、提升政务一体化服务能力、推进监管数据融合与驱动、筑牢药品智慧监管数字底座、夯实网络安全综合保障能力5个方面重点任务。
网络安全标准规范
1、2022年1月7日,全国信安标委发布了《信息安全技术 重要数据识别指南》(征求意见稿)。
《指南》给出了识别重要数据的基本原则、考虑因素以及重要数据描述格式。《指南》适用于数据处理者识别其掌握的重要数据,为重要数据安全保护工作提供支撑,也可供各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考。
2、2022年3月6日,全国信安标委公布《2022年网络安全国家标准需求清单》
旨在加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用。清单共包含34项标准,其中制定标准20项,修订标准14项。
3、2022年3月28日,为确保标准质量,全国信安标委秘书处面向社会广泛征求《信息安全技术 电子政务移动办公系统安全技术规范》意见。
4、2022年4月7日,全国信安标委秘书处面向社会公开《信息安全技术 信息安全控制评估指南》(征求意见稿)、《信息安全技术 行业间和组织间通信的信息安全管理》(征求意见稿)、《信息安全技术 大数据服务安全能力要求》共3项国家标准意见。
5、2022年4月11日,全国信安标委公开征求《网络安全标准实践指南—Windows 7操作系统安全加固指引(征求意见稿)》国家标准
旨在为帮助用户降低Windows 7操作系统停服后仍须使用该操作系统应用场景下的网络安全风险。
6、2022年4月26日,全国信安标委公开征求《网络安全标准实践指南—信息系统灾难备份实践指引(征求意见稿)》国家标准
旨在指导各组织开展信息系统灾难备份实践工作。
7、2022年4月29日,全国信安标委就《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》公开征求意见
旨在指导个人信息处理者规范开展个人信息跨境处理活动。
8、2022年5月9日,全国信安标委发布《关于征集ISO/IEC JTC1/SC27国际标准提案的通知》
重点聚焦数据安全、个人信息保护、关键信息基础设施、消费物联网、工业互联网、车联网、IPv6等我国具有技术优势和丰富实践应用经验等领域,提案优先但不限于上述领域。
9、2022年5月26日,全国信安标委秘书处发布了《网络安全标准实践指南—Windows 7操作系统安全加固指引》。
本《实践指南》从安全防护加固和安全配置加固两个方面,给出了Windows 7操作系统本地安全防护和安全策略配置建议。
10、2022年6月2日,全国信安标委发布了《信息安全技术 零信任参考体系架构》(征求意见稿)。
《征求意见稿》提出由主体、资源、核心组件和支撑组件组成零信任参考体系架构。核心组件由策略决定点和策略执行点组成,执行主体对资源的策略决定。支撑组件由密码服务和应用、身份管理、设备管理、资源管理、态势感知组件组成,提供多来源信息、以及支撑主体、资源和核心组件运行的多种服务。《征求意见稿》适用于采用零信任参考体系架构的信息系统的规划、设计、开发、应用。
11、2022年6月2日,全国信安标委发布了《信息安全技术 零信任参考体系架构》(征求意见稿)。
《征求意见稿》提出由主体、资源、核心组件和支撑组件组成零信任参考体系架构。核心组件由策略决定点和策略执行点组成,执行主体对资源的策略决定。支撑组件由密码服务和应用、身份管理、设备管理、资源管理、态势感知组件组成,提供多来源信息、以及支撑主体、资源和核心组件运行的多种服务。《征求意见稿》适用于采用零信任参考体系架构的信息系统的规划、设计、开发、应用。
12、2022年6月13日,全国信安标委秘书处发布关于国家标准《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》征求意见稿征求意见的通知。
征求意见稿针对移动智能终端提供了App个人信息安全功能设计、管理个人信息安全风险的指南,以增强App收集个人信息行为的明示程度,并为App用户提供更多个人信息保护方面的控制机制。此文件适用于指导移动智能终端提供者进行系统设计、开发活动,主要适用于智能手机。
13、2022年6月17日,全国信安标委秘书处发布关于国家标准《信息安全技术 应用商店的App个人信息处理规范性审核与管理指南》征求意见稿征求意见的通知。
《征求意见稿》给出了应用商店运营者对App个人信息处理活动的审核与管理指南。该文件适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。
14项网络安全国家标准获批发布
RacentYY
X0_0X
Anna艳娜
尚思卓越
RacentYY
Anna艳娜
尚思卓越
Andrew
ManageEngine卓豪
Anna艳娜
ManageEngine卓豪
