2021年网络法治盘点与回顾：网络和数据安全篇

纵观2021年，网络安全形势依然严峻，且呈现两个显著性趋势：一方面，传统网络安全威胁不断上升，《2021上半年全球DDoS威胁报告》指出，在新冠疫情影响下，各类企业业务持续向线上迁移，DDoS攻击次数已连续4年高速增长，且量级强度、手段方式、攻击来源相较以往都有明显的升级变化。另一方面，数据安全问题越来越聚焦，成为网络安全的典型表现形式，根据身份盗窃资源中心（ITRC）的数据统计，截止2021年12月初，公开报告的数据泄露数量已经超过2020年的总数，全年将创下历史新高。在这一大背景下，国际国内高度重视日益突出的网络和数据安全挑战，国际主要国家和地区在应对传统网络安全问题上不断加大治理力度，强化国际合作；国内持续加快网络安全相关配套制度建设，强化数据安全的专门治理，制定出台全球首部数据安全立法。

一、国际：网络安全制度全面深入展开

全球主要国家和地区在应对网络安全事件方面持续发力，顶层战略、供应链安全保障、网络安全事件机制等体系建设稳步推进，云服务安全、关键基础设施等细分领域的制度不断深入。

（一）建立网络安全应对的顶层制度设计

一些国家和地区通过政策、战略、立法等各种形式，从国家层面明确网络安全顶层制度，为具体部门解决重点问题指明方向。发展中国家注重网络安全对国家经济、个人隐私、企业财产安全的影响，1月，巴基斯坦信息技术和电信部（MOITT）发布了《2021年国家网络安全政策》草案，旨在解决对信息通信技术的日益依赖导致的网络安全事件增加，威胁个人和企业的隐私和财务安全。2月，尼日利亚总统发布了《2021年国家网络安全政策和战略》。该文件将提供一个框架，以利用私营部门、学术界和工业界的努力来实现经济和国家的逐步发展。3月，发达国家关注网络安全事项的全球合作，试图通过外交手段建立打击网络安全风险的重要工作，美国两党重新引入《网络外交法案》，主要目的是巩固美国在网络领域的全球领导地位，与其国际盟友建立更牢固的伙伴关系，以统一的方式打击网络攻击和其他网络问题，促进在法治、隐私、人权和言论自由等方面的共同价值观。

（二）进一步细化供应链安全管控规则

供应链安全问题一直是欧美发达国家关注的重点安全领域，尤其自新冠疫情爆发以来，美国鼓吹的“中国威胁论”对美国国内和欧洲很多国家形成了持续性影响，2021年，欧美国家在供应链相关安全问题上继续收紧。一方面，强化对供应链整体安全的保障，通过指南、行政令方式明确保护要求，1月，美国商务部根据“确保ICTS供应链安全”行政令要求发布了ICTS交易规则。4月，美国国土安全部（DHS）发布了有关捍卫供应链软件的新指南。5月，美国总统拜登签署了《改善国家网络安全行政令》，提出加强联邦政府的网络安全能力，强调要构建软件供应链安全保护机制。6月，德国联邦议院通过了《供应链尽职调查法》以解决供应链中侵犯人权的问题。8月，美国联邦采购安全委员会(FASC)在联邦公报中发布了一项最终规则，以评估联邦政府供应链风险信息，并删除和排除构成国家安全风险的IT产品、系统或服务。另一方面，加强对关键领域使用的产品和服务安全的保障，英国公布了网络安全供应商政府计划，根据规定，英国的网络安全供应商应当向政府公开它们的供应商。立陶宛议会通过了《电信法》和《重要物体安全法》的修正案，明确立陶宛电信市场禁止不可靠的供应商和生产商进入。

（三）云服务安全成为重点关注

新冠疫情下，云服务的价值不断凸显，据Forrester Research称，随着云服务在新冠疫情后的复苏期中占据“中心位置”，全球公共云基础设施市场在2021年将增长35%，达到1200亿美元。但同时，随之而来的安全风险问题也成倍提升。主要国家和地区通过多种措施防范和治理云服务安全问题，一是强化云服务提供商的义务，1月，美国前总统特朗普在离任前签署行政命令，赋予云服务提供商新的报告义务。该命令要求对云服务提供商的境外交易履行“记录保存义务”，希望借此阻止外国行为者对美国基础设施即服务（IaaS）产品的恶意攻击。6月，法国国家信息与自由委员会（CNIL）批准了第一个专门针对云基础设施服务提供商(IaaS)的欧洲行为准则。二是进一步普及和关注导致云服务安全问题产生的原因，2月，新加坡计算机紧急响应小组（SingCERT）发布加强云服务安全性的指南，概述了造成云攻击的常见原因，包括网络钓鱼电子邮件、身份验证绕过、修改后的电子邮件转发规则等。三是强化全球在云服务安全问题上的合作，美国防部发布了针对美国大陆以外区域云战略，强调为全域作战创造优势。

（四）加强基础设施网络安全防护和风险控制

保障基础设施安全，对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。2021年，主要国家和地区对于基础设施安全的保障突出体现在对于重点领域设施的安全保障。一方面，保障关系国计民生领域基础设施的安全，5月，日本政府宣布将针对民营企业运营的信息通信、电力、医疗等14个行业的重要基础设施，制定避免安全保障风险的通用规定。7月，美国众议院批准了一项法案，将通过使用公私合作伙伴关系来改善电网基础设施网络安全。另一方面，保障关系国家安全、社会公共利益领域基础设施的安全，美国国土安全部运输安全管理局发布了第二项安全指令，旨在保护运输危险液体和天然气的关键管道免受网络入侵，以应对针对美国管道系统的网络安全威胁。美国众议院通过了《国土安全部工业控制系统能力增强法案》，要求国土安全部的网络安全和基础设施安全局(CISA)带头更好地识别和减轻对ICS基础设施的威胁。

（五）加强网络攻击防治制度的构建

随着传统网络安全风险与融合性网络安全风险不断增加，主要国家和地区对于风险防范制度的重视也日益凸显。一方面，强化了发生或者可能发生安全事件时，相关主体的通知和报告义务，7月，美国参议院情报特别委员会成员公布了《网络事件通知法》，将要求联邦机构、联邦承包商和关键基础设施公司在发现网络安全事件时履行报告义务。8月，澳大利亚工党在参议院重新提出《勒索软件法案》，如果该法案获得通过，将要求企业和政府在为应对网络攻击而支付勒索软件费用之前通知澳大利亚网络安全中心。该法案还要求政府审查网络保险制度，以了解其在减轻网络攻击方面的作用。另一方面，对于融合性、联网设备等可能产生新型风险的领域加强关注，2月，韩国科学技术部发布《网络防御促进战略》，应对数字经济时代下融合行业的网络威胁，保障行业数字化转型。9月，欧盟宣布了一项《网络弹性法案》（Cyber Resilience Act)，旨在为联网设备制定通用网络安全标准。

二、国内：网络安全和数据安全同步加速推进

2021年，是我国的网络和数据安全大年。在这一年，我国一方面持续稳步推进关键信息基础设施、网络安全审查等《网络安全法》配套制度建设，另一方面也出台全球首部专门的《数据安全法》，同时加快推动落实配套立法制定，走出一条具有中国特色的数据安全治理之路，为其他国家和地区贡献中国经验和中国智慧。

（一）关键信息基础设施安全保护具体规则落地

关键信息基础设施是网络安全的重中之重，是关乎国家安全的命门所在。习近平总书记在讲话中多次强调，要加快构建关键信息基础设施安全保障体系，抓紧制定完善关键信息基础设施保护等法律法规。落实习近平总书记重要讲话精神，加快推动关键信息基础设施立法，推动安全保护体系框架不断健全是必由之路。8月，国务院以745号令公布了《关键信息基础设施安全保护条例》，进一步明确关键信息基础设施安全保护范围、联动责任体系、供应链安全可控、安全内控和意识培养等方面重点内容。

（二）与时俱进完善网络安全审查重点关切

网络安全审查属于国家安全审查的一种，是重要的国家网络安全保障制度。2022年1月4日，国家互联网信息办公室等十三部门联合修订发布《网络安全审查办法》（以下简称《办法》），自2022年2月15日起施行。《办法》以多部重要立法为依据，进一步完善了网络安全审查的对象、范围和关注要素，既是落实我国总体国家安全观、细化国家安全审查制度的重要一环，也是压实主体责任、防范重点场景下网络安全风险的必然举措。修订后的《办法》体现出多处制度亮点。一是安全审查对象增加，依据《国家安全法》《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》，在之前审查“关键信息基础设施运营者采购网络产品和服务”基础之上，增加了对“网络平台运营者开展数据处理活动”的审查，触发审查的条件均为“影响或者可能影响国家安全”。二是安全风险的判断因素增加，在数据资源日益成为各方博弈对象形势下，对于数据要素的关注度明显提升，如掌握超过100万用户个人信息的网络平台运营者赴国外上市，核心数据、重要数据、大量个人信息的非法泄露、非法出境、被国外控制等因素成为《办法》的重点审查内容。三是增加新的监管机构，根据第2条的规定，中国证券监督管理委员会增加成为新的网络安全审查监管机构。

（三）开启数据安全治理新篇章

随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响，数据安全已成为事关国家安全与经济社会发展的重大问题。9月，我国《数据安全法》正式生效，作为数字化经济时代的数据安全专门立法，在保障我国数字主权，服务总体国家安全，推动要素化市场改革，服务数字经济发展等方面具有重大意义，影响深远。第一，完善了我国整体网络法律体系。近年来，我国在网络信息服务、网络安全保护、网络社会管理三大领域开展了一系列立法活动，随着《电子商务法》《网络安全法》《数据安全法》《个人信息保护法》等关键立法的制定出台，中国互联网领域的法律体系构建已经初步形成。第二，是落实总体国家安全观的必然要求。2015年通过《国家安全法》首次涉及数据安全问题，《数据安全法》聚焦数据安全领域的风险隐患，加强国家数据安全工作的统筹协调，通过确立数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度，提升国家数据安全保障能力，有效应对数据这一非传统领域的国家安全风险与挑战，切实维护国家主权、安全和发展利益。第三，是完善数据治理的必然要求。数据治理越来越成为数字经济时代网络治理的聚焦点，网络安全领域立法和监管更加向数据安全方面集中，制定一部数据安全领域的基础性法律十分必要。

（四）细分领域的数据安全重点问题配套体系建设加快推进

以《数据安全法》为依据和核心，相关配套立法的制定也非常迅速。如：9月，工业和信息化部公布《工业和信息化领域数据安全管理办法（征求意见稿）》，进一步在工信领域细化了《数据安全法》规定的分类分级、重要数据、数据出境等重要制度要求。10月，国家互联网信息办公室发布了《数据出境安全评估办法（征求意见稿）》，明确了通过安全评估方式跨境传输数据的数据处理者应当遵循的评估程序和评估要求。11月，国家互联网信息办公室公布了《网络数据安全管理条例（征求意见稿）》，以数据分类分级制度为核心，对于重要数据安全、个人信息保护、数据跨境流动等重点制度做了进一步的细化和明确。

三、网络和数据安全未来趋势展望

受数字技术全球化飞速发展和网络空间博弈的影响，未来，网络和数据领域的国际形势将日趋复杂。对外，各方对于网络主权、数据主权的关注将进一步强化和凸显；对内，对于供应链、关键信息基础设施的关注也必将持续。

第一，以数据安全为目标的全球数据博弈将进一步显性化。数据资源已成为许多国家的重要战略性资源，数据安全也成为关涉国家安全的重要领域，为了防范数据安全事件发生，主要国家和地区将进一步强化对数据的掌控。我国的《数据安全法》出台之后引起国际多方关注，一方面，可以中国智慧和中国经验的方式进行观念输出，另一方面，也有可能将触发全球针对数据安全的重视，开展专门立法。同时，网络和数据安全方面的资金投入、人才培养等重点支撑领域也将进一步加强。

第二，针对关键信息基础设施的安全保障将全面展开。过去一年，受地缘政治的影响，全球网络空间局部冲突将不断升级，以窃取敏感数据、破坏关键信息基础设施为目的的国家级网络攻击复杂性持续上升。未来，针对关键信息基础设施的安全保障将进一步成为确保整体网络空间安全、数据安全、乃至国家安全的关键一环。具体到我国来看，表现将更为明显。《关键信息基础设施安全保护条例》《网络安全审查办法》的出台将进一步在实践中把关键信息基础设施的安全保护制度落到实处。

第三，针对供应链安全的整体维护和保障将进一步深入。软件系统规模、程序逻辑和生产方式等越发复杂多元，极大增加了供应链的攻击面，供应链攻击变得更加普遍。一方面，重点国家和地区可能会出台更多针对供应链安全审查的立法，疫情开始之后，欧盟对于供应链审查的力度不断强化，欧盟层面的立法出台之后，成员国有可能会进一步将相关规定落实到国内立法之中；另一方面，供应链攻击具有难发现、难溯源、不可避免的特点，未来国际、区域层面的合作可能将成为重要的应对方式。