第八十期网络安全政策法律动态半月刊（2021.11.1—2021.11.15）

本期要目

境外动态

美国CISA发布约束性操作指令《降低已知被利用漏洞的重大风险》

美国国防部发布网络安全成熟度模型认证2.0版本

美国白宫发布《空间和网络安全倡议》

美国正式通过《2021年安全设备法》

美国正式通过《基础设施投资和就业法》

澳大利亚发布《关键技术供应链原则》

美国NIST发布《消费者软件网络安全标签基线标准》（草案）

美国国会引入《2021年敏感个人数据保护法案》《2021年勒索软件和金融稳定法案》

境内动态

国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》

工信部发布通知，开展信息通信服务感知提升行动

中央网络安全和信息化委员会印发《提升全民数字素养与技能行动纲要》

国务院办公厅印发《全国一体化政务服务平台移动端建设指南》，坚持安全可控原则

境内动态

1.国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》

11月14日，国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》，落实《网络安全法》《数据安全法》《个人信息保护法》等法律要求。

征求意见稿规定，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。

征求意见稿规定，数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。

2.工信部发布通知，开展信息通信服务感知提升行动

11月1日，工信部发布《关于开展信息通信服务感知提升行动的通知》，决定自即日起到2022年3月底，开展信息通信服务感知提升行动（“524”行动）。通知包含三个方面共十项重点任务，提出了推动实现服务举措“五优化”，建立个人信息保护“双清单”，实现服务能力“四提升”要求。其中，个人信息保护“双清单”分别是：

一是建立已收集个人信息清单。为更好的保护用户知情权，通知要求相关企业简洁、清晰列出APP（包括内嵌第三方软件工具开发包SDK）已经收集到的用户个人信息基本情况，包括信息种类、使用目的、使用场景等。

二是建立与第三方共享个人信息清单。为了让用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况，工信部在前期APP专项治理行动基础上，进一步要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

来源：工信部

3.中央网络安全和信息化委员会印发《提升全民数字素养与技能行动纲要》

11月5日，中央网络安全和信息化委员会印发《提升全民数字素养与技能行动纲要》，围绕七个方面对提升全民数字素养与技能作出安排部署，包括提升高效率数字工作能力、提高数字安全保护能力、强化数字社会法治道德规范等。

其中，提高数字安全保护能力要求提高全民网络安全防护能力、强化个人信息和隐私保护。加大个人信息和隐私保护相关法律法规的普及宣传力度，提高全民个人信息和隐私保护意识。制定完善个人信息和隐私保护标准，健全个人信息和隐私保护监管机制，优化社会群众监督举报机制，压实行业组织、企业机构等保护个人信息安全主体责任，加大对侵犯个人信息和隐私等违法犯罪行为的打击力度。

来源：中央网络安全和信息化委员会

4.国务院办公厅印发《全国一体化政务服务平台移动端建设指南》，坚持安全可控原则

11月12日，国务院办公厅印发《全国一体化政务服务平台移动端建设指南》。

指南要求坚持安全可控工作原则。全面落实总体国家安全观，树牢网络安全底线思维，统筹发展和安全，增强移动政务服务一体化安全防护能力，加强对重要政务数据、敏感个人信息等的保护，确保政务网络和数据信息安全。