2021年,我国数字化经济风起云涌,企业数字化转型如火如荼。2021年3月,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》发布,并提出“要激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。”
乘着数字化的东风,网络安全行业同样迎来了高速发展,多个“十四五”专项重点提及网络安全,多项重磅政策陆续落地,多部重磅法律开始实施,我国网络安全法律体系进一步完善,有效促进了网络安全领域的技术创新和应用落地,为筑牢国家网络安全屏障、推进网络强国建设提供了有力支撑。
总的来说,2021年是数字经济腾飞之年,也是网络安全全面深入发展之年,更是数据领域全面深入监管之年。目前我国以《网络安全法》《数据安全法》和《个人信息保护法》为上位法,是网络空间治理和数据保护的三驾马车,再加上《关键信息基础设施安全保护条例》《网络安全审查办法》《互联网信息服务管理办法(修订草案征求意见稿)》等多部目的明确、条文细致的下位法和配套法律、法规、条例、指导意见等,共同组成了我国网络安全法律体系。
其中,数据安全已成为事关国家安全与经济社会发展的重大问题,2021年关于数据安全和个人数据保护法律法规和国家标准的密集出台,彰显了我国对于开展数据安全治理和个人信息保护的决心,也意味着数据安全将在不久的未来迎来新的发展机遇。
那么,接下来我们就沿着时间的轨迹(发布日期和施行日期),一起看看2021年网络安全行业都出台了哪些法律、法规、条例、指导意见等。(如有不足之处,欢迎读者指正)
一月
全国信安标委发布《网络安全标准实践指南—人工智能伦理安全风险防范指引》
《指引》侧重于伦理安全风险,概括有“失控性风险”、“社会性风险”、“侵权性风险”、“歧视性风险”以及“责任性风险”,并对研究开发者、设计制造者、部署应用者以及用户都提出了不同程度的风险防范要求。其中,《指引》对设计制造者和部署应用者提出了风险解释、设置保障措施以及对损害提供救济、补偿的责任要求。
国家网信办发布《互联网信息服务管理办法(修订草案征求意见稿)》
《管理办法》指出,互联网信息服务提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止所收集、使用的身份信息、日志信息泄露、毁损、丢失。
证监会发布《证券期货业移动互联网应用程序安全检测规范》
《规范》规定了证券期货业移动互联网应用程序安全检测的总体要求及检测方法等,适用于信息安全检测服务、移动互联网应用程序的安全测试评估、自动化安全检测工具的设计与开发等。标准的制定实施,将统一行业对移动互联网应用程序的安全要求,提高移动互联网应用程序的安全性,增强行业机构移动业务信息安全能力,有效防范相关安全风险。
工信部发布《工业互联网数据安全保护要求》
《要求》规定工业互联网数据安全保护的范围及数据类型、工业互联网数据重要性分级与安全保护等级划分方法,同时规定了低/中/高重要性数据在数据产生、传输、存储、使用、迁移及销毁阶段的具体安全保护要求。
工信部发布《关于开展工业互联网企业网络安全分类分级管理试点工作的通知》
通过试点,将进一步提升工业互联网企业网络安全分类分级规则标准、定级流程以及工业互联网安全系列防护规范的科学性、有效性和可操作性,加快构建工业互联网企业网络安全分类分级管理制度;进一步落实试点企业网络安全主体责任,形成可复制可推广的工业互联网网络安全分类分级管理模式;总结一批工业互联网网络安全典型解决方案,选拔一批优秀示范企业,培育一批专业服务机构。
银保监发布《中国银保监会监管数据安全管理办法(试行)》
《管理办法》旨在建立健全监管数据安全协同管理体系,其中在数据采集和使用方面,《办法》明确监管数据的采集应按照安全、准确、完整和依法合规的原则进行,避免重复、过度采集。监管数据仅限于银保监会履行监管工作职责使用,监管数据的使用行为应通过管理和技术手段确保可追溯。
工信部发布《工业互联网标识管理办法》
《办法》要求标识服务机构应当落实网络与信息安全保障措施,具备相应的技术、服务和网络安全保障能力和专业人员,并明确专门的责任部门与责任人。还应当建立网络安全防护技术手段,依法记录并留存相关日志记录,保障标识服务系统安全。《办法》将标识服务机构分为五类:一是根节点运行机构;二是国家顶级节点运行机构;三是标识注册管理机构;四是标识注册服务机构;五是递归节点运行机构。
国家网信办发布《互联网用户公众账号信息服务管理规定》
《管理规定》共计23条,包括公众账号信息服务平台信息内容和公众账号管理主体责任、公众账号生产运营者信息内容生产和公众账号运营管理主体责任、真实身份信息认证、分级分类管理、行业自律、社会监督及行政管理等条款。规定要求,公众账号信息服务平台要履行企业主体责任,建立公众账号分级分类管理、生态治理、著作权保护、信用评价等制度,切实维护平台内容安全、账号安全、数据安全和个人信息安全。
最高法发布《人民检察院办理网络犯罪案件规定》
《规定》明确指出,按照刑事诉讼流程规范网络犯罪案件办理,突出电子数据的收集、提取、审查的规范要求,注重办案与技术融合,突出统筹协作办案,充分发挥检察职能,全面提升检察机关办理网络犯罪案件的专业化水平,推进网络空间治理。
湖北省发布《湖北省政务数据资源应用与管理办法》
《办法》指出,政务数据共享开放平台运行维护管理单位应当建立健全平台安全管理制度,采取数据加密、访问认证等安全防护措施,加强防攻击、防泄露、防窃取的监测、预警、控制和应急技术保障,完善日志留存和数据溯源等安全防护措施,保障平台安全可靠运行。通过政务数据共享开放平台获取政务数据的单位和个人应当加强数据使用的全过程管理,采取必要的安全保障措施,对未经许可扩散或者非授权使用政务数据等违法违规行为及其后果负责。
山东省发布《关于促进山东省网络安全产业发展的指导意见》
《指导意见》提出了“关键技术突破、服务模式升级、产品推广应用、产业生态构建、基础设施加固”五项主要任务,以及“工业互联网安全、数据安全、5G及物联网安全、新型智慧城市网络安全、人工智能网络安全、高端人才培养”6个专项能力提升行动,全面加强网络安全保障体系和保障能力建设,推动网络安全产业高速发展。《指导意见》强调了主管部门对网络安全的战略定位,网络安全产业将保持快速增长,骨干企业竞争优势将持续提升。
二月
多部门联合发布《关于加强网络直播规范管理工作的指导意见》
《指导意见》旨在进一步加强网络直播行业的正面引导和规范管理,重点规范网络打赏行为,推进主播账号分类分级管理,提升直播平台文化品位,促进网络直播行业高质量发展。网络直播平台要建立健全直播账号分类分级规范管理制度、直播打赏服务管理规则和直播带货管理制度,要针对不同类别级别的网络主播账号在单场受赏总额、直播热度等方面合理设限,要对单个虚拟消费品、单次打赏额度合理设置上限,对单日打赏额度累计触发相应阈值的用户进行消费提醒,必要时设置打赏冷静期和延时到账期。
六部门联合印发《重庆市工业信息安全管理实施办法(试行)》
《办法》指出,主体企业负有本单位工业信息安全的主体责任,应结合实际做好本单位工业信息安全防护,建立健全工业信息安全责任制,负责本单位工业信息安全保障和应急管理工作,落实人、财、物保障。主体企业负责依法落实网络安全等级保护制度,开展定级备案、等级测评、商用密码应用安全性评估和安全建设整改等工作。
三月
国家网信办等四部门发布《常见类型移动互联网应用程序必要个人信息范围规定》
《规定》明确移动互联网应用程序(APP)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用APP基本功能服务。App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。
市场监管总局发布《网络交易监督管理办法》
《管理办法》是贯彻落实《电子商务法》的重要部门规章,针对个人信息保护问题,《办法》规定了网络交易经营者应当明示收集、使用消费者个人信息的目的、方式和范围,并经消费者同意;不得强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息;在收集、使用个人敏感信息前,必须逐项取得消费者同意;未经被收集者授权同意,不得向包括关联方在内的任何第三方提供。
四月
国家医疗保障局发布《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》
在指导意见中明确提出医疗系统网络安全水平显著提高,数据安全管理有效实施,数据共享使用安全有序等目标,在如何加强数据安全保护给出指导意见:实施数据全生命周期安全管理;实施分级分类管理;加强重要数据和敏感字段保护;强化数据安全审批管理;落实数据安全权限;推动数据安全共享和使用;建立健全数据安全风险评估机制等。
交通运输部发布《交通运输政务数据共享管理办法》
《办法》共六章二十六条,明确了《办法》的适用范围,界定了交通运输政务数据共享管理体系与职责分工;明确了交通运输政务数据的共享类型和划分要求;提出了交通运输政务数据目录编制、发布、更新和管理的要求和程序;提出了政务数据提供和获取方式,明确了数据质量、使用限制、安全合规等要求;提出了行业政务数据共享工作的监督考评机制,明确了数据共享安全要求。
国家网信办等七部门联合发布《网络直播营销管理办法(试行)》
《办法》要求,直播营销平台应当建立健全账号及直播营销功能注册注销、信息安全管理、营销行为规范、未成年人保护、消费者权益保护、个人信息保护、网络和数据安全管理等机制、措施。同时,《办法》还对直播营销平台相关安全评估、备案许可、技术保障、平台规则、身份认证和动态核验、高风险和违法违规行为识别处置、新技术和跳转服务风险防范、构成商业广告的付费导流服务等作出详细规定。
五月
安徽省发布《安徽省大数据发展条例》
《条例》明确实行数据安全责任制,按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采信谁负责的原则,保障数据全生命周期安全;要求履行数据安全管理职责,加强全社会数据安全教育;明确了开展数据活动单位的五项具体数据安全保护义务。开展涉及个人信息的数据活动,应当遵守法律、法规,遵循合法、正当、必要原则,不得窃取或者以其他方式非法获取个人信息,不得泄露或者篡改其收集的个人信息,不得过度处理;数据采集人、持有人、管理人和使用人应当采取技术措施和其他必要措施,确保其收集、存储的个人信息数据安全。
六月
《中华人民共和国数据安全法》发布
《数据安全法》作为我国数据安全领域的基础性法律,该法涵盖总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
最高法发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《规定》共16条,主要从适用范围、侵权责任、合同规则、诉讼程序等方面对滥用人脸识别问题作出规定。人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。《规定》所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。
工信部发布《关于加强车联网卡实名登记管理的通知(征求意见稿)》
《征求意见稿》指出,道路机动车辆生产企业、电信企业要认真履行法定义务,全面落实车联网卡实名登记各项要求,依法配合行业主管部门开展车联网卡监督检查。对于未要求用户提供真实身份信息、未查验用户身份、或者对不提供真实身份信息的用户提供相关服务的道路机动车辆生产企业,各省、自治区、直辖市通信管理局、工业和信息化主管部门应按照《网络安全法》第六十一条,《反恐怖主义法》第八十六条、第九十三条等条款,依法依规进行处罚。
工信部发布《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》
《征求意见稿》提出,要严格落实分级防护要求,加强网络设施和系统资产管理,合理划分网络安全域,加强访问控制管理,做好网络边界安全防护,采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。建立网络安全监测预警机制和技术手段,面向智能网联汽车、联网系统等,开展运行安全监测、流量与行为监测分析,及时发现预警安全状态异常、恶意软件传播、网络通信异常、网络攻击等网络安全事件或异常行为,并按照规定留存相关的网络日志不少于6个月。
广电总局发布《广播电视网络安全等级保护基本要求》
广播电视网络安全等级保护由低到高被划分为五个安全保护等级,本文件规定了其中第一级到第四级等级保护对象的安全通用要求和安全扩展要求(第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以不在本文件中进行描述),适用于指导分等级的非涉密对象的安全建设和监督管理。对于涉及国家秘密的网络,应按照国家保密工作部门的相关规定和标准进行保护。
工信部发布《关于加快推动区块链技术应用和产业发展的指导意见》
《指导意见》明确,到2025年区块链产业综合实力达到世界先进水平,产业初具规模。区块链应用渗透到经济社会多个领域,在产品溯源、数据流通、供应链管理等领域培育一批知名产品,形成场景化示范应用。到2030年,区块链产业综合实力持续提升,产业规模进一步壮大。区块链与互联网、大数据、人工智能等新一代信息技术深度融合,在各领域实现普遍应用,培育形成若干具有国际领先水平的企业和产业集群,产业生态体系趋于完善。
七月
深圳市发布《深圳经济特区数据条例》
《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。《条例》坚持“保护与发展并重,以保护为基础,以发展为目标,以保护促发展”的基本指导思想,着力平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系,构建数据治理的具体制度,力图在确保数据安全,保护个人数据的基础上,最大程度激发、释放数据作为生产要素的经济价值,为我市数字产业、数字经济的发展提供良好的法治环境。
工信部等三部门发布《网络产品安全漏洞管理规定》
《规定》提出,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。同时,网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
国务院发布《关键信息基础设施安全保护条例》
《条例》涵盖总则、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等诸多方面,旨在保障关键信息基础设施安全,维护网络安全。《条例》提出,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
八月
广东省发布《广东省数字经济促进条例》
《条例》鼓励对数据资源实行全生命周期管理,挖掘数据资源要素潜力。明确自然人、法人和非法人组织对依法获取的数据资源开发利用的成果,所产生的财产权益受法律保护,并可以依法交易。个人信息的收集、存储、使用、加工、传输、提供、公开等处理活动,应当遵循合法、正当、必要原则。有条件的地区,可以依法设立数据交易场所。
《中华人民共和国个人信息保护法》发布
《个人信息保护法》涵盖总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等方面,旨在保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,标志着我国个人信息保护立法体系进入新的阶段。
国家网信办发布《互联网信息服务算法推荐管理规定(征求意见稿)》
《管理规定》明确要求算法推荐服务提供者应当落实算法安全主体责任,建立健全用户注册、信息发布审核、算法机制机理审核、安全评估监测、安全事件应急处置、数据安全保护和个人信息保护等管理制度,制定并公开算法推荐相关服务规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。
国家网信办等五部门联合发布《汽车数据安全管理若干规定(试行)》
《规定》明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。
中共中央办公厅发布《党委(党组)网络安全工作责任制实施办法》
《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规。按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
民航局发布《民用航空安全信息保护管理办法》
《办法》指出,安全信息根据信息重要程度分为涉密级安全信息、敏感级安全信息和一般级安全信息。民用航空企事业单位应当制定本单位安全信息保护管理细则,落实主体责任 ,压实领导责任和岗位责任,明确知悉和分发范围,细化传递及披露程序,强化管控手段,妥善做好旅客提示劝阻工作,防止发生安全信息外泄,定期组织开展员工安全信息保护宣教培训。
九月
工信部发布《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》
《管理办法》提出,漏洞收集平台备案通过工信部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。工信部在收到漏洞收集平台提交的备案信息后,经核查备案信息真实、完整的,应当在10个工作日内予以备案,向其发放备案编号,将备案信息通报公安部和国家互联网信息办公室,并通过工业和信息化部网络安全威胁和漏洞信息共享平台向社会公布有关备案信息。备案信息不真实、不完整的,工业和信息化部在10个工作日内通知漏洞收集平台予以补正。
工信部发布《关于加强车联网网络安全和数据安全工作的通知》
《通知》分为6个方面共17项内容,其中网络安全和数据安全基本要求包括:落实安全主体责任,各相关企业要建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任,强化企业内部监督管理,加强网络安全和数据安全宣传、教育和培训;全面加强安全保护,各相关企业要采取管理和技术措施,按照车联网网络安全和数据安全相关标准要求,加强对汽车、网络、平台、数据等的安全保护,监测、防范并及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。
中共中央办公厅、国务院办公厅发布《关于加强网络文明建设的意见》
《意见》包括总体要求、加强网络空间思想引领、加强网络空间文化培育、加强网络空间道德建设、加强网络空间行为规范、加强网络空间生态治理、加强网络空间文明创建、组织实施八个部分。意见指出,加强个人信息保护法、数据安全法贯彻实施,加快制定修订并实施文化产业促进法、广播电视法、网络犯罪防治法、未成年人网络保护条例、互联网信息服务管理办法等法律法规。
十月
山东省发布《山东省大数据发展促进条例》
《条例》将数据资源划分为公共数据和非公共数据,明确公共数据和非公共数据的范围。强调数据收集应当遵循合法、正当、必要的原则,不得窃取或者以其他非法方式获取数据。明确山东实行数据安全责任制,按照谁采集谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责的原则确定数据安全责任。《条例》还强调数据跨境审查,明确数据收集、持有、管理、使用等数据安全责任单位向境外提供国家规定的重要数据,应当按照国家有关规定实行数据出境安全评估和国家安全审查。
国家网信办发布《互联网用户账号名称信息管理规定(征求意见稿)》
《管理规定》提出,互联网用户账号服务平台应当采取必要措施,确保其收集、存储的个人信息及账号名称信息安全,防止未经授权的访问及信息泄露、篡改、丢失;未经互联网用户账号使用者授权同意,不得收集、存储、使用、加工、传输、提供或者公开个人信息及账号名称信息。不得非法买卖互联网用户账号名称信息。
国家网信办发布《数据出境安全评估办法(征求意见稿)》
《评估办法》明确,关键信息基础设施的运营者收集和产生的个人信息和重要数据;出境数据中包含重要数据;处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形等,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
《反电信网络诈骗法(草案)》发布
《草案》规定了反电信网络诈骗工作的基本原则,规定了各部门职责、企业职责和地方政府职责,加强协同联动工作机制建设。落实实名制,规定电话卡、互联网服务真实信息登记制度,建立健全金融业务尽职调查制度。同时,草案支持研发电信网络诈骗反制技术措施,统筹推进跨行业、企业统一监测系统建设,为利用大数据反诈提供制度支持。对于实施电信网络诈骗活动的法律责任,《草案》也作了明确规定,加大惩处非法买卖、出租、出借电话卡、物联网卡、金融账户、互联网账号行为,实施惩戒措施。
国家市场监管总局发布《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》
《征求意见稿》将互联网平台分为网络销售类、生活服务类、社交娱乐类、信息资讯类、金融服务类、计算应用类六大类;依据用户规模、业务种类以及限制能力,分为超级平台、大型平台、中小平台三级。规定了平等治理、网络安全、数据安全、自然人隐私与个人信息保护、内部治理、风险评估、安全审计、平台内用户管理、平台内容管理、禁限售管控、算法规制、网络黑灰产治理等诸多内容。
人民银行等五部门联合发布《关于规范金融业开源技术应用与发展的意见》
《意见》要求金融机构在使用开源技术时,应遵循“安全可控、合规使用、问题导向、开放创新”等原则。《意见》鼓励金融机构将开源技术应用纳入自身信息化发展规划,加强对开源技术应用的组织管理和统筹协调,建立健全开源技术应用管理制度体系,制定合理的开源技术应用策略;鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等;鼓励金融机构积极参与开源生态建设,加强与产学研交流合作力度,加入开源社会组织等。
十一月
中国网络空间安全协会发布《应用商店App个人信息收集使用上架审核和管理规范(征求意见稿)》
存在收集的个人信息超出实现功能的最小必要范围、在用户拒绝收集非必要个人信息后,频繁征求用户同意、以捆绑多项功能、捆绑必要与非必要个人信息等方式,诱导、强迫用户一次性授权同意个人信息处理规则等行为,平台运营者应当拒绝APP进入平台。
中国网络空间安全协会发布《移动智能终端个人信息保护指南(征求意见稿)》
针对移动智能终端对App收集使用个人信息的管控标准和要求不一致等问题,该指南规定了移动智能终端操作系统从敏感权限调用和敏感操作行为提示、访问控制措施、自启动行为控制、敏感权限自动重置、存储空间管理、预装App管理要求等方面,为移动智能终端管控App依法依规收集使用个人信息提供指导。
国家网信办发布《网络数据安全管理条例(征求意见稿)》
《条例》规范了网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,同时更加强调数据处理活动的边界,维护国家安全、数据主权的决心,界定了只要动作行为是在我国境内开展对个人或组织数据的利用、处理、分析、评估等行为,无论境内主体、境外主体都会受到此管理条例的约束。
全国信安标位发布《即时通信服务平台个人信息认定指南》(征求意见稿)
《指南》指出,即时通信服务平台中,发送者发送给特定接收者,且接收者不能进行再转发的信息可以被认定为个人信息。但超过 50 人的群组内的信息,以及除发送者外的其他群组成员可以向群外转发的信息,则不应认定为个人信息。
中国合格评定国家认可委员会发布《检验机构能力认可准则在网络安全等级保护测评领域的应用说明》(征求意见稿)
《应用说明》指出,从事“网络安全等级保护测评”活动的检验机构及其人员应严格执行有关管理规范和技术标准开展客观、公正的测评活动,不得从事网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的活动(自用除外)。从事第三方“网络安全等级保护测评”活动的检验机构应当满足A类检验机构要求。
上海市发布《上海市数据条例》
《条例》共十章九十一条,分为总则、数据权益保障、公共数据、数据要素市场、数据资源开发和应用、浦东新区数据改革、长三角区域数据合作、数据安全、法律责任和附则,涵盖了数据分级分类保护、重要数据目录管理、数据安全管理等配套措施,落实重要数据备案和数据安全评估制度。
十二月
国家宗教事务局发布《互联网宗教信息服务管理办法》
《办法》共五章三十六条,明确从事互联网宗教信息服务,应当向所在地省级人民政府宗教事务部门提出申请,并对许可条件、申请材料、使用名称、受理时限等作了规定。明确网上讲经讲道应当由取得《互联网宗教信息服务许可证》的宗教团体、宗教院校和寺观教堂组织开展。
全国金标委发布《金融数据安全 数据安全评估规范》(征求意见稿)
《规范》规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。金标委指出,金融业机构应定期开展金融数据安全评估工作,评估周期应不超过一年;金融业机构金融数据资产、金融数据安全保障、金融数据应用场景等发生变化时,也应触发金融数据安全评估工作。
湖南省发布《湖南省网络安全和信息化条例》
这是全国首部地方性网络安全和信息化条例,具有非常重要的意义。《条例》要求县级以上人民政府应当将网络安全和信息化发展纳入国民经济和社会发展规划,安排网络安全和信息化专项资金,引导和支持社会资金投资网络安全和信息化建设。《条例》对网络安全保障的内容予以充实,对重要信息系统的安全保护规定进行完善,加强对硬件安全的保护。
全国信安标委发布《信息安全技术 网络安全信息共享指南》(征求意见稿)
《共享指南》指出了网络安全信息共享活动要素、基本原则、共享范围和活动过程,适用于国家和行业主管部门、网络运营者、网络安全服务机构、研究机构和个人等网络安全信息共享参与方之间的网络安全信息共享活动。
工信部发布《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》
《工作指引》指出,风险信息报送,是指有关单位向工业和信息化部、地方工业和信息化主管部门、地方通信管理局报送数据安全风险信息的行为。风险信息共享,是指经工业和信息化部、地方工业和信息化主管部门、地方通信管理局审核、授权后,向有关部门、单位告知风险提示的行为。风险信息报送与共享工作坚持“及时、客观、准确、真实、完整”的原则,不得迟报、瞒报、谎报。
广州市国资委发布《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》
《指南》分九章,共计58条,细化完善了上位法要求,成为地方国资监管部门首部针对数据合规专项领域的合规操作指南。《指南》细化了数据分级分类管理要求,金融等领域、处理超过10万人的个人敏感信息等国企属于数据安全风险较高企业,须将数据安全合规作为重点专项管理;明确企业数据安全管理的三道防线。
浙江省发布《浙江省数字经济促进条例》
《条例》指出,发展数字经济是本省经济社会发展的重要战略,应当遵循优先发展、应用先导、数据驱动、创新引领、人才支撑、包容审慎以及保障数据安全、保护个人信息的原则。县级以上人民政府及其有关部门应当坚持保障安全与发展数字经济并重的原则,建立健全网络安全、数据安全保障体系,完善协调机制以及安全预警、安全处置机制。互联网平台经营者应当依法依约履行产品和服务质量保障、消费者权益保护、生态环境保护、知识产权保护、网络安全与个人信息保护、劳动者权益保护等方面的义务。
全国信安标委《信息安全技术 信息系统密码应用设计技术要求》(征求意见稿)
《征求意见稿》提出了信息系统密码应用方案设计技术的建议,包括信息系统应用层设计指南、密码服务支撑设计指南、计算平台密码应用设计指南、密钥管理设计指南等方面;适用于信息系统建设方、密码技术应用方、密码技术服务方,为开展信息系统密码应用方案设计提供指导参考。
十三部门联合修订《网络安全审查办法》
新版《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。
上海市发布《上海市反间谍安全防范条例》
《条例》共七章三十五条,进一步完善了反间谍安全防范法律体系,依法维护国家安全,2022年1月1日施行。上海市加强对经济、金融、科技、生物、网络、通信、数据等领域的反间谍安全风险防范。国家安全机关应当会同行业主管部门定期开展反间谍安全风险评估,动态调整反间谍安全防范重点事项和重点范围。