2021年是“十四五”开局之年,也是网络安全行业高歌猛进的一年。在愈加复杂多变的安全环境下,国家从立法层面持续提升全社会对网络安全的关注与重视程度,密集颁布多项网络安全相关法律法规,同时,各行业、各地区紧锣密鼓出台与之配套的落地实施条例及政策性文件,体现出把安全发展贯穿于国家发展各领域和全过程的决心。政策红利为网络安全行业带来重大发展机遇,也为各企业组织敲响安全防护的警钟,安全419梳理总结出2021年发布的网络安全相关重要法规及政策,供行业同仁与甲方企业参考。
重磅级网络安全政策法规
《中华人民共和国数据安全法》
发布单位:全国人大常委会
实施日期:2021年9月1日
确立数据分类分级管理,数据安全审查,数据安全风险评估、监测预警和应急处置等基本制度;明确相关主体依法依规开展数据活动,建立健全数据安全管理制度,加强风险监测和及时处置数据安全事件等义务和责任,通过严格规范数据处理活动,切实加强数据安全保护。
安全419观察到,《数据安全法》的施行,对于整个行业的推动性作用极为明显,众多安全厂商纷纷加码数据安全,一些原本更为垂直的非数据安全企业,也开始基于自身能力开始介入该领域,而近两年所诞生的新兴安全企业当中有不少都是专注于数据安全中的各个细分领域。与此同时,数据安全领域在产投方面的表现也持续活跃,在网络安全产业相关的全年投资事件中,与数据安全领域相关的占比接近18%,在细分领域事件数量排名中位居第一。
安全419观察到,《数据安全法》的施行,对于整个行业的推动性作用极为明显,众多安全厂商纷纷加码数据安全,一些原本更为垂直的非数据安全企业,也开始基于自身能力开始介入该领域,而近两年所诞生的新兴安全企业当中有不少都是专注于数据安全中的各个细分领域。与此同时,数据安全领域在产投方面的表现也持续活跃,在网络安全产业相关的全年投资事件中,与数据安全领域相关的占比接近18%,在细分领域事件数量排名中位居第一。
《中华人民共和国个人信息保护法》
发布单位:全国人大常委会
实施日期:2021年11月1日
建立以“告知—同意”为核心的个人信息处理规则,全面规制个人信息处理各环节、全流程;明确个人信息处理活动中的个人权利;强化个人信息处理者的保护义务;完善社会热议的敏感个人信息采集、大数据杀熟、个人信息跨境流动、未成年人信息保护、大型网络平台义务、国家机关处理个人信息等相关制度;明确网络身份认证公共服务。
《关键信息基础设施安全保护条例》
发布单位:国务院
实施日期:2021年9月1日
明确重点行业和领域重要网络设施、信息系统属于关基设施,国家对关基设施实行重点保护,采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关基设施免受攻击、侵入、干扰和破坏,依法惩治违法犯罪活动。强化和落实关基设施运营者主体责任。
《网络安全审查办法》
发布单位:国家网信办、国家发改委、工信部等13部门
印发日期:2021年12月28日
将网络平台运营者开展数据处理活动影响或可能影响国家安全等情形纳入网络安全审查,明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。并新增《数据安全法》规定处理。
《网络产品安全漏洞管理规定》
发布单位:工信部、国家网信办、公安部
实施日期:2021年9月1日
网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。对于从事漏洞发现、收集、发布等活动的组织和个人,明确其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。
《党委(党组)网络安全工作责任制实施办法》
发布单位:中共中央办公厅
发布日期:2021年8月4日
《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规。按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》
发布单位:工信部
发布日期:2021年7月12日
到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。一批网络安全关键核心技术实现突破,达到先进水平。新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强。
数据安全及个人信息保护相关政策
12月22日,工信部发布《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》。风险信息报送指有关单位向工信部、地方工信主管部门、地方通管局报送数据安全风险信息的行为;风险信息共享指经上述部门审核、授权后,向有关单位告知风险提示的行为;风险信息报送与共享工作坚持“及时、客观、准确、真实、完整”原则,不得迟报、瞒报、谎报。
11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》。国家建立数据分类分级保护制度,数据处理者按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,对一般数据、重要数据、核心数据等不同级别的数据采取不同的保护措施。
11月1日,工信部发布《关于开展信息通信服务感知提升行动的通知》。建立个人信息保护“双清单”(已收集个人信息清单、与第三方共享个人信息清单),推动实现服务举措优化,实现服务能力提升。
10月29日,国家网信办发布《数据出境安全评估办法(征求意见稿)》。数据处理者向境外提供数据,符合以下情形之一的:关基设施收集和产生的个人信息和重要数据、出境数据中包含重要数据、处理个人信息达到一百万人的个人信息处理者向境外提供个人信息、累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
8月21日,最高检印发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。要求从严把握以下方面:生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护;对因时间、空间等联结形成的特定对象的个人信息加强精准保护。
7月28日,最高法发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。从人格权和侵权责任角度明确滥用人脸识别技术处理人脸信息行为的性质和责任。
4月26日,工信部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。确立“知情同意”“最小必要”两项重要原则;细化App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出投诉举报、监督检查、处置措施、风险提示四方面规范要求。
3月12日,国家网信办、工信部等四部门发布《常见类型移动互联网应用程序必要个人信息范围规定》,5月1日实施。明确地图导航、网约车、即时通信、网络购物等39类常见App必要个人信息范围,不得因用户不同意收集非必要的个人信息,而拒绝用户使用App基本功能服务。
1月8日,国家网信办发布《互联网信息服务管理办法(修订草案征求意见稿)》。要求互联网信息服务提供者、互联网网络接入服务提供者建立安全管理制度、用户信息保护制度,采取安全防范措施,加强公共信息巡查,防止所收集、使用的身份信息、日志信息泄漏、毁损、丢失。
多省市出台数据条例
目前,上海、深圳、江苏、福建、山东、广东、安徽、浙江、吉林、山西、海南、天津以及贵州共13个省市已经正式颁布相关数据条例。
从条例适用领域看,福建、山东、安徽、吉林、山西、海南、天津、贵州出台的均为大数据条例,江苏出台的是公共数据管理办法,主要都面向公共数据领域。主要指各级行政机关和公共服务企业在履行职责和提供服务过程中积累的大量数据,有的城市将公共数据命名为政务数据,但数据类型相似。
深圳和上海出台的为数据条例,除涉及公共数据外,还涵盖了个人数据的相关规定,适用领域更广。其中《上海市数据条例》对公共数据和个人数据的流转、开放、共享以及相关单位和政府部门的权利与义务作了具体规定;而《深圳经济特区数据条例》内容则涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。
浙江、广东出台的为数字经济条例,其中,《浙江省数字经济促进条例》首次将数字经济领域的相关基础性概念上升为法律概念,聚焦数字基础设施、数据资源两大支撑和数字产业化、产业数字化、治理数字化三大重点;而《广东省数字经济促进条例》聚焦“数字产业化、产业数字化”两大核心,突出制造业数字化转型,做好数据资源开发利用保护和技术创新。
金融领域网络安全相关政策
10月12日,央行发布《关于加强支付受理终端及相关业务管理的通知》。要求银行、支付机构、清算机构建立交易信息分类分级管理规则,采取必要安全技术措施确保交易信息安全,防止交易信息泄露、被篡改或丢失。
10月9日,央行发布《关于做好小微企业银行账户优化服务和风险防控工作的指导意见》。要求强化账户全生命周期管理,建立账户分类分级管理体系。建立健全小微企业银行账户事前事中事后全生命周期管理机制。
9月30日,央行、银保监会发布《系统重要性银行附加监管规定(试行)》,12月1日实施。要求系统重要性银行应当全面梳理经营管理中的风险领域和薄弱环节,建立覆盖所有实质性风险领域的风险数据加总和风险报告体系。
9月28日,央行、中央网信办等五部门颁发《关于规范金融业开源技术应用与发展的意见》。要求金融机构在使用开源技术时,遵循“安全可控、合规使用、问题导向、开放创新”等原则,鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等。
9月27日,央行审议通过《征信业务管理办法》,2022年1月1日实施。规定征信机构应当制定涉及所有业务活动和设备设施的安全管理制度,采集信用信息遵循“最少必要”原则,并对信用信息整理、保存、加工及提供、使用作出详细规定。
7月23日,央行发布《非银行支付机构重大事项报告管理办法》。要求支付机构发生风险事件或者突发情况的,应当按照央行相关规定和本办法的要求及时报告。事后报告事项分为一类事项和二类事项。
1月15日,银保监会发布《中国银保监会监管数据安全管理办法(试行)》。明确监管数据安全管理实行归口管理,以及监管数据采集、存储和加工处理的要求,并要求定期开展自查,发现监管数据安全缺陷、漏洞等风险时,应立即采取补救措施。
1月5日,银保监会发布《保险中介机构信息化工作监管办法》。规定保险中介机构合理确定信息系统的安全等级,按照国家网络安全等级保护相关标准进行防护,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施。
工业领域网络安全相关政策
12月28日,工信部等八部门联合印发《“十四五”智能制造发展规划》。围绕智能制造安全需求,协同推进网络安全、信息安全和功能安全建设;强化网络安全和工业数据分类分级管理,推动工业数据治理;落实企业安全防护主体责任,引导企业建立符合政策标准要求的技术防护体系和安全管理制度。
1月15日,工信部发布《工业互联网数据安全保护要求》。规定工业互联网数据安全保护的范围及数据类型、工业互联网数据重要性分级与安全保护等级划分方法,同时规定了低/中/高重要性数据在数据产生、传输、存储、使用、迁移及销毁阶段的具体安全保护要求。
1月13日,工信部发布《工业互联网创新发展行动计划(2021-2023年)》。推进工业互联网安全综合保障能力提升工程,完善网络安全分类分级管理制度。加强技术创新突破,实施保障能力提升计划,推动中小企业“安全上云”,强化公共服务供给,培育网络安全产业生态。
物联网领域网络安全相关政策
9月15日,工信部发布《关于加强车联网网络安全和数据安全工作的通知》。要求加强智能网联汽车安全防护、加强车联网网络安全防护、加强车联网服务平台安全防护、加强数据安全保护、健全安全标准体系。
9月13日,工信部发布《关于加强车联网卡实名登记管理的通知》。要求道路机动车辆生产企业建立健全用户信息保护制度,对其收集的车辆网卡实名登记信息严格保密,采取技术措施和其他必要措施,确保车联网卡登记信息安全,防止信息泄露、损毁、丢失及违规使用。
8月16日,国家网信办、国家发改委等五部门布《汽车数据安全管理若干规定(试行)》,10月1日实施。强调汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。
7月30日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》。明确企业应加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理,保证产品质量和生产一致性。
4月6日,交通运输部发布《交通运输政务数据共享管理办法》。按照“谁管理、谁负责”和“谁使用、谁负责”原则,建立健全政务数据安全保障机制,落实安全管理责任和数据分类分级要求,加强本部门政务数据提供渠道和使用环境的安全防护。
医疗领域网络安全相关政策
10月26日,国家卫健委发布《互联网诊疗监管细则(征求意见稿)》。医疗机构应建立网络安全、个人信息保护、数据使用管理等制度,并与相关合作方签订协议,明确各方权责关系。医疗机构应加强互联网发布信息的内容管理,确保信息合法合规、真实有效。省级监管平台和医疗机构用于互联网诊疗平台应当实施第三级及以上信息安全等级保护。
4月6日,国家医保局发布《加强网络安全和数据保护工作指导意见》。要求到2022年,基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。
教育领域网络安全相关政策
11月16日,教育部、工信部发布《关于提高高等学校网络管理和服务质量的通知》。要求高等学校严格落实互联网访问实名认证制度,实行上网地址统一管理和网络准入统一认证制度;建立网络流量监测机制,提升校园局域网安全态势感知能力;健全应急管理机制,建立网络安全事件协同处置机制。
9月16日,教育部等六部门发布《关于做好现有线上学科类培训机构由备案改为审批工作的通知》。要求线上学科类培训机构达到网络安全保护三级(含)以上防护标准。教育移动应用提供者应建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。
3月12日,教育部发布《高等学校数字校园建设规范(试行)》。规定高等学校网络安全工作应遵守《网络安全法》并符合网络安全等级保护相关的GB/T 22239、GB/T 28448、GB/T 25070及GB/T 25058的要求。
内容安全领域相关政策
12月31日,国家网信办、工信部等四部门印发《互联网信息服务算法推荐管理规定》。明确网信部门建立分类分级管理制度,根据算法推荐服务的舆论属性或社会动员能力、内容类别、用户规模、算法推荐技术处理的数据敏感程度、对用户行为的干预程度等对算法推荐服务提供者实施分类分级管理。
11月26日,市场监管总局发布《互联网广告管理办法(公开征求意见稿)》。要求提供互联网信息服务的平台经营者应当采取措施防范、制止虚假违法广告,完善发现、处置为违法犯罪活动提供广告推广以及在广告服务中植入恶意代码或者插入违法信息的技术措施。
10月26日,国家网信办发布《互联网用户账号名称信息管理规定(征求意见稿)》。规定互联网用户账号服务平台应当采取复合验证等措施,对申请账号注册的互联网用户账号使用者进行基于移动电话号码、居民身份证号码、统一社会信用代码等真实身份信息认证,提高认证准确率。
2月9日,国家网信办、扫黄打非办等七部门发布《关于加强网络直播规范管理工作的指导意见》。要求网络直播平台建立健全信息安全管理制度,严格落实信息内容安全管理责任制,具备与创新发展相适应的安全可控的技术保障和防范措施。
1月22日,国家网信办发布《互联网用户公众账号信息服务管理规定》,2月22日实施。要求公众账号信息服务平台履行信息内容和公众账号管理主体责任,建立健全并严格落实账号注册、信息内容安全、生态治理、应急处置、网络安全、数据安全、个人信息保护、知识产权保护、信用评价等管理制度。
“十四五”各行业规划中的网络安全要求
12月17日,中央网信办印发《“十四五”国家信息化规划》。要求培育先进安全的数字产业体系。全面加强网络安全保障体系和能力建设,深化关口前移、防患于未然的安全理念,压实网络安全责任,加强网络安全信息统筹机制建设,形成多方共建的网络安全防线。
11月30日,工信部印发《“十四五”大数据产业发展规划》。要求筑牢数据安全保障防线,完善数据安全保障体系。强化大数据安全顶层设计,落实网络安全和数据安全相关法律法规和政策标准。鼓励行业、地方和企业推进数据分类分级管理、数据安全共享使用,开展数据安全能力成熟度评估、数据安全管理认证等。
11月30日,工信部印发《“十四五”软件和信息技术服务业发展规划》。要求强化安全服务保障开展软件数据安全、内容安全评估审查,加强软件源代码检测和安全漏洞管理能力,提升开源代码、第三方代码使用的安全风险防控能力。鼓励第三方服务机构,积极提升软件安全咨询、培训、测试、认证、审计、运维等服务能力。
11月16日,工信部印发《“十四五”信息通信行业发展规划》。要求全面加强网络和数据安全保障体系和能力建设,增强行业关键信息基础设施安全保障能力,健全行业网络安全审查体系,系统完善网络数据安全治理体系,建立完善大数据平台和算法安全规则。
10月26日,商务部、中央网信办、发展改革委印发《“十四五”电子商务发展规划》。要求强化风险防控能力。探索建立电子商务平台网络安全防护和金融风险预警机制,保障网上购物的个人信息和重要数据安全,开展数据出境安全评估能力建设。
10月19日,商务部、宣传部、中央网信办等24部门发布《“十四五”服务贸易发展规划》。提出在有条件的地区探索跨境数据流动分级分类监管,开展数据跨境传输安全管理试点。在数字服务市场准入、跨境数据流动、数据规范化采集和分级分类监管等方面先行先试,开展压力测试,培育科技、制度双创新的数字贸易集聚区。
其他网络安全相关政策
10月29日,国家市场监管总局发布《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》。将互联网平台分为网络销售类、生活服务类、社交娱乐类、信息资讯类、金融服务类、计算应用类六大类;依据用户规模、业务种类以及限制能力,分为超级平台、大型平台、中小平台三级。规定了平等治理、网络安全、数据安全、自然人隐私与个人信息保护、内部治理、风险评估、安全审计、平台内用户管理、平台内容管理、禁限售管控、算法规制、网络黑灰产治理等诸多内容。
10月23日,中国人大网公布《反电信网络诈骗法》(草案)。注重源头治理、综合治理;完善电话卡、物联网卡、金融账户、互联网账号有关基础管理制度;支持研发电信网络诈骗反制技术措施;加强对涉诈相关非法服务、设备、产业的治理;建立涉案资金紧急止付、快速冻结和资金返还制度。
9月13日,工信部发布《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》。漏洞收集平台备案通过工信部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。漏洞收集平台应在上线前完成备案,已上线运行的漏洞收集平台应在本办法施行之日起10个工作日内进行备案。
4月26日,国家安全部发布《反间谍安全防范工作规定》。要求关基设施运营者应对本单位安全管理机构负责人和关键岗位人员进行反间谍安全防范审查;定期对从业人员进行反间谍安全防范教育、培训;采取反间谍技术安全防范措施,防范、制止境外网络攻击、网络入侵、网络窃密等间谍行为。