随着《数据安全法》《个人信息保护法》等几部重磅法律落地实施,各行业、各地区积极响应,紧密锣鼓出台一系列配套执行细则,可以看到,数据安全监管及个人信息保护将持续成为监管重点。与此同时,对于网络生态环境的治理日益加码,内容安全成为各互联网平台的生命线。安全419梳理盘点了2022年第一季度出台或实施的网络安全相关重要政策法规,供行业同仁与甲方企业参考。
1月12日,国务院发布《“十四五”数字经济发展规划》。要求增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。提升网络安全应急处置能力,加强关键信息基础设施网络安全防护能力,支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估。健全完善数据跨境流动安全管理相关制度规范。
2月15日,新修订的《网络安全审查办法》正式实施。明确关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查。明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。
3月5日,《2022年政府工作报告》发布,国务院将强化网络安全、数据安全和个人信息保护。促进数字经济发展。加强数字中国建设整体布局。
数据安全及个人信息保护相关政策
1月6日,国务院办公厅印发《要素市场化配置综合改革试点总体方案》。明确探索“原始数据不出域、数据可用不可见”的交易范式,实现数据使用“可控可计量”,推动完善数据分级分类安全保护制度。
1月19日,国家发改委等部门发布《关于推动平台经济规范健康持续发展的若干意见》。要求细化平台企业数据处理规则。严厉打击平台企业超范围收集个人信息、超权限调用个人信息等违法行为。推动平台企业深入落实网络安全等级保护制度,探索开展数据安全风险态势监测通报,建立应急处置机制。
2月10日,工信部再次征求对《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)的意见。明确数据处理者对数据处理活动负安全主体责任,对各类数据实行分级防护。要求跨主体提供、转移、委托处理核心数据的,应当评估安全风险,采取必要的安全保护措施并报批。
2月7日,交通运输部等八部门联合发布《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》。网约车平台公司存在危害网络安全、数据安全,侵害用户个人信息权益等违法违规行为的,可开展事前事中事后全链条联合监管。
3月2日,中央网信办、教育部、工信部、人力资源社会保障部联合印发《2022年提升全民数字素养与技能工作要点》。安全保护方面要求增强网络安全、数据安全防护意识和能力,加强个人信息和隐私保护。
内容安全领域相关政策
1月5日,国家网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》。应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、网络数据安全、个人信息保护、未成年人保护等管理制度,确保信息内容安全。
1月28日,国家网信办发布《互联网信息服务深度合成管理规定(征求意见稿)》。深度合成服务提供者应当落实信息安全主体责任,建立健全算法机制机理审核、用户注册、信息内容管理、数据安全和个人信息保护、未成年人保护、从业人员教育培训等管理制度,具有与新技术新应用发展相适应的安全可控的技术保障措施。
3月2日,国家网信办发布《互联网弹窗信息推送服务管理规定(征求意见稿)》。强调互联网弹窗信息推送服务提供者应当落实信息内容安全管理主体责任,建立健全信息内容审核、生态治理、网络安全、数据安全、个人信息保护、未成年人保护等管理制度。
3月14日,国家网信办就《未成年人网络保护条例(征求意见稿)》再次征求意见。要求建立健全未成年人网络保护合规制度体系。发现未成年人私密信息或者其发布的个人信息中涉及私密信息时,应及时提示并采取停止传输等必要保护措施。以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径等义务。
地方数据安全相关条例
1月26日,上海市首份《企业数据合规指引》出台。鼓励各类企业设置专门的数据合规管理部门,而不是由法务部门履行合规管理职能。明确不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。明确不得使用风险不可控的开源软件开发工具包等工具。
2月1日,《福建省大数据发展条例》正式施行。规定明示数据采集目的、方式和范围,并经被采集者同意。开展涉及个人信息的数据活动,应当对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。
2月7日,广东省政务服务数据管理局发布《广东省公共数据安全管理办法(二次征求意见稿)》。要求制定公共数据分类分级指南,明确分类分级的原则和规则等,特别是重要数据、核心数据的识别及分级保护规则。
2月9日,山东省人民政府发布《山东省公共数据开放办法》。要求公共数据提供单位建立本单位公共数据安全保护制度,采取相应的技术措施和其他必要措施,保障公共数据安全。
2月11日,黑龙江省人大常委会法制工作委员会发布《黑龙江省促进大数据发展应用条例(草案修改稿征求意见稿)》。明确从事数据处理活动的单位应当履行建立健全全流程数据安全管理制度;制定数据安全事件应急预案,定期开展风险评估和应急演练等活动;采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改等。
3月1日,《浙江省公共数据条例》正式施行。公共数据安全实行谁收集谁负责、谁使用谁负责、谁运行谁负责的责任制。公共数据主管部门、公共管理和服务机构的主要负责人是本单位数据安全工作的第一责任人。加强公共数据全生命周期安全和合法利用管理,防止数据被非法获取、篡改、泄露、损毁或者不当利用。
3月7日,河南省大数据局发布《河南省数据条例(草案)》(征求意见稿)。按照“一数一源、一源多用”收集公共数据,安装图像采集、个人身份识别设备,应当为维护公共安全所必需。公共管理和服务机构应当强化数据安全组织和人才力量,采取多种方式培养数据安全专业人才。
3月30日,《重庆市数据条例》经市五届人大常委会第三十三次会议表决通过。明确数据安全是数据管理的底线,完善数据处理规则,建立健全数据处理规则和数据安全体系,衔接和落实个人信息保护法、数据安全法的相关规定。
金融领域网络安全相关政策
1月10日,银保监会印发《关于银行业保险业数字化转型的指导意见》。要求加强战略风险管理、加强创新业务的合规性管理、加强数字化环境下的流动性风险管理、加强操作风险及外包风险管理、防范模型和算法风险、强化网络安全防护、加强数据安全和隐私保护。
1月23日,央行会同市场监管总局、银保监会、证监会联合印发《金融标准化“十四五”发展规划》。要求统筹金融数据开发利用、公共安全、商业秘密和个人隐私保护,加快完善金融数据资源产权、交易流通、跨境传输和安全保护等标准规范。建立健全金融业关键信息基础设施保护标准体系,支持提升安全防护能力。
1月25日,银保监会印发《银行保险机构信息科技外包风险监管办法》。要求银行保险机构不得将信息科技管理责任、网络安全主体责任外包;保障网络和信息安全,加强重要数据和个人信息保护;强调事前控制和事中监督。
1月27日,银保监会印发《关于银行业保险业数字化转型的指导意见》。要求完善数据安全管理体系,建立数据分级分类管理制度,落实技术和管理措施。强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制。构建云环境、分布式架构下的技术安全防护体系。
其他网络安全相关政策
1月26日,最高法印发《人民法院在线运行规则》。要求各级人民法院应当建设安全保障系统,为人民法院在线运行提供网络和信息安全保障。安全保障系统应当为各类信息基础设施、应用系统和数据资源提供主机安全、身份认证、访问控制、分类分级、密码加密、防火墙、安全审计和安全管理等安全服务。
2月25日,工信部印发《车联网网络安全和数据安全标准体系建设指南》,聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等,着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给,覆盖车联网网络安全、数据安全的关键领域和环节。
4项网络安全国家标准获批发布