数字化转型持续迈入深水区,伴随着勒索攻击、数据泄露等网络安全事故日益频繁,以及个人信息主体维权意识愈发强烈,2022年,我国深入推进网络安全领域重要立法工作,出台并实施了一系列基础性法律法规和行业性、地区性规章制度,为确保互联网在法治轨道上健康运行提供有力支撑,推动产业形成高质量成长格局。
据安全419不完全统计与分析,我国2022年发布或实施的网络安全法律法规及政策具有以下鲜明趋势:
• 数据作为新型生产要素,成为实现资源快速优化配置与再生、实现经济高质量发展的强大驱动力,数据政策暖风频吹,国家构建数据基础制度,激发数据要素红利,建立健全数据治理体系,充分强调发展与安全的平衡,数据安全成为网络安全的核心与关键,数据保护的内涵和监管边际在不断延展;
• 基于此,各地加快数据立法步伐,浙江、上海、江苏、山东等多省市纷纷出台数据相关条例(包括大数据条例、数据条例、数字经济条例等),对数据赋能产业、数据安全保护、数据共享等内容进行规制,以促进当地数字经济高质量发展;
• 被称作网络安全“三驾马车”的《网络安全法》《数据安全法》《个信息保护法》在2022年继续主导整体立法与监管趋势,一方面,《网络安全法》实施五年后迎来修订,着重加强同另两部法律的关联适用,另一方面,全年超过60%的政策规章皆围绕三大法律,结合各行业的业务特点和数据特征落实配套细则,为相关单位开展监管工作和企业合规经营提供明确的、可操作的指引参考;
• 随着数据资产量级的暴增和价值的凸显,公民的个人信息,各行业的重要数据、核心数据等敏感数据资产的跨境传输面临更严苛的合规要求,以数据分类分级为基础,针对不同类别、不同级别数据开展对应的安全评估、保护认证、合规申报、安全审查工作,出台一系列相关的认证规范、合同指南、实施规则帮助企业机构在保障数据安全的同时促进数据自由有序流通;
• 数据安全管理体系建设需要科学的方法论,国内外相关机构从不同角度提出各自的框架模型、标准规范,但对于数据安全体系要达到什么程度缺乏权威的认证要求。数据安全认证成为一种理想实践,第三方认证机构按照认证标准对数据处理者进行技术验证、现场核查和获证后监督,从而证明数据处理者的安全能力达到特定的标准;
• 面向不同行业及领域观察,政务、医疗、交通等涉及民生的关键信息基础设施单位,银行、证券、保险等高价值数据密集的金融行业,音视频、社交网络及各种提供衣食住行娱乐的互联网平台/APP,能源、智能制造等工业行业是网络安全监管的重点对象,因其采集使用大量公民的个人信息,或其提供的功能支撑着社会基础运转,已成为网络对抗和国家博弈的主战场;
• 面向个人网络信息安全保护,个人信息处理活动监管、未成年人用网保护、互联网内容治理、反网络诈骗、反网络暴力是重点整治项目,通过规范互联网平台的个人信息采集、账户认证管理、信息推送算法、发帖评论等内容管理、深度学习/虚拟现实/深度合成等人工智能技术的运用,营造清朗网络空间。
政策红利为网络安全行业带来重大发展机遇,也为各行业企业机构敲响安全防护警钟,安全419在此分类梳理2022年网络安全法律法规及政策,以及部分重要制度的解读,供行业同仁与甲方企业参考。
国家层面重磅法律法规及政策
《“十四五”数字经济发展规划》
2022年1月12日,《“十四五”数字经济发展规划》发布,要求增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。提升网络安全应急处置能力,加强关键信息基础设施网络安全防护能力,健全完善数据跨境流动安全管理相关制度规范。
《网络安全审查办法》
2022年2月15日,新修订的《网络安全审查办法》实施,明确关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查。明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。(点击查看详细解读)
《中共中央、国务院关于加快建设全国统一大市场的意见》
2022年4月10日,《中共中央、国务院关于加快建设全国统一大市场的意见》发布,加快培育数据要素市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范,深入开展数据资源调查,推动数据资源开发利用。
《网络安全法》拟修改
2022年9月14日,国家网信办发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知,完善违反网络运行安全一般规定的法律责任制度;修改关键信息基础设施安全保护的法律责任制度;调整网络信息安全法律责任制度;修改个人信息保护法律责任制度。(点击查看详细解读)
《网络数据安全管理条例》拟出台
2022年11月14日,《网络数据安全管理条例(征求意见稿)》发布,在网安法、数安法和个保法的基础之上,重点就国家建立数据分类分级保护制度、强化个人信息处理规则以及厘清数据处理者相关义务等方面做出细化和补充。(点击查看详细解读)
《反电信网络诈骗法》
2022年12月1日,《反电信网络诈骗法》正式施行,坚持以人民为中心,统筹发展和安全,立足各环节、全链条防范治理电信网络诈骗,精准发力,为反电信网络诈骗工作提供有力法律支撑。(点击查看详细解读)
“数据二十条”
2022年12月19日,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》正式发布,明确构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度,充分实现数据要素价值,促进全体人民共享数字经济发展红利。(点击查看详细解读)
数据跨境传输有章可循
2022年9月1日,《数据出境安全评估办法》实施,规定数据出境安全评估的范围、条件和程序,提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。
与之适应的《数据出境安全评估申报指南(第一版)》同期发布,提供开展安全评估的指引,之后各地网信部门相继开通接受安全评估申报的窗口。
《个人信息跨境处理活动安全认证规范》第一版和第二版相继于2022年6月24日和11月8日发布,明确个人信息处理者和境外接收方的责任义务,成为个人信息跨境传输、认证机构开展工作的重要参考和指引。
2022年11月4日,《个人信息保护认证实施规则》发布,建立认证实施的程序规则,一旦认证机构名单经过批准后发布,认证活动就可以正式开展。
2022年6月30日,《个人信息出境标准合同规定》(征求意见稿)发布,提出个人信息处理者向境外提供个人信息前应当事前开展个人信息保护影响评估的适用情形。
我国的数据出境监管机制逐步搭建成型,数据出境合规正式成为企业必须面对的课题,合规参考可查阅安全419详细报道——《重要数据、个人信息要出境 合规路径有哪些?》
多省市出台“数据相关条例”
《深圳经济特区数据条例》自2022年1月1日施行,是国内数据领域首部基础性、综合性立法。从个人数据、公共数据、数据要素市场、数据安全四个维度对于数据的收集、处理等问题作出规定。深圳首个公共数据安全领域的地方标准《公共数据安全要求》自2022年12月1日施行,有效实现对《条例》要求的落地。(点击查看详细解读)
《上海市数据条例》自2022年1月1日施行,以保护促利用的立法主线,聚焦数据权益保障、数据流通利用、数据安全管理三大环节,在满足安全要求前提下,最大程度促进数据流通和开发利用。(点击查看详细解读)
《山东省大数据发展促进条例》自2022年1月1日施行,规定实行数据安全责任制,按照谁采集谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责的原则确定数据安全责任。
《福建省大数据发展条例》自2022年2月1日施行,从数据资源、基础设施、发展应用、数据安全、保障措施和法律责任等方面作出具体规定,积极推进各领域数字化转型。
《浙江省公共数据条例》自2022年3月1日施行,是全国首部以公共数据为主题的地方性法规。为省域范围内公共数据的收集、归集、存储、加工、传输、共享、开放、利用划定法律安全红线。
《安徽省大数据发展条例》自2021年5月1日施行,实行数据安全责任制,各部门的安全管理职责和相关数据安全管理制度,开展数据活动的单位应当履行安全保护义务,突出加强个人信息保护。
《重庆市数据条例》自2022年7月1日施行,明确数据处理规则和数据安全责任,确立了“数据安全责任制”,提出数据处理活动六类禁止性行为和八项数据安全保护义务。
《河北省数字经济促进条例》自2022年7月1日施行,规定省人民政府统筹规划全省数字产业整体布局,各地结合实际重点推动现代通信、新型显示、半导体材料与器件等新一代信息技术产业发展。
《黑龙江省促进大数据发展应用条例》自2022年7月1日施行,对公共数据发展规划、平台建设、目录管理、数据标准、采集汇聚、质量管控、共享开放等作出规定,优化提供公共数据的服务方式。
《江苏省数字经济促进条例》自2022年8月1日施行,聚焦数字技术创新、数字产业化、产业数字化、数据利用和保护等多方面,为江苏数字经济发展提供法治保障。
《辽宁省大数据发展条例》自2022年8月1日施行,从培育壮大数据要素市场、突出工业大数据特色、夯实新型基础设施底座、全面保障数据安全等方面进行了制度设计。
《江西省数据应用条例(草案)》于2022年11月9日审议通过,包含数据资源、数据要素市场、发展应用、促进措施、安全保护等内容,推动全省一体化公共数据资源中心建设。
《北京市数字经济促进条例》将于2023年1月1日施行,规定了数据汇聚、利用、开放、交易等规则,探索建立数据要素收益分配机制,推动数据要素有效流动。
《四川省数据条例》将于2023年1月1日施行,提出建立数据安全常态化运行管理机制,并将数据处理者所应履行的数据安全保护义务进行列举。
《陕西省大数据条例》将于2023年1月1日施行,坚持市场和服务导向,鼓励和引导互联网企业、行业龙头企业、基础电信企业加强资源共享和数据开放。
《广西壮族自治区大数据发展条例》将于2023年1月1日施行,对基础设施、数据资源、数据市场、发展应用、数据安全、法律责任等方面进行了规范,加快推进中国—东盟信息港建设。
数据安全认证体系建设加快
2022年6月9日,《关于开展数据安全管理认证工作的公告》发布,参照国标《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》的数据安全管理认证(DSM),第一次表明了国家主管部门将加强对数据安全的规范化管理,开展统一的认证工作。
《数据安全管理认证实施规则》随之发布,规定对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。
2022年11月4日,《关于实施个人信息保护认证的公告》及《个人信息保护认证实施规则》发布,将个人信息保护认证分为不含跨境处理活动认证及包含跨境处理活动的认证两类,待认证机构名单发布,个人信息保护认证工作即可正式开展。
重点行业领域法律法规及政策
• 互联网内容治理
2022年3月14,《未成年人网络保护条例(征求意见稿)》发布,要求以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径等义务,发现未成年人私密信息或者其发布的个人信息中涉及私密信息时,应及时提示并采取停止传输等必要保护措施。
2022年8月1日,《移动互联网应用程序信息服务管理规定》施行,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等制度。
2022年8月1日,《互联网用户账号信息管理规定》施行,要求落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理。
2022年9月8日,《网信部门行政执法程序规定(征求意见稿)》发布,将取代《互联网信息内容管理行政执法程序规定》,网信部门的行政执法案件类型拓展至网络信息内容、网络安全、数据安全、个人信息保护等。
2022年9月30日,《互联网弹窗信息推送服务管理规定》施行,要求落实信息内容管理主体责任,在信息内容审核、生态治理、数据安全和个人信息保护等方面作出规定。
2022年11月16日,《互联网跟帖评论服务管理规定》发布,明确跟帖评论服务提供者严格落实跟帖评论服务管理主体责任,建立健全用户个人信息保护制度。
2022年12月11日,《互联网信息服务深度合成管理规定》发布,自2023年1月10日起施行。对深度学习、虚拟现实等人工智能技术应用于生成新型互联网内容划定底线和红线。
• 金融行业
2022年1月10日,《关于银行业保险业数字化转型的指导意见》发布,加强数字化环境下的流动性风险管理、加强操作风险及外包风险管理、防范模型和算法风险、加强数据安全和隐私保护。
2022年1月25日,《银行保险机构信息科技外包风险监管办法》发布,要求银行保险机构不得将信息科技管理责任、网络安全主体责任外包;保障网络和信息安全;强调事前控制和事中监督。
2022年1月27日,《关于银行业保险业数字化转型的指导意见》发布,完善数据安全管理体系,建立数据分级分类管理制度,强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制。
2022年4月2日,《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》发布,明确上市公司信息安全责任,维护国家信息安全,深化跨境监管合作。
2022年4月29日,《证券期货业网络安全管理办法(征求意见稿)》发布,规定核心机构和经营机构对本机构网络安全负责,相关责任不因其他机构提供产品或服务进行转移或减轻。
2022年5月19日,《银行保险监管统计管理办法(征求意见稿)》发布,根据数安法相关规定,在职责范围、统计资料管理制度、监督检查中增加了涉及数据安全保护的监管内容。
2022年5月19日,《银行保险机构消费者权益保护管理办法(征求意见稿)》发布,处理消费者个人信息坚持合法、正当、必要原则,并对收集、外部合作、系统控制、行为管理等作出要求。
2022年7月19日,《保险销售行为管理办法(征求意见稿)》发布,明确保险公司、保险中介机构应当按照合法、正当、必要的原则收集保险业务活动相关当事人的个人信息,并妥善保管,防止信息泄露。
2022年10月25日,《金融领域科技伦理指引》发布,严格采取防护措施,建立健全数据安全防护长效机制,做好数据分类分级管理并采取常态化防护措施,提升数据保密性,有序推动数据资源安全共享。
2022年11月17日,《人身保险产品信息披露管理办法》发布,以依法全面从严监管为导向,强化保险机构信息披露义务人应尽义务,加大对各类信息披露违规行为的监督问责力度。
• 能源及工业行业
2022年4月13日,《工业互联网专项工作组2022年工作计划》发布,要求深入实施工业互联网企业网络安全分类分级管理制度,提升国家工业互联网安全技术监测服务能力,搭建一批网络安全测试环境和攻防演练靶场。
2022年4月16日,《电力可靠性管理办法(暂行)》发布,规定电力企业设立专门的网络安全管理及监督机构,加快各级人员配备,提高网络安全监测分析与应急处置能力。
2022年11月16日,《电力行业网络安全管理办法》发布,建立健全容灾备份制度,行业部门可就网络安全缺陷、漏洞、网络攻击等开展行业通报,电力企业应及时排查并采取风险防范措施。
2022年11月16日,《电力行业网络安全等级保护管理办法》发布,涉及等级划分与保护、等级保护的实施与管理、网络安全等级保护的密码管理、法律责任等内容。
2022年12月14日,《工业和信息化领域数据安全管理办法(试行)》发布,确定数据分类分级管理、重要数据识别与备案相关要求;针对不同级别的数据提出相应安全管理和保护要求。
• 交通行业
2022年2月7日,《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》发布,网约车平台公司存在危害网络安全、数据安全,侵害用户个人信息权益等违法违规行为的,可开展事前事中事后全链条联合监管。
2022年2月25日,《车联网网络安全和数据安全标准体系建设指南》发布,着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给,覆盖车联网网络安全、数据安全的关键领域和环节。
2022年4月8日,《关于进一步加强新能源汽车企业安全体系建设的指导意见》发布,健全网络安全保障体系,加强网络安全防护,强化数据安全保护,落实个人信息安全防护。
2022年4月15日,《关于开展汽车软件在线升级备案的通知》发布,明确汽车OTA升级备案管理相关事项,意味着我国正式进入OTA监管时代。
2022年8月30日,《自然资源部关于促进智能网联汽车发展维护测绘地理信息安全的通知》发布,明确智能网联汽车对车辆及周边道路设施空间坐标、影像、点云及其属性信息等测绘地理信息数据进行采集、存储、传输和处理活动纳入测绘监管。
2022年10月19日,《信息安全技术 汽车数据处理安全要求》发布,首次从国标层面针对汽车数据处理者如何落实2021年《汽车数据安全管理若干规定》提出了全方位的要求。
• 医疗卫生行业
2022年5月11日,《药品监管网络安全与信息化建设“十四五”规划》发布,要求升级信息系统安全建设、安全测评、容灾备份等保障措施,完善电子政务内网和外网管理。
2022年8月29日,《医疗卫生机构网络安全管理办法》发布,指出新建网络应在规划和申报阶段确定网络安全保护等级,鼓励三级医院探索态势感知平台建设。
• 更多领域
2022年1月26日,《人民法院在线运行规则》发布,要求各级人民法院建设安全保障系统,为各类信息基础设施、应用系统和数据资源提供主机安全、身份认证、访问控制、分类分级、密码加密、防火墙、安全审计和安全管理等安全服务。
2022年6月23日,《关于加强数字政府建设的指导意见》发布,构建数字政府全方位安全保障体系,快关键核心技术攻关,加强关键信息基础设施安全保障,强化安全防护技术应用。
2022年10月25日,《网络产品安全漏洞收集平台备案管理办法》发布,拟设立漏洞收集平台的组织或个人应当通过工信部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。
2022年11月7日,《关于促进网络安全保险规范健康发展的意见(征求意见稿)》发布,鼓励重点行业企业完善网络安全风险管理机制,推动电信、能源、金融、交通、水利、教育等重点行业企业积极利用网络安全保险工具。
安全419盘点 | 2022年网络安全立法与监管形势观察
-
2024-09-30
-
2024-09-05
-
2024-02-26
-
2024-01-10
-
2023-11-15