维他命2019大盘点之安全政策法规篇
发布时间 2019-12-25导语:
面对互联网经济的创新发展和互联网经济法规制定滞后的现象,今年由国家和各行业在政策、法律等层面的一系列举措可见,对于网络空间安全的重视正在不断升级。自2017年我国《网络安全法》颁布以来,2019年全球网络安全迎来新一轮政策密集布局,例如我国的密码法,儿童个人信息网络保护规定和越南的网络安全法等相关法规。以下是我们对今年出台的重大安全法规的盘点。
国内安全政策法规
《中华人民共和国密码法》
10月26日十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》(以下简称《密码法》),将自2020年1月1日起施行。《密码法》旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。《密码法》共五章四十四条,将密码分为核心密码、普通密码和商用密码,并对相关制度、法律责任及职权部门进行了规定。
《儿童个人信息网络保护规定》
8月23日,《儿童个人信息网络保护规定》(以下简称《规定》)已经国家互联网信息办公室室务会议审议通过,将自2019年10月1日起施行。《规定》主要规范在中华人民共和国境内网上儿童个人信息的有关活动,规定了“任何组织和个人”“网络运营者”“儿童监护人”“互联网行业组织”等主体的责任和义务,覆盖了儿童个人信息的收集、存储、使用、转移、披露等全生命周期,确定了儿童个人信息网络保护的原则和具体处理规则,明确了网信部门和其他有关部门的监管职责,同时也规定了违法责任以及信用记录等内容。《规定》共二十九条,网络运营者应当积极主动进行自查,检视有关儿童个人信息保护的规定和做法,建章立制,查漏补缺,确保符合《规定》的要求。
《个人信息出境安全评估办法》
(征求意见稿)
6月13日,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》(以下简称《办法》),公开征求社会公众的意见。该《办法》是对《网络安全法》第三十七条的落实,共二十二条。从适用主体而言,《办法》主要针对的是网络运营者,其范围涵盖网络的所有者、管理者和网络服务提供者,目前最常见的就是各类网站和App的运营商。而从适用对象而言,《办法》主要针对的是网站和App等在先前的网络运营中收集的、将要向境外传输的个人信息。
《数据安全管理办法》
(征求意见稿)
5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》(以下简称“办法”),《办法》分为总则、数据收集、数据处理使用、数据安全监督管理、附则五章,共四十条规定。《办法》将部分行业实践上升为法律规范,在个人信息收集、爬虫抓取、广告精准推送、APP过度索取权限、账户注销难等经常涉及隐私的问题均做出明确规定。提出网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
《网络安全审查办法》
(征求意见稿)
5月24日,为提高关键信息基础设施安全可控水平,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,由国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部等12个部门联合起草了《网络安全审查办法(征求意见稿)》(以下简称“办法”),共二十一条规定。对于申报网络安全审查的采购活动,运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效。《办法》审查重点评估采购活动可能带来的国家安全风险。自本《办法》实施起,《网络产品和服务安全审查办法(试行)》同时废止。
《网络安全漏洞管理规定》
(征求意见稿)
6月18日,根据《国家安全法》和《网络安全法》,为加强网络安全漏洞管理,工业和信息化部会同有关部门起草了《网络安全漏洞管理规定(征求意见稿)》(以下简称“规定”),共十二条规定。本规定自印发之日起施行,《规定》适用于国内所有企业、组织和个人,《规定》包括限定漏洞的修复时间,禁止私自发布和利用漏洞,不得私自发布漏洞验证工具和规定监管部门的责任等。任何组织或个人发现涉嫌违反本规定的情形,有权向工业和信息化部、公安部举报。
《网络安全威胁信息发布管理办法》
(征求意见稿)
11月20日,为规范发布网络安全威胁信息的行为,有效应对网络安全威胁和风险,保障网络运行安全,依据《中华人民共和国网络安全法》等相关法律法规,国家互联网信息办公室会同公安部等有关部门起草了《网络安全威胁信息发布管理办法(征求意见稿)》(以下简称“办法”),共十三条规定。本《办法》自发布之日起实施。《办法》包括规范网络安全威胁信息发布行为,应坚持客观、真实、审慎、负责的原则,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争,规范发布内容,发布综合分析报告时,应事先向所涉及地区地市级以上网信部门和公安机关报告等内容。
《水利部印发水利网络安全管理办法》
(试行)
8月17日,依据《中华人民共和国网络安全法》,水利部网信办组织制定了《水利网络安全管理办法(试行)》(以下简称《办法》),并于近日通过审议印发。《办法》包括总则、网络安全规划建设、网络运行安全、监测预警与应急处置、监督考核与责任追究、附则共六章。《办法》指出,水利网络安全遵循“积极利用、科学发展、依法管理、确保安全”的方针,建立及时发现漏洞、及时有效处置漏洞和严格责任追究三套机制,确保水利信息化规划建设同步落实网络安全等级保护制度,明确运行阶段网络安全责任。
《电信和互联网行业提升网络数据安全保护能力专项行动方案》
7月01日,工信部办公厅印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称《方案》)。《方案》提出,开展为期一年的行业提升网络数据安全保护能力专项行动,本次专项行动围绕新中国成立70周年等重大活动数据安全保障和行业网络数据安全保障体系建设,明确两个阶段的工作目标,并从加快完善网络数据安全制度标准、开展合规性评估和专项治理、强化行业网络数据安全管理、创新推动网络数据安全技术防护能力建设、强化社会监督和宣传交流5个方面提出14项重点任务等内容。
《加强工业互联网安全工作的指导意见》
8月28日,工信部、教育部、人力资源和社会保障部等十部门联合发布《加强工业互联网安全工作的指导意见》(以下简称《意见》)。《意见》要求全面提升工业互联网创新发展安全保障能力和服务水平,提出了7个方面17项重点任务,严格落实国家《中华人民共和国网络安全法》等法律法规有关要求,到2025年,基本建立起较为完备可靠的工业互联网安全保障体系。《意见》出台后,将为地方主管部门和相关企事业单位开展工业互联网安全工作提供依据和指导。
《工业互联网网络建设及推广指南》
1月19日,工业和信息化部正式印发了《工业互联网网络建设及推广指南》(以下简称《指南》),旨在加快建立工业互联网平台体系,加速工业互联网平台推广。《指南》提出,工业互联网网络是构建工业环境下人、机、物全面互联的关键基础设施,通过工业互联网网络可以实现工业产业全要素的泛在互联。主要任务包括制定标准、培育平台、推广平台、建设生态和加强管理五方面内容。并提出了2020年形成相对完善的工业互联网网络顶层设计,初步建成工业互联网基础设施和技术产业体系的总体目标,指出了4个重点发展方向。
《工业互联网企业网络安全分类分级指南(试行)》
(征求意见稿)
12月17日,为贯彻落实《加强工业互联网安全工作的指导意见》(以下简称《意见》),推动工业互联网安全责任落实,对工业互联网企业网络安全实施分类分级管理,提升工业互联网安全保障能力和水平,工业和信息化部研究起草了《工业互联网企业网络安全分类分级指南(试行)》(以下简称《指南》),《指南》提出的基本原则包括企业分级与行业网络安全影响程度相关联、行业指导与地方监管相结合以及企业自评与属地核查相结合。对联网工业企业网络安全分级进行规范。工业互联网平台企业和基础设施运营企业按照《通信网络安全防护管理办法》的分级方式进行规范。
《网络信息内容生态治理规定》
12月15日,国家互联网信息办公室室务会议审议通过《网络信息内容生态治理规定》(以下简称《规定》),将自2020年3月1日起施行。《规定》共八章四十二条。《规定》中网络信息内容生态治理是指政府、企业、社会、网民等主体,以培育和践行社会主义核心价值观为根本,以网络信息内容为主要治理对象,以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,开展的弘扬正能量、处置违法和不良信息等相关活动。《规定》明确了网络信息内容生产者、网络信息内容服务平台、网络信息内容服务使用者的法律责任,同时完善了民事、行政和刑事法律责任相衔接的体系化规定等内容。
国际安全政策法规
美国:《保障能源基础设施法案》
8月16日,美国参议院通过了《保障能源基础设施法案》(以下简称《法案》)。该《法案》将在美国能源部国家实验室内建立一个为期两年的试点计划,其目标是发现能源部门实体机构中的安全漏洞和隔离关键的电网系统。评估的技术和标准包括模拟和非数字控制系统、专用控制系统和物理控制方案。该《法案》还要求建立一个工作组,其任务是分析国家实验室提出的解决方案,并制定一项保护能源网的国家战略。
美国:《DHS网络搜寻及事件响应小组法案》
4月08日,美国参议院通过了《DHS网络搜寻及事件响应小组法案》(S.315)(以下简称《法案》),《法案》授权国土安全部(DHS)通过网络搜寻及事件响应小组帮助私人和公共部门抵御网络攻击。《法案》指出DHS小组的责任包括:在网络事件之后,协助资产所有者和运营商恢复服务;识别网络安全风险和未经授权的网络攻击活动;制定防御策略,以预防,阻止和防范网络安全风险;建议资产所有者和运营商改善整体网络和控制系统的安全性,以降低网络安全风险,并酌情提出其他建议。
美国:《禁止黑客和提高电子数据安全(SHIELD)法案》
7月25日,纽约州州长签署了《禁止黑客和提高电子数据安全(SHIELD)法案》(以下简称《法案》),签署后240天后生效,《法案》扩大了纽约州泄露通知立法的适用范围,并施加新的通知和安全义务,进而增加了向纽约居民收集或收集关于纽约居民的个人信息(广义上的个人信息,不包括已公开信息)的企业需承担的义务。同时签署了一项针对身份盗窃的修正法案,60天后生效。并要求发生过涉及社会保障号码违规行为的信用报告机构,应当为受影响的信息主体提供5年的身份防盗服务,以及特定情形下的身份缓解服务。
印度:《2019年个人数据保护法草案》
12月11日,印度公布了《2019年个人数据保护法草案》(以下简称《草案》)。《草案》不仅允许政府命令企业上交公民的匿名个人数据和非个人数据,还将赋予政府在为公众利益服务的前提下,未经公民同意直接收集公民数据的权力,并赋予政府自行决定是否让某个实体或部门不受任何法律约束的自由裁量权。《草案》还要求企业核实儿童的年龄,并获得儿童父母或监护人的同意,以便收集儿童的个人数据。印度还将建立一个数据保护局(DPA),以加强数据保护的合规性。
澳大利亚:《物联网安全实践准则草案》
12月11日,澳大利亚发布《物联网安全实践准则草案》(以下简称《草案》),并至2020年3月1日前公开征求意见。《草案》将适用于澳大利亚所有可用的IoT设备,包括连接到Internet的日常智能设备,例如智能电视、手表和智能音箱等。《草案》包含13条原则,其中前三条为最高优先级,包括:不使用重复的默认密码或弱密码;向设备制造商、服务提供商和APP开发人员提供漏洞披露政策,建立公共的访问站点;确保软件和固件的安全更新。
澳大利亚:《中小型企业网络安全指南》
10月10日,澳大利亚网络安全中心(ACSC)发布《中小型企业网络安全指南》(以下简称《指南》),该《指南》阐述了常见的网络威胁以及企业可以采取哪些措施来保护自己免受损害。《指南》专为中小型企业设计,旨在使其了解、采取行动并增强其网络安全防御能力,以应对不断发展的网络安全威胁。该《指南》介绍了恶意软件、钓鱼邮件和勒索软件等常见威胁,还列举了多种针对威胁的预防措施。该指南不建议企业支付赎金,因为无法保证能够重新获得访问权;建议企业采取自动更新、自动备份和多因素身份验证等措施;建议在人员和流程中采取访问控制、密码短语及员工培训;该指南还附带了用于参考的安全术语词汇表。
俄罗斯:《主权网络法》
11月01日,备受瞩目俄罗斯《主权网络法》(以下简称《网络法》)正式生效,《网络法》赋予俄罗斯政府拥有使整个国家与全球互联网断开连接的能力。这项法律由普京总统在5月份签署,要求ISP安装当局提供的技术设备以进行流量检查,这可能为大规模监视打开了大门。根据俄罗斯政府的说法,该法律旨在确保即使断开与全球互联网的连接也可以访问俄罗斯站点,以应对由网络攻击或安全事件导致的中断。该法律将使俄罗斯当局能够审查在线内容并监视网民。
越南:《网络安全法》
据法新社1月1日报道,越南从当天开始实施极为严格的《网络安全法》(以下简称《安全法》)。《安全法》规定互联网公司必须删除被政府认定为“有毒”的网上内容,越南网民也不得在互联网上散布反政府信息或歪曲历史。此外,Facebook、Google等国际科技公司要在越南开展业务必须在越南国内设立办事处,并且在越南政府要求时必须将用户数据提交给政府。这部网络安全法去年6月经国会审议通过。去年10月,越南公安部以回答国会代表提问的形式指出,网络安全法的颁布实施是为防止网络攻击,避免“敌对反动势力”用互联网煽动分歧和暴力。去年11月,越南公安部又颁布《网络安全法实施办法》,要求有关互联网公司最迟在12个月之内完全落实合规性。
京公网安备11010802024551号