第八十七期网络安全政策法律动态半月刊(2022.2.16—2022.2.28)
第八十七期网络安全政策法律动态半月刊(2022.2.16—2022.2.28)
本期关注
境外关注
欧盟委员会发布《数据法案》草案,消除私营和公共部门获取数据的障碍,强化个人和企业对其数据的控制。受俄乌冲突等国际局势影响,网络攻击事件频发,网络安全形势严峻,包括俄罗斯、美国在内的诸多国家发布警报,要求本国组织尤其是关键基础设施运营者保持警惕,强化网络安全防御。
境内关注
国务院办公厅印发《关于加快推进电子证照扩大应用领域和全国互通互认的意见》,要求加快推进国家网络身份认证公共服务基础设施建设和应用。最高人民检察院发布统计数据,2021年检察机关共办理个人信息保护领域公益诉讼案件2000余件,发现利用手机APP等违规收集个人信息、个人信息保护监管合力不足等问题突出,将继续加大公益诉讼办案力度,推动《个人信息保护法》落地落实。3月1日起,《互联网信息服务算法推荐管理规定》施行,互联网信息服务算法备案系统正式上线运行。
境外动态
1. 欧盟委员会发布《数据法案》草案
https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data
2. 德国联邦内阁批准《自动驾驶条例》
https://www.bmvi.de/SharedDocs/DE/Pressemitteilungen/2022/008-wissing-verordnung-zum-autonomen-fahren.html
3. 欧盟数据保护委员会就《<网络犯罪公约>关于加强合作和披露电子证据的第二项附加议定书》表明立场
https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-response-mr-juan-fernando-lopez-aguilar-regarding-request_en
4. 美国参议院引入《儿童在线安全法案》
https://www.congress.gov/bill/117th-congress/senate-bill/3663?q=%7B%22search%22%3A%5B%22S3663%22%2C%22S3663%22%5D%7D&s=2&r=1
5. 美国加州引入《加州适龄设计规范法案》
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202120220AB2273
6. 澳大利亚众议院引入《2022年运输安全(关键基础设施)修订法案》
https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6837
7. 日本个人信息保护委员会发布《<个人信息保护法>合规要点》
https://www.ppc.go.jp/news/kaiseihogohou_checkpoint/
8. 日本经济产业省与总务省发布新版《企业隐私治理指南》
https://www.meti.go.jp/policy/it_policy/privacy/guidebook12.pdf
9. 美国NIST发布《远程医疗远程患者监测生态系统保护指南》
https://www.nist.gov/publications/securing-telehealth-remote-patient-monitoring-ecosystem
10. 美国NIST发布《勒索软件风险管理:网络安全框架》
https://csrc.nist.gov/publications/detail/nistir/8374/final
11. 美国NIST就更新网络安全框架征求公众意见
https://www.federalregister.gov/documents/2022/02/22/2022-03642/evaluating-and-improving-nist-cybersecurity-resources-the-cybersecurity-framework-and-cybersecurity
12. 美国三部门发布警报,要求国防承包商警惕来自俄罗斯国家支持的网络行为者的安全威胁
https://www.cisa.gov/uscert/ncas/alerts/aa22-047a
13. 俄罗斯发布警报:对俄罗斯信息资源的网络攻击强度可能增加
https://safe-surf.ru/specialists/news/675925/
14. 美国发布警报:保护组织免受乌克兰破坏性恶意软件威胁
https://www.cisa.gov/uscert/ncas/alerts/aa22-057a
15. 英国、日本、澳大利亚、新加坡发布警报,要求组织对网络安全形势保持警惕,强化网络防御
日本警报原文链接:
https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html
英国警报原文链接:
https://www.ncsc.gov.uk/news/organisations-urged-to-bolster-defences
澳大利亚警报原文链接:
https://www.cyber.gov.au/acsc/view-all-content/alerts/australian-organisations-encouraged-urgently-adopt-enhanced-cyber-security-posture
新加坡警报原文链接:
https://www.csa.gov.sg/en/singcert/Advisories/ad-2022-001
16. 美国FCC启动对网络路由漏洞的调查,保护国家通信网络免受网络攻击
https://www.fcc.gov/document/fcc-launches-inquiry-internet-routing-vulnerabilities
境内动态
1. 国务院办公厅印发《关于加快推进电子证照扩大应用领域和全国互通互认的意见》
1月20日,国务院办公厅印发《关于加快推进电子证照扩大应用领域和全国互通互认的意见》,要求扩大电子证照应用领域、推动电子证照全国互通互认、全面提升电子证照应用支撑能力。
《意见》要求加强电子证照应用安全管理和监管。加强电子证照签发、归集、存储、使用等各环节安全管理,严格落实网络安全等级保护制度等要求,强化密码应用安全性评估,探索运用区块链、新兴密码技术、隐私计算等手段提升电子证照安全防护、追踪溯源和精准授权等能力。按照信息采集最小化原则归集数据,对共享的电子证照进行分类分级管理,避免信息泄露。
《意见》要求加快推进国家网络身份认证公共服务基础设施建设和应用,加强对电子证照持证主体、用证人员的身份认证、授权管理和个人信息保护。强化企业和群众身份认证支撑,增强电子证照签发和使用等环节的统一身份认证能力。建立健全严格的责任追究制度,依法严厉打击电子证照制作生成过程中的造假行为,杜绝未经授权擅自调用、留存电子证照信息,切实保障电子证照及相关信息合法合规使用,保护持证主体的商业秘密和个人信息。
2. 最高人民法院印发《人民法院在线运行规则》
1月26日,最高人民法院印发《人民法院在线运行规则》。《规则》共五章四十五条,涉及系统建设、应用方式、运行管理等内容。
《规则》要求各级人民法院应当建设安全保障系统,为人民法院在线运行提供网络和信息安全保障。安全保障系统应当为各类信息基础设施、应用系统和数据资源提供主机安全、身份认证、访问控制、分类分级、密码加密、防火墙、安全审计和安全管理等安全服务。
《规则》要求各级人民法院应当开展与等级保护标准相符合的信息系统安全保障建设和测评以及密码应用安全评估;应当确保智慧法院信息系统相关数据全生命周期安全,制定数据分类分级保护、数据安全应急处理和数据安全审查等制度;应当制定应急计划,及时有效处理人民法院在线运行过程中出现的停电、断线、技术故障、遭受网络攻击、数据安全漏洞等突发事件。
3. 工信部发布《关于进一步规范移动智能终端应用软件预置行为的通告(征求意见稿)》
2月16日,工信部发布《关于进一步规范移动智能终端应用软件预置行为的通告(征求意见稿)》。
征求意见稿规定,移动智能终端预置应用软件应遵循依法合规、用户至上、安全便捷、最小必要的原则,按“谁预置、谁负责”要求落实企业主体责任,依法维护用户知情权、选择权,保障用户合法权益。生产企业应完善移动智能终端权限管理机制,提升操作系统安全性,采取技术措施预防在产品流通环节发生置换操作系统或安装应用软件的行为。
4. 工信部发布通知,组织开展工业领域数据安全管理试点工作
2月17日,工信部办公厅发布《工业和信息化部办公厅关于做好工业领域数据安全管理试点工作的通知》,组织开展工业领域数据安全管理试点工作。
《通知》要求加快提升行政执法能力,加大对行政执法人员和企业培训力度,鼓励有条件的地区统筹建立专业执法队伍。强化政策支持和资金投入,加强数据安全监测、风险报送、事件处置等技术能力建设,全面提升本地区数据安全监管能力。
本次试点工作覆盖辽宁等15个省(区、市)及计划单列市,必选试点内容为数据安全管理、安全防护和安全评估,可选试点内容包括数据安全产品应用推广、安全监测、出境安全管理。
5. 银保监会发布风险提示,防范以“元宇宙”名义进行非法集资
2月18日,银保监会处置非法集资部际联席会议办公室发布《关于防范以“元宇宙”名义进行非法集资的风险提示》,提示一些不法分子以“元宇宙投资项目”“元宇宙区块链游戏”“元宇宙房地产”“元宇宙虚拟币”等名目吸收资金,涉嫌非法集资、诈骗等违法犯罪活动。
6. 上海市人大常委会通过《上海市未成年人保护条例》
2月18日,上海市第十五届人民代表大会常务委员会第三十九次会议修订通过《上海市未成年人保护条例》,自2022年3月1日起施行。
《条例》共九章八十七条,内容涉及家庭保护和自我保护、学校保护、社会保护、网络保护、政府保护和司法保护、特别保护等内容。《条例》规定,任何组织或者个人处理不满十四周岁未成年人个人信息的,应当依法取得未成年人的父母或者其他监护人的同意。网络产品和服务提供者应当针对未成年人使用其产品和服务设置相应的时间管理、权限管理、消费管理等功能。
7. 《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》暂缓实施
2月21日,中国人民银行发布公告,宣布《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》(中国人民银行 银保监会 证监会令〔2022〕第1号)因技术原因暂缓施行。相关业务按原规定办理。
人民银行有关负责人表示,《办法》发布后,一些中小金融机构提出,《办法》针对不同金融产品和业务模式提出了具体规范和要求,金融机构需要修订完善内部管理制度、信息系统、业务流程,并进行人员培训。为此,经研究,决定暂缓实施《办法》。
8. 工信部:推动建立工业互联网企业网络安全分类分级管理制度
2月23日,国务院新闻办公室举行国务院政策例行吹风会,工信部就工业互联网平台安全保障情况加以介绍。
安全保障方面,工信部目前主要采取以下措施:(1)政策体系方面,在发展工业互联网的同时,要求加强网络安全,特别是网络平台安全问题;(2)积极推动开展分类分级管理工作,在15个省市开展分类分级管理试点,近百家平台企业完成科学定级、风险评估和相关整改落实。加强安全标准体系建设,加快研制平台安全防护、测试评估、能力评价等10多项行业标准;(3)强化安全防护能力方面,健全工业互联网安全技术监测体系,累计监测覆盖165个重点工业互联网平台。
下一步,工信部将继续在三方面发力:(1)推动建立工业互联网企业网络安全分类分级管理制度,在试点基础上进一步总结,扩大推广应用。加快研制发布平台企业网络安全标准;(2)健全平台企业监测预警,对网络安全平台企业要加强监测预警、信息通报和应急处置,确保安全;(3)组织开展安全深度行活动,推动新技术、新产品、新标准应用,使工业互联网平台安全产品解决方案在各行各业中能够得到实际应用,确保“5G+工业互联网”普及推广应用的同时,确保工业互联网安全有序健康发展。
9. 公安部公布依法打击网络账号黑色产业链“断号”行动典型案例
2月24日,公安部通报依法打击网络账号黑色产业链“断号”行动情况。
2021年,公安部深入推进“净网2021” 专项行动,依法严厉打击突出网络违法犯罪,深入整治网络黑产、网络乱象,持续深化网络生态治理,并在专项行动中发起“断号”行动,对网络账号黑色产业链发起凌厉攻势,共抓获行业“内鬼”6000余名,打掉关停接码、打码、解封、养号、非法交易网络平台80余个,收缴“猫池”、卡池设备1万余台,查获关停涉案网络账号1000余万个,有力维护网络空间秩序和人民群众合法权益。
同期公布“断号”行动十大典型案例,分别是:(1)广东公安机关破获陈某等人帮助信息网络犯罪活动案;(2)山东公安机关破获徐某等人帮助信息网络犯罪活动案;(3)江苏公安机关破获蒋某等人非法获取计算机信息系统数据案;(4)陕西公安机关破获余某等人侵犯公民个人信息案;(5)北京公安机关破获某公司帮助信息网络犯罪活动案;(6)辽宁公安机关破获杨某等人帮助信息网络犯罪活动案;(7)湖北公安机关破获李某等人帮助信息网络犯罪活动案;(8)陕西公安机关破获訾某等人侵犯公民个人信息案;(9)广西公安机关破获谢某等人侵犯公民个人信息案;(10)江苏公安机关破获杨某等人侵犯公民个人信息案。
10. 2021年检察机关办理个人信息保护领域公益诉讼案件2000余件
2月27日,最高人民检察院发布数据显示,2021年,检察机关共办理个人信息保护领域公益诉讼案件2000余件,同比上升近3倍。
办案发现,当前个人信息保护面临四方面突出问题,须加强综合治理:(1)利用手机APP等违规收集个人信息问题突出。2021年,检察机关共办理网络侵害个人信息公益诉讼案件800余件,同比上升约1.7倍;(2)特定群体个人信息需要加大保护力度。检察机关办案发现,未成年人、老年人等群体防范意识薄弱,更易成为个人信息侵害的对象;(3)个人信息泄露导致骚扰电话和电信网络诈骗风险。泄露的个人信息经网络黑灰产业链交易传输,有的引发骚扰电话、垃圾短信,有的被用于实施电信网络诈骗等犯罪,严重危害人民群众人身财产安全;(4)个人信息保护监管合力不足。个人信息保护涉及对象多、领域广,多个部门职责交叉或者职权定位不够明晰,亟需形成监管合力。
下一步,检察机关将继续加大公益诉讼办案力度,推动《个人信息保护法》落地落实:(1)突出保护重点。聚焦重点人员、重点领域,为个人信息安全保驾护航。严格保护生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息;特别保护儿童、妇女、残疾人、老年人、军人等特定群体的个人信息;重点保护教育、医疗、就业、养老、消费等领域处理的个人信息,以及涉及100万人以上的大规模个人信息;精准保护因时间、空间等联结形成的特定对象的个人信息;(2)强化检察机关内部衔接配合。充分发挥检察一体化办案优势,上级检察机关加大自办案件力度和对下指导力度,采取交办、提办、督办、领办等方式,积极应对个人信息公益损害网络化。畅通检察机关内部线索审查移送机制,注重在涉及个人信息保护的刑事、民事、行政检察案件中同步发现公益诉讼案件线索,加强全流程、全链条保护,实现惩治违法和保护公益的多重效果;(3)形成个人信息保护监管合力。加强与网信、工信、公安、市场监管、教育等职能部门在线索移送、信息共享、专业咨询、办案辅助等方面的协作配合,健全行政执法与公益诉讼检察衔接机制,积极稳妥办理涉及网络黑灰产、数据安全的重大网络侵害类公益诉讼案件。加强与法院的沟通协调,深化个人信息保护公益诉讼制度探索。通过提出检察建议等方式,督促相关单位或部门采取有效防范措施,从源头上强化信息安全,筑牢个人信息保护“防火墙”。
11. 工信部:将对移动互联网服务进行全链条、全覆盖监管
2月28日,国务院新闻办公室举行促进工业和信息化平稳运行和提质升级发布会。发布会期间,工信部就移动互联网领域保障用户权益、改进服务工作情况进行介绍。
据介绍,工信部目前主要突出解决APP治理和适老化改造两方面问题。APP治理方面,打好“组合拳”,通过制定标准、技术检验、专项整治、行业自律等措施,大力整治违规收集使用个人信息、弹窗骚扰等侵害用户权益的行为。2021年累计检测208万款APP,通报1549款违规APP,对514款拒不整改的进行下架处理。适老化改造方面,组织227家网站和APP完成改造,推出字体放大、语音引导、“一键直连人工客服”等多种具有特色的功能,指导终端企业为适老化智能终端产品设计生产服务提供支持。
下一步,工信部将持续推进相关工作,包括:(1)聚焦用户权益,加强综合治理。持续关注用户反映的各类违规问题,深入开展APP整治,对移动互联网服务涉及的诸多环节进行全链条、全覆盖监管。主要实现三个“全覆盖”,即对手机、平板各类终端全覆盖;对应用商店、第三方软件开发工具包、预置预装等关键的责任链环节全覆盖;对APP技术检测全覆盖,让用户权益得到全方位保护;(2)聚焦服务感知,满足用户期待。提升个人信息保护水平,督促主要互联网企业建立客服热线,响应用户诉求;(3)聚焦重点人群,推进信息普惠。再组织一批新的APP和网站,开展适老化和信息无障碍改造提升,打造一批适老化和无障碍改造标杆;(4)聚焦长效机制,形成工作合力。围绕移动互联网服务、个人信息保护等重点领域,我们将进一步完善激励机制,同时也完善问责机制,强化技术手段,激发企业自身改进服务、提高水平的动能。
12. 互联网信息服务算法备案系统上线
3月1日起,互联网信息服务算法备案系统正式上线运行,官方网址为https://beian.cac.gov.cn。备案主体通过官网填报备案信息、查看备案状态,普通用户通过官网查询备案信息。
互联网信息服务算法备案仅对备案主体所提供的算法推荐服务及服务中使用的算法推荐技术进行备案,信息由备案主体自行填报,该备案不代表对有关主体、算法、产品、服务等的认可,任何组织和个人不得将备案结果用于宣传和其他商业用途。
《互联网信息服务算法推荐管理规定》于3月1日起施行。《规定》要求具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。算法推荐服务提供者的备案信息发生变更的,应当在变更之日起十个工作日内办理变更手续。算法推荐服务提供者终止服务的,应当在终止服务之日起二十个工作日内办理注销备案手续,并作出妥善安排。