当前位置:首页 > 国内动态 > 正文

2020年《网络安全法》配套规定和标准综述

发布时间:2021-02-22 18:07:19,来源:王春晖;中国信息安全

《网络安全法》作为我国网络安全的基本法,设置了最基本的网络安全制度框架,包括关键信息基础设施保护制度、网络安全等级保护制度、个人信息保护制度、网络信息内容管理制度、网络产品和服务管理制度、网络安全事件应急响应制度等。这些制度设计相对比较原则和简单,需要出台一系列的配套规定予以支撑和落实。围绕《网络安全法》的基本框架,2020年,国家网信办、工信部、公安部、市场监管总局、中国人民银行以及国家标准化管理委员会等部门相继发布了《网络安全法》的相关配套规定和标准。

一、《网络信息内容生态治理规定》正式施行

国家互联网信息办公室发布的《网络信息内容生态治理规定》(以下称:《治理规定》),自2020年3月1日起正式施行。《治理规定》集中体现了党的十九届四中全会《决定》中提出的“建立健全网络综合治理体系,加强和创新互联网内容建设,落实互联网企业信息管理主体责任,全面提高网络治理能力,营造清朗的网络空间。加强网络生态治理,培育积极健康、向上向善的网络文化,有利于建立健全网络综合治理体系”的精神,以网络信息内容为主要治理对象,以营造文明健康的良好生态为目标,突出了“政府、企业、社会、网民”等多元主体参与网络生态治理的主观能动性,重点规范网络信息内容生产者,网络信息内容服务平台,网络信息内容服务使用者以及网络行业组织在网络生态治理中的权利与义务,这是我国网络信息内容生态治理法治领域的一项里程碑事件,而且以“网络信息内容生态”作为网络空间治理立法的目标,这在全球也属首创。

 《治理规定》将“网络信息内容生态治理”定义为,指政府、企业、社会、网民等主体,以培育和践行社会主义核心价值观为根本,以网络信息内容为主要治理对象,以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,开展的弘扬正能量、处置违法和不良信息等相关活动。

《治理规定》要求网络信息内容生产者应当采取措施,防范和抵制制作、复制、发布含有下列八类内容的不良信息:

1. 使用夸张标题,内容与标题严重不符的信息内容。“标题党“是互联网上利用各种颇具创意的标题吸引网友眼球,以达到各种目的,其主要行为简而言之即发帖的标题严重夸张,帖子内容通常与标题完全无关或联系不大,诸如震惊、惊爆、重磅、罕见、深度好文、轰动全国、绝密偷拍的字眼。笔者在网上搜索了类似“震惊13亿中国人”、“感动了中国13亿人”、“重磅”、“深度好文”等标题,其内容与标题完全不符,多数以夸张的、曲解的、煽情的甚至无中生有的方式误导网民。

2. 炒作绯闻、丑闻、劣迹等信息内容。当前,娱乐界炒作绯闻、丑闻以及劣迹比比皆是,以明星绯闻八卦为噱头,特别是通过明星和狗仔队的配合来制造绯闻、丑闻、劣迹的热度,这些低俗文化和行为愚弄了大众、污染了网络、触碰了法律,必须依法治理。

3. 不当评述自然灾害、重大事故等灾难的信息内容。我国地域广、人口密集,自然灾害种类多,重大安全事故时有发生。笔者注意到,每当自然灾害和重大安全事故等灾难发生时,总有一些没有事实依据的评述,不仅混淆了是非,而且给社会带来极大的负面影响,必须坚决予以抵制。

4. 带有性暗示、性挑逗等易使人产生性联想的信息内容。为了吸引流量,一些网络平台,以文字、语音、图片、视频等方式进行带有“性挑逗”、“性暗示”的不良行为,比如所谓的“文爱”、“磕炮”等,这些信息内容均带有性暗示或性挑逗的潜淫秽内容,极容易使人产生性联想。

我国《刑法》对淫秽物品的定义是,具体描绘性行为或者露骨宣扬色情的诲淫性的书刊、影片、录像、图片等,但是将有关人体生理、医学知识的科学著作和包含有色情内容的有艺术价值的文学、艺术作品排除在淫秽物品范围之外。

5. 展现血腥、惊悚、残忍等致人身心不适的信息内容。一些网络内容制作者为了骗取用户的点力量,发布和展示血腥、惊悚、残忍的图片和视频,如有的网站发布大量令人不适的惊悚、血腥、虐杀动物、畸形胎儿的图片,同时还兼有“标题党”嫌疑,致人身心感到极大地不适,尤其是对未成年的心理损害极其严重。

6. 煽动人群歧视、地域歧视等的信息内容。煽动是指怂恿、鼓动人做坏事的行为,我们经常在网上看到,一些仅凭自己看到的只言片语就在网上传播并发布地域歧视和人群歧视等过激言论。如有一则“医院多次医疗事故不能给公众解释”的网络帖子,煽动当地人群对医生群体的歧视,该发布者因涉嫌寻衅滋事被公安机关行政拘留10日。

7. 宣扬低俗、庸俗、媚俗内容的信息内容。主要是两类信息内容,一是低俗的内容,主要是指低级趣味、庸俗,使人萎靡、颓废的内容;二是媚俗的信息内容,主要是那些迎合于世俗,缺乏自我思想、自我理智,只知随波逐流,芸芸众生等,这些低俗、庸俗、媚俗的信息内容与我国优秀道德文化和时代精神格格不入,必须坚决抵制。

8. 可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等的信息内容。当前,我国未成年人网民数量近1.7亿,智能手机成为未成年人上网的主要工具,未成年人正处于青春躁动期,有很强的求知欲望,他们对网络发布的一些不安全和违反公德的信息内容鉴别力很弱、自控能力较差,很容易在模仿后导致恶性事件的发生,未成年人模仿网络不良行为已经成为威胁青少年网络安全的主要因素。

二、《信息安全技术 个人信息安全规范》正式实施

2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并将于2020年10月1日实施。

本标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度的保护个人的合法权益和社会公众利益。本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

本标准按照GB/T1.1—2009给出的规则起草,代替GB/T35273—2017《信息安全技术 个人信息安全规范》。相比GB/T35273—2017,此标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外,还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求。新标准的主要变化如下:

1. 删除了原有的“不得收集法律法规明令禁止收集的个人信息”的要求(见5.1);

2. 选择同意原则下,新增要求“多项业务功能的自主选择”(见5.3);

当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”。

3. 新增关于收集人生物识别信息的要求,《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。

对于生物识别信息的存储,《规范》也提出了具体的解决措施。1)个人生物识别信息要与个人身份信息分开存储;2)原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

4. 在目的明确原则下,新增要求“如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过隐私政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除隐私政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响”。

5. 在选择同意原则下,强调了“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为个人信息主体要求签订的合同”。

6. 确保安全原则下,新增多项要求:一是将个人生物识别信息的原始信息和摘要分开存储的技术要求(见5.4);二是在信息系统自动决策机制的使用中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核;三是明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况等;四是要求组织记录的内容包括:所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);五是根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况。

7. 在最少够用的原则下,新增多项要求:1)要求了用户个人画像的特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”;业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益,不能危害国家安全、荣誉和利益;2)除为达到主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人;3)在向主体推送新闻信息服务的过程中使用个性化展示时应:显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样,为主体提供简单直观的退出或关闭个性化展示模式的选项;4)电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;5)在向主体提供业务功能的过程中,如使用个性化展示时,建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力;6)当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

8. 在公开透明原则的原则下,新增要求应向主体提供查询方法,能让主体知晓持有的个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三方身份或类型;宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。

9. 新增的其他要求包括:应承担第三方接入管理;收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意等。

三、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》公开征求意见

为落实《网络安全法》相关要求,围绕中央网信办、工信部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定方法》,基于App专项治理工作组发布的《App违法违规收集使用个人信息自评估指南》,全国信息安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(以下简称《实践指南》),并于2020年7月22日公开征求意见。《实践指南》归纳总结了App收集使用个人信息的六项评估点,供App运营者自评估参考使用,小程序、快应用等运营者也可参考其中的适用条款进行自评估。

评估点一:是否公开收集使用个人信息的规则。重点落实《网络安全法》第41条规定,网络运营者收集、使用个人信息, 应当公开收集、使用规则。《消费者权益保护法》第29条规定,经营者收集、使用消费者 个人信息,“应当公开其收集、使用规则”;

评估点二:是否明示收集使用个人信息的目的、方式和范围。重点落实《网络安全法》第41条规定,网络运营者收集、使用个人信息, 应当公开收集、使用规则。《消费者权益保护法》第29条规定,经营者收集、使用消费者个人信息,“应当公开其收集、使用规则”;

评估点三:收集使用个人信息是否征得用户同意。重点落实《网络安全法》第41条规定网络运营者收集、使用个人信息, 应“经被收集者同意”且“不得违反法律、行政法规的规定和双方的约 定收集、使用个人信息”。《消费者权益保护法》第29条规定经营者收集、使用消费者个 人信息,应“经消费者同意”且“不得违反法律、法规的规定和双方的 约定收集、使用信息”,“经营者未经消费者同意或者请求,或者消 费者明确表示拒绝的,不得向其发送商业性信息;

评估点四:是否遵循必要原则,仅收集与其提供的服务直接相关的个人信息,比如是否收集与业务功能无关的个人信息,包括不应收集与业务功能无关的个人信息以及不应申请打开与业务功能无关的可收集个人信息的权限等;

评估点五:是否未经同意向他人提供个人信息,比如向他人提供个人信息前是否征得用户同意,App是否存在从客户端直接向第三方发送个人信息的情形,包括通过App客户端嵌入第三方代码、插件(如SDK)等方式,应事先征得用户同意,经匿名化处理的除外等;

评估点六:是否按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息 比如是否提供有效的注销用户账号功能,是否提供有效的更正或删除个人信息,是否建立并公布个人信息安全投诉、举报渠道等。

四、全国信安标委发布《信息安全技术 个人信息告知同意指南(征求意见稿)》

2020年1月,全国信息安全标准化技术委员会发布《关于国家标准<信息安全技术 个人信息告知同意指南>征求意见稿征求意见的通知》,就个人信息告知同意国家标准(以下称《告知同意指南》)征求意见。该征求意见稿包括告知同意的适用情形、免于告知同意的情形、告知同意的基本原则、告知、同意等部分,并在附录中详细列举了未成年人、SDK(软件开发工具包)、个性化推荐,以及互联网金融、网上购物等场景下的具体情形。

关于“告知”的基本原则包括公开透明、逐一传达、同步实时、真实准确、具体明确、清晰易懂;根据不同的场景,告知方式可以采用弹窗、文字说明、短信、邮件、电话等。征求意见稿要求,当告知的时间点和收集个人信息的时间点相差很大时,建议个人信息控制者在进一步收集个人信息之前再次告知。《指南》要求,个人信息控制者应当避免告知的频率过高,对个人信息主体造成不必要的打扰。

五、国家网信办等十二部门发布《网络安全审查办法》

2020年4月13日,国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》(以下简称《办法》),该办法自2020年6月1日起实施。《办法》明确指出,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。根据《办法》第九条的规定,网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:一是产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;三是产品和服务供应中断对关键信息基础设施业务连续性的危害;四是产品和服务提供者遵守中国法律、行政法规、部门规章情况;五是其他可能危害关键信息基础设施安全和国家安全的因素。

《办法》进一步明确了审查内容,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。

六、中国人民银行发布《个人金融信息保护技术规范》

2020年2月13日,中国人民银行正式发布了《个人金融信息保护技术规范》(JR/T 0171—2020)金融行业标准。《个人金融信息保护技术规范》(以下简称:《规范》)由全国金融标准化技术委员会归口管理,由中国人民科技司提出并负责起草。

个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。

《规范》的发布和实施,有助于规范金融业机构个人金融信息保护工作,提升金融数据风险防控能力,促进我国金融市场的健康发展;有助于提高金融机构个人账户信息、银行卡信息安全管理水平,加大互联网交易风险防控力度,防范各类金融交易风险,切实维护金融稳定,保护金融消费者合法权益。虽然《规范》在性质上属于推荐性标准,但作为第一部专门针对个人金融信息的行业标准,为金融业机构建设个人金融信息保护架构提供了体系化与专业化的参考标准,同时也会成为未来金融领域数据隐私保护立法和执法的重要参考。

七、中国人民银行发布新版《网上银行系统信息安全通用规范》

2020年2月5日,新修订的金融行业标准《网上银行系统信息安全通用规范》(JR/T 0068—2020)由中国人民银行正式发布。标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统,其他金融机构提供网上金融服务的业务系统宜参照本标准执行。

本次标准修订,立足于移动互联和云计算等新技术在网上银行系统不断深入应用、手机银行使用愈加广泛的背景,旨在应对网上银行系统信息安全出现的新形势和新特点,防范新风险。本标准的发布实施,将有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。标准既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据,也可作为行业主管部门、专业检测机构进行检查、检测的依据。

八、《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》公开征求意见

2020年3月30日,全国信息安全标准化技术委员会发布关于《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》公开征求意见的通知。《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》(以下简称《防范指引》)给出了当前App个人信息保护合规的常见问题和防范策略,共包含十个常见问题,每个问题下面包含若干情形和若干条防范策略。其中包含超范围收集、申请权限目的不明、强制捆绑授权等等。

《防范指引》给出App超范围收集个人信息的问题情形,包括但不限于:

情形一:收集无关信息。收集的个人信息类型或申请的系统权限与 App 提供的业务功能无关。例如未提供短信相关功能的 App 申请短信权限。

情形二:强制收集非必要信息。因用户不同意收集非必要个人信息或打开非必要权限,App 拒绝提供业务功能。必要个人信息是指保障App业务功能正常运行所最少够用的个人信息,包括一旦缺少将导致 App 服务无法实现或无法正常运行的个人信息,以及法律法规要求必须收集的个人信息。例如浏览器 App 强制索要位置权限收集个人位置信息,用户拒绝提供位置权限则无法使用App任何功能。

情形三:收集频率不合理。收集个人信息的频率超出 App 业务功能实际需要。例如酒店预订App每1秒上传一次用户精确定位信息。

该问题的防范策略,包括但不限于:

1.不收集与App所提供服务无关的个人信息,不申请与App所提供服务无关的系统权限(即使用户可选择拒绝)。

2.遵循最小必要原则,仅收集/申请与 App 业务功能有直接关联的个人信息类型/系统权限。

3.App收集个人信息前向用户明示收集信息的目的、方式和范围,并征得用户同意,告知同意方式应符合相关法律法规、政策和标准的要求。

4.收集个人信息的频率应在 App 实现业务功能所必需的合理范围内。

5.App尽量避免收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等),用于保障网络安全和运营安全的除外。

6.App收集疫情联防联控所必需的个人信息坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群。

7.针对一些没有高风险的区域、场所或不涉及高风险人群,疫情防控App宜尽可能缩小身份登记的个人信息填写范围,达到可追溯的目的即可。例如,收集个人信息可参考“前台匿名,后台实名”等方式,用户可提供手机号,无需填写身份证号或上传身份证图片。

九、公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

2020年9月,公安部网络安全保卫局发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下称:《指导意见》),《指导意见》确立了三项基本原则和四大工作目标:

(一)三项基本原则

1. 坚持分等级保护、突出重点。根据网络(包含网络设施、信息系统、数据资源等)在国家安全、经济建设、社会生活中的重要程度,以及其遭到破坏后的危害程度等因素,科学确定网络的安全保护等级,实施分等级保护、分等级监管,重点保障关键信息基础设施和第三级(含第三级、下同)以上网络的安全。

2. 坚持积极防御、综合防护。按照法律法规和有关国家标准规范,充分利用人工智能、大数据分析等技术,积极落实网络安全管理和技术防范措施,强化网络安全监测、态势感知、通报预警和应急处置等重点工作,综合采取网络安全保护、保卫、保障措施,防范和遏制重大网络安全风险、事件发生,保护云计算、物联网、新型互联网、大数据、智能制造等新技术应用和新业态安全。

3. 坚持依法保护、形成合力。依据《网络安全法》等法律法规规定,公安机关依法履行网络安全保卫和监督管理职责,网络安全行业主管部门(含监管部门,下同)依法履行网络安全主管、监管责任,强化和落实网络运营者主体防护责任,充分发挥和调动社会各方力量,协调配合、群策群力,形成网络安全保护工作合力。

(二)四大工作目标

1. 网络安全等级保护制度深入贯彻实施。网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作深入推进。网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实,网络安全保护良好生态基本建立,国家网络安全综合防护能力和水平显著提升。

2. 关键信息基础设施安全保护制度建立实施。关键信息基础设施底数清晰,安全保护机构健全、职责明确、保障有力。在贯彻落实网络安全等级保护制度的基础上,关键信息基础设施涉及的关键岗位人员管理、供应链安全、数据安全、应急处置等重点安全保护措施得到有效落实,关键信息基础设施安全防护能力明显增强。

3. 网络安全监测预警和应急处置能力显著提升。跨行业、跨部门、跨地区的立体化网络安全监测体系和网络安全保护平台基本建成,网络安全态势感知、通报预警和事件发现处置能力明显提高。网络安全预案科学齐备,应急处置机制完善,应急演练常态化开展,网络安全重大事件得到有效防范、遏制和处置。

4. 网络安全综合防控体系基本形成。网络安全保护工作机制健全完善,党委统筹领导、各部门分工负责、社会力量多方参与的网络安全工作格局进一步完善。网络安全责任制得到有效落实,网络安全管理防范、监督指导和侦查打击等能力显著提升,“打防管控”一体化的网络安全综合防控体系基本形成。

《指导意见》要求,各单位、各部门应加强关键信息基础设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设,建立并实施关键信息基础设施安全保护制度,在落实网络安全等级保护制度基础上,突出保护重点,强化保护措施,切实维护关键信息基础设施安全。

十、全国信安标委发布《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》

2020年8月,全国信息安全标准化技术委员会发布《信息安全技术 关键信息基础设施边界确定方法》(征求意见稿)。本文件给出了一种基于信息流的关键信息基础设施边界确定方法,为关键信息基础设施运营者开展关键信息基础设施边界识别工作提供参考。

《关键信息基础设施边界确定方法》对关键信息基础设施边界的相关术语和定义做出了定义:

1.关键业务(critical business)

电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。

2.网络设施(network facilities)

连接通信信息网络(例如,互联网、物联网、工控网、专用网等)以及在上述网络中对信息进行设计、采集、整合、处理、呈现、应用、存储、销毁等操作的物理设备。

3.信息系统(information system)

由计算机软硬件、网络及其相关配套设备、信息资源等组成的,按照一定规则对信息进行设计、采集、整合、处理、呈现、应用、存储、销毁等操作的人机系统。(来源:GB/T 20986—2007,2.1,有修改)

4.关键信息基础设施(critical information infrastructure)

支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上,可以是单个网络设施、信息系统,也可以是由多个网络设施、信息系统组成的集合。在本质上,属于关键业务的信息化部分,为关键业务提供信息化支撑。

5.关键信息基础设施元素(critical information infrastructure element)

对构成关键信息基础设施的网络设施、信息系统的统称,是关键信息基础设施边界识别的最小单元。

6.关键业务信息(critical business information)

关键业务持续、稳定运行不可或缺的信息,是关键信息基础设施元素对关键业务提供信息化支撑的桥梁和纽带。关键信息基础设施元素通过对关键业务信息进行设计、采集、整合、处理、呈现、应用、存储、销毁等操作,支撑关键业务自动化、智能化、高效运行。

7.关键业务信息流(critical business information flow)

关键业务信息从产生到终止,在整个生存周期内的流动轨迹,处于该流动轨迹上的网络设施、信息系统是关键信息基础设施候选元素,经关键性评估,一旦遭到攻击、丧失功能或者数据泄露会严重危害关键业务持续、稳定运行的网络设施、信息系统列为关键信息基础设施元素。

8.关键信息基础设施边界(critical information infrastructure boundary)

以关键业务为基础,由识别方法和关键信息基础设施元素构成,反映关键信息基础设施元素与关键业务之间的支撑、依赖关系以及关键信息基础设施元素的分布、部署情况,是开展保护、审查、应急处置等工作的重要依据。

《关键信息基础设施边界确定方法》确立了关键信息基础设施边界识别的四项基本原则:

一是业务安全原则:CII的重要性不是指组成CII的网络设施、信息系统很重要,而是因为CII所支撑的关键业务非常重要。CII一旦遭到攻击、丧失功能或者数据泄露会严重危害关键业务正常运行,进而危害国家安全、经济安全、社会稳定、公众健康和安全。因此,CII边界识别应以保障关键业务安全为基本原则,将关键业务持续、稳定运行不可或缺的网络设施、信息系统识别出来,明确CII元素、确定CII边界。

注:例如,2G移动通信网络曾是国家重点保护目标,时至今日,支撑2G移动通信业务的网络设施、信息系统已失去了重点保护的意义,因为2G移动通信业务已被3G、4G通信业务所取代。

二是整体性原则:随着经济社会的不断发展,业务规模越来越大,不同业务模块、子业务之间相互依赖、彼此支撑,CII边界识别应注重关键业务的整体性,确保关键业务的完整性,避免遗漏。此外,跨行业、跨领域已是普遍现象,涉及多个运营者的,应加强信息共享和联动协调,确保CII边界识别是从保障整个关键业务安全的角度开展。

注:例如,导航业务涉及到卫星、通信链路和直接向用户提供导航服务的三个部分,且每部分由不同的运营者负责经营。每个运营者在开展CII边界识别时,首先应确保自身经营业务的完整,还应注重整体协调,从保障整个导航业务持续、稳定的角度考虑。

三是重要性原则:在CII运营者所有网络设施、信息系统中,有些网络设施、信息系统对关键业务的持续、稳定运行是至关重要的,有些网络设施、信息系统仅仅是比较重要的,甚至有一些网络设施、信息系统对关键业务是无关紧要的,因此,开展CII边界识别应聚焦一旦遭到破坏、丧失功能或者发生数据泄露,会严重危害关键业务持续、稳定运行的网络设施、信息系统,严格控制范围。

四是动态识别原则:CII与关键业务之间的支撑、依赖关系是动态的,而非静态的。CII边界识别应采用动态工作方式,及时更新CII边界信息。

当CII运营者的组织结构、业务架构、从属关系等发生重大调整时,应及时实施边界识别工作,确保CII边界及时调整。

十一、全国信安标委发布《信息安全技术 网络数据处理安全规范(征求意见稿)》

2020年8月,全国信息安全标准化技术委员会秘书处发布《信息安全技术 网络数据处理安全规范》(征求意见稿),《网络数据处理安全规范》规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求。

本规范适用于网络运营者规范数据处理活动,提高数据安全管理和个人信息保护水平,也适用于主管监管部门对网络运营者数据处理活动进行监督管理,同时还可为第三方评估机构开展相关评估工作提供指导。

《网络数据处理安全规范》对与网络数据处理有关的术语和定义做出了规定:

1. 数据(data):本文件所称数据是指网络数据,即通过网络处理和产生的各种电子数据,如个人信息、重要数据等。

2. 网络运营者(network operator):网络的所有者、管理者和网络服务提供者。

3. 个人信息(personal information):以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。

注:个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

4. 个人敏感信息(personal sensitive information):一旦泄露、非法提供或者滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或者歧视性待遇等的个人信息。

注:个人敏感信息包括自然人的身份证件号码、生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪信息、住址、健康信息、交易信息、14 岁以下(含)儿童的个人信息等。

5. 个人信息主体(personal data subject):个人信息能够识别或者关联到的自然人。

6. 重要数据(key data):一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据,包括未公开的政府信息,数量达到一定规模的基因、地理、矿产信息等,原则上不包括个人信息、企业内部经营管理信息等。

7. 数据提供方(data provider):数据处理活动中提供数据的组织或者个人。

8. 数据接收方(data receiver):数据处理活动中接收数据的组织或者个人。

9. 第三方应用(third party application):由第三方提供的产品或者服务,以及被接入或者嵌入网络运营者产品或者服务的自动化工具,包括但不限于软件开发工具包(SDK等)、第三方代码、组件、脚本、接口、算法模型、小程序等。

10.匿名化(anonymization):是指对个人信息进行加工,使之无法识别特定个人且不能复原。

《网络数据处理安全规范》对数据处理提出了四项要求:

一是数据识别:网络运营者应识别数据处理活动中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保;

二是分级分类:网络运营者应按照法律法规、国家标准有关要求,根据业务运营需要,对所掌握的数据进行分级分类管理;采取加密、脱敏、访问控制等措施,对重要数据和个人信息进行重点保护;

三是风险防控:网络运营者开展数据处理活动,应按照有关法律法规的规定履行数据安全保护义务,采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等。建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,及时处置安全事件,组织开展教育培训;

四是审计追溯:网络运营者应对数据处理活动的全生命周期进行记录,确保数据处理活动可审计、可追溯。

十二、中国人民银行印发《金融数据安全数据安全分级指南》

2020年9月,中国人民银行正式印发《金融数据安全数据安全分级指南》(JR/T0197—2020)(下称《指南》),根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别由高到低划分为五级。

《指南》列出的影响对象包括国家安全、公众权益、个人隐私、企业合法权益等;影响程度从高到低划分为非常严重、严重、中等和轻微;附录中给出了金融行业典型数据类型及建议划分的最低安全级别。值得注意的是,《指南》特别强调金融业机构应高度重视个人金融信息相关数据,在数据安全定级过程中从高考虑。其中,个人金融信息中的C3类信息(主要为用户鉴别信息,如各类账户密码)属于4级数据;C2类信息(主要包括支付账号、动态口令等)为3级数据;C1类信息(主要包括账户开立时间、开立机构等)为2级数据。

金融数据安全分级的大背景是金融数据作为生产要素的价值日益凸显。近年来,随着金融科技和数字经济的发展,金融数据体现出巨大的应用和商业价值。与此同时,数据安全尤其个人隐私保护成为公众关注的焦点。

十三、工信部组织开展2020年网络安全技术应用试点示范工作

2020年7月,工业和信息化部办公厅发布《关于开展2020年网络安全技术应用试点示范工作的通知》(以下称:《通知》),《通知》了三大重点方向:

(一)新型信息基础设施安全类

1. 5G网络安全。重点结合增强移动带宽、低时延高可靠、海量大连接三大场景安全需求,针对网络功能虚拟化、网络切片、边缘计算等带来的网络安全需求,在威胁监测、风险识别、安全防御、安全检测、安全恢复、安全模型认证等方面的安全解决方案。

2. 工业互联网安全。围绕装备、电子信息、原材料、消费品、石化、能源等重点生产制造领域,结合工业互联网智能化生产、网络化协同、个性化定制、服务化延伸等典型应用场景网络安全需求,在网络、平台、工控设备、工业APP、工业数据等方面的安全解决方案。

3. 车联网安全。结合先进驾驶辅助、自动驾驶、车路协同、智慧交通等典型场景,针对智能驾驶系统、车联网平台、无线通信、复杂环境感知、车用高精度时空服务等网络安全需求,在安全认证、安全防护、数据保护、威胁监测、测试验证等方面的安全解决方案。

4. 智慧城市安全。面向智慧政务、智能生活、智能医疗、在线教育、远程办公、智慧环保等典型应用场景网络安全需求,在新型智慧城市设施、建设、运行、服务、管理等方面的安全解决方案。

5. 大数据安全。面向大数据中心、智能计算中心、云计算平台等先进算力设施的网络安全解决方案,以及结合海量网络数据汇聚存储、流动共享等安全需求,在数据资产识别、分类分级防护、数据加密、数据脱敏、泄露追溯等方面的解决方案。

6. 物联网安全。结合智慧家庭、智能抄表、零售服务、智能安防、智慧物流、智慧农业等典型场景网络安全需求,在物联网卡、物联网芯片、联网终端、网关、平台和应用等方面的基础管理、可信接入、威胁监测、态势感知等安全解决方案。

7. 人工智能安全。结合智能机器人、智能语音交互、视频图像身份识别、影像辅助诊断、无人机等典型应用场景网络安全需求,在人工智能数据、算法、平台、应用服务等方面的安全解决方案,以及运用人工智能技术的高级威胁预警、网络资产管理、网络行为溯源分析等安全解决方案。

8. 区块链安全。结合供应链管理、电子交易、数字版权、保险、社会救助等区块链技术典型应用场景网络安全需求,在身份验证、安全存储、存证取证、数据共享流通等方面的安全解决方案,以及区块链基础设施、区块链平台、区块链服务等方面的安全监测、防护、测试验证解决方案。

9. 商用密码应用。针对商用密码在5G、工业互联网、车联网领域业务应用场景,在密码算法、密码设备、检测认证服务等方面的解决方案,以及应用商用密码的网络身份认证、设备安全接入认证等解决方案。

10. 电信网络诈骗防范治理。围绕电信网络诈骗技术防范、管理创新、联防联控等安全需求,在涉诈风险实时预警处置、诈骗行为精准分析、远程智能群呼设备监测定位取证、电信网络诈骗协同分析治理等方面的解决方案。

(二)网络安全公共服务类 

1. 安全防护。基于云模式提供安全检测、风险评估、流量清洗、域名安全等技术服务的公共服务平台。

2. 安全运营。面向智能制造、智能家居、智慧医疗、智慧交通等重点领域提供网络安全运营服务的公共服务平台。

3. 威胁情报。提供网络安全威胁在线查询、漏洞验证、关联分析、开放共享等信息服务的公共服务平台。

4. 安全培训。提供安全课堂、在线测试、培训认证、攻防模拟等培训服务的公共服务平台。

(三)网络安全“高精尖”技术创新平台类

面向新型信息基础设施安全类、网络安全公共服务类重点方向,以及拟态防御、可信计算、零信任、安全智能编排等前沿性、创新性、先导性的重大网络安全技术理念,汇聚产学研用等创新资源,具备核心技术攻关、产业化应用推广等关键环节协同创新环境和载体的网络安全技术创新或试点示范区。

十四、工信部发布《电信和互联网行业数据安全标准体系建设指南》

为发挥标准对电信和互联网行业数据安全的规范和保障作用,进一步加快制造强国和网络强国建设的步伐,工信部印发《电信和互联网行业数据安全标准体系建设指南》。

2020年8月,工信部公开征求对《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》的意见。征求意见稿表示,在基础共性标准、关键技术标准、安全管理标准的基础上,结合新一代信息通信技术发展情况,重点在5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,并结合行业发展情况,逐步覆盖其他重要领域。结合重点领域自身发展情况和数据安全保护需求,制定相关数据安全标准。

当前,我国电信和互联网行业高速发展,汇聚大量数据,在释放数字经济发展潜力、促进数字经济加快成长的同时,面临严峻的安全风险。“安全发展、标准先行”,标准化工作是保障数据安全的重要基础。

由工业和信息化部组织制定的《电信和互联网行业数据安全标准体系建设指南》,是为了深入落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,以保障电信和互联网行业数据安全为主线,着力增加标准有效供给,不断完善技术标准体系,持续推动标准的制定、实施和国际化,支撑和引领数字经济高质量发展。

《电信和互联网行业数据安全标准体系建设指南》提出,到2021年,研制数据安全行业标准20项以上,初步建立电信和互联网行业数据安全标准体系,有效落实数据安全管理要求,基本满足行业数据安全保护需要,推动标准在重点领域中的应用。到2023年,研制数据安全行业标准50项以上,健全完善电信和互联网行业数据安全标准体系,标准的技术水平、应用效果和国际化程度显著提高,有力支撑行业数据安全保护能力提升。

十五、国家网信办发布《常见类型移动互联网应用程序(App)必要个人信息范围》公开征求意见

2020年12月,国家互联网信息办公室发布通知,就《常见类型移动互联网应用程序(App)必要个人信息范围》(下称《App必要个人信息范围》)公开征求意见。《App必要个人信息范围》规定了地图导航、网络约车、即时通信、网络支付、网上购物、交通票务、婚恋相亲、问诊挂号、旅游服务、网络游戏、学习教育、用车服务、网络直播等38类常见类型App必要个人信息范围。

《App必要个人信息范围》明确,“必要个人信息“是指保障App基本功能正常运行所必须的个人信息,缺少该信息App无法提供基本功能服务,即无须个人信息,即可使用基本功能服务。规定指出,只要用户同意收集必要个人信息,App不得拒绝用户安装使用。

作者简介:王春晖,我国知名信息通信战略与法律专家,任浙江大学教授、博导,南京邮电大学数字经济战略与法治研究中心主任,担任联合国国际贸易法律委员会中国观察员专家团成员、联合国世界丝路论坛数字经济研究院院长、西部数字经济研究院首席专家,兼任工业和信息化部信息通信经济专家委员会委员、中国通信学会网络空间安全战略与法律委员会副主任委员、中国互联网协会应用创新工作委员会副主任委员、中国法学会网络与信息法学研究会常务理事、上海市法学会互联网司法研究会副会长、江苏省法学会大数据与人工智能法学研究会副会长、中国网络空间安全协会理事、联合国国际电联《国际电信规则》中国工作组专家、《中华人民共和国电信法》起草专家组成员、广东省和江苏省通信管理局首席法律顾问、第七届亚太地区隐私保护学者联盟主席、“中国数字经济安全与发展50人论坛”执行主席等。