本期关注
❖ 境外关注
美国总统拜登签署《芯片与科学法》,通过巨额补贴扶持本国半导体产业发展,歧视性对待部分外国企业。美国商务部宣布对ECAD软件实施出口管制。因内容存在诸多争议,印度政府从议会撤回其2019年提出的《个人数据保护法案》,拟制定新的法案草案。
美国白宫发布《关于实施2022年芯片与科学法的行政令》,要求设立跨机构的“芯片实施指导委员会”,明确六大优先事项。英国《电子通信(安全措施)条例》草案正式提交议会,根据服务规模和对国家安全的重要程度,将公共电信服务提供商分为三级,实施不同层级的监管。
❖ 境内关注
银保监会将开展银行保险机构侵害个人信息权益乱象专项整治工作,要求银行保险机构全面摸排2021年以来与消费者个人信息处理活动相关的经营行为和管理情况,深入查找本机构个人信息保护方面存在的问题。江苏省启动信息通信行业“铸盾2022”网络和数据安全检查专项行动,将对304家企业的6.7万个联网资产的漏洞风险进行集中检测。国家互联网信息办公室发布公告,披露30项经过备案的互联网信息服务算法信息。
国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出说明。国家卫健委等三部门发布《医疗卫生机构网络安全管理办法》、交通运输部发布《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》,细化本行业领域网络与数据安全要求。
境外动态
1. 美国总统拜登签署《芯片与科学法》
https://science.house.gov/imo/media/doc/the_chips_and_science_act.pdf
2. 美国商务部宣布对ECAD软件实施出口管制
https://www.federalregister.gov/documents/2022/08/15/2022-17125/implementation-of-certain-2021-wassenaar-arrangement-decisions-on-four-section-1758-technologies
3. 英国发布《国家海事安全战略》,提升网络威胁应对能力
https://www.gov.uk/government/publications/national-maritime-security-strategy
4. 日本发布修订后的《2022年ICT网络安全措施》
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00142.html
5. 印度政府从议会撤回《个人数据保护法案》
http://loksabhaph.nic.in/Business/ListofBusiness.aspx
6. 越南通过《网络安全战略》
https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Quyet-dinh-964-QD-TTg-2022-phe-duyet-Chien-luoc-An-toan-An-ninh-mang-quoc-gia-den-2025-525540.aspx
7. 日本和泰国签署信息通信技术合作备忘录
https://www.soumu.go.jp/menu_news/s-news/01tsushin09_02000133.html
8. 美澳联合发布警报,披露2021年威胁行为者最常使用的恶意软件
https://www.cisa.gov/uscert/ncas/alerts/aa22-216a
9. 美国FTC就制定商业监控和数据安全规则征求公众意见
https://www.ftc.gov/legal-library/browse/federal-register-notices/commercial-surveillance-data-security-rulemaking
10. 美国NIST发布《企业网络环境安全指南》草案
https://csrc.nist.gov/publications/detail/sp/800-215/draft
11. 美国参议院引入《停止健康数据商业使用法案》
https://www.congress.gov/bill/117th-congress/senate-bill/4738?q=%7B%22search%22%3A%5B%224738%22%2C%224738%22%5D%7D&s=1&r=2
1. 美墨网络问题工作组发布联合声明:加强在信息共享、事件响应、执法和调查等方面的合作
https://www.state.gov/joint-statement-on-u-s-mexico-working-group-on-cyber-issues/
2. 美国财政部与以色列签署网络安全合作谅解备忘录:保障金融领域关键基础设施
https://home.treasury.gov/news/press-releases/jy0929
3. 美国白宫发布《关于实施2022年芯片与科学法的行政令》
https://www.whitehouse.gov/briefing-room/presidential-actions/2022/08/25/executive-order-on-the-implementation-of-the-chips-act-of-2022/
4. 美国CISA发布《关键基础设施向后量子密码迁移的新见解》
https://www.cisa.gov/sites/default/files/publications/cisa_insight_post_quantum_cryptography_508.pdf
5. 越南颁布法令,详细说明《网络安全法》有关数据本地化、犯罪数据收集要求
https://www.connectontech.com/vietnam-issuance-of-decree-implementing-the-cybersecurity-law/
6. 苏格兰拟通过世界首个将生物特征数据用于警务和刑事司法的实践守则
https://www.holyrood.com/news/view,scotland-world-first-biometric-data-code-of-practice-in-prisons
7. 美国空军发布首份《首席信息官临时性公共战略》
https://www.fedscoop.com/air-force-cio-releases-it-strategy-to-run-through-fiscal-2028/
8. 美国NIST就《人工智能风险管理框架(第二稿)》征求意见
https://www.nist.gov/system/files/documents/2022/08/18/AI_RMF_2nd_draft.pdf
9. 美国加州参议院通过《加州适龄设计规范法案》,加强儿童在线保护
https://openstates.org/ca/bills/20212022/AB2273/
10. 英国《电子通信(安全措施)条例》草案提交议会:将电信提供商分为三级
https://www.gov.uk/government/news/tough-new-rules-confirmed-to-protect-uk-telecoms-networks-against-cyber-attacks
11. 新西兰就个人信息收集通知条款的修订进行公众咨询
https://www.justice.govt.nz/justice-sector-policy/key-initiatives/broadening-the-privacy-acts-notification-rules/
12. 土耳其数据保护当局发布《遗传数据处理注意事项指南(草案)》
https://kvkk.gov.tr/Icerik/7428/-Genetik-Verilerin-Islenmesinde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Rehber-Taslagi-Hakkinda-Kamuoyu-Duyurusu
13. 香港私隐专员公署发布《资讯及通讯科技保安措施指引》
https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20220830.html
境内动态
1. 国家互联网信息办公室发布《关于互联网信息服务算法备案信息的公告》
8月12日,国家互联网信息办公室发布《关于互联网信息服务算法备案信息的公告》。
此次共发布30项经过备案的互联网信息服务算法信息,包括个性化推送类、检索过滤类、排序精选类、调度决策类、生成合成类五类算法类别,涉及新闻类、视频类、招聘类、浏览器、办公软件等应用产品。
《互联网信息服务算法推荐管理规定》要求,具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报信息,履行备案手续。2022年3月1日起,互联网信息服务算法备案系统正式上线运行。
来源:中国网信网
2. 交通运输部发布《自动驾驶汽车运输安全服务指南(试行)》(征求意见稿)
8月8日,交通运输部发布《自动驾驶汽车运输安全服务指南(试行)》(征求意见稿)。征求意见稿明确自动驾驶汽车运输管理应当坚持安全第一、守正创新、包容审慎、稳妥有序的原则。
安全保障方面,征求意见稿要求,从事运输经营的自动驾驶汽车应当具备车辆运行状态记录、存储和传输功能,向运输经营者和属地交通运输主管部门及时传输相关信息。在车辆发生事故或自动驾驶功能失效时,自动记录和存储事发前至少90秒至事发后至少30秒的运行状态信息。运行状态信息至少包括:车辆基本信息、控制模式变化情况、接收的远程控制指令情况、运行状态、人机交互及车内外影像情况等。
来源:交通运输部官网
3. 科技部等六部门印发《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》
8月12日,科技部、教育部等六部门联合印发《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》。
指导意见要求坚持企业主导、创新引领、开放融合、协同治理的基本原则,提出场景创新成为人工智能技术升级、产业增长的新路径,场景创新成果持续涌现,推动新一代人工智能发展上水平的发展目标。
具体来说,指导意见要求加强人工智能场景创新要素供给,集聚人工智能场景数据资源。推动城市和行业的人工智能“数据底座”建设和开放,采用区块链、隐私计算等新技术,在确保数据安全的前提下,为人工智能典型应用场景提供数据开放服务。加强“数据底座”的安全保护,对个人信息、商业秘密、行业重要数据等依法予以保护。
来源:科技部官网
4. 上海市经济信息化委印发《2022年上海市公共数据开放重点工作安排》
8月9日,上海市经济信息化委印发《2022年上海市公共数据开放重点工作安排》,共提出四大类十五项重点任务,涉及优化公共数据开放机制、提升公共数据开放质量、加快开放平台功能迭代、创新公共数据应用场景等内容。
具体来说,工作安排要求制定公共数据开放实施细则,对《上海市公共数据开放暂行办法》有关规定制定细化落实文件,进一步明确公共数据开放工作流程、有关要求和规则规范。重点围绕金融、就医、交通、文旅、贸易等领域提供新的开放数据集和数据产品,支持将尚未开放的公共数据进行脱敏脱密等技术处理后予以开放。针对部分重点试点场景,探索隐私计算的公共数据开放模式。
来源:上海市经济信息化委官网
5. 上海公安网安部门持续开展安全大排查工作
8月6日消息,根据公安部、市局夏季治安打击整治“百日行动”、“净网”、“砺剑”系列专项行动工作部署,上海公安网安部门近期扎实落实本市网络安全大排查工作,重点针对本市企业网站是否合规备案方面开展检查,强化落实本市涉网主体网络安全责任,协助本市涉网主体合法合规健康发展。
今年以来,上海公安网安部门已累计排查涉网主体496家次,行政处罚27家次,其中警告27家次,罚款10家次,停业整顿2家次,责令限期整改4家次,依法督促本市公司落实网络备案12家次。
6. 银保监会开展银行保险机构侵害个人信息权益乱象专项整治
8月9日消息,银保监会办公厅近日下发通知,将开展银行保险机构侵害个人信息权益乱象专项整治工作。
专项整治工作要求银行保险机构全面摸排本机构2021年以来与消费者个人信息处理活动相关的经营行为和管理情况,深入查找本机构个人信息保护方面存在的问题,列出问题清单。
通知要求强化整治问责。对于整治发现的问题,银行保险机构要逐一建档,确保整改到位、问责到位。对违反银行业保险业规章制度的问题,要依规处理;对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。
同时,自查过程中要坚持立查立改。对短期无法整改完成的问题,要建立整改台账,明确整改措施,逐项逐步推进。各银行保险机构要深入剖析本次专项整治发现的问题,查找问题根源。问题原因在下级机构的,要压实分支机构责任,不折不扣完成整改;问题根源在总部的,要及时调整和优化相关工作机制,强化制度约束和责任落实,推进根源性整改。
本次专项整治将分为自查整改阶段、监管抽查阶段、总结汇报三个阶段。以银行保险机构自查为主,监管部门适时开展抽查和督导。确保全面覆盖与消费者个人信息处理相关的业务环节、员工行为和管理流程。
7. 国家网信办集中整治涉虚拟货币炒作乱象
8月9日消息,国家网信办公布涉虚拟货币炒作乱象集中整治情况。今年以来,国家网信办贯彻落实党中央决策部署,高度重视网民举报线索,多举措、出重拳清理处置一批宣传炒作虚拟货币的违法违规信息、账号和网站。
按照《关于进一步防范和处置虚拟货币交易炒作风险的通知》精神,国家网信办督促指导主要网站平台切实落实主体责任,持续保持对虚拟货币交易炒作高压打击态势,加大对诱导虚拟货币投资等信息内容和账号自查自纠力度。微博、百度等网站平台根据用户协议,关闭1.2万个违规用户账号,清理违规信息5.1万余条。
国家网信办加强督导检查,对打着“金融创新”“区块链”的旗号,诱导网民进行“虚拟货币”“虚拟资产”“数字资产”投资的989个微博、贴吧账号和微信公众号依法予以关闭。此外,指导地方网信部门约谈涉虚拟货币宣传炒作的经营主体500余家次,要求全面清理宣传炒作虚拟货币交易的信息内容。对专门为虚拟货币营销鼓吹、发布教程讲解跨境炒币、虚拟货币“挖矿”的105家网站平台,国家网信办会同相关部门依法予以关闭。
来源:中国网信网
8. 江苏开展网络安全行动,排查三类企业数据安全隐患
8月11日,江苏省信息通信行业“铸盾2022”网络和数据安全检查专项行动启动,将利用10天左右时间,对304家企业的6.7万个联网资产,集中检测漏洞风险。
检测对象为4家基础电信企业、省内100家互联网企业、200家工业互联网企业的网络资产。在集中检测结束后,省通信管理局将组织点评、通报问题、督办整改。
监测数据显示,当前境内外网络攻击威胁日益升级,2021年江苏省仅移动互联网恶意程序攻击事件就高达5.3亿起,针对省内工业企业的网络攻击行为近3600万次,涉及企业1107家。
来源:人民网
1. 我国全面推进加入《数字经济伙伴关系协定》谈判
8月22日,商务部新闻发言人表示,中国加入《数字经济伙伴关系协定》(DEPA)工作组已正式成立,这意味着我国全面推进加入DEPA的谈判。
工作组将由DEPA成员政府代表组成,智利担任主席,在工作组框架下与中国开展磋商,推进中国加入进程。中方将在加入工作组框架下,全面做好加入DEPA的准备,与DEPA成员开展实质性谈判,持续推进加入进程。
DEPA由新西兰、新加坡、智利于2019年5月发起、2020年6月签署,是全球首份数字经济区域协定。2021年11月1日,商务部部长王文涛代表中国正式提出加入申请。
来源:中国政府网
2. 中国证监会、财政部与美国监管机构签署审计监管合作协议
8月26日,中国证券监督管理委员会、财政部与美国公众公司会计监督委员会(PCAOB)签署审计监管合作协议,将于近期启动相关合作。
中国证监会有关负责人表示,近年来,我国数据安全法、个人信息保护法等信息安全相关法律法规陆续施行,相关市场主体的信息安全责任更加明确,操作上更加有章可循。企业无论上市与否,都有义务严格遵守本国法律法规。近期中国证监会等部门完善了境外上市相关保密和档案管理规定,对规范审计工作底稿信息安全管理提出明确要求,进一步落实上市公司信息安全的主体责任,同时为上市企业和会计师事务所依法依规保管和处理涉密敏感信息提供了更加细化和可执行的指引,有助于在满足会计审计要求的前提下做好底稿编制工作,并依法保护相关信息安全。合作协议对于审计监管合作中可能涉及敏感信息的处理和使用作出明确约定,针对个人信息等特定数据设置专门的处理程序,为双方履行法定监管职责的同时保护相关信息安全提供可行路径。
来源:中国证监会官网
3. 国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》
8月31日,国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出说明。
数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》规定,按照申报指南申报数据出境安全评估。
来源:中国网信网
4. 交通运输部发布《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》
8月23日,交通运输部发布《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》。征求意见稿共六章四十八条,涉及公路水路关键信息基础设施认定、运营者责任和义务、保障和监督管理等内容。
征求意见稿规定,运营者应当设立首席网络安全官,为每个公路水路关键信息基础设施明确一名安全管理责任人。当专门安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化或必要时,运营者应当根据情况重新进行安全背景审查。
征求意见稿要求,运营者应制定网络安全教育培训制度,定期开展网络安全教育培训和技能考核,首席网络安全官、专门安全管理机构负责人和关键岗位人员等公路水路关键信息基础设施从业人员每人每年教育培训时长不得少于30个学时。
来源:交通运输部官网
5. 银保监会发布《理财公司内部控制管理办法》
8月25日,银保监会发布《理财公司内部控制管理办法》。办法共六章四十六条,涉及内部控制职责、活动、保障与监督等内容。
办法要求,理财产品销售信息和数据交换原则上应当通过银保监会认可的技术平台进行。参与信息和数据交换的相关机构应当符合技术平台相关规范要求,采取切实措施保障信息数据传输和存储的保密性、完整性、准确性、及时性、安全性。
办法要求,理财公司应当按照国家法律法规和银保监会关于信息科技监管的相关规定,加强网络安全和数据安全管理,采取身份鉴权、访问控制、日志审计、数据备份、交易反欺诈等技术措施,有效防范网络入侵、信息泄露、数据篡改、系统不可用等风险,确保各项业务环节数据的保密性、完整性、真实性和抗抵赖性。
办法要求,理财公司应当建立健全投资者信息处理管理制度,依法处理投资者个人信息,严格审批程序,明确处理范围,规范处理行为,保存处理记录,确保信息处理行为可回溯,保护投资者个人信息安全。
来源:银保监会官网
6. 国家卫健委等三部门发布《医疗卫生机构网络安全管理办法》
8月29日,国家卫生健康委、国家中医药局、国家疾控局联合发布《医疗卫生机构网络安全管理办法》。办法共六章三十四条,涉及网络安全管理、数据安全管理、监督管理、管理保障等内容。
网络安全管理方面,办法规定,第二级的网络应委托等级保护测评机构定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评,其他的网络至少五年开展一次网络安全等级测评。
数据安全管理方面,办法规定,各医疗卫生机构应按照有关法规标准,选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全。涉及到云上存储数据时,应当评估可能带来的安全风险。数据存储周期不应超出数据使用规则确定的保存期限。
来源:国家卫健委官网
7. 两高一部联合发布《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》
8月30日,最高人民法院、最高人民检察院、公安部联合发布《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》。
意见主要内容包括:(1)进一步规范信息网络犯罪案件的管辖。意见明确信息网络犯罪案件的犯罪地包括用于实施犯罪行为的网络服务使用的服务器所在地,网络服务提供者所在地,被侵害的信息网络系统及其管理者所在地,犯罪过程中犯罪嫌疑人、被害人或者其他涉案人员使用的信息网络系统所在地,被害人被侵害时所在地以及被害人财产遭受损失地等;(2)进一步规范信息网络犯罪案件的取证;(3)进一步规范信息网络犯罪案件的证据审查;(4)进一步规范信息网络犯罪案件涉案财物处理。
下一步,两高一部将指导地方各级人民法院、人民检察院、公安机关充分发挥职能作用,严格规范案件办理程序,依法惩治信息网络犯罪,不断加大对信息网络空间的刑事司法保护力度。
来源:公安部官网
8. 广东省出台《广东省企业首席数据官建设指南》
8月24日,广东省工业和信息化厅发布《广东省企业首席数据官建设指南》,涉及建设原则、建设内容、保障措施等三部分内容。
指南鼓励具备条件的企业设立CDO,按照“企业主导、政府推动、价值优先、多方协同”的建设原则组织实施。CDO应设置在企业决策层,是企业对数据资产的使用管理和安全全面负责的高层管理人员。CDO应当开展数据治理、数据安全等工作任务,贯彻执行国家数据等方面的法律、法规和政策,建立企业数据资产安全保障制度和分类分级安全管理制度,组织制定并实施企业数据安全防护方案,提升数据全生命周期安全防护能力,定期组织数据安全评估,组织基于供应链的数据安全监测,提高企业数据风险管控能力,确保企业数据隐私与安全等。
来源:广东省工业和信息化厅官网
9. 工信部:全面深化数据安全保障体系和能力建设
8月19日,工信部举行“新时代工业和信息化发展”系列新闻发布会第二场。
工信部网络安全管理局一级巡视员(正局长级)周少清在会上表示,下一步,工信部将加强数据安全工作的系统布局谋划,重点是抓好“一个体系”、发展“一个产业”:一个体系是指抓好数据安全监管体系建设。在制度机制方面,制定出台工信领域数据安全管理制度,健全完善数据分类分级、重要数据保护、风险评估、应急管理等重点管理机制。在标准规范方面,建立完善工信领域数据安全标准体系,研究制定车联网、工业互联网等重点领域数据安全标准,深入开展贯标达标等工作。在监管实践方面,面向工业、电信领域重点企业,推进开展重要数据识别和目录编制、备案管理、安全防护、风险评估等工作,督促数据安全保护主体责任有效落实。一个产业是指发展好数据安全产业。推动出台促进数据安全产业发展等政策文件,培育具有国际竞争力的数据安全领军企业、专精特新“小巨人”企业,强化关键核心技术攻关和应用示范,为国家数据安全保障提供有力支撑。
来源:工信部官网
10. 湖北省通信管理局:深入开展电信和互联网行业网络数据安全专项检查
8月25日,湖北省通信管理局发布电信和互联网行业网络数据安全专项检查情况。
此次专项检查对基础电信企业、域名注册服务机构、互联网信息服务企业、工业互联网平台企业、工业互联网标识注册服务机构、车联网平台企业等省内12家重点企业进行现场检查。
检查发现,各企业尤其是基础电信企业高度重视网络和数据安全工作,企业内部网络和数据安全制度体系比较完善,组织保障方面落实到位。但一些企业仍存在管理制度体系不健全,定级备案工作落实不到位,未定期开展数据安全专项风险评估,网络与数据安全应急预案不完善及未开展网络和数据安全应急演练等问题。下一步,湖北省通信管理局将督促各企业抓紧落实整改工作。
来源:湖北省通信管理局官网
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
