第一百零八期网络安全政策法律动态(2023.2.16—2023.2.28)
本期关注
❖ 境外关注
TikTok发展再度遇阻,美国白宫发布备忘录,禁止在政府设备上使用TikTok;欧盟委员会/欧洲议会表示将禁止员工使用TikTok;加拿大联邦与多省隐私保护机构宣布对TikTok展开联合调查。EDPB发布《关于欧盟-美国数据隐私框架充分性决定草案的意见》,在对框架的进步之处给予肯定的同时,对数据主体权利、缺乏关于自动化决策和分析的具体规则、美国第 14086号行政令下救济机制的实际运行效果等方面仍表示担忧。
❖ 境内关注
中国正式发布《全球安全倡议概念文件》,要求深化信息安全领域国际合作,加强人工智能等新兴科技领域国际安全治理,预防和管控潜在安全风险。中共中央、国务院印发《数字中国建设整体布局规划》,明确数字中国建设应按照“2522”的整体框架进行布局。《个人信息出境标准合同办法》发布,附件为标准合同范本,个人信息处理者订立的标准合同应当严格按照此范本订立。
境外动态
1. 美国白宫发布备忘录,禁止在政府设备上使用TikTok
https://www.whitehouse.gov/wp-content/uploads/2023/02/M-23-13-No-TikTok-on-Government-Devices-Implementation-Guidance_final.pdf
2. 欧盟委员会与欧洲议会宣布禁止员工使用TikTok
https://www.fmprc.gov.cn/web/fyrbt_673021/202303/t20230301_11033468.shtml
3. 加拿大联邦与多省隐私保护机构宣布对TikTok展开联合调查
https://priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230223/
4. 美国商务部启动《芯片与科学法》芯片补贴申请程序
https://www.commerce.gov/news/press-releases/2023/02/biden-harris-administration-launches-first-chips-america-funding
5. EDPB发布《关于GDPR第3条的适用与第五章国际转移规定之间相互作用的第05/2021号准则》
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052021-interplay-between-application-article-3_en
6. EDPB发布《关于将认证作为转移工具的第07/2022号准则》
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072022-certification-tool-transfers_en7. EDPB发布《关于如何识别和避免社交媒体平台界面中欺骗性设计模式的第03/2022号准则》
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-deceptive-design-patterns-social-media_en
8. EDPB发布《2023-2024年工作方案》
https://edpb.europa.eu/news/news/2023/boosting-enforcement-and-cooperation-edpb-sets-out-priorities_en
9. EDPB发布《关于欧盟-美国数据隐私框架充分性决定草案的意见》
https://edpb.europa.eu/news/news/2023/edpb-welcomes-improvements-under-eu-us-data-privacy-framework-concerns-remain_en
10. 澳大利亚关键基础设施风险管理计划要求生效
https://minister.homeaffairs.gov.au/ClareONeil/Pages/world-leading-protection-australias-critical-infrastructure.aspx
11. 比利时发布新的法律框架,鼓励善意漏洞发现和报告行为
https://ccb.belgium.be/en/vulnerability-reporting-ccb
12. 美国发布《军事领域负责任使用人工智能及其自主性的政治宣言》
https://www.state.gov/building-consensus-on-the-u-s-framework-for-a-political-declaration-on-the-responsible-military-use-of-artificial-intelligence-and-autonomy/
13. 美国国防部发布《网络空间劳动力资格和管理计划》
https://www.defense.gov/News/Releases/Release/Article/3299971/dod-cio-issues-dod-manual-8140/
14. 美国和荷兰就加强量子信息科学和技术合作发布联合声明
https://www.state.gov/joint-statement-of-the-united-states-of-america-and-the-netherlands-on-cooperation-in-quantum-information-science-and-technology/
15. 新加坡CSA推出计划,为中小企业制定网络安全健康计划
https://www.csa.gov.sg/News-Events/Press-Releases/2023/csa-to-launch-scheme-to-develop-cybersecurity-health-plans-with-funding-support-for-small-medium-enterprises
境内动态
1. 中国发布《全球安全倡议概念文件》,要求深化信息安全领域国际合作
来源:国家网信办
2. 中共中央、国务院印发《数字中国建设整体布局规划》
规划明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。
规划指出,要优化数字化发展环境。一是建设公平规范的数字治理生态。完善法律法规体系,加强立法统筹协调,研究制定数字领域立法规划,及时按程序调整不适应数字化发展的法律制度。构建技术标准体系,编制数字化标准工作指南,加快制定修订各行业数字化转型、产业交叉融合发展等应用标准。提升治理水平,健全网络综合治理体系,提升全方位多维度综合治理能力,构建科学、高效、有序的管网治网格局。净化网络空间,深入开展网络生态治理工作,推进“清朗”、“净网”系列专项行动,创新推进网络文明建设。二是构建开放共赢的数字领域国际合作格局。统筹谋划数字领域国际合作,建立多层面协同、多平台支撑、多主体参与的数字领域国际交流合作体系,高质量共建“数字丝绸之路”,积极发展“丝路电商”。拓展数字领域国际合作空间,积极参与联合国、世界贸易组织、二十国集团、亚太经合组织、金砖国家、上合组织等多边框架下的数字领域合作平台,高质量搭建数字领域开放合作新平台,积极参与数据跨境流动等相关国际规则构建。
来源:中国政府网
3. 国务院办公厅发布《关于深入推进跨部门综合监管的指导意见》
2月17日,国务院办公厅发布《关于深入推进跨部门综合监管的指导意见》,聚焦部分地区、领域仍然存在的监管责任不明确、协同机制不完善、风险防范能力不强以及重复检查、多头执法等问题。
意见要求健全跨部门综合监管体制机制、完善跨部门综合监管协同方式、提升跨部门综合监管联动效能、加强跨部门综合监管支撑能力建设。具体来说,意见要求确定跨部门综合监管事项清单。行业主管部门或法律法规规定的主管部门要会同相关监管部门梳理需实施跨部门综合监管的重点事项,对直接关系人民群众生命财产安全、公共安全和潜在风险大、社会风险高的重点领域及新兴领域中涉及多部门监管的事项,要积极开展跨部门综合监管。两个以上部门对同一监管对象实施不同行政检查且可以同时开展的,原则上应实行跨部门联合检查。各地区各部门要着力打通数据壁垒,以跨部门、跨区域、跨层级数据互通共享支撑跨部门综合监管。
来源:国务院办公厅
4. 国家互联网信息办公室公布《个人信息出境标准合同办法》
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》,自2023年6月1日起施行。办法施行前已经开展的个人信息出境活动,不符合办法规定的,应当自办法施行之日起6个月内完成整改。出台办法旨在落实《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动。办法规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。
办法明确,个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。同时,办法明确,法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
来源:国家网信办
5. 工信部发布《关于进一步提升移动互联网应用服务能力的通知》
2月28日,工信部发布《关于进一步提升移动互联网应用服务能力的通知》。
通知从提升全流程服务感知,保护用户合法权益和提升全链条管理能力,营造健康服务生态两方面提出九项要求。通知要求,从事个人信息处理活动,应具有明确合理的目的,不得仅以服务体验、产品研发、算法推荐、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。落实APP开发运营者主体责任,明确用户服务和权益保护的牵头管理部门和负责人,建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节,不断提高合规水平。定期对个人信息保护措施及执行情况等进行合规审计,有效防范风险隐患。
来源:工信部
6. 新疆发布《新疆维吾尔自治区公共数据管理办法(试行)》
2月22日,新疆维吾尔自治区人民政府办公厅发布《新疆维吾尔自治区公共数据管理办法(试行)》。办法共九章四十七条,涉及公共数据目录、公共数据采集与归集、公共数据共享、公共数据安全等内容。
办法明确,公共数据提供部门、公共数据使用部门、平台建设运维管理部门应遵循“谁提供、谁负责,谁使用、谁负责,谁流转、谁负责”的原则,按照国家信息安全等级保护、数据分类分级管理、密码应用安全保护要求,在公共数据资源共享开放全过程中加强安全传输、访问控制、授权管理、全流程审计等方面的安全管理和防护。
来源:新疆维吾尔自治区人民政府办公厅
7. 杭州发布《杭州市公共数据授权运营实施方案(试行)》(征求意见稿)
2月17日,杭州市数据资源管理局发布《杭州市公共数据授权运营实施方案(试行)》(征求意见稿),明确将优先支持与民生紧密相关、行业增值潜力显著和产业战略意义重大的信用、交通、医疗、卫生、就业、社保、地理、文化、教育、科技、资源、农业、环境、安监、金融、质量、统计、气象、企业登记监管等领域开展公共数据授权运营。
征求意见稿要求坚持数据安全与利用协调发展的原则,按照公共数据分类分级要求,确保“原始数据不出域、数据可用不可见”,以“谁建设谁负责、谁管理谁负责、谁使用谁负责”为原则加强公共数据全生命周期安全和合法利用管理,增强数据的可用、可信、可流通、可追溯水平,建立授权运营数据安全评估制度、安全责任认定机制和重大安全事件及时处置机制等,积极有效防范和化解各种数据风险,持续提升整体防护和监管水平。
来源:杭州市政府
8. 深圳发布《深圳市数据产权登记管理暂行办法》(征求意见稿)
2月20日,深圳市发展和改革委员会发布《深圳市数据产权登记管理暂行办法》(征求意见稿),共七章三十三条,包括登记主体、登记机构、登记行为、管理与监督等内容。
征求意见稿规定,数据产权登记以一项数据资源或数据产品为登记单位,每个登记单位拥有唯一的登记编号。根据征求意见稿规定,登记主体具有以下权利:(1)依照法律法规和合同约定享有相应的数据资源持有权、数据加工使用权和数据产品经营权;(2)经登记机构审核后,获取数据资源或数据产品登记证书、数据资源许可凭证,作为数据交易、融资抵押、数据资产入表、会计核算、争议仲裁的重要依据。
来源:深圳发改委
9. 公安部部署推进打击惩治涉网黑恶犯罪专项行动
2月16日,全国公安机关打击惩治涉网黑恶犯罪专项行动电视电话推进会召开,通报总结专项行动进展成效,对专项行动进行再部署、再推进。
会议要求,要高度重视黑恶犯罪向网络发展蔓延的严峻态势,充分认清涉网黑恶犯罪的严重危害,把打击惩治涉网黑恶犯罪专项行动作为常态化扫黑除恶斗争的重要内容,进一步加强组织领导,压紧压实责任,强化工作统筹,始终保持对涉网黑恶犯罪的严打高压态势,确保专项行动各项措施落地落实。要进一步强化侦查打击,确定目标案件,依法速侦速破,全力追赃挽损,高效抓捕涉网黑恶犯罪分子,坚决遏制此类案件多发高发势头。要以裸聊敲诈、网络套路贷、软暴力催收、恶意索赔、负面舆情敲诈、网络水军滋事等犯罪为重点,坚持分类施策,依法严厉打击。要对重点案件进行挂牌督办,把打犯罪主体组织作为核心目标,坚决断根清源、打深打透。
据了解,2022年公安部会同中宣部、中央网信办等八部门部署开展打击惩治涉网黑恶犯罪专项行动以来,全国公安机关充分发挥主力军作用,共打掉涉网黑恶犯罪团伙400余个,其中黑社会性质组织20余个,恶势力犯罪集团320余个,其他涉恶犯罪团伙50余个,破获各类案件8800余起,专项行动取得阶段性明显成效。公安部同期公布打击惩治涉网黑恶犯罪专项行动5起典型案例。
来源:公安部
10. 北京网信:《办法》施行将满6个月数据出境需依法申报评估
2月22日,北京市互联网信息办公室发布消息,请本市已开展数据出境活动的企事业单位对照《数据出境安全评估办法》具体规定及时依法申报数据出境安全评估。
据介绍,北京市数据出境安全评估取得重要突破。《办法》实施以来,北京市互联网信息办公室已收到亚马逊、宝马、三星、葛兰素史克、博士伦、去哪儿网、小米、摩根大通、大众、联想等48家单位正式提交的申报材料,其中:首都医科大学附属北京友谊医院和中国国际航空股份有限公司2家单位的相关数据出境场景已获国家互联网信息办公室批准,成为全国前两个数据合规出境项目;现代汽车、民生银行、丰田汽车等5家单位的数据出境安全评估申请已被国家互联网信息办公室受理;新浪微博、戴姆勒、施耐德电气、瑞士再保险等6家单位的申报材料,已经由北京市互联网信息办公室完成审核。此外,35家单位正在补充完善申报材料,142家单位初步表达了申报意愿,120余家单位咨询申报事宜。
11. 上海将开展“浦江护航”2023年电信和互联网行业数据安全专项行动
2月28日,上海市通信管理局发布通知,将开展“浦江护航”2023年电信和互联网行业数据安全专项行动。
专项行动包括六大主要任务,分别是(1)试点实施电信和互联网行业首席数据官制度;(2)开展重要数据和核心数据识别认定及目录管理;(3)开展电信和互联网行业数据安全风险评估管理;(4)开展常态化数据安全监测预警与通报处置;(5)加强企业数据全生命周期安全管理;(6)加强数据安全能力建设和人才培养。
通知指出,市通信管理局将制定发布《上海市电信和互联网行业首席数据官制度建设指南(试行)》,优化完善电信和互联网企业数据管理组织,指导首席数据官制度建设,全面落实数据安全与发展统筹管理工作。各电信和互联网企业要参照相关指南要求,积极建立首席数据官制度,明确本单位首席数据官及其工作职责并报市通信管理局备案。
同时,市通信管理局将组织开展全市电信和互联网行业数据分类分级管理工作,重点做好重要数据和核心数据的识别认定及目录管理。本市电信和互联网行业数据处理者须在5月31日前,依据相关标准规范对本单位重要数据和核心数据进行识别认定,并形成具体目录,通过指定填报工具提交备案申请。市通信管理局将对备案内容进行审核,对符合要求的予以备案并纳入行业重要数据和核心数据目录。
第一百零七期网络安全政策法律动态(2023.2.1—2023.2.15)
第一百零六期网络安全政策法律动态(2023.1.1—2023.1.31)
第一百零五期网络安全政策法律动态(2022.12.16—2022.12.31)
第一百零四期网络安全政策法律动态(2022.11.1—2022.12.15)