- (04-17)·五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》
- (07-11)·2023年上半年网络安全政策法规一览
- (01-08)·2023年我国网络安全法规一览
2023年我国网络安全法规一览
2024-01-08 20:03:34 来源: 点击:
文档介绍
2023 年,是我国网络安全和数据安全领域法制建设持续发展的一年。政府进一步加大网络安全法规的制定和实施力度,不断强化数据安全和关键信息基础设施的保护,中央政府、国务院、中央网信办、工信部及各地方政府部门在《关键信息基础设施安全保护条例》、《个人信息保护法》、《网络安全法》、《数据安全法》的基础上,陆续颁布几百项法律法规、标准、安全指南,不断强调数据流动的安全性、关键信息基础设施的范围和分类,公民个人数据安全。
同时,2023 年我国进一步加强了个人信息保护和跨境传输工作,网信办联合相关部门发布《个人信息出境标准合同办法》,规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引,加强对个人信息在跨境传输中的安全监管,针对数据处理者做出严格规范和惩处力度。社会对网络安全和信息安全的重视程度有了显著提升。
接下来,本文将按照时间线梳理出 2023 年网络安全行业出台的法律法规、条例、指南,希望能给企业未来的数据安全体系建设带来一些帮助。
一月
1. 中国银保监会发布《银行保险监管统计管理办法》
中国银保监会近日发布《银行保险监管统计管理办法》,该管理办法的的发布和实施,统一了银行业保险业监管统计制度,为解决当前监管统计工作实际问题提供制度支撑,进一步夯实统计工作基础,对银行业保险业监管统计工作具有指导性作用。
2. 工业和信息化部等十六部门关于促进数据安全产业发展的指导意见
《意见》提出,到 2025 年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。
3. 中国证券业协会发布《证券公司网络和信息安全三年提升计划》
《计划》共计 5 章 20 条,提出 33 项重点工作,聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。
4. 最高人民法院发布《关于为促进消费提供司法服务和保的意见》
《意见》明确,要加强消费者个人信息保护。要求经营者处理敏感个人信息、跨境转移个人信息等行为应当取得消费者单独同意,经营者以其获得消费者概括同意为由进行免责抗辩的,人民法院对其抗辩不予支持。
5. 中国网络安全产业联盟发布《数据安全和个人信息保护社会责任指南》
《指南》重点主要聚集在组织治理和内部管理;合规性、创新性和价值体现;公平运行、竞争与合作;消费者权益保护;以及公益参与和社会发展等五个领域。
6. 三部门联合发布的《互联网信息服务深度合成管理规定》
《规定》提出,国家和地方网信部门统筹协调深度合成服务的治理和相关监督管理职责,国务院电信主管部门、公安部门以及地方相关部门的监督管理职责。明确提供深度合成服务的总体要求,鼓励相关行业组织加强行业自律。
7. 中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见
《意见》指出,探索建立数据产权制度,推动数据产权结构性分置和有序流通,结合数据要素特性强化高质量数据要素供给;在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易,健全数据要素权益保护制度,逐步形成具有中国特色的数据产权制度体系。
8. 上海市经济信息化委 市互联网信息办公室印发《上海市公共数据开放实施细则》
上海市有关部门依据《上海市数据条例》《上海市公共数据开放暂行办法》等,结合本市实际,制定细则》,旨在促进和规范本市公共数据开放、获取、利用和安全管理,推动公共数据更广范围、更深层次、更高质量开放,深入赋能治理、经济、生活各领域城市数字化转型。
二月
1. 国家能源局发布《2023 年电力安全监管重点任务》
《任务》要求,全力做好电力供应保障。开展年度电网运行方式和电力供需形势分析,做好迎峰度夏(冬) 等重点时段电力安全保障和突发事件应对工作,加强燃煤机组非计划和出力受阻停运监管,确保电力安全可靠供应。
2. 工业和信息化部公布了《工业和信息化部行政执法事项清单(2022年版)》
2023 年 2 月,工业和信息化部对外公布了《工业和信息化部行政执法事项清单(2022年版)》,其中第247-261 条主要涉及到了数据安全的行政执法事项,特别要求对工业和信息化领域数据处理者落实数据安全保护责任义务及管理措施落实的监督检查。
3. 2 月 21 日,外交部发布《全球安全倡议概念文件》
《文件》中多次提及了网络安全问题,其中第三章第指出,深化信息安全领域国际合作,中方已提出《全球数据安全倡议》,希望推动达成反映各方意愿、尊重各方利益的全球数字治理规则,共同应对各类网络威胁,构建开放包容、公平合理、安全稳定、富有生机活力的全球网络空间治理体系。
4. 国家网信办发布《个人信息出境标准合同办法》
《办法》明确,个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满 100 万人的;三是自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满 1 万人的。
5. 中共中央、国务院印发了《数字中国建设整体布局规划》
《规划》要求,各方强化数字中国关键能力,切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。
6. 工信部发布《关于电信设备进网许可制度若干改革举措的通告》
《通告》提出,对取得进网许可的电信设备,持证企业新增、变更委托生产企业(即代工企业),或者进行不改变主要功能、核心元器件的技术和外型改动的,持证企业应及时通过我部在线政务服务平台填报相关信息,无需重新进行进网检测或办理进网许可。
7. 《智能网联汽车数据分类分级实践指南》正式发布。
《指南》明确,智能网联汽车数据分类分级的方法论,及对应不同等级的数据,在其不同生命周期,给出通用的安全措施,为实现智能网联汽车数据在数据全生命周期中安全治理 落实提供指导性建议。
8. 杭州市数据资源管理局起草了《杭州市公共数据授权运营实施方案(试行)《征求意见稿》》
《方案》提出, 2025 年底前,迭代升级公共数据授权运营平台,形成 20 个以上有价值、可推广的数据产品和服务,发布一批典型应用案例,培育一批公共数据授权运营生态企业,促进数据要素的市场化流通。
9. 新疆维吾尔自治区人民政府办公厅印发《新疆维吾尔自治区公共数据管理办法(试行)》
《办法》强调,公共数据管理应遵循以共享为原则,不共享为例外、需求导向,创新发展、统一标准,统筹建设、建立机制,保障安全、兵地一体,融合共享五个基本原则。
10. 工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》
《通知》提出,严格 APP上架审核,准确登记并核验 APP 开发运营者的真实身份和联系方式、APP的主要功能及用途等基本信息,并对拟上架APP进行技术检测。相关审核应明确负责人,并留存审核日志记录,不符合要求的不予上架。
三月
1. 证监会制定并正式发布《证券期货业网络和信息安全管理办法》
《办法》共计 8 章 75 条,全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,并于 2023 年 5 月 1 日起正式实施。
2. 国家网信办发布《网信部门行政执法程序规定》
《规定》,要求,网信部门实施行政执法应当坚持处罚与教育相结合,做到事实清楚、证据确凿、依据准确,规定了网信部门行政执法地域管辖、级别管辖、指定管辖、移送管辖等制度,明确了“一事不二罚”原则,2023 年 6 月 1 日起正式施行。
3. 四部门发布《关于开展网络安全服务认证工作的实施意见》
《意见》提出,网络安全服务认证工作应坚持“统一管理、共同实施、统一标准、规范有序”的基本原则。市场监管总局、中央网信办、工业和信息化部、公安部根据职责,加强认证工作的组织实施和监督管理,鼓励网络运营者等广泛采信网络安全服务认证结果,促进网络安全服务产业健康有序发展。
4. 深圳市发改委发公布《深圳市数据交易管理暂行办法》
《办法》共八章 35 条,包括总则、数据交易主体、数据交易场所运营机构、数据交易标的、数据交易行为、数据交易安全、管理与监督以及附则。对于数据交易主体,《办法》明确包括数据卖方、数据买方和数据商,数据卖方应当作为数据商或通过数据商保荐,方可开展数据交易。
5. 信安标委发布《信息安全技术 信息安全控制(征求意见稿)》
《控制》适用于所有类型和规模的组织,还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件,旨在用于制定行业和特定组织的信息安全管理指南,同时考虑其具体的信息安全风险环境。除本文件包含的控制外,可通过风险评估来确定特定于组织或环境所需要的控制。
6. 国务院新闻办公室发布《新时代的中国网络法治建设》
《建设》除前言、结束语外共分为六个部分,分别是坚定不移走依法治网之路、夯实网络空间法制基础、保障网络空间规范有序、捍卫网络空间公平正义、提升全社会网络法治意识和素养、加强网络法治国际交流合作。
7. 市场监管总局公布《互联网广告管理办法》
《办法》明确,广告主、互联网广告经营者和发布者、互联网信息服务提供者的责任;积极回应社会关切,对人民群众反映集中的弹出广告、开屏广告、利用智能设备发布广告等行为作出规范。
8. 三部门共同颁布《数据安全工程技术人员国家职业标准》
《标准》在充分考虑产业结构变化、市场需求的发展和科技进步对数据安全工程技术人员专业要求的基础上,以客观反映数据安全发展水平及从业人员的专业能力要求为目标,对数据安全工程从业者的专业活动内容进行规范细致描述,明确了各等级专业技术人员的工作领域,工作内容以及知识水平、专业能力和实践要求。
四月
1. 上海市发布《公共场所人脸识别分级分类应用规范(征求意见稿)》
《规范》明确,公共场所人脸识别应用基本原则的基础上,对公共场所不同人脸识别应用场景进行分类,根据人脸识别应用目的、底库规模等风险因素进行分级,并基于分级分类针对性地提出应用和管理要求,为规范应用人脸识别技术、保护公民隐私、促进行业发展提供支撑。
2. 国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》
4 月 11 日,国家网信办发布的《生成式人工智能服务管理办法(征求意见稿)》提出,利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(提供者),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。
3. 信安标委发布《信息安全技术 公钥基础设施 在线证书状态协议(征求意见稿)》
《协议》规定,面向公钥基础设施的在线证书状态协议(OCSP),此协议是一种无需请求证书撤销列表(CRL)即可查询数字证书状态的协议,包括总则、功能要求、具体协议等,适用于公钥基础设施的建设以及应用在线证书状态协议的依赖方等。
4.《汽车远程升级(OTA)信息安全测试规范(征求意见稿)》正式发布
《规范》主要内容共包括 6 个章节,包括:测试条件要求、服务平台安全测试要求、通信链路安全测试要求、车载设备安全测试要求、OTA 过程安全测试要求、OTA 升级包安全测试要求,从“测试目的、测试前置条件、测试方法、通过标准”四个维度分别进行研究。主要适用于 M 类、N 类汽车 OTA 升级的信息安全设计开发、验证和生产工作。
5. 人民检察院印发《关于加强新时代检察机关网络法治工作的意见》
《意见》共 6 方面 21 条,围绕党的二十大关于健全网络综合治理体系的重要部署,结合检察履职实际,从网络立法、执法、司法、普法以及法治研究、队伍建设等方面,对加强新时代检察机关网络法治工作提出具体要求。
6. 《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》正式发布
《指引》共计 8 章 72 页,提出了网络数据安全风险评估思路、主要工作内容、流程和方法,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。
7. 信安标委征求发布《信息安全技术 软件产品开源代码安全评价方法(征求意见稿)》
《方法》给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法,评价指标体系涵盖开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力。
8.《济南市公共数据授权运营办法》正式发布
为加快公共数据开发利用,规范公共数据授权运营,培育数据要素市场,助力经济社会高质量发展,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《山东省大数据发展促进条例》《济南市公共数据管理办法》等法律法规,结合本市实际情况,制定本办法。
9. 五部门发布《关于调整网络安全专用产品安全管理有关事项的公告》
《公告》提出,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
10. 武汉市人民政府办公厅印发《武汉市数据要素市场化配置改革三年行动计划(2023—2025年)》
《计划》提出,2023年,完善数据要素市场化配置改革工作制度体系框架,组建武汉数据集团,探索开展公共数据授权运营,制定数据要素标准体系,形成数据要素利用示范性成果,初步搭建起数据要素市场化整体框架。