当前位置: 首页 > 法律法规 > 正文

2022年上半年国内网络安全政策法规整理

随着去年《数据安全法》、《个人信息保护法》等几部重磅法律落地实施,2022年上半年各行业、各地区积极响应,相继发布了多项网络安全相关政策,为我国网络安全产业发展提供了新的契机和更有力的支持。下面,我们为大家梳理一下2022上半年国内网络安全领域发布的重要法律和政策文件,以供参考。

国家层面

1月12日,国务院发布《“十四五”数字经济发展规划》,要求增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。提升网络安全应急处置能力,加强关键信息基础设施网络安全防护能力,支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估。健全完善数据跨境流动安全管理相关制度规范。

2月15日,新修订的《网络安全审查办法》正式实施。明确关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查。明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。

3月5日,《2022年政府工作报告》发布,国务院将强化网络安全、数据安全和个人信息保护。促进数字经济发展。加强数字中国建设整体布局。

4月19日,中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平主持召开中央全面深化改革委员会第二十五次会议,审议通过了《关于加强数字政府建设的指导意见》。习主席在主持会议时强调,要全面贯彻网络强国战略,把数字技术广泛应用于政府管理服务,推动政府数字化、智能化运行,为推进国家治理体系和治理能力现代化提供有力支撑。

工业互联网安全领域

4月7日,工业和信息化部、国家发展和改革委员会、科学技术部、生态环境部、应急管理部、国家能源局近日联合印发《关于“十四五”推动石化化工行业高质量发展的指导意见》。提出到2025年我国石化化工行业基本形成自主创新能力强、结构布局合理、绿色安全低碳的高质量发展格局,高端产品保障能力大幅提高,核心竞争能力明显增强,高水平自立自强迈出坚实步伐。并在创新发展、产业结构、产业布局、数字化转型、绿色安全等五个方面明确了具体发展目标。

4月13日,工业和信息化部印发《工业互联网专项工作组2022年工作计划》,从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面,提出了网络体系强基、标识解析增强、平台体系壮大、数据汇聚赋能、新型模式培育、融通赋能“牵手”等15大类任务83项具体举措。

4月27日,国家发改委发布《电力可靠性管理办法(暂行)》 ,自2022年6月1日起施行,办法新增“第七章 网络安全”专章,并重点提出了网络安全防护、网络安全监测、风险评估、隐患排查治理、网络安全责任落实等电力行业网络安全相关要求。

6月12日,为进一步规范工作流程、加强工作协调、提升工作效能,国家能源局综合司发布《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》,并向社会广泛征求意见,这是时隔八年后对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)的首次修订,意见反馈截止日期为2022年7月13日。

数据安全及个人信息保护领域

1月6日,国务院办公厅印发《要素市场化配置综合改革试点总体方案》。明确探索“原始数据不出域、数据可用不可见”的交易范式,实现数据使用“可控可计量”,推动完善数据分级分类安全保护制度。

1月19日,国家发改委等部门发布《关于推动平台经济规范健康持续发展的若干意见》。要求细化平台企业数据处理规则。严厉打击平台企业超范围收集个人信息、超权限调用个人信息等违法行为。推动平台企业深入落实网络安全等级保护制度,探索开展数据安全风险态势监测通报,建立应急处置机制。

2月7日,交通运输部等八部门联合发布《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》。网约车平台公司存在危害网络安全、数据安全,侵害用户个人信息权益等违法违规行为的,可开展事前事中事后全链条联合监管。

2月10日,工信部再次征求对《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)的意见。明确数据处理者对数据处理活动负安全主体责任,对各类数据实行分级防护。要求跨主体提供、转移、委托处理核心数据的,应当评估安全风险,采取必要的安全保护措施并报批。

3月2日,中央网信办、教育部、工信部、人力资源社会保障部联合印发《2022年提升全民数字素养与技能工作要点》。安全保护方面要求增强网络安全、数据安全防护意识和能力,加强个人信息和隐私保护。

5月7日,工信部《APP收集使用个人信息最小必要评估规范》等4项行业标准报批,涉及总则、位置信息、图片信息和短信信息。在以上标准批准发布之前,为进一步听取社会各界意见,工业和信息化部科技司对此进行公示。

5月17日,工业和信息化部向社会公布2022年规章制定工作计划。其中《电信和互联网用户个人信息保护规定(修订)》被列入十项年内完成研究起草任务的项目之一。该规定于2013年9月首次施行,共分为六章、二十五条,规定了电信和互联网用户个人信息的保护范围、用户个人信息收集和使用原则、用户个人信息收集和使用规则、代理商管理、安全保障制度、监督检查制度等内容。这是《电信和互联网用户个人信息保护规定》在施行八年后的首次修订计划。

6月5日,国家市场监督管理总局、国家互联网信息办公室发布《关于开展数据安全管理认证工作的公告》,并公布《数据安全管理认证实施规则》,公告中提出国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》实施认证。《数据安全管理认证实施规则》规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。

互联网安全领域

1月5日,国家网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》。应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、网络数据安全、个人信息保护、未成年人保护等管理制度,确保信息内容安全。

1月28日,国家网信办发布《互联网信息服务深度合成管理规定(征求意见稿)》。深度合成服务提供者应当落实信息安全主体责任,建立健全算法机制机理审核、用户注册、信息内容管理、数据安全和个人信息保护、未成年人保护、从业人员教育培训等管理制度,具有与新技术新应用发展相适应的安全可控的技术保障措施。

3月2日,国家网信办发布《互联网弹窗信息推送服务管理规定(征求意见稿)》。强调互联网弹窗信息推送服务提供者应当落实信息内容安全管理主体责任,建立健全信息内容审核、生态治理、网络安全、数据安全、个人信息保护、未成年人保护等管理制度。

3月14日,国家网信办就《未成年人网络保护条例(征求意见稿)》再次征求意见。要求建立健全未成年人网络保护合规制度体系。发现未成年人私密信息或者其发布的个人信息中涉及私密信息时,应及时提示并采取停止传输等必要保护措施。以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径等义务。

6月14日,国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》。新《规定》自2022年8月1日起施行,2016年6月28日公布的《移动互联网应用程序信息服务管理规定》同时废止。新《规定》提出应用程序提供者和应用程序分发平台应当遵守法律法规,大力弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,自觉遵守公序良俗,积极履行社会责任,维护清朗网络空间。新《规定》要求,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。

6月17日,网信办发布《互联网跟帖评论服务管理规定(修订草案征求意见稿)》,建立健全跟帖评论审核管理、实时巡查、应急处置、举报受理等信息安全管理制度,对跟帖评论信息内容实行先审后发,及时发现处置违法和不良信息,并向网信部门报告。

6月27日,网信办发布《互联网用户账号信息管理规定》,自8月1日起施行。要求建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。

地方层面

1月26日,上海市首份《企业数据合规指引》出台。鼓励各类企业设置专门的数据合规管理部门,而不是由法务部门履行合规管理职能。明确不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。明确不得使用风险不可控的开源软件开发工具包等工具。

2月1日,《福建省大数据发展条例》正式施行。规定明示数据采集目的、方式和范围,并经被采集者同意。开展涉及个人信息的数据活动,应当对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。

2月7日,广东省政务服务数据管理局发布《广东省公共数据安全管理办法(二次征求意见稿)》。要求制定公共数据分类分级指南,明确分类分级的原则和规则等,特别是重要数据、核心数据的识别及分级保护规则。

2月9日,山东省人民政府发布《山东省公共数据开放办法》。要求公共数据提供单位建立本单位公共数据安全保护制度,采取相应的技术措施和其他必要措施,保障公共数据安全。

2月11日,黑龙江省人大常委会法制工作委员会发布《黑龙江省促进大数据发展应用条例(草案修改稿征求意见稿)》。明确从事数据处理活动的单位应当履行建立健全全流程数据安全管理制度;制定数据安全事件应急预案,定期开展风险评估和应急演练等活动;采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改等。

3月1日,《浙江省公共数据条例》正式施行。公共数据安全实行谁收集谁负责、谁使用谁负责、谁运行谁负责的责任制。公共数据主管部门、公共管理和服务机构的主要负责人是本单位数据安全工作的**责任人。加强公共数据全生命周期安全和合法利用管理,防止数据被非法获取、篡改、泄露、损毁或者不当利用。

3月7日,河南省大数据局发布《河南省数据条例(草案)》(征求意见稿)。按照“一数一源、一源多用”收集公共数据,安装图像采集、个人身份识别设备,应当为维护公共安全所必需。公共管理和服务机构应当强化数据安全组织和人才力量,采取多种方式培养数据安全专业人才。

3月25日,新疆维吾尔自治区第十三届人民代表大会常务委员会第三十二次会议通过《新疆维吾尔自治区关键信息基础设施安全保护条例》,自2022年6月15日起施行。适用于自治区行政区域内关键信息基础设施的安全保护和监督管理工作。

3月30日,《重庆市数据条例》经市五届人大常委会第三十三次会议表决通过。明确数据安全是数据管理的底线,完善数据处理规则,建立健全数据处理规则和数据安全体系,衔接和落实个人信息保护法、数据安全法的相关规定。

5月27日,河北省十三届人大常委会第三十次会议表决通过了《河北省数字经济促进条例》,该条例将于2022年7月1日起施行。《条例》共九章81条,主要围绕数字基础设施建设、数据资源开发利用、数字产业化、产业数字化、数字化治理、京津冀数字经济协同发展、保障和监督等方面作出规范。

6月2日,厦门市司法局发布《厦门经济特区数据条例(草案征求意见稿)》,并向社会公开征求意见。意见稿从数据资源、数据要素市场、数据安全、应用与发展、法律责任等方面做出规定,为促进数据作为生产要素在市场中发挥作用、推动数字经济的发展提供法治保障。意见征集截止时间为2022年7月1日前。

金融网络安全领域

1月10日,银保监会印发《关于银行业保险业数字化转型的指导意见》。要求加强战略风险管理、加强创新业务的合规性管理、加强数字化环境下的流动性风险管理、加强操作风险及外包风险管理、防范模型和算法风险、强化网络安全防护、加强数据安全和隐私保护。

1月23日,央行会同市场监管总局、银保监会、证监会联合印发《金融标准化“十四五”发展规划》。要求统筹金融数据开发利用、公共安全、商业秘密和个人隐私保护,加快完善金融数据资源产权、交易流通、跨境传输和安全保护等标准规范。建立健全金融业关键信息基础设施保护标准体系,支持提升安全防护能力。

1月25日,银保监会印发《银行保险机构信息科技外包风险监管办法》。要求银行保险机构不得将信息科技管理责任、网络安全主体责任外包;保障网络和信息安全,加强重要数据和个人信息保护;强调事前控制和事中监督。

1月27日,银保监会印发《关于银行业保险业数字化转型的指导意见》。要求完善数据安全管理体系,建立数据分级分类管理制度,落实技术和管理措施。强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制。构建云环境、分布式架构下的技术安全防护体系。

2月8日,中国人民银行、市场监管总局、银保监会、证监会发布了《金融标准化“十四五”发展规划》。《规划》提出要强化金融网络安全标准防护,健全金融业网络安全与数据安全标准体系。建立健全金融业关键信息基础设施保护标准体系,支持提升安全防护能力。加强金融网络安全能力评估、风险排查、安全防御、漏洞管理等标准建设, 助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力。

4月29日,为建立健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,维护资本市场安全平稳高效运行,证监会起草了《证券期货业网络安全管理办法(征求意见稿)》,向社会公开征求意见,征集截止于2022年5月29日。《办法》共八章六十六条,主要包括证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面内容。

其他网络安全相关政策

1月26日,最高法印发《人民法院在线运行规则》。要求各级人民法院应当建设安全保障系统,为人民法院在线运行提供网络和信息安全保障。安全保障系统应当为各类信息基础设施、应用系统和数据资源提供主机安全、身份认证、访问控制、分类分级、密码加密、防火墙、安全审计和安全管理等安全服务。

2月25日,工信部印发《车联网网络安全和数据安全标准体系建设指南》,聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等,着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给,覆盖车联网网络安全、数据安全的关键领域和环节。

4月8日,工业和信息化部、公安部、交通运输部、应急管理部、国家市场监督管理总局等五部门近日联合印发《关于进一步加强新能源汽车企业安全体系建设的指导意见》。《指导意见》要求新能源汽车企业加快构建系统、科学、规范的安全体系,全面增强企业在安全管理机制、产品质量、运行监测、售后服务、事故响应处置、网络安全等方面的安全保障能力,提升新能源汽车安全水平,推动新能源汽车产业高质量发展。

5月25日,最高人民法院发布《最高人民法院关于加强区块链司法应用的意见》。这是人民法院深入贯彻习近平法治思想、落实习近平总书记关于推动区块链技术创新发展重要指示精神的具体举措,将进一步推进人民法院运用以区块链为代表的关键技术加速人民法院数字化变革、创造更高水平数字正义,促进法治与科技深度融合发展、推动智慧法治建设迈向更高层次。

5月11日,国家药监局关于印发《药品监管网络安全与信息化建设“十四五”规划》的通知。《规划》分为4大部分,总结了“十三五”时期,药监部门信息化建设工作成效,提出“十四五”期间,坚持“系统思维,统筹协同”“业务引领,数据驱动”“技术赋能,融合创新”“集约建设,安全可控”4个基本原则,重点明确了升级“两品一械”智慧监管能力、提升政务一体化服务能力、推进监管数据融合与驱动、筑牢药品智慧监管数字底座、夯实网络安全综合保障能力5个方面重点任务。

网络安全标准规范

1月7日,全国信安标委发布了《信息安全技术 重要数据识别指南》(征求意见稿)。《指南》给出了识别重要数据的基本原则、考虑因素以及重要数据描述格式。《指南》适用于数据处理者识别其掌握的重要数据,为重要数据安全保护工作提供支撑,也可供各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考。

3月6日,全国信安标委公布《2022年网络安全国家标准需求清单》,旨在加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用。清单共包含34项标准,其中制定标准20项,修订标准14项。

3月28日,为确保标准质量,全国信安标委秘书处面向社会广泛征求《信息安全技术 电子政务移动办公系统安全技术规范》意见。

4月7日,全国信安标委秘书处面向社会公开《信息安全技术 信息安全控制评估指南》(征求意见稿)、《信息安全技术 行业间和组织间通信的信息安全管理》(征求意见稿)、《信息安全技术 大数据服务安全能力要求》共3项国家标准意见。

4月11日,全国信安标委公开征求《网络安全标准实践指南—Windows 7操作系统安全加固指引(征求意见稿)》国家标准,旨在为帮助用户降低Windows 7操作系统停服后仍须使用该操作系统应用场景下的网络安全风险。

4月26日,全国信安标委公开征求《网络安全标准实践指南—信息系统灾难备份实践指引(征求意见稿)》国家标准,旨在指导各组织开展信息系统灾难备份实践工作。

4月29日,全国信安标委就《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》公开征求意见,旨在指导个人信息处理者规范开展个人信息跨境处理活动。

5月9日,全国信安标委发布《关于征集ISO/IEC JTC1/SC27国际标准提案的通知》,重点聚焦数据安全、个人信息保护、关键信息基础设施、消费物联网、工业互联网、车联网、IPv6等我国具有技术优势和丰富实践应用经验等领域,提案优先但不限于上述领域。

5月26日,全国信安标委秘书处发布了《网络安全标准实践指南—Windows 7操作系统安全加固指引》。本《实践指南》从安全防护加固和安全配置加固两个方面,给出了Windows 7操作系统本地安全防护和安全策略配置建议。

6月2日,全国信安标委发布了《信息安全技术 零信任参考体系架构》(征求意见稿)。《征求意见稿》提出由主体、资源、核心组件和支撑组件组成零信任参考体系架构。核心组件由策略决定点和策略执行点组成,执行主体对资源的策略决定。支撑组件由密码服务和应用、身份管理、设备管理、资源管理、态势感知组件组成,提供多来源信息、以及支撑主体、资源和核心组件运行的多种服务。《征求意见稿》适用于采用零信任参考体系架构的信息系统的规划、设计、开发、应用。

6月2日,全国信安标委发布了《信息安全技术 零信任参考体系架构》(征求意见稿)。《征求意见稿》提出由主体、资源、核心组件和支撑组件组成零信任参考体系架构。核心组件由策略决定点和策略执行点组成,执行主体对资源的策略决定。支撑组件由密码服务和应用、身份管理、设备管理、资源管理、态势感知组件组成,提供多来源信息、以及支撑主体、资源和核心组件运行的多种服务。《征求意见稿》适用于采用零信任参考体系架构的信息系统的规划、设计、开发、应用。

6月13日,全国信安标委秘书处发布关于国家标准《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》征求意见稿征求意见的通知。征求意见稿针对移动智能终端提供了App个人信息安全功能设计、管理个人信息安全风险的指南,以增强App收集个人信息行为的明示程度,并为App用户提供更多个人信息保护方面的控制机制。此文件适用于指导移动智能终端提供者进行系统设计、开发活动,主要适用于智能手机。

6月17日,全国信安标委秘书处发布关于国家标准《信息安全技术 应用商店的App个人信息处理规范性审核与管理指南》征求意见稿征求意见的通知。《征求意见稿》给出了应用商店运营者对App个人信息处理活动的审核与管理指南。该文件适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。

国家标准.png

14项网络安全国家标准获批发布

结语

网络安全牵一发而动全身,没有网络安全就没有国家安全。2022年上半年,我国网络安全相关法律法规逐渐完善,加之一系列政策组合拳协同发力,为网络安全产业发展提供了坚实保障。

本文固定链接: https://www.moondream.cn/?p=2714 | 月梦工作室

avatar
该日志由 moondream 于2022年09月29日发表在 法律法规 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 2022年上半年国内网络安全政策法规整理 | 月梦工作室

2022年上半年国内网络安全政策法规整理:等您坐沙发呢!

发表评论

快捷键:Ctrl+Enter