——《中华人民共和国网络安全法》2016年11月7日通过,2017年6月1日起实行
是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑。提出网络空间主权、网络安全与信息化发展并重和共同治理三大基本原则。提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度。进一步明确了政府各部门的职责权限,完善了网络安全监管体制;强化了网络运行安全,重点保护关键信息基础设施;完善了网络安全义务和责任,加大了违法惩处力度;并将监测预警与应急处置措施制度化、法制化。
其中,针对关键信息基础设施,《网络安全法》在(1)数据本地存储和出境安全评估,(2)网络安全等级保护,(3)网络安全审查,(4)容灾备份,(5)远程维护,和(6)保密协议等方面提出了比一般网络经营者更为严格的保护要求。
——《中华人民共和国数据安全法》2021年6月10日通过,2021年9月1日起施行
从数据安全制度、数据安全保护义务、政务数据安全与开放等角度对在境内开展数据活动,包括数据的收集、存储、加工、使用、提供、交易、公开等行为进行了规制,明确了对于数据的定义为“指任何以电子或者非电子形式对信息的记录”。第四章规定的数据安全保护义务,值得各企业在合规过程中进行参考。另外,第23条规定的“国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制”,也与2020年公布的《出口管制法》相呼应。
——《个人信息保护法(草案)》(二次审议稿)2021年6月公开征求意见
在《网络安全法》及《个人信息安全规范》之外,提出更多个人信息处理规范。首先,第3条规定特定情况下的域外适用效力,具有“长臂管辖”的效果。其次,“知情同意”不再是个人信息处理唯一合法性基础,增加了订立合同所必须、保护自然人的重大利益等合法基础。另外,还提出了合法性原则、最小必要原则、公开透明原则等处理个人信息的基本原则。
——《信息安全技术 个人信息安全规范》(2020年版)2020年3月发布,2020年10月1日正式实施
上一版本《规范》在《网络安全法》公布后实施,规定了个人信息控制者在收集、存储、使用、共享、转让、公开披露等个人信息处理环节中的行为。2020版《规范》的修订包括,增加“用户画像的使用限制”“个性化展示的使用”,增加对各项服务分别征求同意的要求,及平台接入第三方的管理要求等。另外还修改了“征求授权同意的例外”、“个人信息主体注销账户”等。同时,《规范》对于个人生物识别信息的存储、转让及共享提出特别要求。
——《信息安全技术 个人信息告知同意指南》(征求意见稿) 2020年1月公开征求意见
适用于网络运营者在网络环境中进行个人信息告知同意的情形,为网络运营者个人信息处理告知的内容、结构,及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。根据《网络安全法》第41条,个人信息主体同意是收集和使用个人信息的基础。本指南具体提出了个人信息处理告知的内容,告知同意的适用情形,免于告知同意的情形,告知同意的基本原则、内容、形式及同意的方式等,更提供了针对未成年人个人信息、互联网金融等场景的具体指引。
——《信息安全技术 个人信息安全影响评估指南》2020年11月发布,2021年6月1日正式实施
明确了展开个人信息安全影响评估的时间点、原理及流程等。关于安全评估机制,《网络安全法》中规定了个人信息在跨境传输以及网络安全事件发生后的安全评估,《个人信息保护法(草案)》规定了事前风险评估要求,本指南提供了更多的操作细则,使个人信息安全的评估方法更清晰。
——《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》2020年9月发布
对网络安全等级保护制度和关键信息基础设施安全保护制度提出要求。其中,保障重点是关键信息基础设施和第三级以上的网络。在《网络安全法》第31条基础上确认了根据网络在国家安全、经济建设、社会生活中的重要程度,及其遭到破坏后的危害程度等因素,实施网络安全等级保护制度。本意见指出,应将符合认定条件的基础网络、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。
——《信息安全技术网络安全等级保护定级指南》2020年4月发布,2020年11月1日正式实施
从定级原理及流程、定级对象、保护等级等方面落实了不涉及国家秘密的等级保护对象的安全保护等级方法和定级流程。与网络安全等级保护制度保持一致,根据对象在国家安全、经济建设等方面的重要程度,以及一旦遭到破坏或数据遭遇泄露等事件后的侵害程度等因素,将安全保护等级分为五级,并针对不同级别提出要求。
——《信息安全技术 网络数据处理安全规范》(征求意见稿)2020年9月公开征求意见
规定了网络运营者在利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和管理的要求。一大亮点是针对突发公共卫生事件中个人信息保护的合规要求作出规定,包括个人信息服务协议、个人信息的收集与调用,应对工作结束后的个人信息处理等问题。
B. 适用于关键信息基础设施运营者的法规和标准
——《网络安全审查办法》(修订稿)2021年7月10日公开征求意见
为确保关键信息基础设施供应链安全提供了具体规定。关键信息基础设施运营者在采购网络产品和服务前,需对产品和服务投入使用后可能带来的国家安全风险进行预判,如果发现影响或者可能影响国家安全,应当事前向网络安全审查办公室[ 网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查]申报网络安全审查。要求掌握超过100万用户个人信息的运营者赴国外上市,必须申报网络安全审查。重点领域包括了电信、广播电视、能源、金融、国防科技工业等,关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。具体内容方面,属于审查范围的网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务等。
——《信息安全技术 关键信息基础设施安全防护能力评价方法》(征求意见稿)2020年8月公开征求意见
提供了关键信息基础设施安全防护能力的评价模型,为关键信息基础设施运营者对自身安全能力进行评价,网络安全服务机构对关键信息基础设施运营者安全能力进行评价提供了参考。同时,也适用于对关键信息基础设施运营者的安全管理,以及关键信息基础设施保护工作部门和关键信息基础设施安全保护的其他参与者。
——《信息安全技术 关键信息基础设施边界确定方法》(征求意见稿)2020年8月公开征求意见
为关键信息基础设施运营者开展关键信息基础设施边界识别工作提供参考,界定了边界识别的原则、模型和流程。同时,还明确规定了保护对象和保护范围,是关键信息基础设施安全标准得以实施的基础。
C. 适用于APP及小程序运营者的法规和标准
——《常见类型移动互联网应用程序(App)必要个人信息范围》(征求意见稿)
规定了地图导航、网约车等38类常见App必要个人信息的范围,并针对不同类型的App规定了个人信息处理的要求。例如,网络直播类、拍摄美化类等App可在无需个人信息的情况下使用基本功能,《范围》便规定这类App要求获取个人信息没有必要性。
——《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
提供了App收集使用个人信息的6个评估点。其中包括,是否公开收集使用个人信息的规则、是否明示收集使用个人信息的目的、方式和方位、是否征得用户同意后才收集使用个人信息、是否遵循必要原则、是否经用户同意后才向他人提供个人信息、是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息。
——《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引》(征求意见稿)
提出了10个App在个人信息保护中出现的问题,包括超范围收集、默认选择同意、未提供删除渠道等。同时针对每个问题给出相应的防范建议。例如,App超范围收集个人信息的情况中,包括了收集无人信息、强制收集非必要个人信息、收集频率不合理等,本《指引》给出的方法包括,使用户可选择拒绝、遵循最小必要原则等。
——《信息安全技术 即时通信服务数据安全指南(征求意见稿)》
规定了即时通信服务可以收集、使用、交换、存储、传输、删除的数据种类、范围、方式、条件等。值得一提的是,还专门针对未成年人应用即时通信服务的保护措施,以及可能产生网络诈骗的个人信息安全作了相关规定。
专栏:适用于网络信息内容生产者、互联网信息服务提供者、公众账号信息平台的法规和标准
——《互联网信息服务管理办法》(修订草案征求意见稿)2021年1月公开征求意见
10年来首次修改,将互联网信息服务区分为属于经营电信业务与不属于经营电信业务,对于执法机构和分工给与了明确标准,对网络接入服务提供者的要求增多,对教育、新闻等领域要求更具体,及增加了一系列与网络安全、个人信息保护相关的规定。与现行法规和标准比较,大多修改都是在现有基础上提出进一步要求。
——《互联网用户公众账号信息服务管理规定》2017年9月发布
对公众账号信息服务平台及公众账号生产运营者提出了一系列要求。包括新增生态治理、数据保护、个人信息保护等平台主体责任。还针对账号分类注册、主体资质核验、打击网络谣言等问题新增多个条款。也要求公众账号信息服务平台加强对公众账号信息服务活动的监督管理,及时发现和处置违法违规信息或行为。
——《网络信息内容生态治理规定》2019年12月发布,2020年3月1日施行
明确了网络信息生产者、网络信息内容服务平台及网络信息服务使用者被鼓励发布、不得发布、以及应该防范的内容。此前相关规定主要出现在《互联网信息服务管理办法》中,而随着网络环境变化,网络诈骗、人肉搜索等新情况层数不穷。对《互联网信息服务管理办法》中的九项禁止性内容进行扩充,并明确将网络信息内容生产者、网络信息内容服务使用者一并纳入管理范围。《互联网信息服务管理办法》在2021年1月的征求意见稿中,也将九项禁止性内容进行扩充,与本规定相呼应。
