新闻详情

News

2022上半年网络与数据安全法律法规、行业政策、技术标准解读
行业动态
2022-07-15

2022年是《中华人民共和国网络安全法》正式施行的第五年。五年来我国密集发布网络安全、数据安全领域法规政策,建立等级保护、安全审查、密码测评、数据安全管理、个人信息保护等一批重要制度,逐步完善了我国安全法律体系,政策法规从“立”向“行”演进,为安全领域的技术发展和应用深化提供了指导和参考,筑牢国家数字安全屏障,为网络强国建设提供有力支撑。

图片



国家政策

《网络安全审查办法》

发布日期:2022月1月4日

网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。2月15日正式施行。

《互联网信息服务算法推荐管理规定》

发布日期:2022月1月4日

旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。

《要素市场化配置综合改革试点总体方案》

发布日期:2022年1月6日

明确提出要完善公共数据开放共享机制、建立健全数据流通交易规则、拓展规范化数据开发利用场景、加强数据安全保护。

《“十四五”数字经济发展规划》

发布日期:2022年1月12日

提出建立健全数据安全治理体系,研究完善行业数据安全管理政策。推动提升重要设施设备的安全可靠水平,增强重点行业数据安全保障能力。支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估。

《2022年政府工作报告》

发布日期:2022年3月5日

《政府工作报告》提到2022年重点工作,其中包含强化网络安全、数据安全和个人信息保护。并指出建设数字信息基础设施,逐步构建全国一体化大数据中心体系,推进5G规模化应用,促进产业数字化转型,发展智慧城市、数字乡村。

《深入推进IPv6规模部署和应用2022年工作安排》

发布日期:2022年4月25日

《工作安排》部署了十个方面重点任务,包括强化网络承载能力、提升终端支持能力、优化应用设施性能、强化安全保障、加强统筹协调等。在安全保障方面,要求加快IPv6安全关键技术研发和应用、提升IPv6网络安全防护和监测预警能力、加强IPv6网络安全管理和监督检查。

《关于推进实施国家文化数字化战略的意见》

发布日期:2022年5月22日

在数据采集加工、交易分发、传输存储及数据治理等环节,制定文化数据安全标准,强化中华文化数据库数据入库标准,构建完善的文化数据安全监管体系,完善文化资源数据和文化数字内容的产权保护措施。

《关于构建数据基础制度更好发挥数据要素作用的意见》

发布日期:2022年6月22日

会议强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。

《关于加强数字政府建设的指导意见》

发布日期:2022年6月23日

《意见》明确了七方面重点任务,在构建数字政府全方位安全保障体系方面,全面强化数字政府安全管理责任,落实安全管理制度,加快关键核心技术攻关,加强关键信息基础设施安全保障,强化安全防护技术应用,提高自主可控水平,切实筑牢数字政府建设安全防线。 

《互联网用户账号信息管理规定》

发布日期:2022年6月27日

提出要建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。

《个人信息出境标准合同规定(征求意见稿)》

发布日期:2022年6月30日

明确个人信息处理者向境外提供个人信息的应当依据标准合同开展个人信息出境活动,依法保障个人信息有序自由流动。


地方政策

上海市《企业数据合规指引》

日期:2022年1月26日

鼓励各类企业设置专门的数据合规管理部门,而不是由法务部门履行合规管理职能。明确不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。明确不得使用风险不可控的开源软件开发工具包等工具。

《福建省大数据发展条例》

日期:2022年2月1日

规定明示数据采集目的、方式和范围,并经被采集者同意。开展涉及个人信息的数据活动,应当对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。

《广东省公共数据安全管理办法(二次征求意见稿)》

日期:2022年2月7日

要求制定公共数据分类分级指南,明确分类分级的原则和规则等,特别是重要数据、核心数据的识别及分级保护规则。

《山东省公共数据开放办法》

日期:2022年2月9日

要求公共数据提供单位建立本单位公共数据安全保护制度,采取相应的技术措施和其他必要措施,保障公共数据安全。

《黑龙江省促进大数据发展应用条例(草案修改稿征求意见稿)》

日期:2022年2月11日

明确从事数据处理活动的单位应当履行建立健全全流程数据安全管理制度;制定数据安全事件应急预案,定期开展风险评估和应急演练等活动;采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改等。

《浙江省公共数据条例》

日期:2022年3月1日

公共数据安全实行谁收集谁负责、谁使用谁负责、谁运行谁负责的责任制。公共数据主管部门、公共管理和服务机构的主要负责人是本单位数据安全工作的**责任人。加强公共数据全生命周期安全和合法利用管理,防止数据被非法获取、篡改、泄露、损毁或者不当利用。

《河南省数据条例(草案)》(征求意见稿)

日期:2022年3月7日

按照“一数一源、一源多用”收集公共数据,安装图像采集、个人身份识别设备,应当为维护公共安全所必需。公共管理和服务机构应当强化数据安全组织和人才力量,采取多种方式培养数据安全专业人才。

《四川省大数据发展条例(草案征求意见稿)》

日期:2022年3月23日

《条例》为了促进大数据有序健康发展,发挥数据要素作用,赋能经济社会发展,提升治理能力和水平,加快数字四川建设。

《新疆维吾尔自治区关键信息基础设施安全保护条例》

日期:2022年3月25日

适用于自治区行政区域内关键信息基础设施的安全保护和监督管理工作。自2022年6月15日起施行。

《重庆市数据条例》

日期:2022年3月30日

明确数据安全是数据管理的底线,完善数据处理规则,建立健全数据处理规则和数据安全体系,衔接和落实个人信息保护法、数据安全法的相关规定。

《广西壮族自治区大数据发展条例(征求意见稿)》

日期:2022年4月15日

为了规范数据处理活动,保障数据安全,促进数据开发利用,保护自然人、法人、非法人组织的合法权益,加快培育统一的技术和数据市场,推进数字广西建设,推动数字经济发展。

《北京市数字经济促进条例(征求意见稿)》

日期:2022年5月7日

《条例》涉及数字基础设施、数据资源、数字产业化、产业数字化、数字化治理、数字经济安全和保障措施等内容。在数字经济安全方面,明确了各主体的数据安全责任,提出构建跨领域、跨部门、政企合作的安全风险联防联控机制。

《河北省数字经济促进条例》

日期:2022年5月27日

主要围绕数字基础设施建设、数据资源开发利用、数字产业化、产业数字化、数字化治理、京津冀数字经济协同发展、保障和监督等方面作出规范。该条例将于2022年7月1日起施行。

《江苏省数字经济促进条例》

日期:2022年5月31日

为了推动数字经济与实体经济深度融合,推进数据要素依法有序流动,保障数据安全,建设数字经济强省,促进经济高质量发展。

《辽宁省大数据发展条例》

日期:2022年5月31日

《条例》为了充分挖掘数据资源,发挥数据效用,加快大数据发展,建设数字辽宁、智造强省。


上海市《企业数据合规指引》

日期:2022年1月26日

鼓励各类企业设置专门的数据合规管理部门,而不是由法务部门履行合规管理职能。明确不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。明确不得使用风险不可控的开源软件开发工具包等工具。

行业政策

金融


《证券期货业网络安全管理办法(征求意见稿)》

日期:2022年4月29日

《办法》主要包括证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面内容。


《银行保险监管统计管理办法(征求意见稿)》

日期:2022年5月19日

《征求意见稿》在职责范围、统计资料管理制度、监督检查中增加了涉及数据安全保护的监管内容,明确提出监管统计工作有关保密要求。

电力


《2022年电力安全监管重点任务》

日期:2022年3月3日

《任务》强调要做好电力安全日常监管工作,进“明目”“赋能”“强基”三大行动,加快网络安全态势感知平台建设,组织开展网络安全实战演习,评估遴选一批电力行业网络安全分靶场,组织开展关键信息基础设施安全保护监督检查,建立电力行业网络安全等级保护体系。


《电力可靠性管理办法(暂行)》

日期:2022年4月16日

规定电力企业应当落实网络安全保护责任,健全网络安全组织体系,设立专门的网络安全管理及监督机构,加快各级网络安全专业人员配备。自2022年6月1日起施行。


《电力行业网络安全管理办法(修订征求意见稿)》

日期:2022年6月14日

电力企业应当按照电力监控系统安全防护规定、国家网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全保护制度及网络安全审查工作机制的要求,对本单位的网络与信息系统进行安全保护,并将网络安全纳入安全生产管理体系。

交通


《关于进一步加强新能源汽车企业安全体系建设的指导意见》

日期:2022年4月8日

提出完善安全管理机制,加强安全教育培训。强调健全网络安全保障体系,加强网络安全防护、强化数据安全保护、落实个人信息安全防护。


《车联网网络安全和数据安全标准体系建设指南》

日期:2022年3月7日

提出到2023年底初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,到2025年形成较为完善的车联网网络安全和数据安全标准体系,支撑车联网产业安全健康发展。 

工业互联网


《工业互联网专项工作组2022年工作计划》

日期:2022年4月13日

提出要提升安全保障,健全完善工业互联网安全管理制度,组织开展工业互联网深度行活动,强化网络安全技术保障能力。

司法


《最高人民法院关于加强区块链司法应用的意见》

日期:2022年5月25日

明确人民法院加强区块链司法应用总体要求及人民法院区块链平台建设要求,提出运用区块链数据防篡改技术提升司法公信力,保障司法数据安全、操作合规。

医药


《药品监管网络安全与信息化建设“十四五”规划》

日期:2022年5月11日

《规划》重点提及要“完善网络安全防护与信息安全建设”,并进一步提出要“夯实网络安全综合保障能力” ,完善网络安全保障体系,健全网络安全管理制度,开展信息系统安全等级保护备案与信息安全等级保护测评、关键信息基础设施安全保护、密码应用安全性评估等工作。


技术标准

《数字化车间信息安全要求》GB/T 41260-2022

本文件规定了数字化车间信息安全总则、管理要求和技术要求等。适用于针对数字化车间的工程设计、设备生产、系统集成、生产运维、安全评估等信息安全活动。

《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》GB/T 20278-2022

本文件规定了网络脆弱性扫描产品的安全技术要求和测试评价方法。适用于脆弱性扫描产品的设计、开发与测试。

《信息安全技术 重要工业控制系统网络安全防护导则》GB/Z 41288-2022

本文件规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求,以建立重要工业控制系统的网络安全防护体系。适用于重要工业控制系统的规划设计、研究开发、运行管理、升级改造等阶段,其他业务系统也可参考使用。

《信息安全技术 移动互联网安全审计指南》GB/Z 41290-2022

本文件提供了移动互联网安全审计活动角色职责、审计范围、审计内容等方面的指导和建议,给出了安全审计活动的框架、功能任务及其具体内容等信息。适用于移动互联网安全审计的相关活动。


《信息安全技术 工业控制系统信息安全防护能力成熟度模型》GB/T 41400-2022

本文件给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设,以及对组织工业控制系统信息安全防护能力成熟度等级进行核验。

《信息安全技术 信息安全风险评估方法》GB/T 20984-2022

本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。适用于各类组织开展信息安全风险评估工作。

《信息安全技术 智能家居通用安全规范》GB/T 41387-2022

本文件规定了智能家居安全通用技术要求和对应测试评价方法。适用于智能家居产品的安全设计和实现,智能家居的安全测试和管理也可参照使用。

《信息安全技术 智能家居通用安全规范》GB/T 41387-2022

本文件规定了智能家居安全通用技术要求和对应测试评价方法。适用于智能家居产品的安全设计和实现,智能家居的安全测试和管理也可参照使用。

《信息安全技术 SM9密码算法使用规范》GB/T 41389-2022

本文件规定了SM9密码算法的使用要求,描述了密钥、加密与签名的数据格式。适用于SM9密码算法的正确和规范使用,以及指导SM9密码算法的设备和系统的研发和检测。

《信息安全技术 可信执行环境 基本安全规范》GB/T 41388-2022

本文件确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。适用于指导可信执行环境系统的设计、生产及测试。

《信息安全技术 可信执行环境 基本安全规范》GB/T 41388-2022

本文件确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。适用于指导可信执行环境系统的设计、生产及测试。

《信息安全技术 政务网站系统安全指南》GB/T 31506-2022

本文件给出了在对政务网站系统实施安全防护时可采取的安全技术措施和安全管理措施。适用于指导政务部门开展网站系统安全防护工作,也可作为对政务网站系统实施安全监督管理和评估检查时的参考。

《信息安全技术 信息安全服务 分类与代码》GB/T 30283-2022

本文件描述了信息安全服务的分类与代码,主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理和存储类、信息安全测评与认证类及其他类七个方面。适用于信息安全服务提供方和信息安全服务需求方使用,也可供其他相关方参考。

《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》GB/T 41391-2022

本文件规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。适用于App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。

《信息安全技术 网络数据处理安全要求》GB/T 41479-2022

本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估。

《信息安全技术 安全处理器技术要求》GB/T 40653-2021

本文件规定了安全处理器的安全功能要求和安全保障要求。适用于安全处理器设计、生产和应用。

《信息安全技术 恶意软件事件预防和处理指南》GB/T 40652-2021

本文件针对恶意软件事件的预防和处理过程给出了进一步指南。适用于计算机系统管理人员、网络管理人员、安全事件响应小组等预防和处理恶意软件事件。

《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》GB/T 40813-2021

本文件规定了工业控制系统安全防护技术要求、保障要求和测试评价方法。适用于工业控制系统建设、运营、维护等。

《信息安全技术 实体鉴别保障框架》GB/T 40651-2021

本文件确立了实体鉴别的保障框架,规定了各参与方角色的职责、实体鉴别的主要流程环节以及实体鉴别保障等级的类别和等级划分原则,并规定了实体鉴别保障所需的管理要求。适用于实体鉴别服务的安全测试和评估,并为其他实体身份鉴别相关标准的制定提供依据和参考。

《信息安全技术 互联网信息服务安全通用要求》GB/T 40645-2021

本文件规定了互联网信息服务的安全通用要求,包括安全技术要求和安全保障要求。适用于互联网信息服务提供者开展互联网信息服务安全建设和安全评估,包括安全管理制度和技术保障措施等。

《信息安全技术 网络入侵检测系统技术要求和测试评价方法》GB/T 20275-2021

本文件规定了网络入侵检测系统的安全技术要求和测试评价方法。适用于网络入侵检测系统的设计、开发与测评。