圍繞《網(wǎng)絡(luò)安全法》的基本框架�����,2020年��,國家網(wǎng)信辦�、工信部�����、公安部�����、市場監(jiān)管總局、中國人民銀行以及國家標準化管理委員會等部門相繼發(fā)布了《網(wǎng)絡(luò)安全法》的相關(guān)配套規(guī)定和標準���。
《網(wǎng)絡(luò)安全法》作為我國網(wǎng)絡(luò)安全的基本法��,設(shè)置了最基本的網(wǎng)絡(luò)安全制度框架��,包括關(guān)鍵信息基礎(chǔ)設(shè)施保護制度�����、網(wǎng)絡(luò)安全等級保護制度����、個人信息保護制度�、網(wǎng)絡(luò)信息內(nèi)容管理制度、網(wǎng)絡(luò)產(chǎn)品和服務(wù)管理制度��、網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)制度等�����。這些制度設(shè)計相對比較原則和簡單�,需要出臺一系列的配套規(guī)定予以支撐和落實。圍繞《網(wǎng)絡(luò)安全法》的基本框架�����,2020年�,國家網(wǎng)信辦、工信部��、公安部���、市場監(jiān)管總局�、中國人民銀行以及國家標準化管理委員會等部門相繼發(fā)布了《網(wǎng)絡(luò)安全法》的相關(guān)配套規(guī)定和標準����。
一、《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》正式施行
國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》(以下稱:《治理規(guī)定》)��,自2020年3月1日起正式施行����。《治理規(guī)定》集中體現(xiàn)了黨的十九屆四中全會《決定》中提出的“建立健全網(wǎng)絡(luò)綜合治理體系����,加強和創(chuàng)新互聯(lián)網(wǎng)內(nèi)容建設(shè)���,落實互聯(lián)網(wǎng)企業(yè)信息管理主體責任,全面提高網(wǎng)絡(luò)治理能力�,營造清朗的網(wǎng)絡(luò)空間。加強網(wǎng)絡(luò)生態(tài)治理�,培育積極健康、向上向善的網(wǎng)絡(luò)文化�����,有利于建立健全網(wǎng)絡(luò)綜合治理體系”的精神��,以網(wǎng)絡(luò)信息內(nèi)容為主要治理對象��,以營造文明健康的良好生態(tài)為目標�,突出了“政府、企業(yè)�、社會、網(wǎng)民”等多元主體參與網(wǎng)絡(luò)生態(tài)治理的主觀能動性����,重點規(guī)范網(wǎng)絡(luò)信息內(nèi)容生產(chǎn)者,網(wǎng)絡(luò)信息內(nèi)容服務(wù)平臺��,網(wǎng)絡(luò)信息內(nèi)容服務(wù)使用者以及網(wǎng)絡(luò)行業(yè)組織在網(wǎng)絡(luò)生態(tài)治理中的權(quán)利與義務(wù)����,這是我國網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理法治領(lǐng)域的一項里程碑事件,而且以“網(wǎng)絡(luò)信息內(nèi)容生態(tài)”作為網(wǎng)絡(luò)空間治理立法的目標�,這在全球也屬首創(chuàng)。
《治理規(guī)定》將“網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理”定義為�����,指政府�����、企業(yè)�����、社會����、網(wǎng)民等主體,以培育和踐行社會主義核心價值觀為根本�,以網(wǎng)絡(luò)信息內(nèi)容為主要治理對象,以建立健全網(wǎng)絡(luò)綜合治理體系���、營造清朗的網(wǎng)絡(luò)空間�����、建設(shè)良好的網(wǎng)絡(luò)生態(tài)為目標�����,開展的弘揚正能量�����、處置違法和不良信息等相關(guān)活動�����。
《治理規(guī)定》要求網(wǎng)絡(luò)信息內(nèi)容生產(chǎn)者應(yīng)當采取措施���,防范和抵制制作��、復(fù)制����、發(fā)布含有下列八類內(nèi)容的不良信息:
1.
使用夸張標題�,內(nèi)容與標題嚴重不符的信息內(nèi)容�����。“標題黨“是互聯(lián)網(wǎng)上利用各種頗具創(chuàng)意的標題吸引網(wǎng)友眼球�����,以達到各種目的�,其主要行為簡而言之即發(fā)帖的標題嚴重夸張,帖子內(nèi)容通常與標題完全無關(guān)或聯(lián)系不大��,諸如震驚����、驚爆、重磅�、罕見、深度好文�、轟動全國、絕密偷拍的字眼���。筆者在網(wǎng)上搜索了類似“震驚13億中國人”���、“感動了中國13億人”��、“重磅”�����、“深度好文”等標題�����,其內(nèi)容與標題完全不符�,多數(shù)以夸張的�����、曲解的��、煽情的甚至無中生有的方式誤導網(wǎng)民���。
2.
炒作緋聞��、丑聞��、劣跡等信息內(nèi)容��。當前���,娛樂界炒作緋聞��、丑聞以及劣跡比比皆是�����,以明星緋聞八卦為噱頭,特別是通過明星和狗仔隊的配合來制造緋聞����、丑聞、劣跡的熱度�,這些低俗文化和行為愚弄了大眾、污染了網(wǎng)絡(luò)��、觸碰了法律����,必須依法治理。
3.
不當評述自然災(zāi)害��、重大事故等災(zāi)難的信息內(nèi)容���。我國地域廣��、人口密集�,自然災(zāi)害種類多,重大安全事故時有發(fā)生����。筆者注意到,每當自然災(zāi)害和重大安全事故等災(zāi)難發(fā)生時�����,總有一些沒有事實依據(jù)的評述����,不僅混淆了是非,而且給社會帶來極大的負面影響����,必須堅決予以抵制。
4.
帶有性暗示���、性挑逗等易使人產(chǎn)生性聯(lián)想的信息內(nèi)容����。為了吸引流量����,一些網(wǎng)絡(luò)平臺��,以文字���、語音、圖片���、視頻等方式進行帶有“性挑逗”����、“性暗示”的不良行為�,比如所謂的“文愛”��、“磕炮”等�����,這些信息內(nèi)容均帶有性暗示或性挑逗的潛淫穢內(nèi)容���,極容易使人產(chǎn)生性聯(lián)想���。
我國《刑法》對淫穢物品的定義是�,具體描繪性行為或者露骨宣揚色情的誨淫性的書刊����、影片、錄像�����、圖片等�,但是將有關(guān)人體生理、醫(yī)學知識的科學著作和包含有色情內(nèi)容的有藝術(shù)價值的文學�����、藝術(shù)作品排除在淫穢物品范圍之外�。
5.
展現(xiàn)血腥、驚悚��、殘忍等致人身心不適的信息內(nèi)容�。一些網(wǎng)絡(luò)內(nèi)容制作者為了騙取用戶的點力量,發(fā)布和展示血腥�����、驚悚、殘忍的圖片和視頻����,如有的網(wǎng)站發(fā)布大量令人不適的驚悚、血腥����、虐殺動物、畸形胎兒的圖片�,同時還兼有“標題黨”嫌疑,致人身心感到極大地不適�,尤其是對未成年的心理損害極其嚴重。
6.
煽動人群歧視����、地域歧視等的信息內(nèi)容。煽動是指慫恿��、鼓動人做壞事的行為�����,我們經(jīng)常在網(wǎng)上看到��,一些僅憑自己看到的只言片語就在網(wǎng)上傳播并發(fā)布地域歧視和人群歧視等過激言論����。如有一則“醫(yī)院多次醫(yī)療事故不能給公眾解釋”的網(wǎng)絡(luò)帖子,煽動當?shù)厝巳簩︶t(yī)生群體的歧視����,該發(fā)布者因涉嫌尋釁滋事被公安機關(guān)行政拘留10日。
7.
宣揚低俗��、庸俗�、媚俗內(nèi)容的信息內(nèi)容。主要是兩類信息內(nèi)容����,一是低俗的內(nèi)容,主要是指低級趣味�����、庸俗�����,使人萎靡�、頹廢的內(nèi)容;二是媚俗的信息內(nèi)容,主要是那些迎合于世俗����,缺乏自我思想�、自我理智��,只知隨波逐流��,蕓蕓眾生等�����,這些低俗��、庸俗�、媚俗的信息內(nèi)容與我國優(yōu)秀道德文化和時代精神格格不入,必須堅決抵制��。
8.
可能引發(fā)未成年人模仿不安全行為和違反社會公德行為����、誘導未成年人不良嗜好等的信息內(nèi)容。當前����,我國未成年人網(wǎng)民數(shù)量近1.7億���,智能手機成為未成年人上網(wǎng)的主要工具��,未成年人正處于青春躁動期���,有很強的求知欲望�,他們對網(wǎng)絡(luò)發(fā)布的一些不安全和違反公德的信息內(nèi)容鑒別力很弱�、自控能力較差,很容易在模仿后導致惡性事件的發(fā)生�,未成年人模仿網(wǎng)絡(luò)不良行為已經(jīng)成為威脅青少年網(wǎng)絡(luò)安全的主要因素。
二�、《信息安全技術(shù) 個人信息安全規(guī)范》正式實施
2020年3月6日,國家市場監(jiān)督管理總局�����、國家標準化管理委員會發(fā)布的中華人民共和國國家標準公告(2020年第1號)��,全國信息安全標準化技術(shù)委員會歸口的GB/T
35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》正式發(fā)布����,并將于2020年10月1日實施。
本標準針對個人信息面臨的安全問題���,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律�����,嚴格規(guī)范個人信息在收集�����、存儲��、使用�、共享、轉(zhuǎn)讓與公開披露等信息處理環(huán)節(jié)中的相關(guān)行為�����,旨在遏制個人信息非法收集�����、濫用���、泄露等亂象����,最大程度的保護個人的合法權(quán)益和社會公眾利益�����。本標準適用于規(guī)范各類組織的個人信息處理活動,也適用于主管監(jiān)管部門�、第三方評估機構(gòu)等組織對個人信息處理活動進行監(jiān)督、管理和評估�。
本標準按照GB/T1.1—2009給出的規(guī)則起草,代替GB/T35273—2017《信息安全技術(shù)
個人信息安全規(guī)范》���。相比GB/T35273—2017���,此標準除了授權(quán)同意、賬戶注銷����、實現(xiàn)個人信息主體自主意愿的方法等內(nèi)容的修改外,還新增了多項業(yè)務(wù)功能的自主選擇���、用戶畫像����、個性化展示����、個人信息匯聚融合���、個人信息安全工程、第三方接入管理等相關(guān)要求�����。新標準的主要變化如下:
1. 刪除了原有的“不得收集法律法規(guī)明令禁止收集的個人信息”的要求(見5.1);
2. 選擇同意原則下���,新增要求“多項業(yè)務(wù)功能的自主選擇”(見5.3);
當產(chǎn)品或服務(wù)提供多項需收集個人信息的業(yè)務(wù)功能時��,個人信息控制者不應(yīng)違背個人信息主體的自主意愿���,強迫個人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個人信息收集請求”。
3.
新增關(guān)于收集人生物識別信息的要求�����,《規(guī)范》規(guī)定在收集個人生物識別信息前�����,應(yīng)單獨向個人信息主體告知收集�����、使用個人生物識別信息的目的、方式和范圍����,以及存儲時間等規(guī)則�����,并征得個人信息主體的明示同意�。
對于生物識別信息的存儲,《規(guī)范》也提出了具體的解決措施���。1)個人生物識別信息要與個人身份信息分開存儲;2)原則上不應(yīng)存儲原始個人生物識別信息�����,可采取的措施包括但不限于:僅存儲個人生別信息的摘要信息;在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別��、認證等功能;在使用面部識別特征����、指紋����、掌紋�����、虹膜等實現(xiàn)識別身份����、認證等功能后刪除可提取個人生物識別信息的原始圖像���。
4.
在目的明確原則下�,新增要求“如產(chǎn)品或服務(wù)僅提供一項收集���、使用個人信息的業(yè)務(wù)功能時���,個人信息控制者可通過隱私政策的形式,實現(xiàn)向個人信息主體的告知;產(chǎn)品或服務(wù)提供多項收集����、使用個人信息的業(yè)務(wù)功能的,除隱私政策外����,個人信息控制者宜在實際開始收集特定個人信息時,向個人信息主體提供收集、使用該個人信息的目的�、方式和范圍,以便個人信息主體在作出具體的授權(quán)同意前���,能充分考慮對其的具體影響”�����。
5. 在選擇同意原則下���,強調(diào)了“隱私政策的主要功能為公開個人信息控制者收集�����、使用個人信息范圍和規(guī)則����,不應(yīng)將其視為個人信息主體要求簽訂的合同”。
6.
確保安全原則下�����,新增多項要求:一是將個人生物識別信息的原始信息和摘要分開存儲的技術(shù)要求(見5.4);二是在信息系統(tǒng)自動決策機制的使用中定期(至少每年一次)開展個人信息安全影響評估����,并依評估結(jié)果采取有效的保護個人信息主體的措施�����、向個人信息主體提供針對自動決策結(jié)果的申訴渠道�,并對自動決策結(jié)果進行人工復(fù)核;三是明確組織應(yīng)為個人信息保護負責人和個人信息保護工作機構(gòu)提供必要的資源�����,保障其獨立履行職責��。如采用公布投訴�����、舉報方式等信息并及時受理投訴舉報��、與監(jiān)督��、管理部門保持溝通��,通報或報告?zhèn)€人信息保護和事件處置等情況等;四是要求組織記錄的內(nèi)容包括:所涉及個人信息的類型��、數(shù)量����、來源(例如從個人信息主體直接收集或通過間接獲取方式獲得);五是根據(jù)業(yè)務(wù)功能和授權(quán)情況區(qū)分個人信息的處理目的����、使用場景�����,以及委托處理����、共享、轉(zhuǎn)讓�、公開披露�、是否涉及出境等情況。
7.
在最少夠用的原則下��,新增多項要求:1)要求了用戶個人畫像的特征描述不能為“淫穢��、色情����、賭博、迷信��、恐怖、暴力”;業(yè)務(wù)運營或?qū)ν鈽I(yè)務(wù)合作中使用用戶畫像不能侵害保護公民���、法人和其他組織的合法權(quán)益�,不能危害國家安全����、榮譽和利益;2)除為達到主體授權(quán)同意的使用目的所必需外,使用個人信息時應(yīng)消除明確身份指向性��,避免精確定位到特定個人;3)在向主體推送新聞信息服務(wù)的過程中使用個性化展示時應(yīng):顯著區(qū)分個性化推送服務(wù)�����,如標明“個性化展示”或“定推”等字樣���,為主體提供簡單直觀的退出或關(guān)閉個性化展示模式的選項;4)電子商務(wù)經(jīng)營者根據(jù)消費者的興趣愛好���、消費習慣等特征向其提供商品或者服務(wù)搜索結(jié)果的個性化展示的,應(yīng)當同時向該消費者提供不針對其個人特征的選項;5)在向主體提供業(yè)務(wù)功能的過程中�����,如使用個性化展示時��,建立個人信息主體對個性化展示所依賴的個人信息(如標簽、畫像維度等)的自主控制機制�,保障個人信息主體調(diào)控個性化展示相關(guān)程度的能力;6)當個人信息主體選擇退出個性化展示模式時,應(yīng)向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項����。
8.
在公開透明原則的原則下,新增要求應(yīng)向主體提供查詢方法�����,能讓主體知曉持有的個人信息的類型;上述個人信息的來源�、所用于的目的;已經(jīng)獲得上述個人信息的第三方身份或類型;宜直接在產(chǎn)品或服務(wù)提供的功能界面中(例如應(yīng)用程序可設(shè)置專門的選項、功能�����、界面等)設(shè)置相應(yīng)的機制��,便于個人信息主體在線行使其訪問���、更正、刪除���、撤回授權(quán)同意��、注銷賬戶等權(quán)利��。
9.
新增的其他要求包括:應(yīng)承擔第三方接入管理;收集年滿14周歲未成年人的個人信息前�,應(yīng)征得未成年人或其監(jiān)護人的明示同意;不滿14周歲的,應(yīng)征得其監(jiān)護人的明示同意等���。
三�����、《網(wǎng)絡(luò)安全標準實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個人信息自評估指南(征求意見稿)》公開征求意見
為落實《網(wǎng)絡(luò)安全法》相關(guān)要求��,圍繞中央網(wǎng)信辦���、工信部、公安部�、市場監(jiān)管總局聯(lián)合制定的《App違法違規(guī)收集使用個人信息行為認定方法》,基于App專項治理工作組發(fā)布的《App違法違規(guī)收集使用個人信息自評估指南》����,全國信息安全標準化技術(shù)委員會秘書處組織編制了《網(wǎng)絡(luò)安全標準實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個人信息自評估指南》(以下簡稱《實踐指南》),并于2020年7月22日公開征求意見�。《實踐指南》歸納總結(jié)了App收集使用個人信息的六項評估點�,供App運營者自評估參考使用���,小程序、快應(yīng)用等運營者也可參考其中的適用條款進行自評估�。
評估點一:是否公開收集使用個人信息的規(guī)則。重點落實《網(wǎng)絡(luò)安全法》第41條規(guī)定�,網(wǎng)絡(luò)運營者收集、使用個人信息�,
應(yīng)當公開收集、使用規(guī)則�����?!断M者權(quán)益保護法》第29條規(guī)定,經(jīng)營者收集���、使用消費者 個人信息���,“應(yīng)當公開其收集、使用規(guī)則”;
評估點二:是否明示收集使用個人信息的目的����、方式和范圍�����。重點落實《網(wǎng)絡(luò)安全法》第41條規(guī)定,網(wǎng)絡(luò)運營者收集��、使用個人信息�,
應(yīng)當公開收集、使用規(guī)則��?����!断M者權(quán)益保護法》第29條規(guī)定�,經(jīng)營者收集、使用消費者個人信息���,“應(yīng)當公開其收集���、使用規(guī)則”;
評估點三:收集使用個人信息是否征得用戶同意。重點落實《網(wǎng)絡(luò)安全法》第41條規(guī)定網(wǎng)絡(luò)運營者收集���、使用個人信息���,
應(yīng)“經(jīng)被收集者同意”且“不得違反法律��、行政法規(guī)的規(guī)定和雙方的約 定收集�����、使用個人信息”����?�!断M者權(quán)益保護法》第29條規(guī)定經(jīng)營者收集�、使用消費者個
人信息,應(yīng)“經(jīng)消費者同意”且“不得違反法律����、法規(guī)的規(guī)定和雙方的 約定收集、使用信息”���,“經(jīng)營者未經(jīng)消費者同意或者請求����,或者消
費者明確表示拒絕的�,不得向其發(fā)送商業(yè)性信息;
評估點四:是否遵循必要原則,僅收集與其提供的服務(wù)直接相關(guān)的個人信息,比如是否收集與業(yè)務(wù)功能無關(guān)的個人信息��,包括不應(yīng)收集與業(yè)務(wù)功能無關(guān)的個人信息以及不應(yīng)申請打開與業(yè)務(wù)功能無關(guān)的可收集個人信息的權(quán)限等;
評估點五:是否未經(jīng)同意向他人提供個人信息�����,比如向他人提供個人信息前是否征得用戶同意���,App是否存在從客戶端直接向第三方發(fā)送個人信息的情形,包括通過App客戶端嵌入第三方代碼�����、插件(如SDK)等方式��,應(yīng)事先征得用戶同意�,經(jīng)匿名化處理的除外等;
評估點六:是否按法律規(guī)定提供刪除或更正個人信息功能,或公布投訴�、舉報方式等信息
比如是否提供有效的注銷用戶賬號功能,是否提供有效的更正或刪除個人信息����,是否建立并公布個人信息安全投訴、舉報渠道等����。
四�、全國信安標委發(fā)布《信息安全技術(shù) 個人信息告知同意指南(征求意見稿)》
2020年1月�����,全國信息安全標準化技術(shù)委員會發(fā)布《關(guān)于國家標準<信息安全技術(shù)
個人信息告知同意指南>征求意見稿征求意見的通知》�,就個人信息告知同意國家標準(以下稱《告知同意指南》)征求意見。該征求意見稿包括告知同意的適用情形�、免于告知同意的情形、告知同意的基本原則���、告知�、同意等部分�,并在附錄中詳細列舉了未成年人、SDK(軟件開發(fā)工具包)��、個性化推薦��,以及互聯(lián)網(wǎng)金融���、網(wǎng)上購物等場景下的具體情形�����。
關(guān)于“告知”的基本原則包括公開透明��、逐一傳達����、同步實時�����、真實準確�、具體明確、清晰易懂;根據(jù)不同的場景�,告知方式可以采用彈窗、文字說明��、短信����、郵件、電話等�。征求意見稿要求,當告知的時間點和收集個人信息的時間點相差很大時��,建議個人信息控制者在進一步收集個人信息之前再次告知���?����!吨改稀芬?���,個人信息控制者應(yīng)當避免告知的頻率過高,對個人信息主體造成不必要的打擾�。
五、國家網(wǎng)信辦等十二部門發(fā)布《網(wǎng)絡(luò)安全審查辦法》
2020年4月13日��,國家互聯(lián)網(wǎng)信息辦公室��、國家發(fā)改委等12個部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(以下簡稱《辦法》)�,該辦法自2020年6月1日起實施?���!掇k法》明確指出,關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)��,影響或可能影響國家安全的�����,應(yīng)當進行網(wǎng)絡(luò)安全審查。根據(jù)《辦法》第九條的規(guī)定�,網(wǎng)絡(luò)安全審查重點評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風險,主要考慮以下因素:一是產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制����、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取���、泄露��、毀損的風險;三是產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;四是產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)�、部門規(guī)章情況;五是其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素。
《辦法》進一步明確了審查內(nèi)容�����,包括:產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制���、遭受干擾或破壞��,以及重要數(shù)據(jù)被竊取�、泄露�、毀損的風險;產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;產(chǎn)品和服務(wù)的安全性�、開放性��、透明性���、來源的多樣性�����,供應(yīng)渠道的可靠性以及因為政治����、外交��、貿(mào)易等因素導致供應(yīng)中斷的風險;產(chǎn)品和服務(wù)提供者遵守中國法律�����、行政法規(guī)��、部門規(guī)章情況;其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素�。
六、中國人民銀行發(fā)布《個人金融信息保護技術(shù)規(guī)范》
2020年2月13日��,中國人民銀行正式發(fā)布了《個人金融信息保護技術(shù)規(guī)范》(JR/T
0171—2020)金融行業(yè)標準��。《個人金融信息保護技術(shù)規(guī)范》(以下簡稱:《規(guī)范》)由全國金融標準化技術(shù)委員會歸口管理��,由中國人民科技司提出并負責起草�。
個人金融信息是個人信息在金融領(lǐng)域圍繞賬戶信息、鑒別信息�、金融交易信息、個人身份信息����、財產(chǎn)信息、借貸信息等方面的擴展與細化�����,是金融業(yè)機構(gòu)在提供金融產(chǎn)品和服務(wù)的過程中積累的重要基礎(chǔ)數(shù)據(jù)��,也是個人隱私的重要內(nèi)容����。個人金融信息一旦泄露�����,不但會直接侵害個人金融信息主體的合法權(quán)益�、影響金融業(yè)機構(gòu)的正常運營�,甚至可能會帶來系統(tǒng)性金融風險��?����!兑?guī)范》規(guī)定了個人金融信息在收集�、傳輸、存儲����、使用、刪除��、銷毀等生命周期各環(huán)節(jié)的安全防護要求�����,從安全技術(shù)和安全管理兩個方面�����,對個人金融信息保護提出了規(guī)范性要求�。
《規(guī)范》的發(fā)布和實施,有助于規(guī)范金融業(yè)機構(gòu)個人金融信息保護工作��,提升金融數(shù)據(jù)風險防控能力,促進我國金融市場的健康發(fā)展;有助于提高金融機構(gòu)個人賬戶信息�、銀行卡信息安全管理水平,加大互聯(lián)網(wǎng)交易風險防控力度����,防范各類金融交易風險,切實維護金融穩(wěn)定��,保護金融消費者合法權(quán)益����。雖然《規(guī)范》在性質(zhì)上屬于推薦性標準,但作為第一部專門針對個人金融信息的行業(yè)標準�����,為金融業(yè)機構(gòu)建設(shè)個人金融信息保護架構(gòu)提供了體系化與專業(yè)化的參考標準���,同時也會成為未來金融領(lǐng)域數(shù)據(jù)隱私保護立法和執(zhí)法的重要參考。
七���、中國人民銀發(fā)布新版《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》
2020年2月5日����,新修訂的金融行業(yè)標準《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T
0068—2020)由中國人民銀行正式發(fā)布。標準規(guī)定了網(wǎng)上銀行系統(tǒng)安全技術(shù)要求�、安全管理要求、業(yè)務(wù)運營安全要求��,為網(wǎng)上銀行系統(tǒng)建設(shè)��、運營及測評提供了依據(jù)�����。標準適用于中華人民共和國境內(nèi)設(shè)立的商業(yè)銀行等銀行業(yè)金融機構(gòu)所運營的網(wǎng)上銀行系統(tǒng)����,其他金融機構(gòu)提供網(wǎng)上金融服務(wù)的業(yè)務(wù)系統(tǒng)宜參照本標準執(zhí)行。
本次標準修訂����,立足于移動互聯(lián)和云計算等新技術(shù)在網(wǎng)上銀行系統(tǒng)不斷深入應(yīng)用、手機銀行使用愈加廣泛的背景�,旨在應(yīng)對網(wǎng)上銀行系統(tǒng)信息安全出現(xiàn)的新形勢和新特點,防范新風險�����。本標準的發(fā)布實施,將有效增強現(xiàn)有網(wǎng)上銀行系統(tǒng)安全防范能力�,促進網(wǎng)上銀行規(guī)范、健康發(fā)展�。標準既可作為各單位網(wǎng)上銀行系統(tǒng)建設(shè)、改造升級以及開展安全檢查����、內(nèi)部審計的安全性依據(jù),也可作為行業(yè)主管部門��、專業(yè)檢測機構(gòu)進行檢查�����、檢測的依據(jù)���。
八���、《網(wǎng)絡(luò)安全標準實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)個人信息安全防范指引(征求意見稿)》公開征求意見
2020年3月30日,全國信息安全標準化技術(shù)委員會發(fā)布關(guān)于《網(wǎng)絡(luò)安全標準實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)個人信息安全防范指引(征求意見稿)》公開征求意見的通知��?���!兑苿踊ヂ?lián)網(wǎng)應(yīng)用程序(App)個人信息安全防范指引(征求意見稿)》(以下簡稱《防范指引》)給出了當前App個人信息保護合規(guī)的常見問題和防范策略,共包含十個常見問題����,每個問題下面包含若干情形和若干條防范策略。其中包含超范圍收集���、申請權(quán)限目的不明��、強制捆綁授權(quán)等等�����。
《防范指引》給出App超范圍收集個人信息的問題情形��,包括但不限于:
情形一:收集無關(guān)信息���。收集的個人信息類型或申請的系統(tǒng)權(quán)限與 App 提供的業(yè)務(wù)功能無關(guān)。例如未提供短信相關(guān)功能的
App 申請短信權(quán)限�����。
情形二:強制收集非必要信息��。因用戶不同意收集非必要個人信息或打開非必要權(quán)限��,App
拒絕提供業(yè)務(wù)功能。必要個人信息是指保障App業(yè)務(wù)功能正常運行所最少夠用的個人信息���,包括一旦缺少將導致 App
服務(wù)無法實現(xiàn)或無法正常運行的個人信息���,以及法律法規(guī)要求必須收集的個人信息。例如瀏覽器 App
強制索要位置權(quán)限收集個人位置信息����,用戶拒絕提供位置權(quán)限則無法使用App任何功能。
情形三:收集頻率不合理���。收集個人信息的頻率超出 App
業(yè)務(wù)功能實際需要����。例如酒店預(yù)訂App每1秒上傳一次用戶精確定位信息����。
該問題的防范策略,包括但不限于:
1.不收集與App所提供服務(wù)無關(guān)的個人信息��,不申請與App所提供服務(wù)無關(guān)的系統(tǒng)權(quán)限(即使用戶可選擇拒絕)���。
2.遵循最小必要原則��,僅收集/申請與 App 業(yè)務(wù)功能有直接關(guān)聯(lián)的個人信息類型/系統(tǒng)權(quán)限�。
3.App收集個人信息前向用戶明示收集信息的目的、方式和范圍���,并征得用戶同意,告知同意方式應(yīng)符合相關(guān)法律法規(guī)�、政策和標準的要求。
4.收集個人信息的頻率應(yīng)在 App 實現(xiàn)業(yè)務(wù)功能所必需的合理范圍內(nèi)��。
5.App盡量避免收集不可變更的設(shè)備唯一標識(如 IMEI 號�、MAC 地址等),用于保障網(wǎng)絡(luò)安全和運營安全的除外�。
6.App收集疫情聯(lián)防聯(lián)控所必需的個人信息堅持最小范圍原則,收集對象原則上限于確診者����、疑似者、密切接觸者等重點人群����,一般不針對特定地區(qū)的所有人群。
7.針對一些沒有高風險的區(qū)域��、場所或不涉及高風險人群�����,疫情防控App宜盡可能縮小身份登記的個人信息填寫范圍,達到可追溯的目的即可�����。例如���,收集個人信息可參考“前臺匿名�����,后臺實名”等方式�����,用戶可提供手機號����,無需填寫身份證號或上傳身份證圖片�。
九、公安部發(fā)布《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導意見》
2020年9月�����,公安部網(wǎng)絡(luò)安全保衛(wèi)局發(fā)布《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導意見》(以下稱:《指導意見》),《指導意見》確立了三項基本原則和四大工作目標:
(一)三項基本原則
1.
堅持分等級保護�����、突出重點��。根據(jù)網(wǎng)絡(luò)(包含網(wǎng)絡(luò)設(shè)施�、信息系統(tǒng)���、數(shù)據(jù)資源等)在國家安全�����、經(jīng)濟建設(shè)���、社會生活中的重要程度,以及其遭到破壞后的危害程度等因素�����,科學確定網(wǎng)絡(luò)的安全保護等級�,實施分等級保護、分等級監(jiān)管����,重點保障關(guān)鍵信息基礎(chǔ)設(shè)施和第三級(含第三級���、下同)以上網(wǎng)絡(luò)的安全。
2.
堅持積極防御�、綜合防護。按照法律法規(guī)和有關(guān)國家標準規(guī)范����,充分利用人工智能、大數(shù)據(jù)分析等技術(shù)����,積極落實網(wǎng)絡(luò)安全管理和技術(shù)防范措施,強化網(wǎng)絡(luò)安全監(jiān)測���、態(tài)勢感知�、通報預(yù)警和應(yīng)急處置等重點工作�,綜合采取網(wǎng)絡(luò)安全保護、保衛(wèi)�����、保障措施,防范和遏制重大網(wǎng)絡(luò)安全風險��、事件發(fā)生����,保護云計算、物聯(lián)網(wǎng)���、新型互聯(lián)網(wǎng)���、大數(shù)據(jù)、智能制造等新技術(shù)應(yīng)用和新業(yè)態(tài)安全���。
3.
堅持依法保護、形成合力���。依據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)規(guī)定����,公安機關(guān)依法履行網(wǎng)絡(luò)安全保衛(wèi)和監(jiān)督管理職責�,網(wǎng)絡(luò)安全行業(yè)主管部門(含監(jiān)管部門,下同)依法履行網(wǎng)絡(luò)安全主管��、監(jiān)管責任,強化和落實網(wǎng)絡(luò)運營者主體防護責任��,充分發(fā)揮和調(diào)動社會各方力量��,協(xié)調(diào)配合����、群策群力,形成網(wǎng)絡(luò)安全保護工作合力�。
(二)四大工作目標
1.
網(wǎng)絡(luò)安全等級保護制度深入貫徹實施。網(wǎng)絡(luò)安全等級保護定級備案�、等級測評、安全建設(shè)和檢查等基礎(chǔ)工作深入推進��。網(wǎng)絡(luò)安全保護“實戰(zhàn)化�、體系化、常態(tài)化”和“動態(tài)防御���、主動防御�、縱深防御��、精準防護����、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施得到有效落實,網(wǎng)絡(luò)安全保護良好生態(tài)基本建立�����,國家網(wǎng)絡(luò)安全綜合防護能力和水平顯著提升����。
2.
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度建立實施。關(guān)鍵信息基礎(chǔ)設(shè)施底數(shù)清晰����,安全保護機構(gòu)健全、職責明確���、保障有力�����。在貫徹落實網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,關(guān)鍵信息基礎(chǔ)設(shè)施涉及的關(guān)鍵崗位人員管理���、供應(yīng)鏈安全����、數(shù)據(jù)安全、應(yīng)急處置等重點安全保護措施得到有效落實��,關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力明顯增強����。
3.
網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力顯著提升?���?缧袠I(yè)、跨部門�、跨地區(qū)的立體化網(wǎng)絡(luò)安全監(jiān)測體系和網(wǎng)絡(luò)安全保護平臺基本建成,網(wǎng)絡(luò)安全態(tài)勢感知�、通報預(yù)警和事件發(fā)現(xiàn)處置能力明顯提高。網(wǎng)絡(luò)安全預(yù)案科學齊備����,應(yīng)急處置機制完善,應(yīng)急演練常態(tài)化開展��,網(wǎng)絡(luò)安全重大事件得到有效防范�、遏制和處置。
4.
網(wǎng)絡(luò)安全綜合防控體系基本形成��。網(wǎng)絡(luò)安全保護工作機制健全完善�����,黨委統(tǒng)籌領(lǐng)導、各部門分工負責��、社會力量多方參與的網(wǎng)絡(luò)安全工作格局進一步完善�。網(wǎng)絡(luò)安全責任制得到有效落實,網(wǎng)絡(luò)安全管理防范����、監(jiān)督指導和偵查打擊等能力顯著提升,“打防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系基本形成�����。
《指導意見》要求��,各單位����、各部門應(yīng)加強關(guān)鍵信息基礎(chǔ)設(shè)施安全的法律體系、政策體系���、標準體系、保護體系�����、保衛(wèi)體系和保障體系建設(shè),建立并實施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度���,在落實網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上�����,突出保護重點��,強化保護措施����,切實維護關(guān)鍵信息基礎(chǔ)設(shè)施安全����。
十、全國信安標委發(fā)布《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法(征求意見稿)》
2020年8月����,全國信息安全標準化技術(shù)委員會發(fā)布《信息安全技術(shù)
關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》(征求意見稿)。本文件給出了一種基于信息流的關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法���,為關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別工作提供參考��。
《關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》對關(guān)鍵信息基礎(chǔ)設(shè)施邊界的相關(guān)術(shù)語和定義做出了定義:
1.關(guān)鍵業(yè)務(wù)(critical business)
電信����、廣播電視、能源�、金融、交通運輸���、水利�、應(yīng)急管理�����、衛(wèi)生健康��、社會保障����、國防科技等行業(yè)和領(lǐng)域中一旦遭到破壞或者喪失功能,會嚴重危害國家安全���、經(jīng)濟安全���、社會穩(wěn)定、公眾健康和安全的業(yè)務(wù)����。
2.網(wǎng)絡(luò)設(shè)施(network facilities)
連接通信信息網(wǎng)絡(luò)(例如,互聯(lián)網(wǎng)����、物聯(lián)網(wǎng)、工控網(wǎng)��、專用網(wǎng)等)以及在上述網(wǎng)絡(luò)中對信息進行設(shè)計�、采集、整合����、處理、呈現(xiàn)�����、應(yīng)用��、存儲��、銷毀等操作的物理設(shè)備�����。
3.信息系統(tǒng)(information system)
由計算機軟硬件、網(wǎng)絡(luò)及其相關(guān)配套設(shè)備�����、信息資源等組成的����,按照一定規(guī)則對信息進行設(shè)計、采集��、整合���、處理����、呈現(xiàn)�、應(yīng)用、存儲��、銷毀等操作的人機系統(tǒng)�。(來源:GB/T
20986—2007,2.1,有修改)
4.關(guān)鍵信息基礎(chǔ)設(shè)施(critical information infrastructure)
支撐關(guān)鍵業(yè)務(wù)持續(xù)�、穩(wěn)定運行不可或缺的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)����。在形態(tài)構(gòu)成上���,可以是單個網(wǎng)絡(luò)設(shè)施����、信息系統(tǒng)�����,也可以是由多個網(wǎng)絡(luò)設(shè)施�、信息系統(tǒng)組成的集合。在本質(zhì)上��,屬于關(guān)鍵業(yè)務(wù)的信息化部分��,為關(guān)鍵業(yè)務(wù)提供信息化支撐��。
5.關(guān)鍵信息基礎(chǔ)設(shè)施元素(critical information infrastructure
element)
對構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)設(shè)施��、信息系統(tǒng)的統(tǒng)稱,是關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別的最小單元���。
6.關(guān)鍵業(yè)務(wù)信息(critical business information)
關(guān)鍵業(yè)務(wù)持續(xù)��、穩(wěn)定運行不可或缺的信息�����,是關(guān)鍵信息基礎(chǔ)設(shè)施元素對關(guān)鍵業(yè)務(wù)提供信息化支撐的橋梁和紐帶�����。關(guān)鍵信息基礎(chǔ)設(shè)施元素通過對關(guān)鍵業(yè)務(wù)信息進行設(shè)計���、采集、整合���、處理����、呈現(xiàn)�、應(yīng)用、存儲�、銷毀等操作����,支撐關(guān)鍵業(yè)務(wù)自動化���、智能化�、高效運行���。
7.關(guān)鍵業(yè)務(wù)信息流(critical business information flow)
關(guān)鍵業(yè)務(wù)信息從產(chǎn)生到終止,在整個生存周期內(nèi)的流動軌跡���,處于該流動軌跡上的網(wǎng)絡(luò)設(shè)施�、信息系統(tǒng)是關(guān)鍵信息基礎(chǔ)設(shè)施候選元素�����,經(jīng)關(guān)鍵性評估�����,一旦遭到攻擊���、喪失功能或者數(shù)據(jù)泄露會嚴重危害關(guān)鍵業(yè)務(wù)持續(xù)��、穩(wěn)定運行的網(wǎng)絡(luò)設(shè)施�����、信息系統(tǒng)列為關(guān)鍵信息基礎(chǔ)設(shè)施元素��。
8.關(guān)鍵信息基礎(chǔ)設(shè)施邊界(critical information infrastructure
boundary)
以關(guān)鍵業(yè)務(wù)為基礎(chǔ)����,由識別方法和關(guān)鍵信息基礎(chǔ)設(shè)施元素構(gòu)成,反映關(guān)鍵信息基礎(chǔ)設(shè)施元素與關(guān)鍵業(yè)務(wù)之間的支撐�、依賴關(guān)系以及關(guān)鍵信息基礎(chǔ)設(shè)施元素的分布、部署情況���,是開展保護��、審查����、應(yīng)急處置等工作的重要依據(jù)����。
《關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》確立了關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別的四項基本原則:
一是業(yè)務(wù)安全原則:CII的重要性不是指組成CII的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)很重要����,而是因為CII所支撐的關(guān)鍵業(yè)務(wù)非常重要���。CII一旦遭到攻擊、喪失功能或者數(shù)據(jù)泄露會嚴重危害關(guān)鍵業(yè)務(wù)正常運行����,進而危害國家安全、經(jīng)濟安全�����、社會穩(wěn)定��、公眾健康和安全�。因此����,CII邊界識別應(yīng)以保障關(guān)鍵業(yè)務(wù)安全為基本原則,將關(guān)鍵業(yè)務(wù)持續(xù)�、穩(wěn)定運行不可或缺的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)識別出來����,明確CII元素����、確定CII邊界�����。
注:例如����,2G移動通信網(wǎng)絡(luò)曾是國家重點保護目標,時至今日�,支撐2G移動通信業(yè)務(wù)的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)已失去了重點保護的意義���,因為2G移動通信業(yè)務(wù)已被3G��、4G通信業(yè)務(wù)所取代����。
二是整體性原則:隨著經(jīng)濟社會的不斷發(fā)展��,業(yè)務(wù)規(guī)模越來越大����,不同業(yè)務(wù)模塊�、子業(yè)務(wù)之間相互依賴��、彼此支撐�����,CII邊界識別應(yīng)注重關(guān)鍵業(yè)務(wù)的整體性���,確保關(guān)鍵業(yè)務(wù)的完整性����,避免遺漏�����。此外����,跨行業(yè)���、跨領(lǐng)域已是普遍現(xiàn)象�����,涉及多個運營者的�,應(yīng)加強信息共享和聯(lián)動協(xié)調(diào),確保CII邊界識別是從保障整個關(guān)鍵業(yè)務(wù)安全的角度開展�。
注:例如,導航業(yè)務(wù)涉及到衛(wèi)星�����、通信鏈路和直接向用戶提供導航服務(wù)的三個部分����,且每部分由不同的運營者負責經(jīng)營。每個運營者在開展CII邊界識別時����,首先應(yīng)確保自身經(jīng)營業(yè)務(wù)的完整,還應(yīng)注重整體協(xié)調(diào)��,從保障整個導航業(yè)務(wù)持續(xù)����、穩(wěn)定的角度考慮。
三是重要性原則:在CII運營者所有網(wǎng)絡(luò)設(shè)施���、信息系統(tǒng)中����,有些網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)對關(guān)鍵業(yè)務(wù)的持續(xù)��、穩(wěn)定運行是至關(guān)重要的�����,有些網(wǎng)絡(luò)設(shè)施����、信息系統(tǒng)僅僅是比較重要的,甚至有一些網(wǎng)絡(luò)設(shè)施��、信息系統(tǒng)對關(guān)鍵業(yè)務(wù)是無關(guān)緊要的����,因此,開展CII邊界識別應(yīng)聚焦一旦遭到破壞�、喪失功能或者發(fā)生數(shù)據(jù)泄露,會嚴重危害關(guān)鍵業(yè)務(wù)持續(xù)�、穩(wěn)定運行的網(wǎng)絡(luò)設(shè)施�、信息系統(tǒng),嚴格控制范圍���。
四是動態(tài)識別原則:CII與關(guān)鍵業(yè)務(wù)之間的支撐����、依賴關(guān)系是動態(tài)的,而非靜態(tài)的��。CII邊界識別應(yīng)采用動態(tài)工作方式���,及時更新CII邊界信息�����。
當CII運營者的組織結(jié)構(gòu)��、業(yè)務(wù)架構(gòu)�、從屬關(guān)系等發(fā)生重大調(diào)整時����,應(yīng)及時實施邊界識別工作,確保CII邊界及時調(diào)整���。
十一�、全國信安標委發(fā)布《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全規(guī)范(征求意見稿)》
2020年8月,全國信息安全標準化技術(shù)委員會秘書處發(fā)布《信息安全技術(shù)
網(wǎng)絡(luò)數(shù)據(jù)處理安全規(guī)范》(征求意見稿)�����,《網(wǎng)絡(luò)數(shù)據(jù)處理安全規(guī)范》規(guī)定了網(wǎng)絡(luò)運營者利用網(wǎng)絡(luò)開展數(shù)據(jù)收集�、存儲、使用��、加工���、傳輸����、提供��、公開等數(shù)據(jù)處理活動應(yīng)遵循的規(guī)范和安全要求���。
本規(guī)范適用于網(wǎng)絡(luò)運營者規(guī)范數(shù)據(jù)處理活動��,提高數(shù)據(jù)安全管理和個人信息保護水平����,也適用于主管監(jiān)管部門對網(wǎng)絡(luò)運營者數(shù)據(jù)處理活動進行監(jiān)督管理�,同時還可為第三方評估機構(gòu)開展相關(guān)評估工作提供指導�����。
《網(wǎng)絡(luò)數(shù)據(jù)處理安全規(guī)范》對與網(wǎng)絡(luò)數(shù)據(jù)處理有關(guān)的術(shù)語和定義做出了規(guī)定:
1. 數(shù)據(jù)(data):本文件所稱數(shù)據(jù)是指網(wǎng)絡(luò)數(shù)據(jù),即通過網(wǎng)絡(luò)處理和產(chǎn)生的各種電子數(shù)據(jù)����,如個人信息、重要數(shù)據(jù)等�����。
2. 網(wǎng)絡(luò)運營者(network operator):網(wǎng)絡(luò)的所有者����、管理者和網(wǎng)絡(luò)服務(wù)提供者。
3. 個人信息(personal information):以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息�。
注:個人信息包括自然人的姓名、出生日期�、身份證件號碼、生物識別信息����、住址、電話號碼���、電子郵箱���、健康信息���、行蹤信息等。
4. 個人敏感信息(personal sensitive
information):一旦泄露���、非法提供或者濫用可能危害人身和財產(chǎn)安全����,極易導致個人名譽�����、身心健康受到損害或者歧視性待遇等的個人信息�。
注:個人敏感信息包括自然人的身份證件號碼、生物識別信息���、銀行賬號���、通信記錄和內(nèi)容、財產(chǎn)信息����、征信信息�����、行蹤信息�����、住址、健康信息��、交易信息��、14
歲以下(含)兒童的個人信息等�����。
5. 個人信息主體(personal data subject):個人信息能夠識別或者關(guān)聯(lián)到的自然人����。
6. 重要數(shù)據(jù)(key
data):一旦泄露可能直接影響國家安全、公共安全��、經(jīng)濟安全和社會穩(wěn)定的數(shù)據(jù)�����,包括未公開的政府信息,數(shù)量達到一定規(guī)模的基因�、地理、礦產(chǎn)信息等�����,原則上不包括個人信息�����、企業(yè)內(nèi)部經(jīng)營管理信息等�。
7. 數(shù)據(jù)提供方(data provider):數(shù)據(jù)處理活動中提供數(shù)據(jù)的組織或者個人。
8. 數(shù)據(jù)接收方(data receiver):數(shù)據(jù)處理活動中接收數(shù)據(jù)的組織或者個人�����。
9. 第三方應(yīng)用(third party
application):由第三方提供的產(chǎn)品或者服務(wù)�,以及被接入或者嵌入網(wǎng)絡(luò)運營者產(chǎn)品或者服務(wù)的自動化工具,包括但不限于軟件開發(fā)工具包(SDK等)����、第三方代碼、組件���、腳本��、接口�����、算法模型�����、小程序等��。
10.匿名化(anonymization):是指對個人信息進行加工���,使之無法識別特定個人且不能復(fù)原。
《網(wǎng)絡(luò)數(shù)據(jù)處理安全規(guī)范》對數(shù)據(jù)處理提出了四項要求:
一是數(shù)據(jù)識別:網(wǎng)絡(luò)運營者應(yīng)識別數(shù)據(jù)處理活動中涉及的數(shù)據(jù)�,包括個人信息、重要數(shù)據(jù)和其他數(shù)據(jù)�,形成數(shù)據(jù)保;
二是分級分類:網(wǎng)絡(luò)運營者應(yīng)按照法律法規(guī)、國家標準有關(guān)要求�,根據(jù)業(yè)務(wù)運營需要,對所掌握的數(shù)據(jù)進行分級分類管理;采取加密��、脫敏�����、訪問控制等措施,對重要數(shù)據(jù)和個人信息進行重點保護;
三是風險防控:網(wǎng)絡(luò)運營者開展數(shù)據(jù)處理活動����,應(yīng)按照有關(guān)法律法規(guī)的規(guī)定履行數(shù)據(jù)安全保護義務(wù),采取加密����、脫敏、備份���、訪問控制����、審計等技術(shù)或者其他必要措施�,加強數(shù)據(jù)安全防護,保護數(shù)據(jù)免受泄露���、竊取����、篡改、損毀�、不正當使用等。建立數(shù)據(jù)安全管理責任和評價考核制度�,制定數(shù)據(jù)安全保護計劃,開展安全風險評估��,及時處置安全事件�,組織開展教育培訓;
四是審計追溯:網(wǎng)絡(luò)運營者應(yīng)對數(shù)據(jù)處理活動的全生命周期進行記錄,確保數(shù)據(jù)處理活動可審計��、可追溯���。
十二�、中國人民銀行印發(fā)《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》
2020年9月�,中國人民銀行正式印發(fā)《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》(JR/T0197—2020)(下稱《指南》),根據(jù)金融業(yè)機構(gòu)數(shù)據(jù)安全性遭受破壞后的影響對象和所造成的影響程度�,將數(shù)據(jù)安全級別由高到低劃分為五級���。
《指南》列出的影響對象包括國家安全�����、公眾權(quán)益����、個人隱私、企業(yè)合法權(quán)益等;影響程度從高到低劃分為非常嚴重����、嚴重、中等和輕微;附錄中給出了金融行業(yè)典型數(shù)據(jù)類型及建議劃分的最低安全級別����。值得注意的是,《指南》特別強調(diào)金融業(yè)機構(gòu)應(yīng)高度重視個人金融信息相關(guān)數(shù)據(jù)����,在數(shù)據(jù)安全定級過程中從高考慮。其中�,個人金融信息中的C3類信息(主要為用戶鑒別信息,如各類賬戶密碼)屬于4級數(shù)據(jù);C2類信息(主要包括支付賬號��、動態(tài)口令等)為3級數(shù)據(jù);C1類信息(主要包括賬戶開立時間����、開立機構(gòu)等)為2級數(shù)據(jù)。
金融數(shù)據(jù)安全分級的大背景是金融數(shù)據(jù)作為生產(chǎn)要素的價值日益凸顯���。近年來�����,隨著金融科技和數(shù)字經(jīng)濟的發(fā)展�����,金融數(shù)據(jù)體現(xiàn)出巨大的應(yīng)用和商業(yè)價值�����。與此同時�,數(shù)據(jù)安全尤其個人隱私保護成為公眾關(guān)注的焦點。
十三�、工信部組織開展2020年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范工作
2020年7月,工業(yè)和信息化部辦公廳發(fā)布《關(guān)于開展2020年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范工作的通知》(以下稱:《通知》)�,《通知》了三大重點方向:
(一)新型信息基礎(chǔ)設(shè)施安全類
1.
5G網(wǎng)絡(luò)安全。重點結(jié)合增強移動帶寬����、低時延高可靠、海量大連接三大場景安全需求����,針對網(wǎng)絡(luò)功能虛擬化���、網(wǎng)絡(luò)切片�����、邊緣計算等帶來的網(wǎng)絡(luò)安全需求��,在威脅監(jiān)測����、風險識別、安全防御���、安全檢測�、安全恢復(fù)���、安全模型認證等方面的安全解決方案�����。
2.
工業(yè)互聯(lián)網(wǎng)安全��。圍繞裝備�、電子信息�、原材料�����、消費品����、石化���、能源等重點生產(chǎn)制造領(lǐng)域�,結(jié)合工業(yè)互聯(lián)網(wǎng)智能化生產(chǎn)��、網(wǎng)絡(luò)化協(xié)同�����、個性化定制��、服務(wù)化延伸等典型應(yīng)用場景網(wǎng)絡(luò)安全需求��,在網(wǎng)絡(luò)����、平臺、工控設(shè)備�����、工業(yè)APP���、工業(yè)數(shù)據(jù)等方面的安全解決方案���。
3.
車聯(lián)網(wǎng)安全。結(jié)合先進駕駛輔助���、自動駕駛�、車路協(xié)同���、智慧交通等典型場景��,針對智能駕駛系統(tǒng)�����、車聯(lián)網(wǎng)平臺���、無線通信、復(fù)雜環(huán)境感知����、車用高精度時空服務(wù)等網(wǎng)絡(luò)安全需求��,在安全認證���、安全防護、數(shù)據(jù)保護��、威脅監(jiān)測���、測試驗證等方面的安全解決方案�����。
4.
智慧城市安全���。面向智慧政務(wù)、智能生活�、智能醫(yī)療、在線教育����、遠程辦公、智慧環(huán)保等典型應(yīng)用場景網(wǎng)絡(luò)安全需求����,在新型智慧城市設(shè)施���、建設(shè)�、運行、服務(wù)�����、管理等方面的安全解決方案�。
5.
大數(shù)據(jù)安全。面向大數(shù)據(jù)中心��、智能計算中心��、云計算平臺等先進算力設(shè)施的網(wǎng)絡(luò)安全解決方案��,以及結(jié)合海量網(wǎng)絡(luò)數(shù)據(jù)匯聚存儲�、流動共享等安全需求,在數(shù)據(jù)資產(chǎn)識別�����、分類分級防護�、數(shù)據(jù)加密�����、數(shù)據(jù)脫敏���、泄露追溯等方面的解決方案。
6.
物聯(lián)網(wǎng)安全�。結(jié)合智慧家庭、智能抄表�����、零售服務(wù)�、智能安防、智慧物流�����、智慧農(nóng)業(yè)等典型場景網(wǎng)絡(luò)安全需求�,在物聯(lián)網(wǎng)卡、物聯(lián)網(wǎng)芯片����、聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺和應(yīng)用等方面的基礎(chǔ)管理��、可信接入���、威脅監(jiān)測���、態(tài)勢感知等安全解決方案。
7.
人工智能安全���。結(jié)合智能機器人、智能語音交互����、視頻圖像身份識別、影像輔助診斷���、無人機等典型應(yīng)用場景網(wǎng)絡(luò)安全需求��,在人工智能數(shù)據(jù)�����、算法�、平臺、應(yīng)用服務(wù)等方面的安全解決方案�,以及運用人工智能技術(shù)的高級威脅預(yù)警、網(wǎng)絡(luò)資產(chǎn)管理���、網(wǎng)絡(luò)行為溯源分析等安全解決方案����。
8.
區(qū)塊鏈安全��。結(jié)合供應(yīng)鏈管理�����、電子交易����、數(shù)字版權(quán)、保險�、社會救助等區(qū)塊鏈技術(shù)典型應(yīng)用場景網(wǎng)絡(luò)安全需求,在身份驗證�����、安全存儲����、存證取證����、數(shù)據(jù)共享流通等方面的安全解決方案��,以及區(qū)塊鏈基礎(chǔ)設(shè)施�����、區(qū)塊鏈平臺��、區(qū)塊鏈服務(wù)等方面的安全監(jiān)測�、防護����、測試驗證解決方案。
9.
商用密碼應(yīng)用�。針對商用密碼在5G、工業(yè)互聯(lián)網(wǎng)�����、車聯(lián)網(wǎng)領(lǐng)域業(yè)務(wù)應(yīng)用場景��,在密碼算法、密碼設(shè)備�、檢測認證服務(wù)等方面的解決方案,以及應(yīng)用商用密碼的網(wǎng)絡(luò)身份認證��、設(shè)備安全接入認證等解決方案��。
10.
電信網(wǎng)絡(luò)詐騙防范治理�����。圍繞電信網(wǎng)絡(luò)詐騙技術(shù)防范�、管理創(chuàng)新、聯(lián)防聯(lián)控等安全需求��,在涉詐風險實時預(yù)警處置�、詐騙行為精準分析、遠程智能群呼設(shè)備監(jiān)測定位取證�、電信網(wǎng)絡(luò)詐騙協(xié)同分析治理等方面的解決方案。
(二)網(wǎng)絡(luò)安全公共服務(wù)類
1. 安全防護�。基于云模式提供安全檢測��、風險評估����、流量清洗����、域名安全等技術(shù)服務(wù)的公共服務(wù)平臺�。
2. 安全運營。面向智能制造���、智能家居����、智慧醫(yī)療����、智慧交通等重點領(lǐng)域提供網(wǎng)絡(luò)安全運營服務(wù)的公共服務(wù)平臺。
3. 威脅情報��。提供網(wǎng)絡(luò)安全威脅在線查詢�、漏洞驗證����、關(guān)聯(lián)分析、開放共享等信息服務(wù)的公共服務(wù)平臺�。
4. 安全培訓。提供安全課堂�、在線測試�����、培訓認證�、攻防模擬等培訓服務(wù)的公共服務(wù)平臺����。
(三)網(wǎng)絡(luò)安全“高精尖”技術(shù)創(chuàng)新平臺類
面向新型信息基礎(chǔ)設(shè)施安全類、網(wǎng)絡(luò)安全公共服務(wù)類重點方向�����,以及擬態(tài)防御�、可信計算、零信任��、安全智能編排等前沿性��、創(chuàng)新性���、先導性的重大網(wǎng)絡(luò)安全技術(shù)理念��,匯聚產(chǎn)學研用等創(chuàng)新資源�,具備核心技術(shù)攻關(guān)����、產(chǎn)業(yè)化應(yīng)用推廣等關(guān)鍵環(huán)節(jié)協(xié)同創(chuàng)新環(huán)境和載體的網(wǎng)絡(luò)安全技術(shù)創(chuàng)新或試點示范區(qū)�。
十四�、工信部發(fā)布《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系建設(shè)指南》
為發(fā)揮標準對電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全的規(guī)范和保障作用,進一步加快制造強國和網(wǎng)絡(luò)強國建設(shè)的步伐�,工信部印發(fā)《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系建設(shè)指南》。
2020年8月�����,工信部公開征求對《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系建設(shè)指南(征求意見稿)》的意見�。征求意見稿表示,在基礎(chǔ)共性標準�����、關(guān)鍵技術(shù)標準����、安全管理標準的基礎(chǔ)上,結(jié)合新一代信息通信技術(shù)發(fā)展情況���,重點在5G、移動互聯(lián)網(wǎng)����、車聯(lián)網(wǎng)�����、物聯(lián)網(wǎng)�����、工業(yè)互聯(lián)網(wǎng)�����、云計算���、大數(shù)據(jù)、人工智能��、區(qū)塊鏈等重點領(lǐng)域進行布局�����,并結(jié)合行業(yè)發(fā)展情況��,逐步覆蓋其他重要領(lǐng)域�。結(jié)合重點領(lǐng)域自身發(fā)展情況和數(shù)據(jù)安全保護需求����,制定相關(guān)數(shù)據(jù)安全標準�。
當前,我國電信和互聯(lián)網(wǎng)行業(yè)高速發(fā)展�,匯聚大量數(shù)據(jù),在釋放數(shù)字經(jīng)濟發(fā)展?jié)摿?���、促進數(shù)字經(jīng)濟加快成長的同時,面臨嚴峻的安全風險�。“安全發(fā)展�、標準先行”,標準化工作是保障數(shù)據(jù)安全的重要基礎(chǔ)�����。
由工業(yè)和信息化部組織制定的《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系建設(shè)指南》�����,是為了深入落實《中華人民共和國網(wǎng)絡(luò)安全法》《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)要求���,以保障電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全為主線��,著力增加標準有效供給����,不斷完善技術(shù)標準體系��,持續(xù)推動標準的制定��、實施和國際化��,支撐和引領(lǐng)數(shù)字經(jīng)濟高質(zhì)量發(fā)展����。
《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系建設(shè)指南》提出,到2021年����,研制數(shù)據(jù)安全行業(yè)標準20項以上,初步建立電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系����,有效落實數(shù)據(jù)安全管理要求,基本滿足行業(yè)數(shù)據(jù)安全保護需要����,推動標準在重點領(lǐng)域中的應(yīng)用����。到2023年��,研制數(shù)據(jù)安全行業(yè)標準50項以上�,健全完善電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系,標準的技術(shù)水平���、應(yīng)用效果和國際化程度顯著提高��,有力支撐行業(yè)數(shù)據(jù)安全保護能力提升���。
十五、國家網(wǎng)信辦發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序(App)必要個人信息范圍》公開征求意見
2020年12月�,國家互聯(lián)網(wǎng)信息辦公室發(fā)布通知,就《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序(App)必要個人信息范圍》(下稱《App必要個人信息范圍》)公開征求意見���?���!禔pp必要個人信息范圍》規(guī)定了地圖導航�、網(wǎng)絡(luò)約車����、即時通信�、網(wǎng)絡(luò)支付、網(wǎng)上購物��、交通票務(wù)���、婚戀相親、問診掛號���、旅游服務(wù)��、網(wǎng)絡(luò)游戲�、學習教育���、用車服務(wù)���、網(wǎng)絡(luò)直播等38類常見類型App必要個人信息范圍。
《App必要個人信息范圍》明確��,“必要個人信息“是指保障App基本功能正常運行所必須的個人信息��,缺少該信息App無法提供基本功能服務(wù),即無須個人信息����,即可使用基本功能服務(wù)。規(guī)定指出�,只要用戶同意收集必要個人信息,App不得拒絕用戶安裝使用��。
作者簡介
王春暉���,我國知名信息通信戰(zhàn)略與法律專家����,任浙江大學教授����、博導,南京郵電大學數(shù)字經(jīng)濟戰(zhàn)略與法治研究中心主任����,擔任聯(lián)合國國際貿(mào)易法律委員會中國觀察員專家團成員、聯(lián)合國世界絲路論壇數(shù)字經(jīng)濟研究院院長�、西部數(shù)字經(jīng)濟研究院首席專家,兼任工業(yè)和信息化部信息通信經(jīng)濟專家委員會委員����、中國通信學會網(wǎng)絡(luò)空間安全戰(zhàn)略與法律委員會副主任委員��、中國互聯(lián)網(wǎng)協(xié)會應(yīng)用創(chuàng)新工作委員會副主任委員�����、中國法學會網(wǎng)絡(luò)與信息法學研究會常務(wù)理事����、上海市法學會互聯(lián)網(wǎng)司法研究會副會長���、江蘇省法學會大數(shù)據(jù)與人工智能法學研究會副會長、中國網(wǎng)絡(luò)空間安全協(xié)會理事���、聯(lián)合國國際電聯(lián)《國際電信規(guī)則》中國工作組專家�����、《中華人民共和國電信法》起草專家組成員����、廣東省和江蘇省通信管理局首席法律顧問���、第七屆亞太地區(qū)隱私保護學者聯(lián)盟主席���、“中國數(shù)字經(jīng)濟安全與發(fā)展50人論壇”執(zhí)行主席等����。
聲明:本文來自中國信息安全��,版權(quán)歸作者所有��。文章內(nèi)容僅代表作者獨立觀點��,不代表本站立場����,轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)��,請聯(lián)系刪除�。
等保測評咨詢
