2023年6月1日,网络安全法施行六周年。这部我国网络安全领域的基础性法律,对个人信息保护、治理网络诈骗、实施网络实名制等方面作出明确规定,成为我国网络空间法治化建设的重要里程碑。
近年来,我国加快推进网络安全领域顶层设计,在深入贯彻落实网络安全法基础上,制定完善网络安全相关战略规划、法律法规和标准规范,网络安全“四梁八柱”基本确立。
下面我们一起来回顾一下2023年颁布的网络安全相关重大战略、法律法规、政策文件。
1月9日,银保监会发布《银行保险监管统计管理办法》。办法共六章三十三条,包括监管统计管理机构、调查管理、银行保险机构监管统计管理、监督管理等内容。
办法强调数据安全保护。根据《数据安全法》相关规定,办法在保障监管统计数据安全方面保持与上位法同步衔接。同时,对接数据治理要求。办法明确要求银行保险机构应将本单位监管统计工作纳入数据治理。
在落实《数据安全法》方面,办法:(1)在总则中将《数据安全法》作为上位法之一,明确数据安全在监管统计工作中的重要定位;(2)确定安全相关工作职责;(3)明确工作要求。办法第24条要求银行保险机构加强流程管理,保证监管统计资料的完整性、连续性、安全性和可追溯性;监管统计资料涉及出境的,应遵守国家有关法律法规及行业相关规定;(4)纳入监督检查范围。第26条将银行保险机构的监管统计数据安全保护情况作为监督检查的要点之一。
2、工信部等十六部门联合发布《关于促进数据安全产业发展的指导意见》
1月13日,工信部等十六部门联合发布《关于促进数据安全产业发展的指导意见》。指导意见提出到2025年,数据安全产业基础能力和综合实力明显增强的发展目标。基于此,指导意见从提升产业创新能力、壮大数据安全服务、推进标准体系建设等7方面提出13项要求。
指导意见要求构建数据安全产品体系。加快发展数据资源管理、资源保护产品,重点提升智能化水平,加强数据质量评估、隐私计算等产品研发。积极发展检测、评估、认证服务。建立数据安全检测评估体系,加强与网络安全等级保护评测等相关体系衔接,培育第三方检测、评估等服务机构,支持开展检测、评估人员的培训。推动检测、评估等服务与数据安全相关标准体系的动态衔接。充分发挥标准对产业发展的支撑引领作用,促进产业技术、产品、服务和应用标准化。
3、国家邮政局审议《寄递服务用户个人信息安全管理规定(送审稿)》
2月6日,国家邮政局召开局长办公会,审议并原则通过《寄递服务用户个人信息安全管理规定(送审稿)》等。
会议强调,邮政快递领域用户个人信息保护事关国家安全、公共安全和人民群众生命财产安全。修订《寄递服务用户个人信息安全管理规定》,既是贯彻落实党中央、国务院有关决策部署的实际举措,也是应对当前邮政快递领域个人信息安全面临严峻形势的必然要求。要会同有关部门依法严厉打击泄露、买卖寄递服务用户个人信息等行为,落实好邮政管理部门监管责任,督促寄递企业加强网络安全数据安全和个人信息保护工作。要认真组织抓好规定宣贯落实,健全完善企业信息安全保护责任制,积极推进有效技术手段应用,强化个人信息安全实时监测能力,严密防范和遏制重大安全风险、事件发生。
4、中共中央、国务院印发《数字中国建设整体布局规划》
2月27日,中共中央、国务院印发《数字中国建设整体布局规划》。
规划明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。
规划指出,要优化数字化发展环境。一是建设公平规范的数字治理生态。完善法律法规体系,加强立法统筹协调,研究制定数字领域立法规划,及时按程序调整不适应数字化发展的法律制度。构建技术标准体系,编制数字化标准工作指南,加快制定修订各行业数字化转型、产业交叉融合发展等应用标准。提升治理水平,健全网络综合治理体系,提升全方位多维度综合治理能力,构建科学、高效、有序的管网治网格局。净化网络空间,深入开展网络生态治理工作,推进“清朗”、“净网”系列专项行动,创新推进网络文明建设。二是构建开放共赢的数字领域国际合作格局。统筹谋划数字领域国际合作,建立多层面协同、多平台支撑、多主体参与的数字领域国际交流合作体系,高质量共建“数字丝绸之路”,积极发展“丝路电商”。拓展数字领域国际合作空间,积极参与联合国、世界贸易组织、二十国集团、亚太经合组织、金砖国家、上合组织等多边框架下的数字领域合作平台,高质量搭建数字领域开放合作新平台,积极参与数据跨境流动等相关国际规则构建。
5、国家互联网信息办公室公布《个人信息出境标准合同办法》
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》,自2023年6月1日起施行。办法施行前已经开展的个人信息出境活动,不符合办法规定的,应当自办法施行之日起6个月内完成整改。出台办法旨在落实《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动。办法规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。
办法明确,个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。同时,办法明确,法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
6、证监会发布《证券期货业网络和信息安全管理办法》
3月3日,证监会发布《证券期货业网络和信息安全管理办法》。办法共八章七十五条,涉及网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展等内容。
办法明确,核心机构和经营机构应当依法履行网络和信息安全保护义务,对本机构网络和信息安全负责,相关责任不因其他机构提供产品或者服务进行转移或者减轻。信息技术系统服务机构应当勤勉尽责,对提供产品或者服务的安全性、合规性承担责任。
办法要求,重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上。核心机构和经营机构应当与供应商签订合同及保密协议,明确约定各方保障网络和信息安全的权利和义务;在使用供应商提供产品或者服务时引发网络安全事件的,相关供应商有义务配合中国证监会及其派出机构查明网络安全事件原因,认定网络安全事件责任。
7、中共中央、国务院印发《党和国家机构改革方案》,将组建国家数据局
3月16日,中共中央、国务院印发《党和国家机构改革方案》,提出组建国家数据局。国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。
将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。
8、国家互联网信息办公室发布《网信部门行政执法程序规定》
3月23日,国家互联网信息办公室发布《网信部门行政执法程序规定》(国家互联网信息办公室令第14号)。规定共五章五十八条,包括管辖和适用、行政处罚程序、执行和结案等内容。
规定对2017年5月2日公布的《互联网信息内容管理行政执法程序规定》进行全面修订,进一步规范网信部门行政执法程序。网信部门实施行政执法应当坚持处罚与教育相结合,做到事实清楚、证据确凿、依据准确。规定明确了网信部门行政执法地域管辖、级别管辖、指定管辖、移送管辖等制度和“一事不二罚”原则。
4月26日,新修订的《中华人民共和国反间谍法》(以下简称《反间谍法》)经十四届全国人大常委会第二次会议表决通过,将于2023年7月1日起施行。
在完善间谍行为的定义方面,新修订的《反间谍法》规定间谍行为包括间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动。
在反间谍安全防范方面,新修订的《反间谍法》规定反间谍安全防范重点单位应当按照反间谍技术防范的要求和标准,采取相应的技术措施和其他必要措施,加强对要害部门部位、网络设施、信息系统的反间谍技术防范。
此外,新修订的《反间谍法》还规定国家安全机关发现涉及间谍行为的网络信息内容或者网络攻击等风险,应当依照《中华人民共和国网络安全法》规定的职责分工,及时通报有关部门,由其依法处置或者责令电信业务经营者、互联网服务提供者及时采取修复漏洞、加固网络防护、停止传输、消除程序和内容、暂停相关服务、下架相关应用、关闭相关网站等措施,保存相关记录。
10、交通运输部发布《公路水路关键信息基础设施安全保护管理办法》
5月6日,交通运输部发布《公路水路关键信息基础设施安全保护管理办法》。办法从关键信息基础设施认定、运营者责任义务、保障和监督三方面对公路水路关键信息基础设施安全保护做出规定。
关键信息基础设施认定方面,办法明确,省级人民政府交通运输主管部门应当按照交通运输部的相关要求,负责组织筛选识别省级行政区域内运营的公路水路关键信息基础设施待认定对象,并研究提出初步认定意见报交通运输部。交通运输部应当将认定结果通知省级人民政府交通运输主管部门。
运营者责任义务方面,办法要求,新建、改建、扩建或者升级改造公路水路关键信息基础设施的,安全保护措施应当与公路水路关键信息基础设施同步规划、同步建设、同步使用。运营者应当按照国家有关规定对安全保护措施予以验证。公路水路关键信息基础设施的网络安全保护等级应当不低于第三级。
办法还要求部级设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当直接向交通运输部、公安机关报告,并立即启动本单位网络安全事件应急预案。省级设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当立即向省级人民政府交通运输主管部门、公安机关报告,并启动本单位网络安全事件应急预案。省级人民政府交通运输主管部门应当将相关情况及时报告交通运输部。公路水路关键信息基础设施发生特别重大网络安全事件或者发现特别重大网络安全威胁时,交通运输部应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
保障和监督方面,办法指出,交通运输主管部门应当定期组织开展公路水路关键信息基础设施网络安全检查检测,指导监督运营者建立问题台账,制定整改方案,及时整改安全隐患、完善安全措施。省级人民政府交通运输主管部门应当将检查检测情况及时报告交通运输部。交通运输主管部门按照国家有关规定,对网络安全工作不力、重大安全问题隐患久拖不改,或者存在重大网络安全风险、发生重大网络安全事件的运营者,约谈单位负责人,并加大网络安全监督检查力度。
11、国务院总理李强签署国务院令 公布修订后的《商用密码管理条例》
5月24日,中华人民共和国中央人民政府网站公开《商用密码管理条例》(以下简称《条例》)2023年修订版正式稿全文,《条例》在2023年4月14日国务院第4次常务会议修订通过,现予公布,自2023年7月1日起施行。
《条例》是对密码法的进一步细化,也是对我国商用密码管理体系系统性、整体性、长期性思考的体现。《条例》的颁布实施是商用密码发展新的里程碑,进一步完善了商用密码科技创新的体制机制,为加强商用密码科技自主创新、促进商用密码与新兴技术融合、推动商用密码产业发展和人才培养等提供了有力制度保障,将极大促进商用密码科技蓬勃发展。
12、《人工智能法(草案)》《网络数据安全管理条例》被纳入《国务院2023年度立法工作计划》
6月6日,国务院发布《国务院2023年度立法工作计划》。立法工作计划着眼于加快构建新发展格局、着力推动高质量发展;扎实推进依法行政、加快法治政府建设;实施科教兴国战略、推进文化自信自强;增进民生福祉、提高人民生活品质;推动绿色发展、促进人与自然和谐共生;完善国家安全法治体系、维护国家安全和社会稳定六大方面。
扎实推进依法行政、加快法治政府建设方面,计划提请全国人大常委会审议治安管理处罚法修订草案。预备提请全国人大常委会审议人民警察法修订草案。预备制定政务数据共享条例。
在实施科教兴国战略、推进文化自信自强方面,计划制定未成年人网络保护条例。预备提请全国人大常委会审议人工智能法草案。预备制定生物技术研究开发安全管理条例。
完善国家安全法治体系、维护国家安全和社会稳定方面,计划提请全国人大常委会审议保守国家秘密法修订草案。制定网络数据安全管理条例、无人驾驶航空器飞行管理暂行条例。预备制定两用物项出口管制条例。完善网络犯罪防治法律制度。
13、七部门公布《生成式人工智能服务管理暂行办法》
7月13日,国家网信办联合国家发展改革委、教育部、科技部、工信部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》。
办法明确国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管,明确提供和使用生成式人工智能服务总体要求。
办法提出促进生成式人工智能技术发展的具体措施,明确训练数据处理活动和数据标注等要求。办法规定生成式人工智能服务规范,明确生成式人工智能服务提供者应当采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务,按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识,发现违法内容应当及时采取处置措施。
办法还规定了安全评估、算法备案、投诉举报等制度,并明确法律责任。
14、财政部印发《企业数据资源相关会计处理暂行规定》
8月21日,财政部印发《企业数据资源相关会计处理暂行规定》(以下简称《暂行规定》),自2024年1月1日起施行。
目前,有关各方积极推动数据要素市场建设,对数据资源是否可以作为资产确认、作为哪类资产确认和计量,以及如何进行相关信息披露等相关会计问题较为关注,制定《暂行规定》将有助于进一步推动和规范数据相关企业执行会计准则,准确反映数据相关业务和经济实质。同时,将推进会计领域创新研究,进一步强化数据资源相关信息披露,有助于为有关监管部门完善数字经济治理体系、加强宏观管理提供会计信息支撑。
