《数说安全:2022全球网络安全政策数据保护内容盘点(11页).pdf》由会员分享,可在线阅读,更多相关《数说安全:2022全球网络安全政策数据保护内容盘点(11页).pdf(11页珍藏版)》请在三个皮匠报告上搜索。
1、全球网络安全政策数据保护内容盘点2022年12月数 观 天 下 数观天下是致力于服务中国商用密码领域的卓越品牌和专业性分析媒体,以赋能商用密码领域实现更高成就为使命,连接和服务各大企业、机构投资者、地方政府、个人用户等商密行业内社群,推动商密行业快速、稳健、可持续地向前发展。数观天下团队在安全领域深耕多年,对商用密码行业发展有深入研究,拥有来自东软、启明、信安世纪等商密领域专家团队、行业分析团队及资深媒体团队。初心不忘共成长初心不忘共成长 凝心聚力谱新篇凝心聚力谱新篇团队介绍落实商用密码领域关于技术、产品、市场及应用方面的交流活动,成为最懂甲方的商用密码行业咨询媒体。长远长远目标目标数观数观天
2、下天下2022 年全球网络安全政策数据保护内容盘点数观天下数观天下自2021年9月1日起,中华人民共和国数据安全法(以下简称“数据安全法”)正式生效施行。作为国家安全领域的重要立法,也作为数据安全领域的基础性法律,数据安全法为国家有关部门行使数据治理权力、开展数据安全监管,为企业合法处理数据、保障数据处理安全等,均提供了充分的上位法依据。可以说,数据安全法的正式生效,为我国数字经济和社会进步拉开了以“数据安全与发展”为主题的时代序幕。数观天下作为商用密码行业咨询媒体,对 2022 年中国、美国、欧盟、英国、法国、俄罗斯、意大利等主要国家的法律法规进行梳理,深入研究国内外网络安全政策法律态势,系
3、统掌握全球网络与数据领域立法热点及敏感问题,积极探索推动中国式现代化网络与数据安全法治发展道路。前言数 观 天 下2022 年全球网络安全政策数据保护内容盘点数观天下数观天下全球数据安全倡议保障数据安全;增进在保障数据安全和使用信息技术领域的互信;应以事实为依据全面客观看待数据安全问题,未经他国法律允许不得直接向企业或个人调取位于他国的数据。关于发展网络安全能力建设和技术合作的谅解备忘录中国国家互联网信息办公室与印尼国家网络与密码局签署网络安全合作行动计划发布要素市场化配置综合改革试点总体方案要求完善公共数据开放共享机制、建立健全数据流通交易规则、拓展规范化数据开发利用场景、加强数据安全保护。
4、聚焦数据采集、开放、流通、使用、开发、保护等全生命周期的制度建设,推动部分领域数据采集标准化,分级分类、分步有序推动部分领域数据流通应用。发布“十四五”数字经济发展规划要求增强网络安全防护能力、提升数据安全保障水平,加强电信、金融、能源、交通运输等重要行业领域关键信息基础设施网络安全防护能力,支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估。健全完善数据跨境流动安全管理相关制度规范。发布“十四五”市场监管现代化规划推动完善平台企业数据收集使用管理、消费者权益保护等方面的法律规范。强化平台内部生态治理,督促平台企业规范规则设立、数据处理、算法制定等行为。网络安全审查办法 办法
5、将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,要求掌握超过 100 万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。党的二十大报告关于网络强国、数字经济与法治元素完善重点领域安全保障体系和重要专项协调指挥体系,强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设。发布国务院 2022 年度立法工作计划人大常委会审议电信法草案、人民警察法修订草案、保守国家秘密法修订草案。拟制定、修订的行政法规包括未成年人网络保护条例(网信办起草)、网络数据安全管理条例(网信办组织起草)、商用密码管理条例(修订)(密码局起草)。
6、发布人民法院在线运行规则当为各类信息基础设施、应用系统和数据资源提供主机安全、身份认证、访问控制、分类分级、密码加密、防火墙、安全审计和安全管理等安全服务;应当开展与等级保护标准相符合的信息系统安全保障建设和测评以及密码应用安全评估。发布电力可靠性管理办法(暂行)落实网络安全等级保护、关键信息基础设施安全保护和数据安全制度,加强网络安全审查、容灾备份、监测审计、态势感知、纵深防御、信任体系建设、供应链管理等。发布药品监管网络安全与信息化建设“十四五”规划升级信息系统安全建设、安全测评、容灾备份等保障措施;构建涵盖物理、网络、数据、系统等全方位、多层次的安全防护体系。加强对网络视频会议、电视电话
7、会议等服务保障能力。发布证券期货业网络安全管理办法(征求意见稿)对证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面提出要求。中国美国欧盟英国法国俄罗斯意大利数 观 天 下2022 年全球网络安全政策数据保护内容盘点中国数观天下数观天下发布关于加强数字政府建设的指导意见构建数字政府全方位安全保障体系、构建科学规范的数字政府建设制度规则体系、构建开放共享的数据资源体系、以数字政府建设全面引领驱动数字化发展等方面。发布电力行业网络安全管理办法电力企业应当按照国家有关规定开展电力监控系统安全防护评估
8、、网络安全等级保护测评、关键信息基础设施网络安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作,未达到要求的应当及时进行整改。电力行业网络安全等级保护管理办法电力企业网络安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定,应当按照有关法律法规要求,开展商用密码应用安全性评估工作。发布医疗卫生机构网络安全管理办法办法规定,各医疗卫生机构应按照有关法规标准,采取数据脱敏、数据加密、链路加密等防控措施,按照密码法等有关法律,使用符合相关要求的密码产品和服务。新疆维吾尔自治区关键信息基础设施安全保护条例网信部门会同通信、公安、工业和信息化、保密、密码管理等有关部门建
9、立网络安全信息共享机制,每年统一对本行政区域内的关键信息基础设施开展网络安全检查。信息安全技术 关键信息基础设施安全保护要求 提出关键信息基础设施安全保护要求,要求采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。发布信息安全技术 重要数据识别指南(征求意见稿)应通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值。工业和信息化领域数据安全管理办法(试行)对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和
10、合法利用的状态车联网网络安全和数据安全标准体系建设指南规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等 5 类标准,数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。关于“构建数据基础制度”数据要素安全治理制度方面,建议构建有效市场和有为政府相结合的数据要素治理格局,充分发挥政府有序引导和规范发展的作用,守住安全底线,明确监管红线,打造安全可信、包容创新、公平开放的数据要素市场环境发布关于加快建设全国统一大市场的意见加快培育数据要素市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共
11、享、安全认证等基础制度和标准规范,深入开展数据资源调查,推动数据资源开发利用。发布关于开展数据安全管理认证工作的公告决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照数据安全管理认证实施规则实施认证。美国欧盟英国法国俄罗斯意大利数 观 天 下2022 年全球网络安全政策数据保护内容盘点数观天下数观天下公布数据出境安全评估办法规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确重点评估事项。数据处理者在与境外接收方订立的法律文件中应明确约定数据安全保护责任义务,在数据出境安全
12、评估有效期内发生影响数据出境安全的情形应当重新申报评估。发布数据出境安全评估申报指南(第一版)数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据数据出境安全评估办法 规定,按照申报指南申报数据出境安全评估。印发气象数据开放共享实施细则(试行)指出气象数据开放共享应当遵循依法依规原则,以确保国家安全和数据安全为前提,保护数据提供者的合法权益,充分考虑用户实际需求,注重数据服务效益,分类分级开放共享。印发关于民航大数据建设发展的指导意见要求加强法规体系建设、构建数据标准体系、提升数据管理水平、加强数据质量管理、推进数据要素流通、加强民航数据网络建设、强化安全管理责任、
13、提升安全保障能力等。印发全国一体化政务大数据体系建设指南充分利用电子认证,数据加密存储、传输和应用手段,防止数据篡改,推进数据脱敏使用,加强重要数据保护,加强个人隐私、商业秘密信息保护,严格管控数据访问行为,实现过程全记录和精细化权限管理。天津市数据交易管理暂行办法数据交易服务机构开展业务应当将数据交易服务平台部署在我国境内;定期开展安全测评、风险评估,以云服务方式建设数据交易服务平台的,应当通过国家有关机构组织的云计算服务安全评估。山东省公共数据开放办法收集和产生的各类数据均属于公共数据,应纳入公共数据开放办法管理,在开发利用促进措施及数据安全保护等方面,办法也结合实际作出规定。重庆市数据条
14、例建立健全数据处理规则和数据安全体系,明确开展数据处理活动的禁止性行为和数据安全保护义务。条例规定建立数据安全责任制,明确数据处理者是数据安全责任主体,同时存在多个数据处理者的,分别承担各自安全责任。广州市数字经济促进条例推行首席数据官、数据经纪人等创新制度,建立健全部门协同、市区联动、政企合作的数据治理体制机制,探索推行首席数据官等数据管理创新制度,探索建立数据交易平台、场所以及数据入场规范、数据经纪人管理等配套制度黑龙江省促进大数据发展应用条例要求省和设区的市级政务数据主管部门应当建设公共数据灾备体系。鼓励采集非公共数据的自然人、法人和非法人组织建立重要系统和核心数据的灾备机制,定期开展数
15、据恢复性测试江西省“十四五”数字经济发展规划规划要求强化协同治理和监管机制、增强政府数字化治理能力、完善多元共治新格局、健全网络安全保障体系、强化数据安全保护。建立健全数据安全相关管理制度;制定重要数据具体目录,加强数据分类分级保护。河北省数字经济促进条例条例指出,数据资源开发利用应当遵循依法规范、促进流通、合理使用、保障安全的原则,加强数据资源全生命周期管理,提高数据要素质量,培育发展数据要素市场,激发数据要素潜能。中国美国欧盟英国法国俄罗斯意大利数 观 天 下2022 年全球网络安全政策数据保护内容盘点数观天下数观天下辽宁省大数据发展条例规定实行数据安全责任制和分类分级保护制度,明确责任确
16、定原则,搭建数据安全管理体制,并就全社会各主体建立落实数据安全保护制度、强化数据存储管理和应急处置等予以明确。上海市数字经济发展“十四五”规划支持企业整体数字化转型的规划咨询、检测认证、安全培训等高端定制安全服务,培育事前预防、事中防护、事后补偿的全周期安全保险服务。保障措施方面,规划要求完善数据治理。海南省政府数字化转型总体方案(20222025)方案要求建立安全有序便利的数据流动管理制度。制定实施公共数据分类分级管理指南、公共数据开放安全评估办法建设公共数据安全监管体系,强化公共数据开发利用和全生命周期安全管理。广东省企业首席数据官建设指南应当开展数据治理、数据安全等工作任务,贯彻执行国家
17、数据等方面的法律、法规和政策,建立企业数据资产安全保障制度和分类分级安全管理制度,组织制定并实施企业数据安全防护方案,提升数据全生命周期安全防护能力,定期组织数据安全评估。河南省大数据产业发展行动计划(20222025年)要求完善数据安全保障体系,包括实施数据安全“铸盾”行动,开展数据资源分类分级管理试点工作,加强数据应用、数据流转、数据共享、数据隐私、数据交易等环节监管等。明确加强隐私计算、数据脱敏、密码、区块链等技术和产品的研发应用。陕西省大数据条例履行数据安全保护义务,对涉及的敏感个人信息等,依法采取脱敏、加密保护等措施。企业、事业单位不得擅自留存、使用、泄露或者向他人提供获取的政务数据
18、,不得擅自将数据用于商业用途或者向境外提供。中国美国欧盟英国法国俄罗斯意大利数 观 天 下数观天下数观天下美国商务部发布全球跨境隐私规则声明成立全球跨境隐私规则(Cross-Border PrivacyRules,简称 CBPR)论坛,通过推广 CBPR 和 PRP 系统,支持数据的自由流动和有效的数据保护和隐私;定期审查成员的数据保护和隐私标准,以确保项目要求与最佳实践相一致;促进与其他数据保护和隐私框架的互操作性。美国发布互联网未来宣言合作打击网络犯罪、保护个人隐私及数据、提倡和使用可靠的网络基础设施及服务提供商、支持基于规则的全球性数字经济。发布关于确保外国投资委员会考虑不断演变的国家安
19、全风险的行政令网络安全方面,CFIUS 应考虑威胁美国关键基础设施运营或影响美国通信的机密性、完整性或可用性,可能会对国家安全构成风险。数据安全方面,行政令指出,CFIUS 应考虑在有权访问或存储美国人的敏感数据(包括健康和生物数据)。发布关于加强美国信号情报活动保障的行政令为美国的信号情报活动增加进一步保障措施,规定通过信号情报活动收集的个人信息的处理要求,并扩大法律、监督和合规官员的责任,要求美国情报界人士更新政策和程序,以反映行政令中包含的新的隐私和公民自由保障措施。发布网络基础设施安全指南1、网络体系架构与设计采用多层防御;2、定期进行安全维护;3、采用认证、授权和审计来实施访问控制;
20、4、创建具有复杂口令的唯一本地账户;5、实施远程记录和监控;发布关键基础设施向后量子密码迁移的新见解遵循 DHS 在 2021 年 10 月发布的“后量子密码过渡”路线图,采取识别系统替换优先级、公钥加密识别、制定加密技术目录、制定关键数据目录等措施发布科技平台监管改革六大原则采取强有力的联邦隐私保护措施。对收集、使用、传输和维护个人数据应有明确的限制。数据隐私和保护法案 建立强有力的国家框架,保护消费者数据隐私和安全,要求数据处理者在前端尽量减少需要收集、处理和传输的个人数据,以便将消费者数据的使用限制在特定产品和服务的合理、必要、相称的限制范围内。中国美国欧盟英国法国俄罗斯意大利2022
21、年全球网络安全政策数据保护内容盘点数 观 天 下欧盟英国法国数观天下数观天下发布能源系统数字化欧盟行动计划提出建立欧盟数据共享框架,支持创新能源服务。建立健全数字化能源系统的关键是基于可信方之间无缝、安全的数据传输,提供、访问、共享能源数据。严格遵守欧盟数据主权、网络安全、数据隐私、消费者接受度和互操作性等普遍适用的原则。数据法案(草案)在安全、数据保护和隐私以及消费者保护方面,应维护(但不限于)欧盟法律、价值观和标准。数据服务法案对网络空间中的平台、用户以及广告商进行区分,并分别设置不同的合规义务与应对特定情形的应对措施。发布个人登录令牌或令牌访问指南明确令牌的有效期;生成不包含个人数据或变
22、量的身份验证链接;若令牌允许访问个人数据,则强制实施新的身份验证;根据预期目的限制访问次数,例如单次或临时使用;在出现可疑密集型请求时,临时或永久删除对所请求资源的访问权限。发布建筑业合资企业:信息安全最佳实践指南企业内建立信息安全治理和问责制;确定负责评估特定信息安全风险和制定共享信息安全战略的员工;制定并商定共享信息安全战略 英国监控摄像头指导守则监控摄像头系统的使用必须考虑到对个人隐私的影响,并定期进行审查,以确保使用的合理性,对访问保留的图像和信息的行为设限,监控摄像头系统的图像和信息应采取适当的安全措施,以防止未经授权的访问和使用。发布建筑业合资企业:信息安全最佳实践指南企业内建立信
23、息安全治理和问责制;确定负责评估特定信息安全风险和制定共享信息安全战略的员工;制定并商定共享信息安全战略 英国电子通信(安全措施)条例 应采用适当、相称的技术手段,保护与网络和服务操作相关的数据存储免受恶意侵害;防止未经授权访问、强化安全漏洞补救恢复、保障网络架构设计与开发安全、数据安全事件披露报告等义务。数据改革法案 建立一个注重隐私结果的数据保护框架;通过更有效地提供公共医疗保健、安全和政府服务,确保数据可用于赋予公民权利并改善他们的生活;为个人数据使用创造更清晰的监管环境,推动负责任的创新并推动科学进步。2022 年全球网络安全政策数据保护内容盘点数 观 天 下俄罗斯数观天下数观天下发布
24、总统令关于保障俄罗斯联邦信息安全的补充措施必要时引入其他组织实施本机关/组织信息安全的保障措施。只能引入具备保密信息技术保护许可证的组织,向联邦安全局公职人员提供通过互联网不受阻碍(包括远程)地访问属于本机关组织或由其使用的信息资源,并落实联邦安全机关根据监测结果作出的指示。保护关键信息基础设施国家政策基本原则 草案提高国家机关信息系统和通信网络的安全性,加强数字空间防御,消除薄弱环节,防止保密信息和公民个人信息泄露,严格管控办公设备、通信设备的使用规则。发布关于确保外国投资委员会考虑不断演变的国家安全风险的行政令网络安全方面,CFIUS 应考虑威胁美国关键基础设施运营或影响美国通信的机密性、完整性或可用性,可能会对国家安全构成风险。数据安全方面,行政令指出,CFIUS 应考虑在有权访问或存储美国人的敏感数据(包括健康和生物数据)。意大利发布2022 至 2026 年意大利国家网络安全战略即通过旨在管理和减轻风险的系统性方法保护国家战略资产,具体涉及技术筛选、法律框架、态势感知、公共行政网络弹性、国家基础设施、密码学、打击网上虚假信息。2022 年全球网络安全政策数据保护内容盘点最懂甲方的商用密码咨询媒体数观天下公众号数观天下公众号合作事宜、定制需求合作事宜、定制需求请联系市场人员请联系市场人员洽谈洽谈市场负责人市场负责人数观天下视频号数观天下视频号