1、合规指引3近年来，国家大力推动数字政府建设。自 2018 年以来，关于加快推进全国一体化在线政务服务平台建设的指导意见关于加快推进政务服务“跨省通办”的指导意见等一系列文件相继印发。2021 年 12 月国家发展改革委印发“十四五”推进国家政务信息化规划提出“要加快建设数字政府、提升政务服务水平。”2022年 6 月国务院发布关于加强数字政府建设的指导意见要求构建数字政府全方位安全保障体系，加强关键信息基础设施安全保障，强化安全防护技术应用，切实筑牢数字政府建设安全防线。数字政府基础设施是包括云、网、数据共享、应用支撑一体化的基础支撑体系，政务云是其关键基础支撑。具体来说，政务云是指运用云计算

2、技术，统筹使用政府已有的机房、计算、存储、网络、安全、应用支撑、信息数据等资源，为政府部门提供基础设施、支撑软件、应用系统、信息资源、运行保障和信息安全等综合服务的平台。1云服务商可以充分利用新一代信息技术，积极参与到数字政府政务云建设中。目前我国已发布网络安全法数据安全法个人信息保护法等网络安全领域法律法规，为政务云的网络安全工作提供了基础法律依据。本指引旨在梳理法律相关规定，以具体场景为牵引，为企业参与数字政府政务云建设提供网络安全法律风险合规指引。参编单位 中国移动通信集团有限公司法律与监管事务部 中国移动通信集团有限公司信息安全管理与运行中心 1云计算开源产业联盟：中国政务云发展白皮书

3、（2018）数字政府政务云建设网络安全法律风险4（一）中华人民共和国网络安全法 01（二）中华人民共和国数据安全法 02（三）中华人民共和国个人信息保护法 02（四）中华人民共和国反电信网络诈骗法 04（五）关键信息基础设施安全保护条例 05（一）法律法规要求 07（二）合规风险分析 08（三）合规管理建议 09（一）法律法规要求 11（二）合规风险分析 13（三）合规管理建议 15网络安全“四法一条例”关于政务云建设的规定党政部门与云服务商之间的法律关系云服务牌照管理010203合规指引5（一）法律法规要求 22（二）合规风险分析 23（三）合规管理建议 24（一）法律法规要求 17（二）合

4、规风险分析 19（三）合规管理建议 20（一）法律法规要求 26（二）合规风险分析 29（三）合规管理建议 30（一）法律法规要求 32（二）合规风险分析 33（三）合规管理建议 34（一）法律法规要求 36（二）合规风险分析 28（三）合规管理建议 39云计算服务安全评估云平台定级备案商用密码应用供应链安全政务数据安全0504060708（一）中华人民共和国网络安全法（二）中华人民共和国数据安全法（三）中华人民共和国个人信息保护法（四）中华人民共和国反电信网络诈骗法（五）关键信息基础设施安全保护条例01网络安全“四法一条例”关于政务云建设的规定合规指引1网络安全“四法一条例”关于政务云建设的

5、规定（全国人民代表大会常务委员会，2016 年 11 月 7 日通过）中华人民共和国网络安全法（以下简称网络安全法）由全国人民代表大会常务委员会于 2016 年 11 月 7 日通过，自 2017 年 6 月 1 日起施行。网络安全法是我国第一部全面规范网络空间安全的基础性法律，是我国网络空间法治建设的重要里程碑，是让互联网在法治轨道上健康运行的重要保障。根据网络安全法的要求，政务云的安全建设需要重点关注以下几个方面：中华人民共和国网络安全法（一）应遵循国家网络安全等级保护制度。作为关键信息基础设施的政务云，采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的安

6、全审查。建立网络安全监测预警和信息通报制度，深化政务云网络安全防护体系，实现全天候全方位感知网络安全态势。作为关键信息基础设施的政务云，其安全建设应在网络安全等级保护建设的基础上，实行重点防护。涉及大量公民个人信息的政务云，应建立健全信息管理制度与体系。13524数字政府政务云建设网络安全法律风险2（全国人民代表大会常务委员会，2021 年 6 月 10 日通过）中华人民共和国数据安全法（以下简称数据安全法）由全国人民代表大会常务委员会于 2021 年 6 月 10 日通过，自 2021 年 9 月 1 日起施行。数据安全法明确提出“建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据

7、安全”，要求国家机关依照法律、行政法规的规定，建立健全数据安全管理制度，保障政务数据安全。根据数据安全法的要求，政务云的安全建设需要重点关注以下几个方面：（全国人民代表大会常务委员会，2021 年 8 月 20 日通过）中华人民共和国数据安全法中华人民共和国个人信息保护法（二）（三）应建立健全政务云数据安全管理制度，落实数据安全保护主体责任，保障政务数据安全。应构建统一规范、互联互通、安全可控的政务数据开放平台，按照国家规定推动政务数据开放利用。委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定

8、和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。132合规指引3涉及处理个人信息的，应当遵守个人信息保护法的一般规定，合法收集和使用个人信息。不得公开其处理的个人信息，除非已取得个人单独同意。可以在合理范围内处理个人已公开的个人信息，但涉及个人重大权益的，应当取得个人同意。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，并且应当在处理前取得个人的单独同意，法律、行政法规规定应当取得书面同意的，从其规定。关键信息基础设施处理的个人信息应当在国内存储，确需向境外提供的，应当进行数据出境安全评估。存在向第三方提供个人信息情况的，如

9、政务云服务方的个人信息是以告知-同意为基础，则应当在对外提供前，向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。134562中华人民共和国个人信息保护法（以下简称个人信息保护法）由全国人民代表大会常务委员会于 2021 年 8 月 20 日通过，自 2021 年 11 月 1 日起施行。个人信息保护法明确提出“任何组织、个人不得非法收集、使用、加工、传输他人个人信息”，数字政府业务系统中往往承载着大量个人信息，需要采取有效的技术手段和管理措施来保证个人信息安全。根据个人信息保护法的要求，政务云的安全建设需要重点关注以下几个方面：数字政府政务云

10、建设网络安全法律风险4（全国人民代表大会常务委员会，2022 年 9 月 2 日通过）中华人民共和国反电信网络诈骗法（以下简称反电信网络诈骗法）由全国人民代表大会常务委员会于 2022 年 9 月 2 日通过，自 2022 年 12 月 1日起施行。反电信网络诈骗法强调预防、遏制和惩治电信网络诈骗活动的工作，要求地方各级人民政府组织领导本行政区域内反电信网络诈骗工作，确定反电信网络诈骗目标任务和工作机制，开展综合治理。根据反电信网络诈骗法的要求，政务云的安全建设需要重点关注以下几个方面：（国务院，2021 年 8 月 17 日发布）关键信息基础设施安全保护条例（以下简称条例）由国务院于 202

11、1 年 8 月 17 日发布，自 2021 年 9 月 1 日起施行。条例明确指出电子中华人民共和国反电信网络诈骗法关键信息基础设施安全保护条例（四）（五）不得为他人针对境内实施电信网络诈骗活动提供帮助。应推进反制技术措施研发、推进涉电信网络诈骗样本信息数据共享，加强涉诈用户信息交叉核验，建立有关涉诈异常信息、活动的监测识别、动态封堵和处置机制。应承担风险防控责任，建立反电信网络诈骗内部控制机制和安全责任制度，加强涉诈风险安全评估。132合规指引5应当建立健全网络安全保护制度和责任制，保障人力、财力、物力的投入。设立专业安全管理机构，履行相应的安全保护职责。发生重大网络安全事件或者发现重大网络

12、安全威胁时，关键信息基础设施运营者应当按照有关规定向保护工作部门、公安机关报告。应当自行或者委托网络安全服务机构每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。关键基础设施运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置

13、，确保安全。应当设置专门安全管理机构，对专门安全管理机构负责人和关键岗位人员进行安全背景审查，保障机构的有效运营。13456782政务领域的重要网络设施、信息系统属于关键信息基础设施，采取监测、防御、处置等安全措施，实行重点保护。根据条例的要求，作为关键信息基础设施的政务云，其安全建设需要重点关注以下几个方面：数字政府政务云建设网络安全法律风险602（一）法律法规要求（二）合规风险分析（三）合规管理建议党政部门与云服务商之间的法律关系合规指引7 中华人民共和国网络安全法（全国人民代表大会常务委员会，2016 年11 月 7 日通过）第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者

14、还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。中华人民共和国数据安全法（全国人民代表大 会常务委员会，2021年 6 月 10 日通过）第四十条 国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存

15、、使用、泄露或者向他人提供政务数据。中华人民共和国个人信息保护法（全国人民代表大会常务委员会，2021 年 8 月 20 日通过）党政部门与云服务商之间的法律关系法律法规要求（一）数字政府政务云建设网络安全法律风险8第二十一条 个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意

16、，受托人不得转委托他人处理个人信息。党政部门2作为政务云主管单位，委托云服务商建设政务云基础设施，二者分别属于技术委托开发中的委托方与受托方，各自依据委托开发协议承担相应的权利义务。此外，根据数据安全法第四十条的要求，党政部门委托云服务商建设、维护云服务电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督云服务商履行相应的数据安全保护义务，因此云服务商有义务接受监管部门的监管，确保政务数据的安全与合规。由此来看，作为被委托方的云服务商一方面要承担协议约定的各项义务，否则面临承担违约责任的风险；另一方面也要接受监管部门的监管，履行数据安全保护义务，否则面临受到有关监管部门约谈等行

17、政处罚的风险。合规风险分析（二）2根据关于加强党政部门云计算服务网络安全管理的意见（中网办发文201414 号），党政部门始终是网络安全的最终责任人，应加强安全管理，通过签订合同、持续监督等方式要求服务商严格履行安全责任和义务，确保党政部门数据和业务的机密性、完整性、可用性，以及互操作性、可移植性。合规指引9建议云服务商依照网络安全法第三十四条、数据安全法第四十条、个人信息保护法第二十一条等规定和合同约定，履行数据合规义务以及数据安全保护义务，并接受监管部门的实时监管。在网络安全方面，云服务商应遵守党政信息系统的网络安全政策规定、信息安全等级保护要求、技术标准，落实安全管理和防护措施，接受党政

18、部门和网络安全主管部门的网络安全监管。在数据安全方面，云服务商作为受托方应当依照数据安全法的规定和与党政部门签订的合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。在个人信息保护方面，云服务商作为受托方，应当按照与党政部门签订的委托合同约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，云服务商应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经党政部门同意，云服务商不得转委托他人处理个人信息。合规管理建议（三）数字政府政务云建设网络安全法律风险1003云服务牌照管理（一）法律法规要求（二）合规风险分析（

19、三）合规管理建议合规指引11云服务牌照管理云服务牌照管理中华人民共和国电信条例（国务院，2016 年 2 月 6 日修订）第九条 经营增值电信业务，业务覆盖范围在两个以上省、自治区、直辖市的，须经国务院信息产业主管部门审查批准，取得跨地区增值电信业务经营许可证；业务覆盖范围在一个省、自治区、直辖市行政区域内的，须经省、自治区、直辖市电信管理机构审查批准，取得增值电信业务经营许可证。第十三条 经营增值电信业务，应当具备下列条件：（一）经营者为依法设立的公司；（二）有与开展经营活动相适应的资金和专业人员；（三）有为用户提供长期服务的信誉或者能力；（四）国家规定的其他条件。第六十九条 违反本条例规定

20、，有下列行为之一的，由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正，没收违法所得，处违法所得 3 倍以上 5 倍以下罚款；没有违法所得或者违法所得不足 5 万元的，处 10 万元以上 100 万元以下罚款；情节严重的，责令停业整顿：（一）违反本条例第七条第三款的规定或者有本条例第五十八条第（一）项所列行为，擅自经营电信业务的，或者超范围经营电信业务的；（二）未通过国务院信息产业主管部门批准，设立国际通信出入口进行国际通信的；（三）擅自使用、转让、出租电信资源或者改变电信资源用途的；法律法规要求（一）数字政府政务云建设网络安全法律风险12（四）擅自中断网间互联互通或者

21、接入服务的；（五）拒不履行普遍服务义务的。电信业务经营许可管理办法（工业和信息化部，2017 年 7 月 3 日修订）第八条 申请办理增值电信业务经营许可证的，应当向电信管理机构提交下列申请材料：（一）公司法定代表人签署的经营增值电信业务的书面申请，内容包括：申请经营电信业务的种类、业务覆盖范围、公司名称和联系方式等；（二）公司营业执照副本及复印件；（三）公司概况，包括：公司基本情况，拟从事电信业务的人员、场地和设施等情况；（四）公司章程、公司股权结构及股东的有关情况；（五）经营电信业务的业务发展和实施计划及技术方案；（六）为用户提供长期服务和质量保障的措施；（七）网络与信息安全保障措施；（八

22、）证明公司信誉的有关材料；（九）公司法定代表人签署的公司依法经营电信业务的承诺书。申请经营的电信业务依照法律、行政法规及国家有关规定须经有关主管部门事先审核同意的，应当提交有关主管部门审核同意的文件。第十四条 基础电信业务经营许可证的有效期，根据电信业务种类分为5 年、10 年。跨地区增值电信业务经营许可证和省、自治区、直辖市范围内的增值电信业务经营许可证的有效期为 5 年。第二十七条 经营许可证有效期届满需要继续经营的，应当提前 90 日向原发证机关提出延续经营许可证的申请；不再继续经营的，应当提前 90 日向原发证机关报告，并做好善后工作。合规指引131.因未取得经营地云服务牌照的法律风险

23、。未在前款规定期限内提出延续经营许可证的申请，或者在经营许可证有效期内未开通电信业务的，有效期届满不予延续。第二十八条 电信业务经营者或者其授权经营电信业务的公司，遇有因合并或者分立、股东变化等导致经营主体需要变更的情形，或者业务范围需要变化的，应当自公司作出决定之日起 30 日内向原发证机关提出申请。电信业务经营者变更经营主体、股东的，应当符合本办法第五条、第六条、第九条第三款的有关规定。第二十九条 在经营许可证的有效期内，变更公司名称、法定代表人、注册资本的，应当在完成公司的工商变更登记手续之日起 30 日内向原发证机关申请办理电信业务经营许可证变更手续。第四十六条 违反本办法第十六条第一

24、款、第二十八条第一款规定，擅自经营电信业务或者超范围经营电信业务的，依照中华人民共和国电信条例第六十九条规定予以处罚，其中情节严重、给予责令停业整顿处罚的，直接列入电信业务经营失信名单。第四十八条 违反本办法第四条第二款、第二十条、第二十二条、第二十三条、第二十四条、第二十九条、第三十一条或者第三十五条第三款规定的，由电信管理机构责令改正，给予警告，可以并处 5000 元以上 3 万元以下的罚款。中华人民共和国网络安全法中华人民共和国电信条例对前款规定的情形规定法律责任的，电信管理机构从其规定处理。合规风险分析（二）根据电信条例第九条的规定，经营增值电信业务，业务覆盖范围在两个以上省、自治区、

25、直辖市的，须经国务院信息产业主管部门审查批准，取得跨数字政府政务云建设网络安全法律风险14地区增值电信业务经营许可证；业务覆盖范围在一个省、自治区、直辖市行政区域内的，须经省、自治区、直辖市电信管理机构审查批准，取得增值电信业务经营许可证。云服务经营者经营增值电信业务，但未取得增值电信业务许可证的情况，属于无证经营。根据电信条例第六十九条的规定，擅自经营电信业务的，或者超范围经营电信业务的，由有关部门责令改正，没收违法所得，处违法所得 3 倍以上 5 倍以下罚款；没有违法所得或者违法所得不足 5 万元的，处 10 万元以上 100 万元以下罚款；情节严重的，责令停业整顿。2.因云服务经营主体发

26、生相关变更未向主管单位申请相关信息的法律风险。根据电信业务经营许可管理办法第二十八条、第二十九条的规定，云服务经营主体发生相关变更手续需向有关单位申请变更批准手续。一是，电信业务经营者或者其授权经营电信业务的公司，遇有因合并或者分立、股东变化等导致经营主体需要变更的情形，或者业务范围需要变化的，应当自公司作出决定之日起 30 日内向原发证机关提出申请。二是，在经营许可证有效期内，变更公司名称、法定代表人、注册资本的，应当在完成公司的工商变更登记手续之日起 30 日内向原发证机关申请办理电信业务经营许可证变更手续。违反第一项申请义务，根据电信业务经营许可管理办法第四十六条、电信条例第六十九条的规

27、定擅自经营电信业务或者超范围经营电信业务的，由有关部门责令改正，没收违法所得，并处罚款；其中情节严重、给予责令停业整顿处罚的，直接列入电信业务经营失信名单。违反第二项申请义务的，根据电信业务经营许可管理办法第四十八条的规定由电信管理机构责令改正，给予警告，可以并处一定罚款。合规指引153.因许可证过期或未及向主管单位延续许可申请的法律风险。根据电信业务经营许可管理办法第十四条、第二十七条的规定，跨地区增值电信业务经营许可证和省、自治区、直辖市范围内的增值电信业务经营许可证的有效期为 5 年，经营许可证有效期届满需要继续经营的，应当提前90 日向原发证机关提出延续经营许可证的申请。云服务经营者未

28、及时申请延续手续时，云服务牌照过期导致云服务停滞等情况，有可能引发包括合同违约、损害赔偿等一系列法律风险。合规管理建议（三）建议依法申请相应云服务的经营许可，严格把控经营范围。云服务商申请办理增值电信业务经营许可证时，应当严格按照电信业务经营许可管理办法第八条的规定，向电信管理机构提交法定有效的申请材料。同时做好牌照管理，避免因牌照过期导致无法对外提供云服务等情况。数字政府政务云建设网络安全法律风险1604云平台定级备案（一）法律法规要求（二）合规风险分析（三）合规管理建议合规指引17云平台定级备案中华人民共和国网络安全法（全国人民代表大 会常务委员会，2016 年11 月 7 日通过）第二十

29、一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有

30、关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。法律法规要求（一）数字政府政务云建设网络安全法律风险18中华人民共和国计算机信息系统安全保护条例（国务院，2011 年 1 月 8日修订）第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。信息安全等级保护管理办法（公安部、国家保密局、国家密码管理局、国务院信息化工作办公室(已撤销），2007 年 6 月 22 日发布并施行）第七条 信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后

31、，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。GB/T 222392019 信息安全技术 网络安全等级保护基本要求（国家市场监督管理总局、国家标准化管理委员会，2019 年 5 月 10 日发

32、布）7.2.1.1 基础设施位置应保证云计算基础设施位于中国境内。7.2.2 安全通信网络7.2.2.1 网络架构 本项要求包括：a)应保证云计算平台不承载高于其安全保护等级的业务应用系统；b)应实现不同云服务客户虚拟网络之间的隔离；c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等合规指引19安全机制的能力。7.2.3 安全区域边界 7.2.3.1 访问控制 本项要求包括：a)应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；b)应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则。7.2.3.2 入侵防范 本项要求包括：a)应能检测到云服务客户发起的网络攻击行

33、为，并能记录攻击类型、攻击时间、攻击流量等；b)应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。合规风险分析（二）1.未履行网络安全等级保护义务的法律风险。2007 年，信息安全等级保护管理办法正式发布，标志着网络安全等级保护正式启动。2017 年，网络安全法的正式实施，从法律层面明确“国家实行网络安全等级保护制度。”根据网络安全法第二十一条、计算机信息系统安全保护条例第九条的要求，我国实行网络安全等级保护。为了更好地适用于云计算环境，GB/T 222392019 信息安全技术 网络安全等级保护基本要求

34、在网络安全等级保护基本要求中增加了云计算安全扩展要求。数据安全法第二十七条规定，利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。数字政府政务云建设网络安全法律风险20网络运营者应当按照网络安全等级保护制度要求履行相关安全保护义务，云服务商作为云平台的运营者也应遵守这一要求。否则，根据网络安全法第五十九条，云服务商不履行网络安全等级保护义务的，由有关主管部门责令改正，给予警告，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。合规管理建议（三）根据网络安全法第二十一条、计算机信息系

35、统安全保护条例第九条，数据安全法第二十七条的要求，我国对所有联网系统实行网络安全等级保护制度。建议云服务商提供政务云相关服务时，根据信息安全等级保护管理办法第七条，在运维联网政务云平台情况下，应当至少满足第二级以上信息系统安全等级保护。同时，应根据所搭建政务云服务平台的类型，满足国家推荐性标准 GB/T 222392019 信息安全技术 网络安全等级保护基本要求中第二、三、四级的云计算安全扩展要求。合规指引2105云计算服务安全评估（一）法律法规要求（二）合规风险分析（三）合规管理建议数字政府政务云建设网络安全法律风险22云计算服务安全评估云计算服务安全评估办法（国家互联网信息办公室、国家发展

36、和改革委员会(含原国家发展计划委员会、原国家计划委员会)、工业和信息化部、财政部，2019 年 7 月 2 日发布）第三条 云计算服务安全评估重点评估以下内容：（一）云平台管理运营者(以下简称“云服务商”）的征信、经营状况等基本情况；（二）云服务商人员背景及稳定性，特别是能够访问客户数据、能够收集相关元数据的人员；（三）云平台技术、产品和服务供应链安全情况；（四）云服务商安全管理能力及云平台安全防护情况；（五）客户迁移数据的可行性和便捷性；（六）云服务商的业务连续性；（七）其他可能影响云服务安全的因素。第五条 云服务商可申请对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。第

37、六条 申请安全评估的云服务商应向办公室提交以下材料：（一）申报书；（二）云计算服务系统安全计划；（三）业务连续性和供应链安全报告；（四）客户数据可迁移性分析报告；法律法规要求（一）合规指引23（五）安全评估工作需要的其他材料。第十二条 云计算服务安全评估结果有效期 3 年。有效期届满需要延续保持评估结果的，云服务商应在届满前至少 6 个月向办公室申请复评。有效期内，云服务商因股权变更、企业重组等导致实控人或控股权发生变化的，应重新申请安全评估。第十四条 通过评估的云平台停止提供服务时，云服务商应至少提前 6 个月通知客户和办公室，并配合客户做好迁移工作。第十五条 云服务商对所提供申报材料的真实

38、性负责。在评估过程中拒绝按要求提供材料或故意 提供虚假材料的，按评估不通过处理。合规风险分析（二）1.没有申请云计算服务安全评估的法律风险2.云服务安全评估失效的法律风险根据云计算服务安全评估办法第一条、第五条规定，云计算服务安全评估是依据云服务商申请，对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。同一云服务商运营的不同云平台，需要分别申请安全评估。前期已经通过党政部门云计算服务网络安全审查的云平台，视同为已通过云计算服务安全评估，不需要再重新申请。否则依据网络安全法第七十二条，将由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。根据

39、云计算服务安全评估办法第十二条，云计算服务安全评估结果有效期 3 年。有效期届满需要延续保持评估结果的，云服务商应在届满前至少 6 个月数字政府政务云建设网络安全法律风险24向办公室申请复评。以延续保持评估结果。此外，有效期内，云服务商因股权变更、企业重组等导致实控人或控股权发生变化的，应重新申请安全评估。否则，依据云计算服务安全评估办法第十三条，通过评估的云平台已不再满足要求的，将被撤销评估通过结果。3.未对标云评估标准开展云计算服务安全管理的法律风险根据云计算服务安全评估办法第八条规定，云评估主要参考云计算服务安全指南和云计算服务安全能力要求。两个标准构成了云计算服务安全管理的基础标准，云

40、计算服务安全指南面向党政部门，提出了使用云计算服务时的信息安全管理和技术要求，云计算服务安全能力要求面向云服务商，提出了为党政部门提供服务时应该具备的信息安全能力要求。其中云计算服务安全能力要求从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。未对标云评估标准开展云计算服务安全管理的，依据数据安全法第四十四条，在发现数据处理活动存在较大安全风险的情况下，由有关主管部门按照规定的权限和程序进行约谈，并要求采取措施进行整改，消除隐患。合规管理建议（三）建议云服务商在开展面向关键基础设施、党政机关

41、业务时高度重视云计算服务安全评估工作，根据云计算服务安全评估办法第六条的规定，切实做好所提交各项材料的真实性与可靠性。保证云技术的安全性和可靠性，包括但不限于加强系统漏洞扫描能力、应急能力、灾难恢复能力等技术能力；保障云服务相关证照有效性，包括但不限于许可证到期的延续、许可证内容的更新等。合规指引2506商用密码应用（一）法律法规要求（二）合规风险分析（三）合规管理建议数字政府政务云建设网络安全法律风险26商用密码应用中华人民共和国密码法（全国人民代表大会常务委员会，2019 年 10月 26 日通过）第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网

42、络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。商用密码产品检测认证适用中华人民共和国网络安全法的有关规定，避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全

43、的，应当按照中华人民共和国网络安全法的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。第三十六条 违反本法第二十六条规定，销售或者提供未经检测认证或者检测认证不合格的商用密码产品，或者提供未经认证或者认证不合格的商用密码服务的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万法律法规要求（一）合规指引27元以上十万元以下罚款。第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或

44、者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。国家政务信息化项目建设管理办法（国务院办公厅，2020 年 1 月 21日发布）第十五条 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步

45、运行密码保障系统并定期进行评估。第二十五条 国家政务信息化项目建成后半年内，项目建设单位应当按照国家有关规定申请审批部门组织验收，提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告（包括涉密信息系统安全保密测评报告或者非涉密信息系统网络安全等级保护测评报告等）、密码应用安全性评估报告等材料。项目建设单位不能按期申请验收的，应当向项目审批部门提出延期验收申请。项目审批部门应当及时组织验收。验收完成后，项目建设单位应当将验收报告等材料报项目审批部门备案。第三十条 各部门应当严格遵守有关保密等法律法规规定，构建全方位、多层次、一致性的防护体系，按要求采用密码技术，并定期

46、开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。数字政府政务云建设网络安全法律风险28商用密码应用安全性评估管理办法（试行）（国家密码管理局，2017年 4 月 22 日实施）第三条 涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。第八条 重要领域网络和信息系统规划阶段、责任单位应

47、当依据商用密码应用安全性有关标准，制定商用密码应用建设方案，组织专家或委托测评机构进行评估。评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。第九条 重要领域网络和信息系统建设完成后，责任单位应当委托测评机构进行商用密码应用安全性评估，评估结果作为项目建设验收的必备材料。第十条 重要领域网络和信息系统投入运行后，责任单位应当委托测评机构定期开展商用密码应用安全性评估，评估未通过，责任单位应当限期整改并重新组织评估。关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同

48、步进行，其他信息系统定期开展检查和抽查。第十一条 重要领域网络和信息系统发生密码相关重大安全事件、重大调整或特殊紧急情况，责任单位应当及时组织测评机构开展商用密码应用安全性评估。第十二条 测评机构完成商用密码应用安全性评估工作后，应在 30 个工作日内将评估结果报国家密码管理部门备案。责任单位完成规划、建设、运行和应合规指引29合规风险分析（二）1.未按法律要求购买使用商用密码产品的法律风险2.未按法律要求开展商用密码应用安全评估的法律风险根据密码法第二十六条的要求，政务云服务涉及国家安全、国计民生和社会公共利益，云服务商应当选用依法列入网络关键设备和网络安全专用产品目录的商用密码产品。云服务

49、商未落实上述要求的，根据密码法第三十六条的规定由有关部门责令改正，给予警告，拒不改正或者导致危害网络安全等后果的，对运营者及其直接负责的主管人员处以一定数额罚款。根据密码法第二十七条、国家政务信息化项目建设管理办法第十五条、商用密码应用安全性评估管理办法（试行）第九条、第十条的要求，云服务商在立项前、结项后都应当进行商用密码应用安全性评估。云服务商应当开展商用密码应用安全性评估，可能影响国家安全的，应当通过有关部门组织的国家安全审查。云服务商未落实上述要求的，根据密码法第三十七条的规定由有关部门责令改正，给予警告，拒不改正或者导致危害网络安全等后果的，对运营者及其直接负责的主管人员处以一定数额

50、罚款。急评估后，应在 30 个工作日内将评估结果报主管部门及所在地区（部门）密码管理部门备案，其中，网络安全等级保护第三级及以上信息系统，评估结果应同时报所在地区公安部门备案。数字政府政务云建设网络安全法律风险30合规管理建议（三）建议云服务商根据密码法的规定，为政务信息系统的安全可靠运行提供全面高效的密码支撑，保证云平台底座和云上服务均达到国家密码安全应用要求。涉及国家安全、国计民生、社会公共利益的商用密码产品，云服务商应当采购依法列入网络关键设备和网络安全专用产品目录的、并经检测认证合格的商用密码产品。同时，建议云服务商按照商用密码应用安全性评估管理办法（试行）第十二条的要求使用商用密码，

51、开展商用密码应用安全性评估。服务商采购涉及商用密码的网络产品和服务涉及国家安全时，应当通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。完成政务云建设后，应当向所在地区（部门）密码管理部门、公安部门备案。合规指引3107供应链安全（一）法律法规要求（二）合规风险分析（三）合规管理建议数字政府政务云建设网络安全法律风险32中华人民共和国网络安全法（全国人民代表大会常务委员会，2016 年11 月 7 日通过）第三十五条 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。第六十五条 关键信息基础设施的运营者违反

52、本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。供应链安全法律法规要求（一）网络安全审查办法（国家互联网信息办公室、国家发展和改革委员会(含原国家发展计划委员会、原国家计划委员会)、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局，2021 年11 月 16 日通过）第五条 关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服

53、务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。第六条 对于申报网络安全审查的采购活动，关键信息基础设施运营者应当合规指引33通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；（二）产品和服务

54、供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。第二十条 当事人违反本办法规定的，依照中华人民共和国网络安全法、中华人民共和国数据安全法的规定

55、处理。合规风险分析（二）1.采购网络产品和服务未预判国家安全风险相关法律风险根据网络安全法第三十五条、网络安全审查办法第五条的规定，云服务商基于关键信息基础设施运营者的授权采购网络产品和服务时，应当对其是数字政府政务云建设网络安全法律风险345.2否可能导致国家安全风险具有预判，并及时向网络安全审查办公室申报网络安全审查。关基运营者未申报审查的，根据网络安全法第六十五条由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。合规管理建议（三）建议云服务商在与关键信息基础设施运营者签署相关协议时，仔细评估自己的有关合规义务，如

56、涉及有采购权的，应当根据法律的规定以及合同约定，发现网络产品和服务可能导致国家安全风险的，应当通过采购文件、协议等要求产品和服务提供者配合有关部门进行安全审查，并要求提供者承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。合规指引3508政务数据安全（一）法律法规要求（二）合规风险分析（三）合规管理建议数字政府政务云建设网络安全法律风险36中华人民共和国网络安全法（全国人民代表大会常务委员会，2016 年11 月 7 日通过）第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应

57、当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。第六十六条 关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。供应链安全法律法规要求（一）中华人民共和国数据安全法（全国人民代表大会常务委员会，2021 年6 月 10 日通过）第三十一条

58、 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用中华人民共和国网络安全法的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。第三十八条 国家机关为履行法定职责的需要收集、使用数据，应当在其履合规指引37中华人民共和国个人信息保护法（全国人民代表大会常务委员会，2021 年 8 月 20 日通过）第十三条 符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实

59、施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。依照本法其他有关规定，处理个行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。第四十六条 违反本法第三十一条规定，向境外提供重要数据的，由有关

60、主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。数字政府政务云建设网络安全法律风险38合规风险分析（二）1.未按照法律要求向境外提供数据的法律风险根据网络安全法第六十六条、数据安全法第三十一条、个人信息人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。第十四条 基于个人同意处理个人信息的，该同意应当由个

61、人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。第十九条 除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

62、接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。合规指引392.未履行个人信息和数据安全保护义务的法律风险根据数据安全法第三十八条、个人信息保护法第二十三条等规定，作为受托方的云服务商应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供在此过程中收集的个人信息。否则，根据个人信息保护法第六十六条等规定，由履行个人信息保护

63、职责的部门责令改正，给予警告，没收违法所得，并对直接负责的主管人员和其他直接责任人员处一定罚款。上述情节严重的，可能被吊销相关业务许可或者吊销营业执照，并对直接负责的主管人员和其他直接责任人员处较高罚款。保护法第三十六条等规定，作为关键信息基础设施的运营者，原则上不能向境外提供数据，若未按照法律规定向境外提供数据的，由有关主管部门责令改正，给予警告，并处以一定数额罚款。情节严重的，可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚。5.2合规管理建议（三）建议云服务商根据数据安全法第三十六条等规定，仔细评估在数据处理中的法律关系和法律地位，并根据评估结果确定对应的合规义务。同时，建议云服务商根据个人信息保护法第二十三条等规定，在接受委托期间应仅在委托方的授权范围内处理个人信息和数据，依法采取严格的安全保护措施，配合委托方履行个人信息保护责任，并在服务终止后依法删除委托方提供的相应数据。应从安全管理的角度把控政务云系统有序持久运行，加强漏洞风险的管理，建设整套体系化流程的安全保障措施框架。