温馨提示

网络安全法律法规

时间：2023-09-12 11:29

一：数据安全法数据分类分级保护

l 法律法规：

《数据安全法》

第二十一条国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

l Q&A

Q：为什么要做数据分类分级？

A: 数据分类分级是数据安全治理的前提，是数据合规最核心的问题。只有对数据进行有效分类分级，才能避免一刀切的控制方式。在数据安全管理上采用更加精细的措施，使数据在共享使用和安全使用之间获得平衡。科学有效的数据分类分级可以让数据处理者能够根据数据的差异化制定不同的安全保护策略，同时，通过数据分类分级可以进一步明确数据资产，尤其是重要和敏感数据资产的分布和使用状况，以便实施有针对性的保护策略保障数据的安全。数据分类分级不是一成不变的，需要随着业务的变化而不断进行调整优化，以达到识别重要数据、保障数据安全的目的。

华清信安：数据安全系列（二）丨数据分类分级 - 知乎 (zhihu.com)

l 业务实践

2022年7月至12月，上海市网信办会同市政府办公厅成立试点工作组，开展数据分类分级、制定重要数据目录试点工作，涉及16家试点单位，形成了一系列工作成果。为推广试点工作经验，2023年上半年，“网信上海”公众号已发布11期成果分享文章。

二：个人信息保护法过度收集个人信息

l 法律法规：

《中华人民共和国个人信息保护法》

第五条处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条　处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

第七条　处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

l Q&A

Q：开展个人信息处理活动要注意哪些规范要求？

A：处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关。处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务。个人有撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。

个人信息保护法：构建以“告知-同意”为核心的处理规则_中国人大网 (npc.gov.cn)

l 业务实践

2023年3月，上海市消保委对上海29家知名度较高的奶茶店、快餐店进行暗访。经调查发现，某网红知名连锁奶茶品牌每收到一笔订单，就可产生87条数据。截至今年3月其累计产生的数据超100亿条。其中，涉及消费者姓名、电话、收货地址经度纬度等敏感个人信息的达6.7亿条。6月，上海市网信办、市市场监管局共同启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”，聚焦餐饮店、停车扫码、少儿学习培训等八个消费场景，重点整治没有隐私政策、利用互联网各种渠道非法买卖公民个人信息等八类问题。

三：网络安全法网络安全保护义务网络安全等级保护

l 法律法规：

《中华人民共和国网络安全法》

第五十六条省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。

l Q&A

Q：网络运营者不履行安全保护义务需要承担什么责任？

A：网络运营者，是指网络的所有者、管理者和网络服务提供者。网络运营者不履行网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

中华人民共和国网络安全法_中国人大网 (npc.gov.cn)

l 业务实践

上海市网信办全面履行互联网信息内容、网络和数据安全、个人信息保护等领域监督管理职责，进一步加大执法处罚力度，综合运用执法约谈、责令整改、处置账号、移动应用程序下架、关闭网站、行政罚款、处理责任人等多种手段，依法查处网上各类违法违规行为。据统计，2022年全年共约谈网站平台和自媒体119家，下架移动应用程序342款，关闭违规账号1043个，会同市通信管理部门关闭网站70余家。

四：密码法密码技术应用

l 法律法规：

《中华人民共和国密码法》

第六条　国家对密码实行分类管理。

密码分为核心密码、普通密码和商用密码。

第七条　核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

第八条　商用密码用于保护不属于国家秘密的信息。

公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

l Q&A

Q：《密码法》的管理对象有哪些?

A：作为《密码法》的管理对象，密码包括密码技术、密码产品和密码服务。

密码技术，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术。

密码产品，是指采用密码技术并以加密保护、安全认证的产品，即承载密码技术、实现密码功能的实体。

密码服务，是指基于密码专业技术、技能和设施，为他人提供集成、运营、监理等密码支持和保障的活动，即基于密码技术和产品，实现密码功能，提供密码保障的行为。

https://www.oscca.gov.cn/sca/xxgk/2020-01/13/content_1060605.shtml

l 业务实践

2022年10月，人力资源社会保障部发布《中华人民共和国职业分类大典（2022年版）》，新增2个密码职业，即密码技术应用员（职业编码4-04-04-06）以及密码工程技术人员（职业编码2-02-38-13），均被标注为数字职业。新职业的发布将有效带动密码职业人才培养评价，促进密码科技创新和产业发展。

五：关键信息基础设施安全保护条例认定标准

l 法律法规：

《关键信息基础设施安全保护条例》第二条：

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

l Q&A

Q：关键信息基础设施安全保护有哪些基础保障措施？

A：根据《条例》规定，一方面，保护工作部门应当制定本行业、本领域关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。另一方面，国家网信部门统筹协调有关部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。

《条例》对如何界定关键信息基础设施进行了明确_解读政策_中国政府网 (www.gov.cn)

l 业务实践

2023年5月21日，国家互联网信息办公室网络安全审查办公室依法对某公司在华销售产品进行了网络安全审查。审查发现，美光公司产品存在较严重网络安全问题隐患，对我国关键信息基础设施供应链造成重大安全风险，影响我国国家安全。

网络安全审查办公室依法作出不予通过网络安全审查的结论。按照《网络安全法》等法律法规，我国内关键信息基础设施的运营者应停止采购美光公司产品。

来源：https://mp.weixin.qq.com/s/BEX4nl_S11tZaPZTDCExHQ

六：未成年人保护法 “网络保护”专章

l 法律法规：

《中华人民共和国未成年人保护法》第六十八条：

新闻出版、教育、卫生健康、文化和旅游、网信等部门应当定期开展预防未成年人沉迷网络的宣传教育，监督网络产品和服务提供者履行预防未成年人沉迷网络的义务，指导家庭、学校、社会组织相互配合，采取科学、合理的方式对未成年人沉迷网络进行预防和干预。

l Q&A

Q：对未成年人网络成瘾问题，《未成年人保护法》做了哪些要求？

A：针对未成年人网络成瘾的问题，《未成年人保护法》规定，网络相关管理机构要定期开展防沉迷教育，指导家庭、学校采取科学、合理的方式对未成年人沉迷网络进行预防和干预，并明确规定任何组织或者个人不得以侵害未成年人身心健康的方式对未成年人沉迷网络进行干预，要求网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能，提出网络游戏服务提供者不得在每日二十二时至次日八时向未成年人提供网络游戏服务。

开启未成年人网络保护新篇章-中共中央网络安全和信息化委员会办公室 (cac.gov.cn)

l 业务实践

2023年6月28日，上海市网信办会同市文明办、市检察院、市文旅局执法总队举办“清朗守护·为你而来”上海市未成年人网络保护系列主题发布活动，正式启动“清朗浦江·2023年暑期未成年人网络环境整治”专项行动。重点聚焦有害内容隐形变异、网络欺凌、隔空猥亵、网络诈骗、不良内容、网络沉迷、新技术新应用风险等涉未成年人突出问题，开展集中整治，拦截清理侵害未成年人身心健康的网络信息，全面压缩有害信息隐形变异的生存空间，坚决遏制侵害未成年人权益的违法行为，进一步提升学习类APP、儿童智能设备等专属产品服务信息内容安全标准，有效解决网络沉迷问题，营造有利于未成年人健康安全成长的网络环境。

七：数据出境安全评估办法事前评估

l 部门规章：

《数据出境安全评估办法》第三条：

数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。

l Q&A

Q：哪些情形应当申报数据出境安全评估？

A：《办法》规定了应当申报数据出境安全评估的情形，包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。

国家互联网信息办公室公布《数据出境安全评估办法》-中共中央网络安全和信息化委员会办公室 (cac.gov.cn)

l 业务实践

自2022年9月1日起开展数据出境安全评估相关工作，上海网信办已开通电话咨询专线，解答咨询电话近4500通；在官方账号”网信上海“发布实务问答2次；会同重要功能区管委会、重点领域行业主管部门召开数据出境安全评估政策系列宣讲会10余场，面对面服务属地企业近650余家。

八：生成式人工智能服务管理暂行办法生成内容进行标识

l 部门规章：

《生成式人工智能服务管理暂行办法》

第九条提供者应当依法承担网络信息内容生产者责任，履行网络信息安全义务。涉及个人信息的，依法承担个人信息处理者责任，履行个人信息保护义务。

提供者应当与注册其服务的生成式人工智能服务使用者（以下称使用者）签订服务协议，明确双方权利义务。

第十二条提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。

l Q&A

Q：《生成式人工智能服务管理暂行办法》的适用范围是什么？

A：《生成式人工智能服务管理暂行办法》规定，利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务，适用本办法。

生成式人工智能服务管理暂行办法_中央网络安全和信息化委员会办公室 (cac.gov.cn)

l 业务实践

2023年8月15日，《生成式人工智能服务管理暂行办法》正式施行。当日，上海市网信办面向各相关企业、机构召开宣贯培训会，会上对办法的出台背景、技术发展与治理、服务规范与合规义务、监督检查和法律责任、合规义务等开展了详细宣贯，回应企业关切，指导企业合规发展生成式人工智能业务。

九：汽车数据安全管理若干规定（试行）汽车数据安全管理情况报送

l 部门规章：

《汽车数据安全管理若干规定（试行）》

第十条 汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。

第十三条 汽车数据处理者开展重要数据处理活动，应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况：

（一）汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式；

（二）处理汽车数据的种类、规模、目的和必要性；

（三）汽车数据的安全防护和管理措施，包括保存地点、期限等；

（四）向境内第三方提供汽车数据情况；

（五）汽车数据安全事件和处置情况；

（六）汽车数据相关的用户投诉和处理情况；

（七）国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。

l Q&A

Q：什么是汽车数据、汽车数据处理、汽车数据处理者？

A:规定所称汽车数据，包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。

汽车数据处理者，是指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

l 业务实践

为规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，根据《汽车数据安全管理若干规定（试行）》，上海市网信办每年组织开展年度汽车数据安全管理情况报送工作。报送范围是注册地为上海的开展重要数据处理活动的汽车数据处理者，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。