本動(dòng)態(tài)下篇涵蓋2020年1月至6月細(xì)分領(lǐng)域下的個(gè)人信息與網(wǎng)絡(luò)安全保護(hù)規(guī)則介紹,主要聚焦行業(yè)細(xì)分領(lǐng)域下的個(gè)人信息與網(wǎng)絡(luò)安全保護(hù)規(guī)則,包括教育��、電商����、金融、工業(yè)等領(lǐng)域;也介紹了與網(wǎng)絡(luò)安全審查有關(guān)的新規(guī)��。
有關(guān)App場(chǎng)景下的個(gè)人信息保護(hù)規(guī)則以及綜合性個(gè)人信息監(jiān)管規(guī)則的簡(jiǎn)述��,可參見我們動(dòng)態(tài)的上篇:《海問·觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動(dòng)態(tài)(2020年1月-6月):監(jiān)管規(guī)則(上)》�。
本動(dòng)態(tài)僅作為本所對(duì)網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)相關(guān)的近期話題的一般性探討��,不構(gòu)成本所正式法律咨詢意見�。
監(jiān)管規(guī)則目錄:
一�����、教育領(lǐng)域
(一)《2020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》
2020年2月26日��,國(guó)家教育部辦公廳發(fā)布了《2020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》(教科技廳[2020]1號(hào))(“《工作要點(diǎn)》”)。《工作要點(diǎn)》列舉了在教育信息化與網(wǎng)絡(luò)安全領(lǐng)域的11個(gè)主要工作方面和32項(xiàng)重點(diǎn)任務(wù),其中,特別值得關(guān)注的是:
1����、教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用應(yīng)當(dāng)進(jìn)行備案
與2019年11月,教育部辦公廳發(fā)布的《教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》(教技廳〔2019〕3號(hào))相同��,《工作要點(diǎn)》中重申了分階段推進(jìn)教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(“教育類APP”)備案工作����,并2020年1月31日前完成對(duì)現(xiàn)有教育類APP的備案工作。
根據(jù)教育部網(wǎng)站公布的數(shù)據(jù)�����,截至2020年1月14日已有1928家教育類APP完成了備案工作���,尚未完成備案工作的教育類APP企業(yè)應(yīng)當(dāng)高度重視并積極辦理該項(xiàng)備案工作�,嚴(yán)格遵守主管部門的業(yè)務(wù)合規(guī)要求。
2����、主管部門將開展高等學(xué)校管理服務(wù)類教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用專項(xiàng)治理行動(dòng)
2019年11月�,教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室印發(fā)了《高等院校管理服務(wù)類教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用專項(xiàng)治理行動(dòng)方案》(教技司〔2019〕265號(hào))(“《高等院校服務(wù)APP專項(xiàng)治理》”)�,要求提高高等院校管理服務(wù)類教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用(“高校服務(wù)類APP”)的網(wǎng)絡(luò)安全保障,并指出將在2020年1月31日前完成對(duì)高校服務(wù)類APP的重點(diǎn)抽查工作�。
《2020年工作要點(diǎn)》進(jìn)一步強(qiáng)調(diào)��,將加強(qiáng)對(duì)于教育類APP的事中事后監(jiān)管機(jī)制,重點(diǎn)治理強(qiáng)制使用收費(fèi)��、違規(guī)采集個(gè)人信息����、呈現(xiàn)低俗信息等問題,并開展高校服務(wù)類APP專項(xiàng)治理行動(dòng)��。
二、金融領(lǐng)域
(一)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》
2020年2月13日���,中國(guó)人民銀行發(fā)布了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T0171-2020)(“《金融信息規(guī)范》”),從安全技術(shù)和安全管理兩個(gè)方面規(guī)定了個(gè)人金融信息的收集�����、傳輸�����、存儲(chǔ)、使用����、刪除��、銷毀等生命周期的安全防護(hù)要求,進(jìn)一步明確了個(gè)人金融信息風(fēng)險(xiǎn)識(shí)別和把控重點(diǎn)�����。其中�,特別值得關(guān)注的有:
1、《金融信息規(guī)范》監(jiān)管對(duì)象較為寬泛
《金融信息規(guī)范》適用于國(guó)家金融管理部門監(jiān)督管理的持牌金融機(jī)構(gòu)�����,以及個(gè)人金融信息處理的相關(guān)機(jī)構(gòu)�����。相較于中國(guó)人民銀行此前發(fā)布的涉及個(gè)人金融信息保護(hù)的規(guī)范文件�,《金融信息規(guī)范》將為持牌金融機(jī)構(gòu)提供業(yè)務(wù)支持而涉及個(gè)人金融信息數(shù)據(jù)處理的相關(guān)機(jī)構(gòu)(如大數(shù)據(jù)分析公司等)納入監(jiān)管范圍���。
2�、《金融信息規(guī)范》中個(gè)人金融信息范圍的擴(kuò)大
在《金融信息規(guī)范》中,“個(gè)人金融信息”指金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取�、加工和保存的個(gè)人信息����,包括賬戶信息�����、鑒別信息、金融交易信息�����、個(gè)人身份信息等七大類信息��,范圍相對(duì)寬泛����。相較于中國(guó)人民銀行在2011年1月發(fā)布的《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》����,增加了“鑒別信息”的概念,即用于驗(yàn)證主體是否具有訪問或使用權(quán)限的信息,包括但不限于銀行卡密碼��、預(yù)付卡支付密碼����;個(gè)人金融信息主體登錄密碼、賬戶査詢密碼、交易密碼;卡片驗(yàn)證碼(CVN和CVN2)、動(dòng)態(tài)口令、短信驗(yàn)證碼�、密碼提示問題答案等�����。
3、個(gè)人金融信息類別
《金融信息規(guī)范》根據(jù)個(gè)人金融信息遭遇到未經(jīng)授權(quán)的查看或變更后的可能影響,將個(gè)人金融信息分成敏感程度由高到低的C3��、C2���、C1三個(gè)類別����,具體如下:
4、個(gè)人金融信息安全技術(shù)和安全管理要求
《金融信息規(guī)范》對(duì)個(gè)人金融信息提出了覆蓋數(shù)據(jù)全生命周期保護(hù)的,貫穿收集、傳輸����、存儲(chǔ)�、使用���、刪除���、銷毀等環(huán)節(jié)的安全技術(shù)和安全管理要求�。其中,特別值得注意的有:
i. 在對(duì)個(gè)人金融信息主體各類信息進(jìn)行獲取和記錄的過程中,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu)不得委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集C3、C2類別信息���。即,企業(yè)不得委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集包括手機(jī)號(hào)在內(nèi)的個(gè)人金融信息,這對(duì)金融業(yè)機(jī)構(gòu)數(shù)據(jù)服務(wù)外包環(huán)節(jié)提出較高的整改與合規(guī)要求����;
ii. 就個(gè)人金融信息在終端設(shè)備���、信息系統(tǒng)內(nèi)或信息系統(tǒng)間傳遞的過程�����,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu)在個(gè)人金融數(shù)據(jù)傳輸前及傳輸時(shí)注重信息安全的技術(shù)保護(hù),如:
a. 對(duì)通過公共網(wǎng)絡(luò)傳輸?shù)腃2�、C3類別信息使用加密通道或進(jìn)行數(shù)據(jù)加密�;
b. 傳輸個(gè)人金融信息前�����,通信雙方應(yīng)通過有效技術(shù)手段進(jìn)行身份鑒別和認(rèn)證����;
iii. 就個(gè)人金融信息處于終端設(shè)備�、信息系統(tǒng)內(nèi)的保存的過程����,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu)不得留存非本機(jī)構(gòu)的C3類別信息,除非獲得個(gè)人金融信息主體及賬戶管理機(jī)構(gòu)的授權(quán)�����、C3類別個(gè)人金融信息應(yīng)進(jìn)行加密存儲(chǔ)��。
此外����,由于《金融信息規(guī)范》要求受理終端���、個(gè)人終端及客戶端應(yīng)用軟件不得留存支付敏感信息及個(gè)人生物識(shí)別信息的樣本數(shù)據(jù)��,金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)及時(shí)展開對(duì)其手機(jī)APP�、支持人臉識(shí)別取款的ATM機(jī)等收集的支付敏感信息與個(gè)人生物識(shí)別信息的終端的自查工作��,并盡快完成相關(guān)留存信息(如有)的清除����;
iv. 就對(duì)個(gè)人金融信息的展示���、共享和轉(zhuǎn)讓����、公開披露、委托處理���、加工處理等操作的過程����,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu):
a.在委托第三方機(jī)構(gòu)處理個(gè)人金融信息時(shí),不得委托其處理C3類別信息以及C2類別信息中的用戶鑒別輔助信息��;
b. 在必需的信息展示環(huán)節(jié)����,采取適當(dāng)?shù)哪:ㄖ竿ㄟ^隱藏或截取局部信息令個(gè)人金融信息無法完整顯示)����、不可逆(指無法通過樣本信息倒推真實(shí)信息的方法)等脫敏處理��,具體而言包括:
v. 在共享與轉(zhuǎn)讓個(gè)人金融信息時(shí):
a.不應(yīng)共享��、轉(zhuǎn)讓C3類別信息以及C2類別信息中的用戶鑒別輔助信息,共享轉(zhuǎn)讓其他個(gè)人金融信息需要告知并獲得信息主體的同意����,但經(jīng)去標(biāo)識(shí)化處理�����、確保數(shù)據(jù)接收方無法重新識(shí)別信息主體的除外��。
b. 因收購(gòu)�����、兼并、重組、破產(chǎn)等情況導(dǎo)致金融業(yè)機(jī)構(gòu)主體變更而需進(jìn)行個(gè)人金融信息共享、轉(zhuǎn)讓時(shí)���,金融業(yè)機(jī)構(gòu)應(yīng)將該變更情況以逐一傳達(dá)或公告的方式通知個(gè)人金融信息主體,且承接后的個(gè)人信息控制者應(yīng)繼續(xù)履行原定責(zé)任和義務(wù),并在變更個(gè)人信息使用目的時(shí)�,重新取得個(gè)人信息主體的明示同意����。
c.如因業(yè)務(wù)需要����,可向境外機(jī)構(gòu)提供在中國(guó)境內(nèi)提供金融產(chǎn)品或服務(wù)過程中收集和產(chǎn)生的個(gè)人金融信息。但是,與此前《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》中的限定相同,目前前述個(gè)人金融信息僅能提供給境內(nèi)機(jī)構(gòu)的境外關(guān)聯(lián)機(jī)構(gòu)如其總公司、母公司或分公司���、子公司及其他未完成其業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu);
vi. 就對(duì)個(gè)人金融信息的不可被檢索、訪問的處理過程,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu)積極響應(yīng)個(gè)人金融信息主體刪除其個(gè)人金融信息的請(qǐng)求;
vii. 就對(duì)個(gè)人金融信息進(jìn)行清除使其不可恢復(fù)的過程����,《金融信息規(guī)范》要求:
a.如金融業(yè)機(jī)構(gòu)因金融產(chǎn)品或服務(wù)的需要����,將收集的個(gè)人金融信息委托給第三方機(jī)構(gòu)(含外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu))處理的�����,在委托關(guān)系解除時(shí)(或外包服務(wù)終止后)���,受委托者應(yīng)按照金融業(yè)機(jī)構(gòu)的要求銷毀其處理的個(gè)人金融信息;
b.金融業(yè)機(jī)構(gòu)應(yīng)建立外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu)管理制度��,該制度應(yīng)包括通過協(xié)議或合同的方式�,約束外包服務(wù)機(jī)構(gòu)與外部服務(wù)機(jī)構(gòu)不應(yīng)留存C2、C3類別信息�。
(二)《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法(征求意見稿)》
中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)于2020年5月9日發(fā)布了《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法(征求意見稿)》(“《網(wǎng)絡(luò)貸款辦法》”)����,對(duì)商業(yè)銀行的互聯(lián)網(wǎng)貸款業(yè)務(wù)經(jīng)營(yíng)行為作出規(guī)范���。其中��,特別值得關(guān)注的是《網(wǎng)絡(luò)貸款辦法》設(shè)立專門章節(jié)�,對(duì)商業(yè)銀行業(yè)務(wù)開展中的風(fēng)險(xiǎn)數(shù)據(jù)管理作出了規(guī)定:
1��、明確風(fēng)險(xiǎn)數(shù)據(jù)的范圍
風(fēng)險(xiǎn)數(shù)據(jù)是指商業(yè)銀行在對(duì)借款人進(jìn)行身份確認(rèn)�,以及貸款風(fēng)險(xiǎn)識(shí)別、分析��、評(píng)價(jià)���、監(jiān)測(cè)���、預(yù)警和處置等環(huán)節(jié)收集��、使用的各類內(nèi)外部數(shù)據(jù)����。
2��、要求商業(yè)銀行確認(rèn)外部風(fēng)險(xiǎn)數(shù)據(jù)來源合法合規(guī)
商業(yè)銀行如果需要從外部合作機(jī)構(gòu)獲取借款人風(fēng)險(xiǎn)數(shù)據(jù)��,應(yīng)當(dāng)至少包含借款人姓名、身份證號(hào)、聯(lián)系電話、銀行賬戶等基本信息��,且通過適當(dāng)方式確認(rèn)合作機(jī)構(gòu)的數(shù)據(jù)來源合法合規(guī)�����、真實(shí)有效,并已獲得數(shù)據(jù)主體本人的明確授權(quán)�。
3��、要求風(fēng)險(xiǎn)數(shù)據(jù)收集和使用遵循合法、必要����、有效的原則
不得違反法律法規(guī)和借貸雙方約定�,不得將風(fēng)險(xiǎn)數(shù)據(jù)用于從事與貸款業(yè)務(wù)無關(guān)或有損借款人合法利益的活動(dòng)�,不得向第三方提供借款人風(fēng)險(xiǎn)數(shù)據(jù)。
4�、要求商業(yè)銀行采取風(fēng)險(xiǎn)數(shù)據(jù)安全保管措施
商業(yè)銀行應(yīng)當(dāng)建立風(fēng)險(xiǎn)數(shù)據(jù)安全管理的策略與標(biāo)準(zhǔn)�,采取有效技術(shù)措施�,保障借款人風(fēng)險(xiǎn)數(shù)據(jù)在采集、傳輸��、存儲(chǔ)���、處理和銷毀過程中的安全���,防范數(shù)據(jù)泄漏�、丟失或被篡改的風(fēng)險(xiǎn)。
三�、電商領(lǐng)域:《電子商務(wù)信息公示管理辦法(征求意見稿)》
2020年2月12日�����,商務(wù)部發(fā)布了《電子商務(wù)信息公示管理辦法(征求意見稿)》(“《電商信息公示辦法》”),對(duì)《電子商務(wù)法》中提出的電子商務(wù)經(jīng)營(yíng)者信息公示義務(wù)進(jìn)一步作出了細(xì)化規(guī)定��。
值得關(guān)注的是����,除對(duì)《電子商務(wù)法》規(guī)定的公示義務(wù)進(jìn)行細(xì)化外,《電商信息公示辦法》還專門規(guī)定了非法獲取公示電子商務(wù)信息數(shù)據(jù)和非法篡改與使用公示電子商務(wù)信息數(shù)據(jù)行為及相應(yīng)的法律責(zé)任�,加強(qiáng)了對(duì)公示電子商務(wù)信息數(shù)據(jù)的保護(hù)力度�����,具體如下:
1�、非法獲取信息數(shù)據(jù)的行為與法律責(zé)任
《電商信息公示辦法》強(qiáng)調(diào),任何自然人、法人或者其他組織不得通過數(shù)據(jù)抓取等技術(shù)手段不正當(dāng)?shù)孬@取公示的電子商務(wù)信息����。根據(jù)該文件���,僅有“不正當(dāng)”的獲取行為才應(yīng)當(dāng)承擔(dān)法律責(zé)任����,但未就“不正當(dāng)”的具體情形進(jìn)行說明��。
參照《數(shù)據(jù)安全管理辦法(征求意見稿)》規(guī)定�,“不正當(dāng)”的運(yùn)用技術(shù)手段可以指���,妨礙網(wǎng)站正常運(yùn)行的自動(dòng)化收集網(wǎng)站數(shù)據(jù)的行為�。舉例而言,自然人、法人或者其他組織采用數(shù)據(jù)抓取等技術(shù)手段收集流量超過網(wǎng)站日均流量三分之一��,且在網(wǎng)站要求其停止此類訪問收集行為而拒不停止的,可能被認(rèn)定為該自然人���、法人或者其他組織通過數(shù)據(jù)抓取等技術(shù)手段不正當(dāng)?shù)孬@取了公示的電子商務(wù)信息。
2����、篡改和非法使用信息數(shù)據(jù)的行為與法律責(zé)任
《電商信息公示辦法》明確禁止篡改和非法使用公示的電子商務(wù)信息的行為�,由于經(jīng)公示的電子商務(wù)信息數(shù)據(jù)很容易被外界獲取���,并被他人非法的修改�����、編輯和利用,從而導(dǎo)致被公示的電子商務(wù)信息失去其真實(shí)性和完整性。因此,《電商信息公示辦法》明確了對(duì)公示信息的保護(hù)�����,體現(xiàn)了對(duì)打擊篡改和非法使用公示電子商務(wù)信息數(shù)據(jù)的侵權(quán)行為的決心����。
四、工業(yè)數(shù)據(jù)保護(hù):《工業(yè)數(shù)據(jù)分類分級(jí)指南(試行)》
2020年3月4日��,工業(yè)和信息化部辦公廳發(fā)布了《工業(yè)數(shù)據(jù)分類分級(jí)指南(試行)》(“《分級(jí)指南》”)以促進(jìn)工業(yè)數(shù)據(jù)的使用����、流動(dòng)與共享。該指南所指工業(yè)數(shù)據(jù)是工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期產(chǎn)生和應(yīng)用的數(shù)據(jù),包括但不限于工業(yè)企業(yè)在研發(fā)設(shè)計(jì)�、生產(chǎn)制造����、經(jīng)營(yíng)管理��、運(yùn)維服務(wù)等環(huán)節(jié)中生成和使用的數(shù)據(jù)��,以及工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)在設(shè)備接入、平臺(tái)運(yùn)行、工業(yè)APP應(yīng)用等過程中生成和使用的數(shù)據(jù)����。
根據(jù)《分級(jí)指南》�����,企業(yè)在業(yè)務(wù)開展過程中產(chǎn)生的工業(yè)數(shù)據(jù)可以根據(jù)其遭篡改、破壞、泄露或非法利用后,可能對(duì)工業(yè)生產(chǎn)����、經(jīng)濟(jì)效益等帶來的潛在影響�,分為三個(gè)級(jí)別���,具體分類情況以及管理要求如下:
1�、工業(yè)數(shù)據(jù)遭篡改���、破壞��、泄露或非法利用后����,將造成以下影響的����,應(yīng)當(dāng)被界定為三級(jí)數(shù)據(jù):
i. 將引發(fā)特大安全事故、特大環(huán)境事件����、特大經(jīng)濟(jì)損失的�����;或
ii. 將對(duì)國(guó)家的安全和經(jīng)濟(jì)情況、社會(huì)和公眾利益���、行業(yè)發(fā)展產(chǎn)生嚴(yán)重影響的。
管理上����,企業(yè)針對(duì)三級(jí)數(shù)據(jù)采取的防護(hù)措施����,應(yīng)能抵御來自國(guó)家級(jí)敵對(duì)組織的大規(guī)模惡意攻擊。且三級(jí)數(shù)據(jù)原則上不共享�����,確需共享的應(yīng)嚴(yán)格控制知悉范圍��。
2、工業(yè)數(shù)據(jù)遭篡改��、破壞���、泄露或非法利用后�,將造成以下影響的,應(yīng)當(dāng)被界定為二級(jí)數(shù)據(jù):
i. 將引發(fā)較大安全事故�����、較大環(huán)境事件����、較大經(jīng)濟(jì)損失的;或
ii. 引發(fā)的級(jí)聯(lián)效應(yīng)明顯����,如涉及多個(gè)行業(yè)�、區(qū)域或者行業(yè)內(nèi)多個(gè)企業(yè)�,或影響持續(xù)時(shí)間長(zhǎng)或被非法利用的數(shù)據(jù)量較大。
管理上�,企業(yè)針對(duì)二級(jí)數(shù)據(jù)采取的防護(hù)措施�����,應(yīng)能抵御大規(guī)模、較強(qiáng)惡意攻擊�����。二級(jí)數(shù)據(jù)只對(duì)確需獲取該級(jí)數(shù)據(jù)的授權(quán)機(jī)構(gòu)及相關(guān)人員開放�,在做好數(shù)據(jù)管理的前提下,企業(yè)可以適當(dāng)共享二級(jí)數(shù)據(jù)�。
3����、工業(yè)數(shù)據(jù)遭篡改���、破壞�、泄露或非法利用后��,將造成以下影響的�,應(yīng)當(dāng)被界定為一級(jí)數(shù)據(jù):
i. 對(duì)工業(yè)控制系統(tǒng)����、設(shè)備、平臺(tái)等的影響較小��;或
ii. 給企業(yè)造成負(fù)面影響�����、直接經(jīng)濟(jì)損失較小��,數(shù)據(jù)恢復(fù)或消除負(fù)面影響所需付出的代價(jià)較小;或
iii. 受影響的用戶和企業(yè)數(shù)量較少、區(qū)域范圍較小�����、持續(xù)時(shí)間較短���。
管理上����,企業(yè)針對(duì)一級(jí)數(shù)據(jù)采取的防護(hù)措施,應(yīng)能抵御一般惡意攻擊���,且在做好數(shù)據(jù)管理的前提下企業(yè)可以適當(dāng)共享一級(jí)數(shù)據(jù)�。
五����、人類遺傳資源信息保護(hù):《生物安全法(草案二次審議稿)》
《生物安全法(草案二次審議稿)》(“《生物安全法》”)于2020年4月30日在中國(guó)人大網(wǎng)公布并向公眾公開征求意見至2020年6月13日���。該文件對(duì)疫情防控�����、生物技術(shù)研發(fā)與應(yīng)用�、人類遺傳資源與生物資源安全管理以及防范生物入境和生物武器威脅等生物安全領(lǐng)域進(jìn)行了規(guī)定����。其中,《生物安全法》延續(xù)了《人類遺傳資源管理?xiàng)l例》(“《遺傳資源條例》”)中的相關(guān)規(guī)定,核心內(nèi)容如下:
1�、與《遺傳資源條例》相同����,《生物安全法》規(guī)定采集����、保藏、利用�、對(duì)外提供我國(guó)人類遺傳資源����,應(yīng)當(dāng)符合倫理原則�,不得危害公眾健康、國(guó)家安全和社會(huì)公共利益���。
2、采集我國(guó)重要遺傳家系、特定地區(qū)人類遺傳資源或者采集國(guó)務(wù)院科學(xué)技術(shù)主管部門規(guī)定的種類���、數(shù)量的人類遺傳資源;保藏我國(guó)人類遺傳資源;利用我國(guó)人類遺傳資源開展國(guó)際科學(xué)研究合作;將我國(guó)人類遺傳資源材料運(yùn)送��、郵寄���、攜帶出境的行為需要經(jīng)國(guó)務(wù)院科學(xué)技術(shù)主管部門批準(zhǔn)����。
但是�,上述規(guī)定也有兩個(gè)例外情況:第一,以臨床診療��、教學(xué)��、采供血服務(wù)���、查處違法犯罪����、興奮劑檢測(cè)和殯葬等為目的采集��、保藏人類遺傳資源及開展的相關(guān)活動(dòng)不需要取得批準(zhǔn)���;第二�,為了取得相關(guān)藥品和醫(yī)療器械在我國(guó)上市許可�,在臨床試驗(yàn)機(jī)構(gòu)利用我國(guó)人類遺傳資源開展國(guó)際合作臨床試驗(yàn)、不涉及人類遺傳資源出境的��,不需要批準(zhǔn)���;但是�����,在開展臨床試驗(yàn)前應(yīng)對(duì)將擬使用的人類遺傳資源種類�、數(shù)量及其用途向國(guó)務(wù)院科學(xué)技術(shù)主管部門備案�����。
3、境外組織、個(gè)人及其設(shè)立或者實(shí)際控制的機(jī)構(gòu)不得在我國(guó)境內(nèi)采集、保藏我國(guó)人類遺傳資源,不得向境外提供我國(guó)人類遺傳資源���;境外組織�、個(gè)人及其設(shè)立或者實(shí)際控制的機(jī)構(gòu)獲取和利用我國(guó)生物資源�,應(yīng)當(dāng)依法取得有關(guān)部門的批準(zhǔn)。
4��、將我國(guó)人類遺傳資源信息向境外組織�、個(gè)人及其設(shè)立或者實(shí)際控制的機(jī)構(gòu)提供或者開放使用的,應(yīng)當(dāng)向國(guó)務(wù)院科學(xué)技術(shù)主管部門事先報(bào)告并提交信息備份����;可能影響公眾健康�����、國(guó)家安全和社會(huì)公共利益的,還應(yīng)當(dāng)通過國(guó)務(wù)院科學(xué)技術(shù)主管部門的安全審查����。
5����、利用我國(guó)人類遺傳資源和生物資源開展國(guó)際科學(xué)研究合作��,應(yīng)當(dāng)保證中方單位及其研究人員全過程�、實(shí)質(zhì)性地參與研究�,依法分享相關(guān)權(quán)益。利用我國(guó)生物資源開展國(guó)際科學(xué)研究合作�,應(yīng)當(dāng)依法取得有關(guān)部門的批準(zhǔn)�����。
簡(jiǎn)評(píng):
人類遺傳資源的跨境傳輸(其中往往也可能涉及個(gè)人信息的跨境傳輸)引發(fā)了廣泛的關(guān)注,也產(chǎn)生了直接相關(guān)的行政處罰案例��。該領(lǐng)域的企業(yè)有必要對(duì)業(yè)務(wù)過程中涉及人類遺傳資源跨境傳輸?shù)牟糠诌M(jìn)行梳理�,提前準(zhǔn)備以更好地滿足相關(guān)的批準(zhǔn)或備案程序��。
六���、網(wǎng)絡(luò)安全保護(hù)領(lǐng)域
(一)《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南(征求意見稿)》
工業(yè)和信息化部于2020年4月10日發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南(征求意見稿)》(“《數(shù)據(jù)建設(shè)指南》”)���,該指南為電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全搭建了整體框架�,提出了網(wǎng)絡(luò)數(shù)據(jù)安全的重點(diǎn)領(lǐng)域���。特別值得關(guān)注的是:
1�����、重點(diǎn)領(lǐng)域的范圍:包括5G���、移動(dòng)互聯(lián)網(wǎng)����、車聯(lián)網(wǎng)����、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能����、區(qū)塊鏈等領(lǐng)域����。
2����、車聯(lián)網(wǎng)領(lǐng)域:車聯(lián)網(wǎng)安全覆蓋車內(nèi)�、車與車、車與路�����、車與人����、車與服務(wù)平臺(tái)的全方位連接和數(shù)據(jù)交互過程�����,數(shù)據(jù)安全和隱私保護(hù)貫穿于車聯(lián)網(wǎng)的各個(gè)環(huán)節(jié)。車聯(lián)網(wǎng)領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括車聯(lián)網(wǎng)云平臺(tái)數(shù)據(jù)安全、V2X通信數(shù)據(jù)安全、智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全�、車聯(lián)網(wǎng)移動(dòng)App數(shù)據(jù)安全等�����。
我們之前就車聯(lián)網(wǎng)業(yè)務(wù)的主要構(gòu)成,及外資進(jìn)入中國(guó)車聯(lián)網(wǎng)市場(chǎng)的主要交易結(jié)構(gòu)進(jìn)行分析,可參見我們的文章:
“海問車聯(lián)網(wǎng)法律評(píng)論(一): 舊江湖的新隱喻--TSP服務(wù)市場(chǎng)的格局與監(jiān)管”
“海問車聯(lián)網(wǎng)法律評(píng)論(二):域外玩家的本土布局--外資進(jìn)入TSP服務(wù)領(lǐng)域路徑淺析”
3��、物聯(lián)網(wǎng)領(lǐng)域:物聯(lián)網(wǎng)安全涵蓋物聯(lián)網(wǎng)的感知層���、傳輸層�、應(yīng)用層,涉及服務(wù)端安全、終端安全和通信網(wǎng)絡(luò)安全等方面,數(shù)據(jù)安全貫穿于其中的各個(gè)環(huán)節(jié)��。物聯(lián)網(wǎng)領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括物聯(lián)網(wǎng)云端數(shù)據(jù)安全保護(hù)�、物聯(lián)網(wǎng)管理系統(tǒng)數(shù)據(jù)安全保護(hù)、物聯(lián)網(wǎng)終端數(shù)據(jù)安全保護(hù)等。
4�����、大數(shù)據(jù)領(lǐng)域:大數(shù)據(jù)安全覆蓋數(shù)據(jù)全生命周期管理各環(huán)節(jié)��,涵蓋對(duì)大數(shù)據(jù)平臺(tái)運(yùn)行安全功能保障及以數(shù)據(jù)為對(duì)象進(jìn)行資產(chǎn)管理等。大數(shù)據(jù)領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括大數(shù)據(jù)平臺(tái)安全�、大數(shù)據(jù)資產(chǎn)管理等����。
5���、人工智能領(lǐng)域:人工智能安全覆蓋個(gè)人信息安全��、算法安全����、數(shù)據(jù)安全��、網(wǎng)絡(luò)安全等���。人工智能領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括人工智能平臺(tái)數(shù)據(jù)安全��、人工智能終端個(gè)人信息保護(hù)等。
簡(jiǎn)評(píng):
對(duì)強(qiáng)調(diào)的上述領(lǐng)域�����,可預(yù)期形成未來一段時(shí)間的立法及行業(yè)標(biāo)準(zhǔn)制定重點(diǎn)�。事實(shí)上,由于上述領(lǐng)域的商業(yè)應(yīng)用豐富���、活躍,對(duì)數(shù)據(jù)進(jìn)行利用的場(chǎng)景多樣�、復(fù)雜�,所以這些領(lǐng)域在過去一段時(shí)間已經(jīng)頒布了一些規(guī)定及國(guó)家標(biāo)準(zhǔn)�。
但該等規(guī)定和國(guó)家標(biāo)準(zhǔn)偏重于在政策方向性方面進(jìn)行指導(dǎo)和把控。由于這些領(lǐng)域的數(shù)據(jù)應(yīng)用及數(shù)據(jù)安全越來越重要�����,所以也可期在未來一段時(shí)間有一系列更為細(xì)化����、具有指導(dǎo)性的規(guī)定頒布�����。
(二)《網(wǎng)絡(luò)安全審查辦法》
國(guó)家互聯(lián)網(wǎng)信息辦公室��、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部���、國(guó)家安全部等12個(gè)部門于2020年4月27日聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(“2020年審查辦法”)���,該辦法于2020年6月1日起正式施行����。對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(“CII運(yùn)營(yíng)者”)采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全審查范圍、審查程序和審查要素等作出了規(guī)定�����。其中���,特別值得關(guān)注的是:
1���、審查對(duì)象:CII運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國(guó)家安全風(fēng)險(xiǎn)���。影響或可能影響國(guó)家安全的�,應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查��。
一方面����,根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定�,CII運(yùn)營(yíng)者是指公共通信和信息服務(wù)、能源、交通、水利����、金融��、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全�、國(guó)計(jì)民生����、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者���;國(guó)家互聯(lián)網(wǎng)信息辦公室就2020年審查辦法相關(guān)問題答記者問時(shí)指出�,電信、廣播電視、能源���、金融、公路水路運(yùn)輸、鐵路��、民航�����、郵政����、水利�����、應(yīng)急管理、衛(wèi)生健康����、社會(huì)保障����、國(guó)防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)���,應(yīng)當(dāng)考慮申報(bào)網(wǎng)絡(luò)安全審查�。
另一方面,并非CII運(yùn)營(yíng)者采購(gòu)的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)都需要進(jìn)行網(wǎng)絡(luò)安全審查���。根據(jù)2020年審查辦法,屬于審查范圍的網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備��、高性能計(jì)算機(jī)和服務(wù)器���、大容量存儲(chǔ)設(shè)備����、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件�����、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)��;同時(shí)�����,也規(guī)定了“其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”作為兜底�����。
2���、審查的啟動(dòng)和流程:2020年審查辦法規(guī)定兩種啟動(dòng)方式�,第一種是由CII運(yùn)營(yíng)者預(yù)判后主動(dòng)向網(wǎng)絡(luò)安全審查辦公室(“審查辦公室”)申報(bào);另一種是網(wǎng)絡(luò)安全審查工作機(jī)制成員單位(“成員單位”)認(rèn)為影響或可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)����,由網(wǎng)絡(luò)安全審查辦公室按程序報(bào)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后�,進(jìn)行審查���。
3����、CII運(yùn)營(yíng)者與網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商之間的采購(gòu)合同的關(guān)注點(diǎn):根據(jù)2020年審查辦法規(guī)定,CII運(yùn)營(yíng)者應(yīng)當(dāng)通過采購(gòu)文件�、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查��,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備���,無正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等。
(三)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2020)》
國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2020年4月28日聯(lián)合發(fā)布了《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2020)》(“2020年定級(jí)指南”)�����,該指南將于2020年11月1日正式施行,規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者開展非涉及國(guó)家秘密的安全保護(hù)的等級(jí)保護(hù)對(duì)象��、定級(jí)方法和定級(jí)流程。相較于公安部于2017年5月8日發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GA/T 1389-2017)》(“2017年定級(jí)指南”)在定級(jí)對(duì)象�����、定級(jí)要求和定級(jí)認(rèn)定方面作出了修訂�。其中,特別值得關(guān)注的是:
1��、定級(jí)對(duì)象的范圍:即哪些主體需要進(jìn)行定級(jí)并承擔(dān)安全責(zé)任�。相較于2017年定級(jí)指南����,2020年定級(jí)指南增加了云計(jì)算系統(tǒng)、數(shù)據(jù)資源,刪去了寬泛的其他信息系統(tǒng)的表述,將基礎(chǔ)信息網(wǎng)絡(luò)修改為通信網(wǎng)絡(luò)設(shè)施,對(duì)象從信息網(wǎng)絡(luò)變更為網(wǎng)絡(luò)設(shè)施。
變更后的定級(jí)對(duì)象包括:
i. 信息系統(tǒng):云計(jì)算平臺(tái)/系統(tǒng)�����、物聯(lián)網(wǎng)�����、工業(yè)控制系統(tǒng)�、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)����;
ii. 通信網(wǎng)絡(luò)設(shè)施;
iii. 數(shù)據(jù)資源。
2��、定級(jí)對(duì)象的分別定級(jí)要求:
i. 云計(jì)算平臺(tái)/系統(tǒng):2020年定級(jí)指南要求不同服務(wù)模式項(xiàng)下的云計(jì)算平臺(tái)/系統(tǒng)要?jiǎng)澐譃椴煌膶?duì)象進(jìn)行定級(jí)�。例如云服務(wù)提供者在對(duì)外提供SaaS、PaaS和IaaS時(shí),應(yīng)就各個(gè)服務(wù)模式分別進(jìn)行定級(jí)���;
ii. 工業(yè)控制系統(tǒng):工業(yè)控制系統(tǒng)主要包括現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制、過程控制和生產(chǎn)管理等特征要素��。其中�,現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制和過程控制等要素需作為一個(gè)整體對(duì)象定級(jí)�����,各要素不單獨(dú)定級(jí);生產(chǎn)管理要素宜單獨(dú)定級(jí)���;
iii. 數(shù)據(jù)資源:數(shù)據(jù)資源可獨(dú)立定級(jí);當(dāng)安全責(zé)任主體不同時(shí)�,大數(shù)據(jù)應(yīng)獨(dú)立定級(jí)��;當(dāng)安全責(zé)任主體相同時(shí)����,大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)/系統(tǒng)宜作為一個(gè)整體對(duì)象定級(jí)。
3、確定等級(jí)時(shí)受侵害的客體的認(rèn)定:受侵害的客體即受法律保護(hù)的、等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的社會(huì)關(guān)系����,包括國(guó)家安全�、社會(huì)秩序�、公眾利益以及公民、法人和其他組織的合法權(quán)益。相較于2017年定級(jí)指南,2020年定級(jí)指南主要修訂如下:
i. 國(guó)家安全方面增加了國(guó)家海洋權(quán)益和國(guó)家社會(huì)主義經(jīng)紀(jì)秩序和文化實(shí)力�����;
ii. 社會(huì)秩序方面增加了企事業(yè)單位�、社會(huì)團(tuán)體生產(chǎn)秩序、醫(yī)療衛(wèi)生秩序、公共交通秩序和人民群眾生活的情況。
簡(jiǎn)評(píng):
2020年定級(jí)指南新增/強(qiáng)調(diào)了云計(jì)算����、工業(yè)控制系統(tǒng)�、物聯(lián)網(wǎng)等系統(tǒng)的等保要求�����,是對(duì)2017年定級(jí)指南及之前一系列等保規(guī)定的拓展和細(xì)化�。
隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確對(duì)等保制度進(jìn)行加強(qiáng)管理�,近年來主管機(jī)關(guān)對(duì)等保定級(jí)/測(cè)評(píng)的實(shí)踐要求和執(zhí)法先例有所落實(shí)和趨緊。企業(yè)有必要根據(jù)2020年定級(jí)指南,對(duì)自身控制的信息系統(tǒng)進(jìn)行梳理評(píng)定����,特別對(duì)云計(jì)算�、工業(yè)控制系統(tǒng)�、物聯(lián)網(wǎng)等系統(tǒng)予以關(guān)注,考慮是否需要分別定級(jí)。
后記:
海問在網(wǎng)絡(luò)安全�����、數(shù)據(jù)合規(guī)領(lǐng)域積累豐富的經(jīng)驗(yàn)��,亦持續(xù)關(guān)注不斷更新的法律法規(guī)及與數(shù)據(jù)合規(guī)有關(guān)的時(shí)事熱點(diǎn)。您可通過如下鏈接瀏覽此前的《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動(dòng)態(tài)》:
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動(dòng)態(tài)》(2019年9月上半月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動(dòng)態(tài)》(2019年9月下半月-10月上半月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動(dòng)態(tài)》(2019年10月下半月-11月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動(dòng)態(tài)》(2019年12月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動(dòng)態(tài)》(2020年1月-6月):監(jiān)管規(guī)則(上)
題21-1_畫板 1 副本.png)
題21-1_畫板 1.png)
.png "備案圖標(biāo).png"){kind=small}
