題21-1_畫板 1 副本.png)
題21-1_畫板 1.png)
本動態(tài)下篇涵蓋2020年1月至6月細(xì)分領(lǐng)域下的個人信息與網(wǎng)絡(luò)安全保護(hù)規(guī)則介紹,主要聚焦行業(yè)細(xì)分領(lǐng)域下的個人信息與網(wǎng)絡(luò)安全保護(hù)規(guī)則,包括教育、電商、金融、工業(yè)等領(lǐng)域;也介紹了與網(wǎng)絡(luò)安全審查有關(guān)的新規(guī)。
有關(guān)App場景下的個人信息保護(hù)規(guī)則以及綜合性個人信息監(jiān)管規(guī)則的簡述,可參見我們動態(tài)的上篇:《海問·觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)(2020年1月-6月):監(jiān)管規(guī)則(上)》。
本動態(tài)僅作為本所對網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)相關(guān)的近期話題的一般性探討,不構(gòu)成本所正式法律咨詢意見。
監(jiān)管規(guī)則目錄:
一、教育領(lǐng)域
(一)《2020年教育信息化和網(wǎng)絡(luò)安全工作要點》
2020年2月26日,國家教育部辦公廳發(fā)布了《2020年教育信息化和網(wǎng)絡(luò)安全工作要點》(教科技廳[2020]1號)(“《工作要點》”)。《工作要點》列舉了在教育信息化與網(wǎng)絡(luò)安全領(lǐng)域的11個主要工作方面和32項重點任務(wù),其中,特別值得關(guān)注的是:
1、教育移動互聯(lián)網(wǎng)應(yīng)用應(yīng)當(dāng)進(jìn)行備案
與2019年11月,教育部辦公廳發(fā)布的《教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》(教技廳〔2019〕3號)相同,《工作要點》中重申了分階段推進(jìn)教育移動互聯(lián)網(wǎng)應(yīng)用程序(“教育類APP”)備案工作,并2020年1月31日前完成對現(xiàn)有教育類APP的備案工作。
根據(jù)教育部網(wǎng)站公布的數(shù)據(jù),截至2020年1月14日已有1928家教育類APP完成了備案工作,尚未完成備案工作的教育類APP企業(yè)應(yīng)當(dāng)高度重視并積極辦理該項備案工作,嚴(yán)格遵守主管部門的業(yè)務(wù)合規(guī)要求。
2、主管部門將開展高等學(xué)校管理服務(wù)類教育移動互聯(lián)網(wǎng)應(yīng)用專項治理行動
2019年11月,教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室印發(fā)了《高等院校管理服務(wù)類教育移動互聯(lián)網(wǎng)應(yīng)用專項治理行動方案》(教技司〔2019〕265號)(“《高等院校服務(wù)APP專項治理》”),要求提高高等院校管理服務(wù)類教育移動互聯(lián)網(wǎng)應(yīng)用(“高校服務(wù)類APP”)的網(wǎng)絡(luò)安全保障,并指出將在2020年1月31日前完成對高校服務(wù)類APP的重點抽查工作。
《2020年工作要點》進(jìn)一步強(qiáng)調(diào),將加強(qiáng)對于教育類APP的事中事后監(jiān)管機(jī)制,重點治理強(qiáng)制使用收費、違規(guī)采集個人信息、呈現(xiàn)低俗信息等問題,并開展高校服務(wù)類APP專項治理行動。
二、金融領(lǐng)域
(一)《個人金融信息保護(hù)技術(shù)規(guī)范》
2020年2月13日,中國人民銀行發(fā)布了《個人金融信息保護(hù)技術(shù)規(guī)范》(JR/T0171-2020)(“《金融信息規(guī)范》”),從安全技術(shù)和安全管理兩個方面規(guī)定了個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等生命周期的安全防護(hù)要求,進(jìn)一步明確了個人金融信息風(fēng)險識別和把控重點。其中,特別值得關(guān)注的有:
1、《金融信息規(guī)范》監(jiān)管對象較為寬泛
《金融信息規(guī)范》適用于國家金融管理部門監(jiān)督管理的持牌金融機(jī)構(gòu),以及個人金融信息處理的相關(guān)機(jī)構(gòu)。相較于中國人民銀行此前發(fā)布的涉及個人金融信息保護(hù)的規(guī)范文件,《金融信息規(guī)范》將為持牌金融機(jī)構(gòu)提供業(yè)務(wù)支持而涉及個人金融信息數(shù)據(jù)處理的相關(guān)機(jī)構(gòu)(如大數(shù)據(jù)分析公司等)納入監(jiān)管范圍。
2、《金融信息規(guī)范》中個人金融信息范圍的擴(kuò)大
在《金融信息規(guī)范》中,“個人金融信息”指金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個人信息,包括賬戶信息、鑒別信息、金融交易信息、個人身份信息等七大類信息,范圍相對寬泛。相較于中國人民銀行在2011年1月發(fā)布的《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》,增加了“鑒別信息”的概念,即用于驗證主體是否具有訪問或使用權(quán)限的信息,包括但不限于銀行卡密碼、預(yù)付卡支付密碼;個人金融信息主體登錄密碼、賬戶査詢密碼、交易密碼;卡片驗證碼(CVN和CVN2)、動態(tài)口令、短信驗證碼、密碼提示問題答案等。
3、個人金融信息類別
《金融信息規(guī)范》根據(jù)個人金融信息遭遇到未經(jīng)授權(quán)的查看或變更后的可能影響,將個人金融信息分成敏感程度由高到低的C3、C2、C1三個類別,具體如下:
4、個人金融信息安全技術(shù)和安全管理要求
《金融信息規(guī)范》對個人金融信息提出了覆蓋數(shù)據(jù)全生命周期保護(hù)的,貫穿收集、傳輸、存儲、使用、刪除、銷毀等環(huán)節(jié)的安全技術(shù)和安全管理要求。其中,特別值得注意的有:
i. 在對個人金融信息主體各類信息進(jìn)行獲取和記錄的過程中,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu)不得委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集C3、C2類別信息。即,企業(yè)不得委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集包括手機(jī)號在內(nèi)的個人金融信息,這對金融業(yè)機(jī)構(gòu)數(shù)據(jù)服務(wù)外包環(huán)節(jié)提出較高的整改與合規(guī)要求;
ii. 就個人金融信息在終端設(shè)備、信息系統(tǒng)內(nèi)或信息系統(tǒng)間傳遞的過程,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu)在個人金融數(shù)據(jù)傳輸前及傳輸時注重信息安全的技術(shù)保護(hù),如:
a. 對通過公共網(wǎng)絡(luò)傳輸?shù)腃2、C3類別信息使用加密通道或進(jìn)行數(shù)據(jù)加密;
b. 傳輸個人金融信息前,通信雙方應(yīng)通過有效技術(shù)手段進(jìn)行身份鑒別和認(rèn)證;
iii. 就個人金融信息處于終端設(shè)備、信息系統(tǒng)內(nèi)的保存的過程,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu)不得留存非本機(jī)構(gòu)的C3類別信息,除非獲得個人金融信息主體及賬戶管理機(jī)構(gòu)的授權(quán)、C3類別個人金融信息應(yīng)進(jìn)行加密存儲。
此外,由于《金融信息規(guī)范》要求受理終端、個人終端及客戶端應(yīng)用軟件不得留存支付敏感信息及個人生物識別信息的樣本數(shù)據(jù),金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)及時展開對其手機(jī)APP、支持人臉識別取款的ATM機(jī)等收集的支付敏感信息與個人生物識別信息的終端的自查工作,并盡快完成相關(guān)留存信息(如有)的清除;
iv. 就對個人金融信息的展示、共享和轉(zhuǎn)讓、公開披露、委托處理、加工處理等操作的過程,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu):
a.在委托第三方機(jī)構(gòu)處理個人金融信息時,不得委托其處理C3類別信息以及C2類別信息中的用戶鑒別輔助信息;
b. 在必需的信息展示環(huán)節(jié),采取適當(dāng)?shù)哪:ㄖ竿ㄟ^隱藏或截取局部信息令個人金融信息無法完整顯示)、不可逆(指無法通過樣本信息倒推真實信息的方法)等脫敏處理,具體而言包括:
對通過各類業(yè)務(wù)界面(如計算機(jī)屏幕、自助終端、交易憑條等)或后臺管理和業(yè)務(wù)支撐系統(tǒng)展示的個人金融信息,采取信息屏蔽等處理措施;
用戶處于未登錄狀態(tài)時,有關(guān)系統(tǒng)不展示與個人金融信息主體相關(guān)的C3 信息;
用戶處于已登錄狀態(tài)時,有關(guān)系統(tǒng)不明文展示C3類別信息(銀行卡有效期除外)等;
v. 在共享與轉(zhuǎn)讓個人金融信息時:
a.不應(yīng)共享、轉(zhuǎn)讓C3類別信息以及C2類別信息中的用戶鑒別輔助信息,共享轉(zhuǎn)讓其他個人金融信息需要告知并獲得信息主體的同意,但經(jīng)去標(biāo)識化處理、確保數(shù)據(jù)接收方無法重新識別信息主體的除外。
b. 因收購、兼并、重組、破產(chǎn)等情況導(dǎo)致金融業(yè)機(jī)構(gòu)主體變更而需進(jìn)行個人金融信息共享、轉(zhuǎn)讓時,金融業(yè)機(jī)構(gòu)應(yīng)將該變更情況以逐一傳達(dá)或公告的方式通知個人金融信息主體,且承接后的個人信息控制者應(yīng)繼續(xù)履行原定責(zé)任和義務(wù),并在變更個人信息使用目的時,重新取得個人信息主體的明示同意。
c.如因業(yè)務(wù)需要,可向境外機(jī)構(gòu)提供在中國境內(nèi)提供金融產(chǎn)品或服務(wù)過程中收集和產(chǎn)生的個人金融信息。但是,與此前《中國人民銀行金融消費者權(quán)益保護(hù)實施辦法》中的限定相同,目前前述個人金融信息僅能提供給境內(nèi)機(jī)構(gòu)的境外關(guān)聯(lián)機(jī)構(gòu)如其總公司、母公司或分公司、子公司及其他未完成其業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu);
vi. 就對個人金融信息的不可被檢索、訪問的處理過程,《金融信息規(guī)范》要求金融業(yè)機(jī)構(gòu)積極響應(yīng)個人金融信息主體刪除其個人金融信息的請求;
vii. 就對個人金融信息進(jìn)行清除使其不可恢復(fù)的過程,《金融信息規(guī)范》要求:
a.如金融業(yè)機(jī)構(gòu)因金融產(chǎn)品或服務(wù)的需要,將收集的個人金融信息委托給第三方機(jī)構(gòu)(含外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu))處理的,在委托關(guān)系解除時(或外包服務(wù)終止后),受委托者應(yīng)按照金融業(yè)機(jī)構(gòu)的要求銷毀其處理的個人金融信息;
b.金融業(yè)機(jī)構(gòu)應(yīng)建立外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu)管理制度,該制度應(yīng)包括通過協(xié)議或合同的方式,約束外包服務(wù)機(jī)構(gòu)與外部服務(wù)機(jī)構(gòu)不應(yīng)留存C2、C3類別信息。
(二)《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法(征求意見稿)》
中國銀行保險監(jiān)督管理委員會于2020年5月9日發(fā)布了《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法(征求意見稿)》(“《網(wǎng)絡(luò)貸款辦法》”),對商業(yè)銀行的互聯(lián)網(wǎng)貸款業(yè)務(wù)經(jīng)營行為作出規(guī)范。其中,特別值得關(guān)注的是《網(wǎng)絡(luò)貸款辦法》設(shè)立專門章節(jié),對商業(yè)銀行業(yè)務(wù)開展中的風(fēng)險數(shù)據(jù)管理作出了規(guī)定:
1、明確風(fēng)險數(shù)據(jù)的范圍
風(fēng)險數(shù)據(jù)是指商業(yè)銀行在對借款人進(jìn)行身份確認(rèn),以及貸款風(fēng)險識別、分析、評價、監(jiān)測、預(yù)警和處置等環(huán)節(jié)收集、使用的各類內(nèi)外部數(shù)據(jù)。
2、要求商業(yè)銀行確認(rèn)外部風(fēng)險數(shù)據(jù)來源合法合規(guī)
商業(yè)銀行如果需要從外部合作機(jī)構(gòu)獲取借款人風(fēng)險數(shù)據(jù),應(yīng)當(dāng)至少包含借款人姓名、身份證號、聯(lián)系電話、銀行賬戶等基本信息,且通過適當(dāng)方式確認(rèn)合作機(jī)構(gòu)的數(shù)據(jù)來源合法合規(guī)、真實有效,并已獲得數(shù)據(jù)主體本人的明確授權(quán)。
3、要求風(fēng)險數(shù)據(jù)收集和使用遵循合法、必要、有效的原則
不得違反法律法規(guī)和借貸雙方約定,不得將風(fēng)險數(shù)據(jù)用于從事與貸款業(yè)務(wù)無關(guān)或有損借款人合法利益的活動,不得向第三方提供借款人風(fēng)險數(shù)據(jù)。
4、要求商業(yè)銀行采取風(fēng)險數(shù)據(jù)安全保管措施
商業(yè)銀行應(yīng)當(dāng)建立風(fēng)險數(shù)據(jù)安全管理的策略與標(biāo)準(zhǔn),采取有效技術(shù)措施,保障借款人風(fēng)險數(shù)據(jù)在采集、傳輸、存儲、處理和銷毀過程中的安全,防范數(shù)據(jù)泄漏、丟失或被篡改的風(fēng)險。
三、電商領(lǐng)域:《電子商務(wù)信息公示管理辦法(征求意見稿)》
2020年2月12日,商務(wù)部發(fā)布了《電子商務(wù)信息公示管理辦法(征求意見稿)》(“《電商信息公示辦法》”),對《電子商務(wù)法》中提出的電子商務(wù)經(jīng)營者信息公示義務(wù)進(jìn)一步作出了細(xì)化規(guī)定。
值得關(guān)注的是,除對《電子商務(wù)法》規(guī)定的公示義務(wù)進(jìn)行細(xì)化外,《電商信息公示辦法》還專門規(guī)定了非法獲取公示電子商務(wù)信息數(shù)據(jù)和非法篡改與使用公示電子商務(wù)信息數(shù)據(jù)行為及相應(yīng)的法律責(zé)任,加強(qiáng)了對公示電子商務(wù)信息數(shù)據(jù)的保護(hù)力度,具體如下:
1、非法獲取信息數(shù)據(jù)的行為與法律責(zé)任
《電商信息公示辦法》強(qiáng)調(diào),任何自然人、法人或者其他組織不得通過數(shù)據(jù)抓取等技術(shù)手段不正當(dāng)?shù)孬@取公示的電子商務(wù)信息。根據(jù)該文件,僅有“不正當(dāng)”的獲取行為才應(yīng)當(dāng)承擔(dān)法律責(zé)任,但未就“不正當(dāng)”的具體情形進(jìn)行說明。
參照《數(shù)據(jù)安全管理辦法(征求意見稿)》規(guī)定,“不正當(dāng)”的運用技術(shù)手段可以指,妨礙網(wǎng)站正常運行的自動化收集網(wǎng)站數(shù)據(jù)的行為。舉例而言,自然人、法人或者其他組織采用數(shù)據(jù)抓取等技術(shù)手段收集流量超過網(wǎng)站日均流量三分之一,且在網(wǎng)站要求其停止此類訪問收集行為而拒不停止的,可能被認(rèn)定為該自然人、法人或者其他組織通過數(shù)據(jù)抓取等技術(shù)手段不正當(dāng)?shù)孬@取了公示的電子商務(wù)信息。
2、篡改和非法使用信息數(shù)據(jù)的行為與法律責(zé)任
《電商信息公示辦法》明確禁止篡改和非法使用公示的電子商務(wù)信息的行為,由于經(jīng)公示的電子商務(wù)信息數(shù)據(jù)很容易被外界獲取,并被他人非法的修改、編輯和利用,從而導(dǎo)致被公示的電子商務(wù)信息失去其真實性和完整性。因此,《電商信息公示辦法》明確了對公示信息的保護(hù),體現(xiàn)了對打擊篡改和非法使用公示電子商務(wù)信息數(shù)據(jù)的侵權(quán)行為的決心。
四、工業(yè)數(shù)據(jù)保護(hù):《工業(yè)數(shù)據(jù)分類分級指南(試行)》
2020年3月4日,工業(yè)和信息化部辦公廳發(fā)布了《工業(yè)數(shù)據(jù)分類分級指南(試行)》(“《分級指南》”)以促進(jìn)工業(yè)數(shù)據(jù)的使用、流動與共享。該指南所指工業(yè)數(shù)據(jù)是工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期產(chǎn)生和應(yīng)用的數(shù)據(jù),包括但不限于工業(yè)企業(yè)在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運維服務(wù)等環(huán)節(jié)中生成和使用的數(shù)據(jù),以及工業(yè)互聯(lián)網(wǎng)平臺企業(yè)在設(shè)備接入、平臺運行、工業(yè)APP應(yīng)用等過程中生成和使用的數(shù)據(jù)。
根據(jù)《分級指南》,企業(yè)在業(yè)務(wù)開展過程中產(chǎn)生的工業(yè)數(shù)據(jù)可以根據(jù)其遭篡改、破壞、泄露或非法利用后,可能對工業(yè)生產(chǎn)、經(jīng)濟(jì)效益等帶來的潛在影響,分為三個級別,具體分類情況以及管理要求如下:
1、工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用后,將造成以下影響的,應(yīng)當(dāng)被界定為三級數(shù)據(jù):
i. 將引發(fā)特大安全事故、特大環(huán)境事件、特大經(jīng)濟(jì)損失的;或
ii. 將對國家的安全和經(jīng)濟(jì)情況、社會和公眾利益、行業(yè)發(fā)展產(chǎn)生嚴(yán)重影響的。
管理上,企業(yè)針對三級數(shù)據(jù)采取的防護(hù)措施,應(yīng)能抵御來自國家級敵對組織的大規(guī)模惡意攻擊。且三級數(shù)據(jù)原則上不共享,確需共享的應(yīng)嚴(yán)格控制知悉范圍。
2、工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用后,將造成以下影響的,應(yīng)當(dāng)被界定為二級數(shù)據(jù):
i. 將引發(fā)較大安全事故、較大環(huán)境事件、較大經(jīng)濟(jì)損失的;或
ii. 引發(fā)的級聯(lián)效應(yīng)明顯,如涉及多個行業(yè)、區(qū)域或者行業(yè)內(nèi)多個企業(yè),或影響持續(xù)時間長或被非法利用的數(shù)據(jù)量較大。
管理上,企業(yè)針對二級數(shù)據(jù)采取的防護(hù)措施,應(yīng)能抵御大規(guī)模、較強(qiáng)惡意攻擊。二級數(shù)據(jù)只對確需獲取該級數(shù)據(jù)的授權(quán)機(jī)構(gòu)及相關(guān)人員開放,在做好數(shù)據(jù)管理的前提下,企業(yè)可以適當(dāng)共享二級數(shù)據(jù)。
3、工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用后,將造成以下影響的,應(yīng)當(dāng)被界定為一級數(shù)據(jù):
i. 對工業(yè)控制系統(tǒng)、設(shè)備、平臺等的影響較小;或
ii. 給企業(yè)造成負(fù)面影響、直接經(jīng)濟(jì)損失較小,數(shù)據(jù)恢復(fù)或消除負(fù)面影響所需付出的代價較小;或
iii. 受影響的用戶和企業(yè)數(shù)量較少、區(qū)域范圍較小、持續(xù)時間較短。
管理上,企業(yè)針對一級數(shù)據(jù)采取的防護(hù)措施,應(yīng)能抵御一般惡意攻擊,且在做好數(shù)據(jù)管理的前提下企業(yè)可以適當(dāng)共享一級數(shù)據(jù)。
五、人類遺傳資源信息保護(hù):《生物安全法(草案二次審議稿)》
《生物安全法(草案二次審議稿)》(“《生物安全法》”)于2020年4月30日在中國人大網(wǎng)公布并向公眾公開征求意見至2020年6月13日。該文件對疫情防控、生物技術(shù)研發(fā)與應(yīng)用、人類遺傳資源與生物資源安全管理以及防范生物入境和生物武器威脅等生物安全領(lǐng)域進(jìn)行了規(guī)定。其中,《生物安全法》延續(xù)了《人類遺傳資源管理條例》(“《遺傳資源條例》”)中的相關(guān)規(guī)定,核心內(nèi)容如下:
1、與《遺傳資源條例》相同,《生物安全法》規(guī)定采集、保藏、利用、對外提供我國人類遺傳資源,應(yīng)當(dāng)符合倫理原則,不得危害公眾健康、國家安全和社會公共利益。
2、采集我國重要遺傳家系、特定地區(qū)人類遺傳資源或者采集國務(wù)院科學(xué)技術(shù)主管部門規(guī)定的種類、數(shù)量的人類遺傳資源;保藏我國人類遺傳資源;利用我國人類遺傳資源開展國際科學(xué)研究合作;將我國人類遺傳資源材料運送、郵寄、攜帶出境的行為需要經(jīng)國務(wù)院科學(xué)技術(shù)主管部門批準(zhǔn)。
但是,上述規(guī)定也有兩個例外情況:第一,以臨床診療、教學(xué)、采供血服務(wù)、查處違法犯罪、興奮劑檢測和殯葬等為目的采集、保藏人類遺傳資源及開展的相關(guān)活動不需要取得批準(zhǔn);第二,為了取得相關(guān)藥品和醫(yī)療器械在我國上市許可,在臨床試驗機(jī)構(gòu)利用我國人類遺傳資源開展國際合作臨床試驗、不涉及人類遺傳資源出境的,不需要批準(zhǔn);但是,在開展臨床試驗前應(yīng)對將擬使用的人類遺傳資源種類、數(shù)量及其用途向國務(wù)院科學(xué)技術(shù)主管部門備案。
3、境外組織、個人及其設(shè)立或者實際控制的機(jī)構(gòu)不得在我國境內(nèi)采集、保藏我國人類遺傳資源,不得向境外提供我國人類遺傳資源;境外組織、個人及其設(shè)立或者實際控制的機(jī)構(gòu)獲取和利用我國生物資源,應(yīng)當(dāng)依法取得有關(guān)部門的批準(zhǔn)。
4、將我國人類遺傳資源信息向境外組織、個人及其設(shè)立或者實際控制的機(jī)構(gòu)提供或者開放使用的,應(yīng)當(dāng)向國務(wù)院科學(xué)技術(shù)主管部門事先報告并提交信息備份;可能影響公眾健康、國家安全和社會公共利益的,還應(yīng)當(dāng)通過國務(wù)院科學(xué)技術(shù)主管部門的安全審查。
5、利用我國人類遺傳資源和生物資源開展國際科學(xué)研究合作,應(yīng)當(dāng)保證中方單位及其研究人員全過程、實質(zhì)性地參與研究,依法分享相關(guān)權(quán)益。利用我國生物資源開展國際科學(xué)研究合作,應(yīng)當(dāng)依法取得有關(guān)部門的批準(zhǔn)。
簡評:
人類遺傳資源的跨境傳輸(其中往往也可能涉及個人信息的跨境傳輸)引發(fā)了廣泛的關(guān)注,也產(chǎn)生了直接相關(guān)的行政處罰案例。該領(lǐng)域的企業(yè)有必要對業(yè)務(wù)過程中涉及人類遺傳資源跨境傳輸?shù)牟糠诌M(jìn)行梳理,提前準(zhǔn)備以更好地滿足相關(guān)的批準(zhǔn)或備案程序。
六、網(wǎng)絡(luò)安全保護(hù)領(lǐng)域
(一)《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南(征求意見稿)》
工業(yè)和信息化部于2020年4月10日發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南(征求意見稿)》(“《數(shù)據(jù)建設(shè)指南》”),該指南為電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全搭建了整體框架,提出了網(wǎng)絡(luò)數(shù)據(jù)安全的重點領(lǐng)域。特別值得關(guān)注的是:
1、重點領(lǐng)域的范圍:包括5G、移動互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。
2、車聯(lián)網(wǎng)領(lǐng)域:車聯(lián)網(wǎng)安全覆蓋車內(nèi)、車與車、車與路、車與人、車與服務(wù)平臺的全方位連接和數(shù)據(jù)交互過程,數(shù)據(jù)安全和隱私保護(hù)貫穿于車聯(lián)網(wǎng)的各個環(huán)節(jié)。車聯(lián)網(wǎng)領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括車聯(lián)網(wǎng)云平臺數(shù)據(jù)安全、V2X通信數(shù)據(jù)安全、智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全、車聯(lián)網(wǎng)移動App數(shù)據(jù)安全等。
我們之前就車聯(lián)網(wǎng)業(yè)務(wù)的主要構(gòu)成,及外資進(jìn)入中國車聯(lián)網(wǎng)市場的主要交易結(jié)構(gòu)進(jìn)行分析,可參見我們的文章:
“海問車聯(lián)網(wǎng)法律評論(一): 舊江湖的新隱喻--TSP服務(wù)市場的格局與監(jiān)管”
“海問車聯(lián)網(wǎng)法律評論(二):域外玩家的本土布局--外資進(jìn)入TSP服務(wù)領(lǐng)域路徑淺析”
3、物聯(lián)網(wǎng)領(lǐng)域:物聯(lián)網(wǎng)安全涵蓋物聯(lián)網(wǎng)的感知層、傳輸層、應(yīng)用層,涉及服務(wù)端安全、終端安全和通信網(wǎng)絡(luò)安全等方面,數(shù)據(jù)安全貫穿于其中的各個環(huán)節(jié)。物聯(lián)網(wǎng)領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括物聯(lián)網(wǎng)云端數(shù)據(jù)安全保護(hù)、物聯(lián)網(wǎng)管理系統(tǒng)數(shù)據(jù)安全保護(hù)、物聯(lián)網(wǎng)終端數(shù)據(jù)安全保護(hù)等。
4、大數(shù)據(jù)領(lǐng)域:大數(shù)據(jù)安全覆蓋數(shù)據(jù)全生命周期管理各環(huán)節(jié),涵蓋對大數(shù)據(jù)平臺運行安全功能保障及以數(shù)據(jù)為對象進(jìn)行資產(chǎn)管理等。大數(shù)據(jù)領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括大數(shù)據(jù)平臺安全、大數(shù)據(jù)資產(chǎn)管理等。
5、人工智能領(lǐng)域:人工智能安全覆蓋個人信息安全、算法安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等。人工智能領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括人工智能平臺數(shù)據(jù)安全、人工智能終端個人信息保護(hù)等。
簡評:
對強(qiáng)調(diào)的上述領(lǐng)域,可預(yù)期形成未來一段時間的立法及行業(yè)標(biāo)準(zhǔn)制定重點。事實上,由于上述領(lǐng)域的商業(yè)應(yīng)用豐富、活躍,對數(shù)據(jù)進(jìn)行利用的場景多樣、復(fù)雜,所以這些領(lǐng)域在過去一段時間已經(jīng)頒布了一些規(guī)定及國家標(biāo)準(zhǔn)。
但該等規(guī)定和國家標(biāo)準(zhǔn)偏重于在政策方向性方面進(jìn)行指導(dǎo)和把控。由于這些領(lǐng)域的數(shù)據(jù)應(yīng)用及數(shù)據(jù)安全越來越重要,所以也可期在未來一段時間有一系列更為細(xì)化、具有指導(dǎo)性的規(guī)定頒布。
(二)《網(wǎng)絡(luò)安全審查辦法》
國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部等12個部門于2020年4月27日聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(“2020年審查辦法”),該辦法于2020年6月1日起正式施行。對關(guān)鍵信息基礎(chǔ)設(shè)施運營者(“CII運營者”)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全審查范圍、審查程序和審查要素等作出了規(guī)定。其中,特別值得關(guān)注的是:
1、審查對象:CII運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險。影響或可能影響國家安全的,應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查。
一方面,根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定,CII運營者是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施的運營者;國家互聯(lián)網(wǎng)信息辦公室就2020年審查辦法相關(guān)問題答記者問時指出,電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時,應(yīng)當(dāng)考慮申報網(wǎng)絡(luò)安全審查。
另一方面,并非CII運營者采購的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)都需要進(jìn)行網(wǎng)絡(luò)安全審查。根據(jù)2020年審查辦法,屬于審查范圍的網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備、高性能計算機(jī)和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù);同時,也規(guī)定了“其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”作為兜底。
2、審查的啟動和流程:2020年審查辦法規(guī)定兩種啟動方式,第一種是由CII運營者預(yù)判后主動向網(wǎng)絡(luò)安全審查辦公室(“審查辦公室”)申報;另一種是網(wǎng)絡(luò)安全審查工作機(jī)制成員單位(“成員單位”)認(rèn)為影響或可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù),由網(wǎng)絡(luò)安全審查辦公室按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準(zhǔn)后,進(jìn)行審查。
3、CII運營者與網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商之間的采購合同的關(guān)注點:根據(jù)2020年審查辦法規(guī)定,CII運營者應(yīng)當(dāng)通過采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備,無正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等。
(三)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南(GB/T 22240-2020)》
國家市場監(jiān)督管理總局和國家標(biāo)準(zhǔn)化管理委員會于2020年4月28日聯(lián)合發(fā)布了《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南(GB/T 22240-2020)》(“2020年定級指南”),該指南將于2020年11月1日正式施行,規(guī)定了網(wǎng)絡(luò)運營者開展非涉及國家秘密的安全保護(hù)的等級保護(hù)對象、定級方法和定級流程。相較于公安部于2017年5月8日發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南(GA/T 1389-2017)》(“2017年定級指南”)在定級對象、定級要求和定級認(rèn)定方面作出了修訂。其中,特別值得關(guān)注的是:
1、定級對象的范圍:即哪些主體需要進(jìn)行定級并承擔(dān)安全責(zé)任。相較于2017年定級指南,2020年定級指南增加了云計算系統(tǒng)、數(shù)據(jù)資源,刪去了寬泛的其他信息系統(tǒng)的表述,將基礎(chǔ)信息網(wǎng)絡(luò)修改為通信網(wǎng)絡(luò)設(shè)施,對象從信息網(wǎng)絡(luò)變更為網(wǎng)絡(luò)設(shè)施。
變更后的定級對象包括:
i. 信息系統(tǒng):云計算平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng);
ii. 通信網(wǎng)絡(luò)設(shè)施;
iii. 數(shù)據(jù)資源。
2、定級對象的分別定級要求:
i. 云計算平臺/系統(tǒng):2020年定級指南要求不同服務(wù)模式項下的云計算平臺/系統(tǒng)要劃分為不同的對象進(jìn)行定級。例如云服務(wù)提供者在對外提供SaaS、PaaS和IaaS時,應(yīng)就各個服務(wù)模式分別進(jìn)行定級;
ii. 工業(yè)控制系統(tǒng):工業(yè)控制系統(tǒng)主要包括現(xiàn)場采集/執(zhí)行、現(xiàn)場控制、過程控制和生產(chǎn)管理等特征要素。其中,現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素需作為一個整體對象定級,各要素不單獨定級;生產(chǎn)管理要素宜單獨定級;
iii. 數(shù)據(jù)資源:數(shù)據(jù)資源可獨立定級;當(dāng)安全責(zé)任主體不同時,大數(shù)據(jù)應(yīng)獨立定級;當(dāng)安全責(zé)任主體相同時,大數(shù)據(jù)、大數(shù)據(jù)平臺/系統(tǒng)宜作為一個整體對象定級。
3、確定等級時受侵害的客體的認(rèn)定:受侵害的客體即受法律保護(hù)的、等級保護(hù)對象受到破壞時所侵害的社會關(guān)系,包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。相較于2017年定級指南,2020年定級指南主要修訂如下:
i. 國家安全方面增加了國家海洋權(quán)益和國家社會主義經(jīng)紀(jì)秩序和文化實力;
ii. 社會秩序方面增加了企事業(yè)單位、社會團(tuán)體生產(chǎn)秩序、醫(yī)療衛(wèi)生秩序、公共交通秩序和人民群眾生活的情況。
簡評:
2020年定級指南新增/強(qiáng)調(diào)了云計算、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)等系統(tǒng)的等保要求,是對2017年定級指南及之前一系列等保規(guī)定的拓展和細(xì)化。
隨著《中華人民共和國網(wǎng)絡(luò)安全法》明確對等保制度進(jìn)行加強(qiáng)管理,近年來主管機(jī)關(guān)對等保定級/測評的實踐要求和執(zhí)法先例有所落實和趨緊。企業(yè)有必要根據(jù)2020年定級指南,對自身控制的信息系統(tǒng)進(jìn)行梳理評定,特別對云計算、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)等系統(tǒng)予以關(guān)注,考慮是否需要分別定級。
后記:
海問在網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)領(lǐng)域積累豐富的經(jīng)驗,亦持續(xù)關(guān)注不斷更新的法律法規(guī)及與數(shù)據(jù)合規(guī)有關(guān)的時事熱點。您可通過如下鏈接瀏覽此前的《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》:
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年9月上半月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年9月下半月-10月上半月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年10月下半月-11月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年12月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》(2020年1月-6月):監(jiān)管規(guī)則(上)
京ICP備05019364號-1 .png "備案圖標(biāo).png"){kind=small}
京公網(wǎng)安備110105011258
近日,北京市海問律師事務(wù)所(“本所”)發(fā)現(xiàn),網(wǎng)絡(luò)上存在將一家名為“廣州海問睿律咨詢顧問有限公司”的主體與本所進(jìn)行不當(dāng)關(guān)聯(lián)的大量不實信息,導(dǎo)致社會公眾產(chǎn)生混淆與誤解,也對本所的聲譽(yù)及正常執(zhí)業(yè)活動造成不良影響。
本所特此澄清,本所與“廣州海問睿律咨詢顧問有限公司”(成立于2025年11月)不存在任何隸屬、投資、關(guān)聯(lián)、合作、授權(quán)或品牌許可關(guān)系,亦從未授權(quán)任何主體以“海問”的名義提供法律咨詢服務(wù),該公司的任何行為與本所無關(guān)。更多詳情,請點擊左下方按鈕查看。
