擅长:合同纠纷,债权债务,继承,医疗纠纷,婚姻家庭,刑事案件,劳动纠纷,征地拆迁
序言
《网络安全法》自2017年6月实施以来,作为基本法对各行业在网络安全方面提出了总体要求。近三年,各种法规、部门规章、国家标准及行业标准也陆续出台,明确将《网络安全法》作为依据,为各领域网络安全、数据合规、个人信息保护等制度的落实提供了更详细的参考。2020年至今,除了《数据安全法(草案)》及《个人信息保护法(草案)》在2020年7月及10月公开征求意见外,市监总局、网信办等监管部门也发布了不少法规及标准。本文将结合适用对象和行业分类,对多部法规和标准(包括征求意见稿)进行简要梳理。第二部分还将分别从普遍适用于网络运营者及个人信息控制者,适用于网络信息内容生产者、互联网信息服务提供者,适用于关键信息基础设施运营者,适用于APP及小程序运营者,以及适用于金融机构五个类别,对涉及的法规及标准进行评析。
一、各法规及标准梳理
本文第一部分将通过列表梳理各法规及标准。从适用对象及规制内容上,可看出规制目标及内容。各企业可结合自身运营所涉业务,有针对性地深入研究。
点击可查看大图
二、法规及标准简要内容分析
本文第二部分将针对各法规及标准(包括征求意见稿)进行简要分析,依照适用对象分类,更具体地展开法规及标准所提供的治理思路及参考标准。
1
普遍适用于网络运营者及个人信息控制者的法规和标准
《中华人民共和国数据安全法(草案)》(征求意见稿)(本段简称“《草案》”)
《个人信息保护法(草案)》(征求意见稿)(本段简称“《草案》”)
《草案》在《网络安全法》及《个人信息安全规范》之外,提出更多个人信息处理规范。首先,第3条规定特定情况下的域外适用效力,具有“长臂管辖”的效果。其次,《草案》使得“知情同意”不再是个人信息处理唯一合法性基础,增加了订立合同所必须、保护自然人的重大利益等合法基础。另外,《草案》还提出了合法性原则、最小必要原则、公开透明原则等处理个人信息的基本原则。
《信息安全技术个人信息安全规范》(本段简称“《规范》”)
《信息安全技术个人信息告知同意指南》(征求意见稿)(本段简称“《指南》”)
《指南》明确适用于网络运营者在网络环境中进行个人信息告知同意的情形,为网络运营者个人信息处理告知的内容、结构,及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。根据《网络安全法》第41条,个人信息主体同意是收集和使用个人信息的基础。《指南》具体提出了个人信息处理告知的内容,告知同意的适用情形,免于告知同意的情形,告知同意的基本原则、内容、形式及同意的方式等,更提供了针对未成年人个人信息、互联网金融等场景的具体指引。
《信息安全技术个人信息安全影响评估指南》(本段简称“《指南》”)
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(本段简称“《意见》”)
《意见》对网络安全等级保护制度和关键信息基础设施安全保护制度提出要求。其中,保障重点是关键信息基础设施和第三级以上的网络。《意见》在《网络安全法》第31条基础上确认了根据网络在国家安全、经济建设、社会生活中的重要程度,及其遭到破坏后的危害程度等因素,实施网络安全等级保护制度。《意见》指出,应将符合认定条件的基础网络、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。
《信息安全技术网络安全等级保护定级指南》(本段简称“《指南》”)
《指南》从定级原理及流程、定级对象、保护等级等方面落实了不涉及国家秘密的等级保护对象的安全保护等级方法和定级流程。与网络安全等级保护制度保持一致,根据对象在国家安全、经济建设等方面的重要程度,以及一旦遭到破坏或数据遭遇泄露等事件后的侵害程度等因素,将安全保护等级分为五级,并针对不同级别提出要求。
《信息安全技术网络数据处理安全规范》(征求意见稿)(本段简称“《规范》”)
《规范》规定了网络运营者在利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和管理的要求。《规范》一大亮点是针对突发公共卫生事件中个人信息保护的合规要求作出规定,包括个人信息服务协议、个人信息的收集与调用,应对工作结束后的个人信息处理等问题。
2
适用于网络信息内容生产者、互联网信息服务提供者、公众账号信息平台的法规和标准
《互联网信息服务管理办法》(修订草案征求意见稿)(本段简称“《办法》”)
《互联网用户公众账号信息服务管理规定》(本段简称“《规定》”)
《规定》对公众账号信息服务平台及公众账号生产运营者提出了一系列要求。包括新增生态治理、数据保护、个人信息保护等平台主体责任。《规定》还针对账号分类注册、主体资质核验、打击网络谣言等问题新增多个条款。《规定》也要求公众账号信息服务平台加强对公众账号信息服务活动的监督管理,及时发现和处置违法违规信息或行为。
《网络信息内容生态治理规定》(本段简称“《规定》”)
3
适用于关键信息基础设施运营者的法规和标准
《网络安全审查办法》(本段简称“《办法》”)
《办法》为确保关键信息基础设施供应链安全提供了具体规定。关键信息基础设施运营者在采购网络产品和服务前,需对产品和服务投入使用后可能带来的国家安全风险进行预判,如果发现影响或者可能影响国家安全,应当事前申报网络安全审查。重点领域包括了电信、广播电视、能源、金融、国防科技工业等。具体内容方面,属于审查范围的网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务等。
《信息安全技术关键信息基础设施安全防护能力评价方法》(征求意见稿)(本段简称“《方法》”)
《方法》提供了关键信息基础设施安全防护能力的评价模型,为关键信息基础设施运营者对自身安全能力进行评价,网络安全服务机构对关键信息基础设施运营者安全能力进行评价提供了参考。同时,《方法》也适用于对关键信息基础设施运营者的安全管理,以及关键信息基础设施保护工作部门和关键信息基础设施安全保护的其他参与者。
《信息安全技术关键信息基础设施边界确定方法》(征求意见稿)(本段简称“《方法》”)
《方法》为关键信息基础设施运营者开展关键信息基础设施边界识别工作提供参考,界定了边界识别的原则、模型和流程。同时,还明确规定了保护对象和保护范围,是关键信息基础设施安全标准得以实施的基础。
4
适用于APP及小程序运营者的法规和标准
《常见类型移动互联网应用程序(App)必要个人信息范围》(征求意见稿)(本段简称“《范围》”)
《范围》规定了地图导航、网约车等38类常见App必要个人信息的范围,并针对不同类型的App规定了个人信息处理的要求。例如,网络直播类、拍摄美化类等App可在无需个人信息的情况下使用基本功能,《范围》便规定这类App要求获取个人信息没有必要性。
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(本段简称“《指南》”)
《指南》提供了App收集使用个人信息的6个评估点。其中包括,是否公开收集使用个人信息的规则、是否明示收集使用个人信息的目的、方式和方位、是否征得用户同意后才收集使用个人信息、是否遵循必要原则、是否经用户同意后才向他人提供个人信息、是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息。
《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引》(征求意见稿)(本段简称“《指引》”)
《指引》提出了10个App在个人信息保护中出现的问题,包括超范围收集、默认选择同意、未提供删除渠道等。同时针对每个问题给出相应的防范建议。例如,App超范围收集个人信息的情况中,包括了收集无人信息、强制收集非必要个人信息、收集频率不合理等,《指引》给出的方法包括,使用户可选择拒绝、遵循最小必要原则等。
《信息安全技术即时通信服务数据安全指南(征求意见稿)》(本段简称“《指南》”)
5
适用于金融机构的法规和标准
除了上述普遍适用的法规和标准外,各细分行业也陆续出台行业标准。例如,在金融业就出台了如下推荐性行业标准:
《个人金融信息保护技术规范》(本段简称“《规范》”)
《规范》适用主体包括金融业机构和获取个人金融信息的非金融机构,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
《网上银行系统信息安全通用规范》(本段简称“《规范》”)
《规范》对2012年版进行了与时俱进的更新,适用对象包括境内设立的商业银行等银行业金融机构所运营的网上银行系统,以及其他金融机构提供网上金融服务的业务系统。为网银系统建设、改造升级、安全检查、审计提供安全依据。《规范》明确网银系统按照网络安全等级保护第三级安全要求进行建设与运维管理,与网络安全等级保护相呼应。
《金融数据安全数据安全分级指南》(本段简称“《指南》”)
《指南》适用于金融业机构开展电子数据安全分级工作,对金融业机构在开展业务活动、提供金融服务以及日常经营管理时采集或生成的“电子数据”进行分类,根据影响对象和影响程度,将金融数据进行5层安全级别的分类。